T1659: Внедрение контента
Злоумышленники могут получить доступ к системам и постоянно поддерживать связь с жертвами, внедряя вредоносный контент через сетевой трафик. Атакующие могут получить первоначальный доступ к жертвам не через вредоносные программы на скомпрометированных веб-сайтах (что требует подготовки теневой (drive-by) среды, за которой следует теневая (drive-by) компрометация), а через скомпрометированные каналы передачи данных, где они могут манипулировать трафиком и (или) внедрять свой контент. Скомпрометированные сетевые каналы также могут использоваться для доставки дополнительных полезных нагрузок (см. технику Передача инструментов из внешней сети) и других данных в скомпрометированные системы.
Злоумышленники могут внедрять контент в целевые системы различными способами, в том числе:
- "Из середины" — злоумышленник вклинивается в легитимные онлайн-коммуникации клиента и сервера. (Примечание. Это похоже на технику "Злоумышленник посередине", однако последняя ограничивается исключительно корпоративной средой.)
- "Со стороны", при этом вредоносный контент передается клиенту в качестве подставных ответов на запросы к легитимному онлайн-серверу.
Внедрение контента часто полагается на компрометацию вышележащих каналов связи: например, на уровне интернет-провайдера (ISP) это могут быть средства легального перехвата коммуникаций по запросу правоохранительных органов.
Какие продукты Positive Technologies покрывают технику
Как детектировать
PT AF способен обнаруживать факт компрометации каналов передачи данных и вредоносный контент, внедряемый с их помощью, если указанные каналы существуют поверх HTTP с ориентацией на веб-приложения.
Примеры правил обнаружения
- css_injection
- response_splitting
- open_redirect
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте активность на конечных устройствах, которая может указывать на компрометацию системы, например нетипичную активность браузера. Сюда же относится запись подозрительных файлов на диск, признаки внедрения кода в процессы для скрытия его выполнения или следы изучения среды. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте нетипичные и аномальные попытки создания файлов, которые могут свидетельствовать о внедрении вредоносного содержимого через сетевой трафик. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте необычный сетевой трафик, который может указывать на передачу в систему вредоносного содержимого. Используйте системы обнаружения сетевых вторжений, возможно, с проверкой SSL/TLS, для поиска известных полезных нагрузок, обфусцированного содержимого и кода эксплойтов. |
---|
Меры противодействия
ID | M1021 | Название | Ограничения для веб-контента | Описание | По возможности блокируйте загрузку, передачу и выполнение файлов необычных типов, о которых известно, что они используются в кампаниях злоумышленников. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | По возможности обеспечьте надлежащее шифрование интернет-трафика с помощью таких сервисов, как надежные VPN. |
---|