Adversaries may purchase or otherwise acquire an existing access to a target system or network. A variety of online services and initial access broker networks are available to sell access to previously compromised systems.[1][2][3] In some cases, adversary groups may form partnerships to share compromised systems with each other.[4]
攻撃者は、目標となるシステムやネットワークへの既存のアクセスを購入するか、それ以外の方法で取得することがあります。さまざまなオンラインサービスや初期アクセス仲介ネットワークが利用可能で、これにより以前に侵害したシステムへのアクセス権を販売することができます。場合によっては、攻撃者のグループが協力し合い、侵害されたシステムを互いに共有することがあります。
Footholds to compromised systems may take a variety of forms, such as access to planted backdoors (e.g., Web Shell) or established access via External Remote Services. In some cases, access brokers will implant compromised systems with a "load" that can be used to install additional malware for paying customers.[1]
侵害されたシステムへの足がかりは、植え付けられたバックドア(例:Webシェル)へのアクセスや、外部リモートサービスを通じて確立されたアクセスなど、さまざまな形を取ることがあります。場合によっては、アクセス仲介者が侵害されたシステムに「load」を埋め込み、これを利用して有料の顧客のために追加のマルウェアをインストールすることがあります。
By leveraging existing access broker networks rather than developing or obtaining their own initial access capabilities, an adversary can potentially reduce the resources required to gain a foothold on a target network and focus their efforts on later stages of compromise. Adversaries may prioritize acquiring access to systems that have been determined to lack security monitoring or that have high privileges, or systems that belong to organizations in a particular sector.[1][2]
攻撃者は、自らが初期アクセス能力を開発や取得するより、既存のアクセス仲介ネットワークを利用することで、目標とするネットワークに足場を築くためのリソースを抑え、侵害の後段階へと集中することができる。セキュリティの監視が不足とされるシステムや、権限が高いシステム、また特定の業界に所属する組織のシステムに対してのアクセスを優先することが考えられる。
In some cases, purchasing access to an organization in sectors such as IT contracting, software development, or telecommunications may allow an adversary to compromise additional victims via a Trusted Relationship, Multi-Factor Authentication Interception, or even Supply Chain Compromise.
場合によっては、IT契約、ソフトウェア開発、または通信業界などのセクターでの組織へのアクセスを購入することで、攻撃者は信頼関係、多要素認証の傍受、あるいはサプライチェーンの侵害を通じて、追加の被害者を侵害することができることが考えられる。
Note: while this technique is distinct from other behaviors such as Purchase Technical Data and Credentials, they may often be used in conjunction (especially where the acquired foothold requires Valid
Accounts).
この技術は、「技術データや資格情報の購入」といった他の行動とは異なりますが、獲得した足場が有効なアカウントを要求する場合など、しばしば連動して使用されることが考えられます。
| ID | Mitigation | Description |
|---|---|---|
| M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
Much of this takes place outside the visibility of the target organization, making detection difficult for defenders.
Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.
多くは、対象となる組織の可視範囲外で行われるため、検知するのは難しいです。
検知の取り組みは、攻撃者のライフサイクルに関連する段階、例えば初期アクセスなどにフォーカスするのかもしれません。