T1597.001: ПОСТАЧАЛЬНИКИ ДАНИХ ПРО ЗАГРОЗИ
Зловмисники здійснюють пошук у приватних базах даних та платних фідах компаній, що спеціалізуються на кіберрозвідці (Threat Intelligence). Отримані дані дозволяють агресору зрозуміти, які з його інструментів уже викриті, які галузі зараз перебувають під цілом та які методи захисту використовують потенційні жертви. Це допомагає зловмисникам коригувати свої кампанії для обходу сучасних систем виявлення.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть шукати приватні дані від постачальників розвідданих про загрози для отримання інформації, яка може бути використана під час вибору цілей. Постачальники Threat Intel можуть пропонувати платні фіди або портали, що містять більше даних, ніж публічні звіти. Хоча конфіденційні деталі (такі як імена клієнтів та інші ідентифікатори) можуть бути відредаговані, ця інформація може містити тренди щодо зламів, зокрема цільові галузі, заяви про атрибуцію (причетність) та успішні тактики, техніки та процедури (TTPs) або заходи протидії.
Зловмисники можуть здійснювати пошук у приватних даних постачальників Threat Intel для збору дієвої інформації. Якщо суб’єкт загрози шукає інформацію про власну діяльність, це класифікується як Пошук даних у постачальників інформації про загрози (Search Threat Vendor Data). Інформація, що надається постачальниками, також може виявити можливості для інших форм розвідки (наприклад, пошук відкритих вебсайтів/доменів), розгортання оперативних ресурсів (наприклад, розробка або отримання можливостей) та/або початкового доступу (наприклад, експлуатація публічних застосунків або зовнішні сервіси віддаленого доступу).
Чому цей вид розвідки критичний для Red Teaming?
- Операційна безпека (OPSEC): Професійні угруповання використовують платні підписки (наприклад, VirusTotal Enterprise або спеціалізовані TI-платформи), щоб перевірити, чи не «світиться» їхній унікальний софт у базах антивірусних вендорів.
- Аналіз контрзаходів: Вивчаючи закриті звіти про успішні відбиття атак у вашій галузі, хакер може заздалегідь підготувати методи обходу конкретних EDR/SIEM систем, які зараз популярні на ринку.
- Виявлення «сліпих зон»: Закриті джерела часто містять інформацію про вразливості 0-day або специфічні конфігурації мереж, які ще не стали публічним надбанням, але вже обговорюються у вузьких колах дослідників.
Сценарії використання:
- «Перевірка підписів»: Перед початком фішингової кампанії зловмисник завантажує свій модифікований файл на закриті сервіси аналізу, щоб переконатися, що жоден TI-вендор ще не створив для нього детект.
- «Галузевий шпіонаж»: Хакер купує доступ до фіду, що спеціалізується на фінансовому секторі, щоб побачити, які саме банки в конкретному регіоні зараз мають проблеми з безпекою API, про що не пишуть у новинах.
- «Моніторинг власної репутації»: Велика хакерська група шукає згадки про свої унікальні сервери в приватних чатах TI-аналітиків, щоб вчасно «спалити» інфраструктуру та переїхати на нові IP-адреси до того, як їх заблокують.
Як захиститися?
- Обмеження поширення детальних звітів: Публікуйте лише високорівневі дані про атаки. Детальні індикатори компрометації (IoCs) та специфічні налаштування захисту варто передавати лише через захищені канали всередині спільноти (наприклад, через TLP:RED/AMBER протоколи).
- Контроль витоків (Data Leakage Prevention): Моніторьте, чи не потрапляють технічні деталі вашої внутрішньої інфраструктури (назви серверів, версії ПЗ) у звіти сторонніх аналітичних компаній.
- Deception Technology: Використовуйте приманки (honeypots). Якщо ви помітили, що хтось шукає інформацію про ваші специфічні (насправді фейкові) вразливості в закритих джерелах — це ранній сигнал про підготовку атаки.