T1608: ІН'ЄКЦІЯ КОНТЕНТУ
Зловмисники отримують доступ до систем, впроваджуючи шкідливий контент безпосередньо в мережевий трафік. На відміну від Drive-by атак, де жертва сама заходить на шкідливий сайт, тут маніпуляція відбувається на рівні каналів передачі даних (наприклад, на рівні провайдера). Це дозволяє підміняти легітимні відповіді серверів на шкідливі або додавати експлуатити у незашифрований трафік.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть отримувати доступ та постійно взаємодіяти з жертвами, впроваджуючи шкідливий контент у системи через мережевий трафік. Замість того, щоб заманювати жертв до шкідливих об’єктів, розміщених на зламаному вебсайті (тобто Drive-by Target з подальшим Drive-by Compromise), зловмисники можуть спочатку отримати доступ до жертв через скомпрометовані канали передачі даних, де вони можуть маніпулювати трафіком та/або впроваджувати власний контент. Ці скомпрометовані онлайн-канали також можуть використовуватися для доставки додаткових модулів (Ingress Tool Transfer) та інших даних у вже зламані системи.
Зловмисники можуть впроваджувати контент у системи жертв різними способами, зокрема:
- З середини (From the middle): коли зловмисник знаходиться між легітимними онлайн-комунікаціями клієнт-сервер (Примітка: це схоже, але відрізняється від Adversary-in-the-Middle, що описує активність AiTM виключно в межах корпоративного середовища).
- Збоку (From the side): коли шкідливий контент впорскується і “змагається” з легітимною відповіддю сервера, намагаючись дійти до клієнта першим як фальшива відповідь на запит до справжнього онлайн-сервера.
Ін’єкція контенту часто є результатом компрометації вищестоящих (upstream) каналів зв’язку, наприклад, на рівні інтернет-провайдера (ISP), як це відбувається у випадку “законного перехоплення” (lawful interception).