Техники: T1588 , T1588.001 , T1588.002 , T1588.003 , T1588.004 , T1588.005 , T1588.006 , T1588.007
Злоумышленники могут покупать и/или красть сертификаты SSL/TLS, которые могут быть использованы при атаке. Сертификаты SSL/TLS предназначены для внушения доверия. Они содержат информацию о ключе, информацию о личности владельца и цифровую подпись организации, которая проверила правильность содержимого сертификата. Если подпись действительна, а человек, проверяющий сертификат, доверяет подписавшему его лицу, то он знает, что может использовать этот ключ для связи с его владельцем.
Злоумышленники могут приобрести или украсть сертификаты SSL/TLS для осуществления своих операций, например для шифрования трафика C2 (например, Асимметричная криптография с Веб-протоколами) или даже для включения Adversary-in-the-Middle, если сертификату доверяют или иным образом добавляют его в корень доверия (например, Установить корневой сертификат). Покупка цифровых сертификатов может осуществляться с помощью подставной организации или с использованием информации, украденной у ранее скомпрометированной организации, что позволяет злоумышленнику подтвердить поставщику сертификатов свою принадлежность к этой организации. Злоумышленники также могут украсть материалы сертификата непосредственно у скомпрометированной третьей стороны, в том числе у центров сертификации.(Цит. по: DiginotarCompromise) Злоумышленники могут зарегистрировать или захватить домены, для которых они впоследствии приобретут сертификат SSL/TLS.
Существуют центры сертификации, которые позволяют злоумышленникам приобретать сертификаты SSL/TLS, например сертификаты проверки доменов, бесплатно.(Цитата: Let's Encrypt FAQ)
После получения цифрового сертификата злоумышленник может установить этот сертификат (см. Установить цифровой сертификат) на инфраструктуру, находящуюся под его контролем.
https://attack.mitre.org/techniques/T1588/004
Визуализация смежных техник для T1588.004
| № | Техника |
|---|
