T1608.003: Установка цифрового сертификата
Злоумышленники могут установить сертификаты SSL/TLS, чтобы использовать их для атак. Сертификаты SSL/TLS — это файлы, устанавливаемые на серверах для обеспечения безопасной связи между системами. Цифровой сертификат содержит информацию о ключе, данные о владельце и цифровую подпись органа, подтвердившего подлинность содержимого сертификата. Если подпись действительна и проверяющее сертификат лицо доверяет подписавшему, оно может использовать встроенный в сертификат ключ для установления безопасной связи с его владельцем. После загрузки сертификатов на сервер его можно настроить на использование их для организации зашифрованной связи.
Злоумышленники могут установить сертификаты SSL/TLS для шифрования трафика между командным сервером и другими системами (например, асимметричного шифрования веб-протоколов) или для повышения доверия к поддельному сайту, собирающему учетные данные. Цифровые сертификаты можно установить на различные типы серверов, включая веб-серверы и серверы электронной почты.
Злоумышленники могут получить готовые цифровые сертификаты или создать свои самоподписанные сертификаты. Цифровые сертификаты могут быть установлены в контролируемой злоумышленником инфраструктуре, которая может быть приобретенной или ранее скомпрометированной.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | По возможности применяйте службы, которые могут помочь в отслеживании сертификатов, используемых на сайтах в интернете. В некоторых случаях можно использовать известную информацию о сертификатах для выявления других объектов инфраструктуры злоумышленника. Усилия по обнаружению имеет смысл сосредоточить на сопутствующих действиях, таких как использование веб-протоколов или [асимметричного шифрования]](https://attack.mitre.org/techniques/T1573/002). |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|