Техники: T1102 , T1102.001 , T1102.002 , T1102.003
Злоумышленники могут использовать существующий, легитимный внешний веб-сервис для размещения информации, указывающей на дополнительную инфраструктуру командования и управления (C2). Злоумышленники могут размещать содержимое, известное как dead drop resolver, на веб-службах со встроенными (и часто обфусцированными/закодированными) доменами или IP-адресами. После заражения жертвы будут обращаться к этим резолверам и перенаправляться на них.
Популярные веб-сайты и социальные сети, выступающие в качестве механизма C2, могут обеспечить значительное прикрытие из-за вероятности того, что узлы в сети уже общаются с ними до компрометации. Использование распространенных сервисов, таких как Google или Twitter, облегчает Злоумышленникам задачу скрыться в ожидаемом шуме. Поставщики веб-сервисов обычно используют шифрование SSL/TLS, что дает Злоумышленникам дополнительный уровень защиты.
Использование resolver'а "мертвой точки" может также защитить внутреннюю инфраструктуру C2 от обнаружения с помощью бинарного анализа вредоносных программ и одновременно обеспечить отказоустойчивость (поскольку эта инфраструктура может динамически изменяться).
https://attack.mitre.org/techniques/T1102/001
Визуализация смежных техник для T1102.001
| № | Техника |
|---|
