Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1102 , T1102.001 , T1102.002 , T1102.003
Злоумышленники могут использовать существующий, легитимный внешний веб-сервис в качестве средства для отправки команд на взломанную систему и получения результатов от нее по каналу веб-сервиса. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения командно-административных инструкций (C2). Затем зараженные системы могут отправлять выходные данные этих команд обратно по каналу веб-службы. Возврат трафика может происходить различными способами в зависимости от используемого веб-сервиса. Например, обратный трафик может быть таким: скомпрометированная система публикует комментарий на форуме, отправляет запрос на разработку проекта, обновляет документ, размещенный на веб-сервисе, или отправляет твит.
Популярные веб-сайты и социальные сети, выступающие в качестве механизма C2, могут обеспечить значительное прикрытие из-за вероятности того, что узлы в сети уже общаются с ними до компрометации. Использование распространенных сервисов, таких как Google или Twitter, облегчает Злоумышленникам задачу скрыться в ожидаемом шуме.Поставщики веб-сервисов обычно используют шифрование SSL/TLS, что дает Злоумышленникам дополнительный уровень защиты.
https://attack.mitre.org/techniques/T1102/002
Визуализация смежных техник для T1102.002
| № | Техника |
|---|
