Главная страница » MITRE ATT&CK
0
15 дней
MITRE ATT&CK

MITRE ATT&CK T1071.003 - Протокол прикладного уровня: Почтовые протоколы

MITRE ATT&CK

Злоумышленники все чаще используют для связи C2 такие протоколы электронной почты, как SMTP, IMAP и POP3. Эти протоколы, являющиеся неотъемлемой частью отправки и получения электронной почты, используются для передачи команд взломанным системам и незаметной утечки конфиденциальных данных. Для проведения своих операций злоумышленники часто используют почтовые вложения или захватывают легитимные учетные записи электронной почты, в том числе самостоятельно зарегистрированные или взломанные. Такая тактика позволяет им смешиваться с обычным почтовым трафиком, избегая обнаружения.

Протокол прикладного уровня: Почтовые протоколы

Например, вредоносная программа Snake, проанализированная в 2024 году, также известная как Snake Keylogger, использует эту технику, эксплуатируя протокол SMTP для утечки украденных данных и создания командно-контрольных (C2) коммуникаций. Вредоносная программа нацелена на почтовые клиенты, такие как Microsoft Outlook, и извлекает учетные данные для таких протоколов, как IMAP, POP3 и SMTP, из реестра Windows. Используя предварительно настроенные данные SMTP-сервера, включая жестко заданные имена хостов, порты и учетные данные, Snake отправляет украденную информацию, такую как нажатия клавиш, скриншоты и данные буфера обмена, в открытом или зашифрованном виде. Эта утечка может происходить двумя способами: встраивание данных непосредственно в тело письма или прикрепление их в виде файлов. Используя широко распространенные почтовые протоколы, Snake смешивает свою вредоносную активность с легитимным почтовым трафиком, что затрудняет ее обнаружение и анализ во взломанных системах.

Другой пример - троянец, обнаруженный исследователями безопасности в феврале 2024 года и получивший название Trojan.Win32.Injuke.mlrx. Эта вредоносная программа использует технику почтовых протоколов T1071.003 для командования и управления. Предназначенный для электронного шпионажа, троянец способен перехватывать ввод с клавиатуры, делать скриншоты и получать списки активных приложений. Похищенная информация передается злоумышленникам по нескольким каналам, включая электронную почту, что демонстрирует использование почтовых протоколов для обхода обнаружения.

Комментарии: 0
Похожие записи
0
14 дней
MITRE ATT&CK

MITRE ATT&CK T1071.005 - Протокол прикладного уровня: Протоколы публикации/подписки

MITRE ATT&CK
Злоумышленники используют протоколы публикации/подписки, такие как MQTT, XMPP и AMQP, для создания скрытых каналов связи со взломанными системами. Встраивая вредоносные команды или данные в легитимный
0
15 дней
MITRE ATT&CK

MITRE ATT&CK T1071.002 - Протокол прикладного уровня: Протоколы передачи файлов

MITRE ATT&CK
Злоумышленники используют протоколы передачи файлов, такие как SMB, FTP, FTPS и TFTP, для вредоносной деятельности, смешивая их сообщения с обычным сетевым трафиком, что затрудняет обнаружение.
0
15 дней
MITRE ATT&CK

MITRE ATT&CK T1071.001 - Протокол прикладного уровня: Веб-протоколы

MITRE ATT&CK
Злоумышленники используют протоколы HTTP, HTTPS и WebSocket для операций командования и управления (C2) благодаря их широкому распространению и способности органично сочетаться с легитимным веб-трафиком.