Техники: T1583 , T1583.001 , T1583.002 , T1583.003 , T1583.004 , T1583.005 , T1583.006 , T1583.007 , T1583.008
Злоумышленники могут устанавливать собственные серверы системы доменных имен (DNS), которые могут использоваться при атаке. Во время действий после компрометации Злоумышленники могут использовать DNS-трафик для выполнения различных задач, в том числе для командования и управления (например, протокол прикладного уровня). Вместо того чтобы перехватывать существующие DNS-серверы, злоумышленники могут выбрать конфигурацию и запуск собственных DNS-серверов для поддержки операций.
Запуская собственные DNS-серверы, Злоумышленники могут получить больше контроля над тем, как они управляют трафиком DNS C2 на стороне сервера (DNS).Имея контроль над DNS-сервером, Злоумышленники могут настраивать DNS-приложения для предоставления условных ответов вредоносному ПО и в целом более гибко подходить к структуре канала C2 на базе DNS.(Цит. по: Unit42 DNS Mar 2019)
https://attack.mitre.org/techniques/T1583/002
Визуализация смежных техник для T1583.002
| № | Техника |
|---|
