PT Application Firewall

Межсетевой экран уровня веб-приложений

T1659: Внедрение контента

Злоумышленники могут получить доступ к системам и постоянно поддерживать связь с жертвами, внедряя вредоносный контент через сетевой трафик. Атакующие могут получить первоначальный доступ к жертвам не через вредоносные программы на скомпрометированных веб-сайтах (что требует подготовки теневой (drive-by) среды, за которой следует теневая (drive-by) компрометация), а через скомпрометированные каналы передачи данных, где они могут манипулировать трафиком и (или) внедрять свой контент. Скомпрометированные сетевые каналы также могут использоваться для доставки дополнительных полезных нагрузок (см. технику Передача инструментов из внешней сети) и других данных в скомпрометированные системы.

Злоумышленники могут внедрять контент в целевые системы различными способами, в том числе:

  • "Из середины" — злоумышленник вклинивается в легитимные онлайн-коммуникации клиента и сервера. (Примечание. Это похоже на технику "Злоумышленник посередине", однако последняя ограничивается исключительно корпоративной средой.)
  • "Со стороны", при этом вредоносный контент передается клиенту в качестве подставных ответов на запросы к легитимному онлайн-серверу.

Внедрение контента часто полагается на компрометацию вышележащих каналов связи: например, на уровне интернет-провайдера (ISP) это могут быть средства легального перехвата коммуникаций по запросу правоохранительных органов.

Какие продукты Positive Technologies покрывают технику

Как детектировать

PT AF способен обнаруживать факт компрометации каналов передачи данных и вредоносный контент, внедряемый с их помощью, если указанные каналы существуют поверх HTTP с ориентацией на веб-приложения.

Примеры правил обнаружения

  • css_injection
  • response_splitting
  • open_redirect

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте активность на конечных устройствах, которая может указывать на компрометацию системы, например нетипичную активность браузера. Сюда же относится запись подозрительных файлов на диск, признаки внедрения кода в процессы для скрытия его выполнения или следы изучения среды.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте нетипичные и аномальные попытки создания файлов, которые могут свидетельствовать о внедрении вредоносного содержимого через сетевой трафик.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте необычный сетевой трафик, который может указывать на передачу в систему вредоносного содержимого. Используйте системы обнаружения сетевых вторжений, возможно, с проверкой SSL/TLS, для поиска известных полезных нагрузок, обфусцированного содержимого и кода эксплойтов.

Меры противодействия

IDM1021НазваниеОграничения для веб-контентаОписание

По возможности блокируйте загрузку, передачу и выполнение файлов необычных типов, о которых известно, что они используются в кампаниях злоумышленников.

IDM1041НазваниеШифрование важной информацииОписание

По возможности обеспечьте надлежащее шифрование интернет-трафика с помощью таких сервисов, как надежные VPN.