T1608.002: Загрузка инструментов
Злоумышленники могут загружать инструменты в стороннюю или свою инфраструктуру, чтобы сделать их доступными во время атаки. Инструменты могут быть с открытым или закрытым исходным кодом, бесплатными или коммерческими. Также в злонамеренных целях могут использоваться инструменты, которые, в отличие от вредоносного ПО, изначально не были для этого предназначены (например, PsExec). Злоумышленники могут загрузить инструменты для поддержки своих операций на веб-сервер, доступный через интернет, чтобы затем передать инструменты из внешней сети в сеть жертвы.
Инструменты могут быть размещены в инфраструктуре, которую злоумышленники ранее приобрели или арендовали либо скомпрометировали.. Инструменты также могут быть размещены в веб-сервисах, например в подконтрольном злоумышленнику репозитории GitHub или в PaaS-среде, которая позволяет легко выделять ресурсы для приложений.
Чтобы не загружать инструмент в промежуточное местоположение, злоумышленники могут настроить скомпрометированные системы жертв на его прямую загрузку со стороннего хостинга (например, из репозитория GitHub, не контролируемого злоумышленником), в том числе с официального сайта.
Способы обнаружения
| ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если ранее были выявлены инфраструктура или шаблоны вредоносного инструментария, то интернет-сканирование может помочь выявить, когда злоумышленник подготовил этот инструментарий для атаки. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на этапах деятельности злоумышленников после компрометации, например передаче инструментов из внешней сети. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|