Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1102 , T1102.001 , T1102.002 , T1102.003
Злоумышленники могут использовать существующий, легитимный внешний веб-сервис в качестве средства для отправки команд взломанной системе без получения обратного вывода по каналу веб-сервиса. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения команд и управления (C2). Зараженные системы могут отправить выходные данные этих команд обратно по другому каналу C2, в том числе в другой отдельный веб-сервис. Кроме того, взломанные системы могут вообще не возвращать никаких результатов в тех случаях, когда Злоумышленник хочет отправить системе инструкции и не хочет получать ответ.
Популярные веб-сайты и социальные сети, выступающие в качестве механизма C2, могут обеспечить значительное прикрытие из-за вероятности того, что узлы в сети уже общаются с ними до компрометации. Использование распространенных сервисов, таких как Google или Twitter, облегчает Злоумышленникам задачу скрыться в ожидаемом шуме.Поставщики веб-сервисов обычно используют шифрование SSL/TLS, что дает Злоумышленникам дополнительный уровень защиты.
https://attack.mitre.org/techniques/T1102/003
Визуализация смежных техник для T1102.003
| № | Техника |
|---|
