T1608.001: Загрузка вредоносного ПО
Злоумышленники могут загружать вредоносное ПО в стороннюю или свою инфраструктуру, чтобы сделать его доступным во время атаки. Таким вредоносным ПО могут быть полезные нагрузки, дропперы, инструменты посткомпрометации, бэкдоры и различное другое вредоносное содержимое. Злоумышленники могут загрузить вредоносное ПО для поддержки своих операций на веб-сервер, доступный через интернет, чтобы затем передать инструменты из внешней сети в сеть жертвы.
Вредоносное ПО может быть размещено в инфраструктуре, которую злоумышленники ранее приобрели или арендовали либо скомпрометировали. Также вредоносное ПО может быть размещено в веб-сервисах, таких как GitHub или Pastebin, или в сети InterPlanetary File System (IPFS), где децентрализованное хранение усложняет удаление файлов.
Злоумышленники могут загружать файлы со встроенным бэкдором, например исполняемые файлы приложений, образы виртуальных машин или контейнеров, в сторонние магазины или репозитории программного обеспечения (такие как GitHub, CNET, AWS Community AMI и Docker Hub). Жертвы могут случайно загрузить или установить файлы с бэкдором (техника Выполнение с участием пользователя). Маскировка повышает вероятность того, что пользователи запустят эти файлы по ошибке.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если ранее были выявлены инфраструктура или шаблоны вредоносного ПО, то интернет-сканирование может помочь выявить, когда злоумышленник подготовил вредоносное ПО для атаки. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации, например использовании техники Выполнение с участием пользователя или передаче инструментов из внешней сети. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|