Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1608.004 - Подготовка Drive-by цели

Техники:  T1608 , T1608.001 , T1608.002 , T1608.003 , T1608.004 , T1608.005 , T1608.006

Злоумышленники могут подготовить операционную среду для заражения систем, которые посещают веб-сайт при обычном просмотре. Конечные системы могут быть скомпрометированы при посещении сайтов, контролируемых злоумышленниками, как в Drive-by Compromise. В таких случаях для эксплуатации обычно используется веб-браузер пользователя (часто не требующий дополнительного взаимодействия с пользователем после перехода на сайт), но Злоумышленники также могут настраивать сайты на поведение, не связанное с эксплуатацией, например Application Access Token. Перед Drive-by Compromise злоумышленники должны организовать ресурсы, необходимые для доставки эксплойта пользователям, которые переходят на контролируемый злоумышленниками сайт. Drive-by-контент может быть размещен на контролируемой Злоумышленником инфраструктуре, которая была приобретена (Acquire Infrastructure) или ранее скомпрометирована (Compromise Infrastructure).

Злоумышленники могут загружать или внедрять на веб-сайты вредоносный веб-контент, например JavaScript.(Цит. по: FireEye CFR Watering Hole 2012)(Цит. по: Gallagher 2015) Это может быть сделано различными способами, включая:

* Вставка вредоносных скриптов на веб-страницы или в другой контролируемый пользователем веб-контент, например в сообщения на форуме
* Модификация файлов скриптов, передаваемых на веб-сайты из общедоступных облачных хранилищ
* Создание вредоносной веб-рекламы и покупка рекламных мест на веб-сайте через законных поставщиков рекламы (например,Malvertising)

Помимо создания контента для эксплуатации веб-браузера пользователя, злоумышленники могут также создавать скриптовый контент для профилирования браузера пользователя (как в Gather Victim Host Information), чтобы убедиться в его уязвимости перед попыткой эксплуатации.(Цитата: ATT ScanBox)

Веб-сайты, скомпрометированные Злоумышленником и используемые для организации drive-by, могут быть сайтами, посещаемыми определенным сообществом, например правительством, определенной отраслью или регионом, где целью является компрометация конкретного пользователя или группы пользователей на основе общих интересов. Такого рода целевая кампания называется стратегическим веб-компроматом или атакой "водопой".

Злоумышленники могут приобретать домены, похожие на легитимные (например, омоглифы, опечатки, другой домен верхнего уровня и т. д.), во время приобретения инфраструктуры (Домены), чтобы облегчить Drive-by Compromise.

https://attack.mitre.org/techniques/T1608/004

← Назад

Визуализация смежных техник для T1608.004

Отрасль:
 с подтехниками
Техника

Закрыть