T1650: Приобретение доступа
Злоумышленники могут приобрести или иным образом получить доступ к целевой системе или сети. Продажей доступа к скомпрометированным системам занимаются различные онлайн-сервисы и сети брокеров первичного доступа. В некоторых случаях группы злоумышленников могут налаживать партнерский обмен доступом к скомпрометированным системам.
Доступ к скомпрометированным системам может предоставляться разными способами, в частности через бэкдоры (например, веб-шеллы) или внешние службы удаленного доступа. В некоторых случаях брокеры доступа внедряют в скомпрометированные системы дропперы, через которые можно установить дополнительное вредоносное ПО для покупателей.
Используя сети брокеров доступа вместо разработки или приобретения собственных средств для первоначального доступа, злоумышленники могут тратить меньше ресурсов на закрепление в целевой сети и сосредоточить свои усилия на более поздних этапах компрометации. Злоумышленники могут предпочесть доступ к системам, которые имеют недостаточный уровень мониторинга безопасности, обладают высокими привилегиями или принадлежат организациям в определенном секторе.
В некоторых случаях покупка доступа к таким организациям, как ИТ-подрядчики, разработчики ПО или телекоммуникационные компании, может позволить злоумышленнику скомпрометировать дополнительные жертвы путем эксплуатации доверительных отношений, перехвата многофакторной аутентификации или даже компрометации цепочки поставок.
Примечание. Хотя эта техника отличается от других, таких как покупка технических данных и сбор учетных данных, они часто используются вместе, особенно когда приобретенный доступ предоставляется через существующие учетные записи.
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
---|