T1608.006: Отравление поисковой оптимизации (SEO)
Злоумышленники могут манипулировать механизмами поисковой оптимизации (SEO), чтобы привлечь больше потенциальных жертв в свои ловушки. Поисковые системы обычно показывают результаты на основе купленной рекламы, а также рейтинга, оценки и репутации сайтов, которые определяются их веб-сканерами и алгоритмами.
Для реализации теневой (drive-by) компрометации злоумышленники могут размещать в интернете содержимое, которое явно манипулирует рейтингом SEO, чтобы продвигать в поисковых системах сайты со своими полезными нагрузками (например, в рамках подготовки теневой (drive-by) среды). Отравление SEO-рейтинга может полагаться на различные уловки, такие как внедрение на скомпрометированные сайты ключевых слов, в том числе в виде скрытого текста. Ключевые слова могут быть связаны с интересами и привычками предполагаемых жертв или с популярными в данный момент темами, такими как выборы или трендовые новости.
Злоумышленники также могут покупать или иным образом размещать входящие ссылки на свои заготовленные ресурсы, чтобы повысить их релевантность и репутацию.
Отравление поисковой оптимизации может сопровождаться перенаправлениями и другими методами маскировки, такими как отслеживание движений мыши или адаптация содержимого в зависимости от браузера, языка, региональных настроек или заголовков HTTP пользователя. Так злоумышленники могут вмешиваться в поисковые выдачи, не привлекая внимания специалистов по безопасности.
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | If infrastructure or patterns in the malicious web content related to SEO poisoning or Drive-by Target have been previously identified, internet scanning may uncover when an adversary has staged web content supporting a strategic web compromise. Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on other phases of the adversary lifecycle, such as Drive-by Compromise or Exploitation for Client Execution. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
---|