Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1553 , T1553.001 , T1553.002 , T1553.003 , T1553.004 , T1553.005 , T1553.006
Злоумышленники могут установить корневой сертификат на взломанную систему, чтобы избежать предупреждений при подключении к контролируемым Злоумышленником веб-серверам. Корневые сертификаты используются в криптографии с открытым ключом для идентификации корневого центра сертификации (ЦС). Когда корневой сертификат установлен, система или приложение будет доверять сертификатам в цепочке доверия корневого центра, которые были подписаны корневым сертификатом.(Цитата: Wikipedia Root Certificate) Сертификаты обычно используются для установления безопасных TLS/SSL-коммуникаций в веб-браузере. Когда пользователь пытается просмотреть веб-сайт, на котором представлен сертификат, которому не доверяют, отображается сообщение об ошибке, предупреждающее пользователя о риске безопасности. В зависимости от настроек безопасности браузер может не позволить пользователю установить соединение с веб-сайтом.
Установка корневого сертификата на взломанную систему дает злоумышленникам возможность снизить уровень безопасности этой системы.Злоумышленники использовали эту технику, чтобы избежать предупреждений безопасности, выдаваемых пользователям, когда взломанные системы подключаются по HTTPS к контролируемым Злоумышленником веб-серверам, которые подделывают легитимные веб-сайты для сбора учетных данных.(Цитата: Operation Emmental)
Нетипичные корневые сертификаты также были предварительно установлены на системы производителем или в цепочке поставок программного обеспечения и использовались в сочетании с вредоносным/вредоносным ПО для обеспечения Adversary-in-the-Middle для перехвата информации, передаваемой по защищенным TLS/SSL-коммуникациям.(Цитата: Kaspersky Superfish)
Корневые сертификаты (и связанные с ними цепочки) также могут быть клонированы и переустановлены. Клонированные цепочки сертификатов будут содержать многие из тех же характеристик метаданных, что и исходные, и могут быть использованы для подписи вредоносного кода, который затем может обойти средства проверки подписи (например, Sysinternals, антивирусы и т. д.), используемые для блокирования выполнения и/или обнаружения артефактов Persistence.(Цитата: SpectorOps Code Signing Dec 2017)
В macOS вредоносная программа Ay MaMi использует команду /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /path/to/malicious/cert для установки вредоносного сертификата в качестве доверенного корневого сертификата в системную связку ключей.(Цитата: objective-see ay mami 2018)
https://attack.mitre.org/techniques/T1553/004
Визуализация смежных техник для T1553.004
| № | Техника |
|---|
