T1608.004: Подготовка теневой (drive-by) среды

Злоумышленники могут настроить операционную среду на заражение систем, посещающих их веб-сайт, во время обычного просмотра страниц. Компрометация конечных систем может происходить при посещении сайтов, контролируемых злоумышленниками, как в случае теневой (drive-by) компрометации. В таких случаях целью атаки обычно является эксплуатация браузера пользователя (при этом часто не требуются дополнительные действия пользователя после перехода на сайт), однако злоумышленники также могут настроить веб-сайты на совершение действий, не связанных с эксплуатацией, — например, на получение токена доступа к приложению. Перед теневой (drive-by) компрометацией злоумышленники должны подготовить ресурсы для доставки эксплойта пользователям, посещающим их веб-сайт. Содержимое, необходимое для теневой компрометации, может быть установлено в контролируемой злоумышленником инфраструктуре, которая может быть приобретенной или ранее скомпрометированной.

Злоумышленники могут загружать или внедрять вредоносное веб-содержимое, например сценарии JavaScript, на веб-сайты, разными способами, в том числе такими, как:

  • внедрение вредоносных сценариев в веб-страницы или другой пользовательский контент, например в сообщения на форумах;
  • изменение файлов сценариев, загружаемых на веб-сайты из общедоступных облачных хранилищ;
  • создание вредоносной рекламы и покупка рекламного места на веб-сайте через легитимных рекламных поставщиков (техника Вредоносная реклама).

Помимо содержимого для эксплуатации веб-браузера пользователя, злоумышленники также могут разместить на веб-сайтах сценарии для профилирования пользовательских браузеров (как при сборе информации об атакуемых узлах), чтобы убедиться в их уязвимости перед попыткой эксплуатации.

Злоумышленники могут использовать для теневой компрометации веб-сайты определенных сообществ (например, посещаемые сотрудниками госслужб или представителями конкретной отрасли или региона), и целью в этом случае является компрометация конкретного пользователя или группы пользователей с общими интересами. Такие целенаправленные кампании называют стратегической компрометацией веб-ресурсов или атаками типа watering hole.

При подготовке инфраструктуры для теневой (drive-by) компрометации злоумышленники могут приобретать домены, похожие на легитимные (например, используя в адресах омоглифы, тайпсквоттинг или другие домены верхнего уровня).

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если ранее были выявлены инфраструктура или шаблоны вредоносного веб-содержимого, используемого для [теневой (drive-by) компрометации] (https://attack.mitre.org/techniques/T1189), то интернет-сканирование может помочь выявить, когда злоумышленник подготовил это веб-содержимое для стратегической компрометации через интернет. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на других этапах деятельности злоумышленников, например теневой (drive-by) компрометации или эксплуатации уязвимостей в клиентском ПО.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.