Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1608 , T1608.001 , T1608.002 , T1608.003 , T1608.004 , T1608.005 , T1608.006
Злоумышленники могут загружать инструменты в инфраструктуру третьих лиц или контролируемую ими инфраструктуру, чтобы сделать ее доступной для целеуказания. Инструменты могут быть с открытым или закрытым исходным кодом, бесплатными или коммерческими. Инструменты могут быть использованы Злоумышленником в злонамеренных целях, но (в отличие от вредоносного ПО) не предназначались для этих целей (например, PsExec). Злоумышленники могут загружать инструменты для поддержки своих операций, например, предоставлять инструмент в сеть жертвы для осуществления Ingress Tool Transfer путем размещения его на веб-сервере с доступом в Интернет.
Инструменты могут быть размещены на инфраструктуре, которая ранее была куплена/арендована Злоумышленником (Acquire Infrastructure) или была скомпрометирована им иным образом (Compromise Infrastructure).(Цитата: Dell TG-3390) Инструменты также могут быть размещены на веб-сервисах, например на контролируемом Злоумышленником репозитории GitHub или на предложениях Platform-as-a-Service, которые позволяют пользователям легко создавать приложения.(Цитата: Dragos Heroku Watering Hole) (Цитата: Malwarebytes Heroku Skimmers) (Цитата: Intezer App Service Phishing)
Злоумышленники могут избежать необходимости загружать инструмент, заставив взломанные машины жертв загрузить инструмент непосредственно с хостинга третьей стороны (например, с репо GitHub, не контролируемого злоумышленниками), включая оригинальный сайт хостинга инструмента.
https://attack.mitre.org/techniques/T1608/002
Визуализация смежных техник для T1608.002
| № | Техника |
|---|
