Техники: T1583 , T1583.001 , T1583.002 , T1583.003 , T1583.004 , T1583.005 , T1583.006 , T1583.007 , T1583.008
Злоумышленники могут приобретать домены, которые могут быть использованы для целеуказания. Доменные имена - это человекочитаемые имена, используемые для обозначения одного или нескольких IP-адресов. Их можно купить или, в некоторых случаях, получить бесплатно.
Злоумышленники могут использовать приобретенные домены для различных целей, в том числе для фишинга, компрометации с помощью привода и командования и управления. (Цитата: CISA MSS Sep 2020) Злоумышленники могут выбирать домены, похожие на легитимные, в том числе с помощью омоглифов или использования другого домена верхнего уровня (TLD).(Цитата: FireEye APT28)(Цитата: PaypalScam) Типосквоттинг может использоваться для доставки полезной нагрузки с помощью Drive-by Compromise. Злоумышленники также могут использовать интернационализированные доменные имена (IDN) и различные наборы символов (например, кириллицу, греческий и т. д.) для проведения «атак IDN-омографов», создавая визуально похожие домены, используемые для доставки вредоносного ПО на машины жертв.(Цитата: CISA IDN ST05-016)(Цитата: tt_httrack_fake_domains)(Цитата: tt_obliqueRAT)(Цитата: httrack_unhcr)(Цитата: lazgroup_idn_phishing)
Различные URI/URL также могут динамически генерироваться для уникальной передачи вредоносного контента жертвам (включая одноразовые доменные имена).(Цитата: iOS URL Scheme)(Цитата: URI)(Цитата: URI Use)(Цитата: URI Unique)
Злоумышленники также могут приобретать и использовать домены с истекшим сроком действия, которые потенциально уже могут быть внесены в список разрешенных/доверенных защитниками на основе существующей репутации/истории.(Цитата: Категоризация_не_граница)(Цитата: Domain_Steal_CC)(Цитата: Redirectors_Domain_Fronting)(Цитата: bypass_webproxy_filtering)
Регистраторы доменов содержат общедоступную базу данных, в которой отображается контактная информация о каждом зарегистрированном домене. Частные WHOIS-сервисы отображают альтернативную информацию, например данные своей компании, а не владельца домена. Недоброжелатели могут использовать такие частные WHOIS-сервисы для сокрытия информации о том, кто является владельцем купленного домена. Злоумышленники могут еще больше помешать отслеживанию своей инфраструктуры, используя различную регистрационную информацию и приобретая домены у разных регистраторов доменов.(Цит. по: Mandiant APT1)
Помимо законной покупки домена, злоумышленник может зарегистрировать новый домен в скомпрометированной среде. Например, в среде AWS злоумышленники могут использовать доменную службу Route53 для регистрации домена и создания размещенных зон, указывающих на ресурсы по выбору угрожающего субъекта.(Цит. по: Invictus IR DangerDev 2024)
https://attack.mitre.org/techniques/T1583/001
Визуализация смежных техник для T1583.001
| № | Техника |
|---|
