V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1105Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Передача инструмента входящего трафика

Злоумышленники могут передавать инструменты или другие файлы из внешней системы в скомпрометированную среду. Инструменты или файлы могут быть скопированы из внешней контролируемой злоумышленником системы в сеть жертвы через канал управления и контроля или через альтернативные протоколы, такие как ftp. После появления злоумышленники также могут передавать/распространять инструменты между устройствами жертвы в скомпрометированной среде (т.е. Горизонтальная передача инструментов). В Windows злоумышленники могут использовать различные утилиты для загрузки инструментов, такие как `copy`, `finger`, certutil и команды PowerShell, такие как IEX(New-Object Net.WebClient).downloadString() и Invoke-WebRequest. В системах Linux и macOS также существует множество утилит, таких как `curl`, `scp`, `sftp`, `tftp`, `rsync`, `finger` и `wget`. Ряд этих инструментов, таких как `wget`, `curl` и `scp`, также существуют на ESXi. После загрузки файла злоумышленник может попытаться проверить его целостность, проверив его хеш-значение (например, через `certutil -hashfile`). Злоумышленники также могут злоупотреблять установщиками и менеджерами пакетов, такими как `yum` или `winget`, для загрузки инструментов на хосты жертв. Злоумышленники также злоупотребляли функциями файловых приложений, такими как обработчик протокола Windows `search-ms`, для доставки вредоносных файлов жертвам через поиск удаленных файлов, вызванный Выполнением пользователем (обычно после взаимодействия с приманками Фишинга). Файлы также могут быть переданы с использованием различных Веб-сервисов, а также собственных или иным образом присутствующих инструментов в системе жертвы. В некоторых случаях злоумышленники могут использовать сервисы, которые синхронизируются между веб-клиентом и локальным клиентом, такие как Dropbox или OneDrive, для передачи файлов в системы жертв. Например, скомпрометировав облачную учетную запись и войдя на веб-портал сервиса, злоумышленник может инициировать автоматический процесс синхронизации, который передает файл на машину жертвы.

Тактики

Организация управления

Платформы

ESXiLinuxmacOSNetwork DevicesWindows

Меры защиты

M1031
Предотвращение вторжений в сети
M1037
Фильтрация сетевого трафика
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.