Техники: T1584 , T1584.001 , T1584.002 , T1584.003 , T1584.004 , T1584.005 , T1584.006 , T1584.007 , T1584.008
Злоумышленники могут скомпрометировать DNS-серверы третьих сторон, которые могут быть использованы для целеуказания. Во время действий после компрометации Злоумышленники могут использовать DNS-трафик для различных задач, в том числе для командования и управления (например, Application Layer Protocol). Вместо того чтобы устанавливать собственные DNS-серверы, Злоумышленники могут компрометировать DNS-серверы сторонних производителей для поддержки операций.
Компрометируя DNS-серверы, Злоумышленники могут изменять записи DNS. Такой контроль позволяет перенаправлять трафик организации, облегчая Злоумышленнику сбор информации и доступ к учетным данным.(Цит. по: Talos DNSpionage Nov 2018)(Цит. по: FireEye DNS Hijack 2019) Кроме того, Злоумышленники могут использовать такой контроль в сочетании с Цифровыми сертификатами для перенаправления трафика на контролируемую Злоумышленником инфраструктуру, имитируя обычные доверенные сетевые коммуникации.(Цитата: FireEye DNS Hijack 2019)(Цитата: Crowdstrike DNS Hijack 2019) Злоумышленники также могут бесшумно создавать поддомены, указывающие на вредоносные серверы, не сообщая об этом реальному владельцу DNS-сервера.(Цитата: CiscoAngler)(Цитата: Proofpoint Domain Shadowing)
https://attack.mitre.org/techniques/T1584/002
Визуализация смежных техник для T1584.002
| № | Техника |
|---|
