Adversaries may compromise accounts with services that can be used during targeting. For operations incorporating social engineering, the utilization of an online persona may be important. Rather than creating and cultivating accounts (i.e. Establish Accounts), adversaries may compromise existing accounts. Utilizing an existing persona may engender a level of trust in a potential victim if they have a relationship, or knowledge of, the compromised persona.
攻撃者は、攻撃中に使用するサービスのアカウントを侵害することがあります。ソーシャル・エンジニアリングを取り入れた作戦では、オンライン上の人物を利用することが重要である場合があります。攻撃者は、アカウントを作成し、育て上げる(例:アカウントの作成)よりも、既存のアカウントを侵害する場合があります。既存の人物を利用することで、被害者が、侵害された人物と関係があったり、その人物について知っていたりする場合、その人物に信頼を抱かせることができるかもしれません。
A variety of methods exist for compromising accounts, such as gathering credentials via Phishing for Information, purchasing credentials from
third-party sites, or by brute forcing credentials (ex: password reuse from breach credential dumps).[1] Prior to compromising accounts, adversaries may conduct Reconnaissance to inform decisions about which accounts to
compromise to further their operation.
アカウントを侵害する方法には、フィッシングによる情報収集、サードパーティサイトからの認証情報の購入、認証情報のブルートフォース(例:侵害された認証情報のダンプからのパスワード再利用)など、さまざまな方法があります[1]。アカウントを侵害する前に、攻撃者は偵察を行い、どのアカウントを侵害すべきか判断し、作戦を進める可能性があります。
Personas may exist on a single site or across multiple sites (ex: Facebook, LinkedIn, Twitter, Google, etc.). Compromised accounts may require additional development, this could
include filling out or modifying profile information, further developing social networks, or incorporating photos.
人物は、1つのサイトに存在することも、複数のサイト(例:Facebook、LinkedIn、Twitter、Googleなど)にまたがって存在することもあります。侵害されたアカウントでは、プロフィール情報の入力や変更、ソーシャルネットワークの構築、写真の取り込みど、さらなる設定が必要になることがあります。
Adversaries may directly leverage compromised email accounts for Phishing for Information or Phishing.
攻撃者は、侵害したメールアカウントを直接利用して、フィッシングやフィッシングを行うことがあります。
ID | Mitigation | Description |
---|---|---|
M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
ID | Data Source | Data Component | Detects |
---|---|---|---|
DS0029 | Network Traffic | Network Traffic Content |
Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
DS0021 | Persona | Social Media |
Consider monitoring social media activity related to your organization. Suspicious activity may include personas claiming to work for your organization or recently modified accounts making numerous connection requests to accounts affiliated with your organization.Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access (ex: Phishing). |