T1608.003: Установка цифрового сертификата

Злоумышленники могут установить сертификаты SSL/TLS, чтобы использовать их для атак. Сертификаты SSL/TLS — это файлы, устанавливаемые на серверах для обеспечения безопасной связи между системами. Цифровой сертификат содержит информацию о ключе, данные о владельце и цифровую подпись органа, подтвердившего подлинность содержимого сертификата. Если подпись действительна и проверяющее сертификат лицо доверяет подписавшему, оно может использовать встроенный в сертификат ключ для установления безопасной связи с его владельцем. После загрузки сертификатов на сервер его можно настроить на использование их для организации зашифрованной связи.

Злоумышленники могут установить сертификаты SSL/TLS для шифрования трафика между командным сервером и другими системами (например, асимметричного шифрования веб-протоколов) или для повышения доверия к поддельному сайту, собирающему учетные данные. Цифровые сертификаты можно установить на различные типы серверов, включая веб-серверы и серверы электронной почты.

Злоумышленники могут получить готовые цифровые сертификаты или создать свои самоподписанные сертификаты. Цифровые сертификаты могут быть установлены в контролируемой злоумышленником инфраструктуре, которая может быть приобретенной или ранее скомпрометированной.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов или [асимметричного шифрования]](https://attack.mitre.org/techniques/T1573/002).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.