Матрица MITRE ATT&CK

Техника на mitre.org

T1608.006: Отравление поисковой оптимизации (SEO)

Злоумышленники могут манипулировать механизмами поисковой оптимизации (SEO), чтобы привлечь больше потенциальных жертв в свои ловушки. Поисковые системы обычно показывают результаты на основе купленной рекламы, а также рейтинга, оценки и репутации сайтов, которые определяются их веб-сканерами и алгоритмами.

Для реализации теневой (drive-by) компрометации злоумышленники могут размещать в интернете содержимое, которое явно манипулирует рейтингом SEO, чтобы продвигать в поисковых системах сайты со своими полезными нагрузками (например, в рамках подготовки теневой (drive-by) среды). Отравление SEO-рейтинга может полагаться на различные уловки, такие как внедрение на скомпрометированные сайты ключевых слов, в том числе в виде скрытого текста. Ключевые слова могут быть связаны с интересами и привычками предполагаемых жертв или с популярными в данный момент темами, такими как выборы или трендовые новости.

Злоумышленники также могут покупать или иным образом размещать входящие ссылки на свои заготовленные ресурсы, чтобы повысить их релевантность и репутацию.

Отравление поисковой оптимизации может сопровождаться перенаправлениями и другими методами маскировки, такими как отслеживание движений мыши или адаптация содержимого в зависимости от браузера, языка, региональных настроек или заголовков HTTP пользователя. Так злоумышленники могут вмешиваться в поисковые выдачи, не привлекая внимания специалистов по безопасности.

Способы обнаружения

ID	DS0035	Источник и компонент данных	Скан интернета: Содержимое ответа	Описание	Если ранее были выявлены инфраструктура или шаблоны вредоносного веб-содержимого, связанного с отравлением поисковой оптимизации (SEO) или [подготовкой теневой (drive-by) среды] (https://attack.mitre.org/techniques/T1608/004), то с помощью интернет-сканирования можно выявить, когда злоумышленник подготовил это веб-содержимое для стратегической компрометации через интернет. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на других этапах деятельности злоумышленников, например теневой (drive-by) компрометации или эксплуатации уязвимостей в клиентском ПО.

ID	Источник и компонент данных	Описание
DS0035	Скан интернета: Содержимое ответа	Если ранее были выявлены инфраструктура или шаблоны вредоносного веб-содержимого, связанного с отравлением поисковой оптимизации (SEO) или [подготовкой теневой (drive-by) среды] (https://attack.mitre.org/techniques/T1608/004), то с помощью интернет-сканирования можно выявить, когда злоумышленник подготовил это веб-содержимое для стратегической компрометации через интернет. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на других этапах деятельности злоумышленников, например теневой (drive-by) компрометации или эксплуатации уязвимостей в клиентском ПО.

Меры противодействия

ID	M1056	Название	Предкомпрометация	Описание	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.