Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1102 , T1102.001 , T1102.002 , T1102.003
Злоумышленники могут использовать существующий, легитимный внешний веб-сервис в качестве средства передачи данных в/из взломанной системы. Популярные веб-сайты, облачные сервисы и социальные сети, выступающие в качестве механизма C2, могут обеспечить значительное прикрытие из-за вероятности того, что узлы в сети уже общаются с ними до компрометации. Использование распространенных сервисов, таких как предлагаемые Google, Microsoft или Twitter, облегчает злоумышленникам задачу скрыться в ожидаемом шуме.(Цит. по: Broadcom BirdyClient Microsoft Graph API 2024) Поставщики веб-сервисов обычно используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.
Использование веб-служб также может защитить внутреннюю инфраструктуру C2 от обнаружения с помощью бинарного анализа вредоносного ПО, а также обеспечить оперативную устойчивость (поскольку эта инфраструктура может динамически изменяться).
https://attack.mitre.org/techniques/T1102
Визуализация смежных техник для T1102
| № | Техника |
|---|
