T1590.003: МЕРЕЖЕВІ ДОВІРЧІ ВІДНОСИНИ
Зловмисники збирають дані про сторонні організації, які мають довірений доступ до мережі жертви. Це можуть бути постачальники керованих послуг (MSP), розробники ПЗ, аудитори або хмарні провайдери. Оскільки прямий захист великої компанії зазвичай важко зламати, хакери шукають слабшу ланку серед партнерів, які вже мають налаштовані VPN-канали або привілейовані облікові записи у вашій системі.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про мережеві довірчі відносини жертви, яка може бути використана під час вибору цілі. Інформація про мережеву довіру може включати різноманітні деталі, зокрема дані про організації або домени другої чи третьої сторони (наприклад, постачальники керованих послуг (MSP), підрядники тощо), які мають підключений (і, можливо, привілейований) мережевий доступ.
Зловмисники можуть збирати цю інформацію різними способами, такими як пряме виманювання через Фішинг для отримання інформації. Інформація про мережеву довіру також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, пошук у відкритих технічних базах даних).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, Активне сканування або пошук на відкритих веб-сайтах/доменах), створення оперативних ресурсів (придбання або компрометація інфраструктури) та/або початкового доступу через Довірені відносини (Trusted Relationship).
Як працює атака через «довіру»?
- Постачальники послуг (MSP): Багато компаній віддають ІТ-підтримку на аутсорс. Хакери зламують одного такого провайдера і отримують доступ до мереж усіх його клієнтів одночасно.
- Об’єднані домени (Federated Domains): Якщо ваша компанія довіряє акаунтам іншої компанії (наприклад, через Azure AD B2B), злом партнера дозволяє хакеру зайти до вас з «легітимним» логіном партнера.
- Записи SPF/DKIM: Якщо ви додали домен підрядника у свій SPF-запис, пошта від нього вважається «своєю». Хакер використовує це для ідеального фішингу.
- Спільні ресурси в хмарі: Доступ до спільних S3-бакетів або сховищ Azure, де працюють і ваші співробітники, і зовнішні консультанти.
Чому це небезпечно?
- Обхід периметра: Трафік від довіреного партнера часто не перевіряється фаєрволами так суворо, як звичайний інтернет-трафік.
- Привілеї: Адміністратори підрядників часто мають права Domain Admin або Global Admin для виконання робіт, що робить їхній злом катастрофічним.
- Складність виявлення: Дії хакера виглядають як звичайна робота техпідтримки.
Як захиститися?
- Принцип найменших привілеїв: Надавайте партнерам доступ тільки до тих ресурсів, які їм потрібні, і лише на час виконання робіт.
- MFA для всіх: Вимагайте багатофакторну автентифікацію навіть для довірених партнерів та VPN-підключень підрядників.
- Моніторинг стороннього доступу: Налаштуйте сповіщення про кожне підключення з мереж ваших MSP або партнерів.
- Ізоляція мереж: Використовуйте Jump-сервери (шлюзи) для підрядників, щоб вони не могли вільно переміщатися вашою внутрішньою мережею.