Техники: T1189
Злоумышленники могут получить доступ к системе через посещение пользователем веб-сайта в ходе обычного просмотра. При использовании этой техники веб-браузер пользователя обычно нацелен на эксплуатацию, но злоумышленники могут также использовать скомпрометированные веб-сайты для действий, не связанных с эксплуатацией, например для получения Application Access Token.
Существует несколько способов доставки кода эксплойта в браузер (т. е. Drive-by Target), в том числе:
* Взлом легитимного веб-сайта, на который злоумышленники внедрили вредоносный код в той или иной форме, например JavaScript, iFrames и межсайтовый скриптинг
* Файлы сценариев, передаваемые на легитимный веб-сайт из общедоступного облачного хранилища, изменяются злоумышленниками
* Вредоносная реклама оплачивается и передается через легитимных поставщиков рекламы (т. е. Malvertising)
* Встроенные интерфейсы веб-приложений используются для вставки любых других объектов, которые могут быть использованы для отображения веб-контента или содержать сценарий, выполняемый на посещаемом клиенте (например, сообщения форума, комментарии и другой веб-контент, управляемый пользователем).
Часто Злоумышленник использует веб-сайт, посещаемый определенным сообществом, например правительством, конкретной отраслью или регионом, где целью является компрометация конкретного пользователя или группы пользователей на основе общих интересов. Такую целевую кампанию часто называют стратегическим веб-компроматом или атакой "водяной ямы".Известно несколько подобных примеров.(Цит. по: Shadowserver Strategic Web Compromise)
Типичный процесс компрометации drive-by:
1. Пользователь посещает веб-сайт, на котором размещен контролируемый Злоумышленником контент.
2. Автоматически выполняются скрипты, обычно выполняющие поиск версий браузера и плагинов на предмет потенциально уязвимой версии.
* От пользователя может потребоваться помощь в этом процессе путем включения скриптов или активных компонентов веб-сайта и игнорирования предупреждающих диалоговых окон.
3. После обнаружения уязвимой версии в браузер доставляется код эксплойта.
4. В случае успешной эксплуатации злоумышленник получает возможность выполнения кода на системе пользователя, если нет других средств защиты.
* В некоторых случаях требуется повторное посещение сайта после первоначального сканирования, прежде чем код эксплойта будет доставлен.
В отличие от Exploit Public-Facing Application, эта техника направлена на использование программного обеспечения на конечной точке клиента при посещении веб-сайта. Это обычно дает Злоумышленнику доступ к системам во внутренней сети, а не к внешним системам, которые могут находиться в DMZ.
Злоумышленники также могут использовать взломанные веб-сайты для доставки пользователя к вредоносному приложению, предназначенному для кражи Application Access Token, например токенов OAuth, для получения доступа к защищенным приложениям и информации.Такие вредоносные приложения доставляются через всплывающие окна на легитимных веб-сайтах.(Цит. по: Volexity OceanLotus Nov 2017)
https://attack.mitre.org/techniques/T1189
Визуализация смежных техник для T1189
| № | Техника |
|---|
