T1592.002: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ
Зловмисники збирають дані про встановлене на хостах ПЗ: назви додатків, їхні версії, операційні системи та наявність засобів захисту (антивіруси, EDR, SIEM). Знаючи точну версію вашого поштового сервера або браузера, хакер може підібрати підходящий експлойт (CVE) та заздалегідь перевірити, чи зможе його шкідливий код обійти встановлений у вас антивірус.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про програмне забезпечення хоста жертви, яка може бути використана під час вибору цілі. Інформація про встановлене ПЗ може включати різноманітні деталі, такі як типи та версії на конкретних хостах, а також наявність додаткових компонентів, що можуть вказувати на додаткові засоби захисту (наприклад, антивіруси, SIEM тощо).
Зловмисники можуть збирати цю інформацію різними способами, такими як прямі дії зі збору через Активне сканування (наприклад, прослуховування портів, банери серверів, рядки User-Agent) або Фішинг для отримання інформації. Зловмисники також можуть компрометувати сайти, а потім додавати шкідливий контент, призначений для збору інформації про хост від відвідувачів.
Інформація про встановлене ПЗ також може бути розкрита через онлайн-ресурси або інші доступні набори даних (оголошення про вакансії, карти мереж, звіти, резюме або рахунки-фактури). Крім того, зловмисники можуть аналізувати метадані файлів, що належать жертві (наприклад, PDF, DOC, зображення та аудіофайли, розміщені на вебсайтах жертви), щоб витягти інформацію про ПЗ та залізо, використані для створення цих файлів. Метадані можуть розкрити версії ПЗ, конфігурації або часові мітки, що вказують на застаріле або вразливе ПЗ. Ця інформація може бути зіставлена з відомими вразливостями (CVE) для ідентифікації потенційних векторів експлуатації в майбутніх операціях.
Методи «тихої» розвідки програм:
- Аналіз метаданих: Кожен створений документ містить «цифровий слід». Поля Producer або Creator у PDF-файлі можуть видати не лише версію програми, а й операційну систему автора (OS: Windows 10 x64).
- Banner Grabbing: При підключенні до сервера (наприклад, через SSH або HTTP), він часто сам «вітається», називаючи свою версію: Server: Apache/2.4.41 (Ubuntu). Це пряма підказка, які експлойти шукати.
- Fingerprinting через браузер: JS-скрипти на компрометованих сайтах можуть опитати список встановлених плагінів браузера або шрифтів, що дозволяє унікально ідентифікувати робочу станцію.
- Технічні вакансії: “Шукаємо спеціаліста з адміністрування SAP версії 7.50”. Хакер отримує інформацію про критично важливу бізнес-систему без жодного сканування.
Чому це небезпечно?
- Точковий удар: Хакеру не потрібно пробувати 100 різних вірусів. Він підготує один, який гарантовано спрацює проти вашої версії антивірусу чи CRM.
- CVE Matching: Автоматизовані скрипти зловмисників миттєво порівнюють знайдені версії ПЗ з базами даних вразливостей (NIST NVD), знаходячи готові коди для зламу.
Як захиститися?
- Очищення метаданих: Використовуйте інструменти для автоматичного видалення метаданих з усіх документів перед їх публікацією на сайті (наприклад, вбудовані засоби Microsoft Office або спеціалізовані шлюзи).
- Відключення банерів: Налаштуйте веб-сервери так, щоб вони не видавали свою версію в HTTP-заголовках (Server Tokens Off).
- Обмеження інформації у вакансіях: Описуйте стек технологій загальними термінами, не вказуючи конкретні версії та дрібні деталі архітектури.
- Сканування власних ресурсів: Використовуйте інструменти розвідки (OSINT), щоб побачити свою компанію очима хакера та вчасно закрити витоки інформації.