Приобретение доступа

Злоумышленники могут приобрести или иным образом получить существующий доступ к целевой системе или сети. Существует множество онлайн-сервисов и сетей брокеров первоначального доступа, которые продают доступ к ранее скомпрометированным системам. В некоторых случаях группы злоумышленников могут формировать партнерства для совместного использования скомпрометированных систем. Точки опоры в скомпрометированных системах могут принимать различные формы, такие как доступ к установленным бэкдорам (например, Веб-оболочка) или установленный доступ через Внешние удаленные службы. В некоторых случаях брокеры доступа будут имплантировать скомпрометированные системы "загрузчиком", который может использоваться для установки дополнительного вредоносного ПО для платящих клиентов. Используя существующие сети брокеров доступа, а не разрабатывая или получая собственные возможности первоначального доступа, злоумышленник потенциально может сократить ресурсы, необходимые для получения точки опоры в целевой сети, и сосредоточить свои усилия на более поздних этапах компрометации. Злоумышленники могут отдавать приоритет получению доступа к системам, которые, как было определено, не имеют мониторинга безопасности или имеют высокие привилегии, или системам, принадлежащим организациям в определенном секторе. В некоторых случаях покупка доступа к организации в таких секторах, как ИТ-подряд, разработка программного обеспечения или телекоммуникации, может позволить злоумышленнику скомпрометировать дополнительных жертв через Доверенные отношения, Перехват многофакторной аутентификации или даже Компрометация цепочки поставок. **Примечание:** хотя эта техника отличается от других действий, таких как Покупка технических данных и Учетные данные, они часто могут использоваться вместе (особенно когда приобретенная точка опоры требует Действительных учетных записей).