Compromise Accounts

Sub-techniques (2)

ID	Name
T1586.001	Social Media Accounts
T1586.002	Email Accounts

Adversaries may compromise accounts with services that can be used during targeting. For operations incorporating social engineering, the utilization of an online persona may be important. Rather than creating and cultivating accounts (i.e. Establish Accounts), adversaries may compromise existing accounts. Utilizing an existing persona may engender a level of trust in a potential victim if they have a relationship, or knowledge of, the compromised persona.

A variety of methods exist for compromising accounts, such as gathering credentials via Phishing for Information, purchasing credentials from third-party sites, or by brute forcing credentials (ex: password reuse from breach credential dumps).^[1] Prior to compromising accounts, adversaries may conduct Reconnaissance to inform decisions about which accounts to compromise to further their operation.

Personas may exist on a single site or across multiple sites (ex: Facebook, LinkedIn, Twitter, Google, etc.). Compromised accounts may require additional development, this could include filling out or modifying profile information, further developing social networks, or incorporating photos.

Adversaries may directly leverage compromised email accounts for Phishing for Information or Phishing.

Angreifer können Konten mit Diensten kompromittieren, die für gezielte Angriffe genutzt werden können. Bei Operationen, die Social Engineering beinhalten, kann die Verwendung einer Online-Persona wichtig sein. Anstatt Konten zu erstellen und zu kultivieren (d.h. [Konten einrichten] (/techniques/T1585)), können die Angreifer bestehende Konten kompromittieren. Die Verwendung einer bestehenden Persona kann bei einem potenziellen Opfer ein gewisses Mass an Vertrauen erzeugen, wenn es eine Beziehung zu der kompromittierten Persona hat oder diese kennt.

Es gibt eine Vielzahl von Methoden zur Kompromittierung von Konten, wie z.B. das Sammeln von Zugangsdaten über Phishing for Information, den Kauf von Zugangsdaten von Drittanbieter-Websites oder das Erzwingen von Zugangsdaten (z.B. die Wiederverwendung von Passwörtern aus Datensammlungen von Sicherheitsverletzungen).(Zitat: AnonHBGary) Vor der Kompromittierung von Konten können Angreifer Aufklärungsarbeit leisten, um zu entscheiden, welche Konten sie für ihre Operation kompromittieren wollen.

Personas können auf einer einzigen Website oder auf mehreren Websites existieren (z.B. Facebook, LinkedIn, Twitter, Google, etc.). Kompromittierte Konten müssen möglicherweise weiterentwickelt werden, z. B. durch Ausfüllen oder Ändern von Profilinformationen, Weiterentwicklung von sozialen Netzwerken oder Einfügen von Fotos.

Die Angreifer können kompromittierte E-Mail-Konten direkt für [Phishing for Information] (/techniques/T1598) oder [Phishing] (/techniques/T1566) nutzen.

Les adversaires peuvent compromettre des comptes avec des services qui peuvent être utilisés lors du ciblage. Pour les opérations intégrant l'ingénierie sociale, l'utilisation d'un personnage en ligne peut être importante. Plutôt que de créer et de cultiver des comptes (c'est-à-dire [Établir des comptes] (/techniques/T1585)), les adversaires peuvent compromettre des comptes existants. L'utilisation d'un personnage existant peut susciter la confiance d'une victime potentielle si elle a une relation ou une connaissance avec le personnage compromis.

Il existe une variété de méthodes pour compromettre des comptes, telles que la collecte d'informations d'identification via le Phishing for Information, l'achat d'informations d'identification sur des sites tiers ou le forçage brutal d'informations d'identification (ex : réutilisation de mots de passe à partir de vidages d'informations d'identification de brèches). (Citation : AnonHBGary) Avant de compromettre des comptes, les adversaires peuvent effectuer une reconnaissance afin de décider quels comptes compromettre pour poursuivre leur opération.

Les personas peuvent exister sur un seul site ou sur plusieurs sites (ex : Facebook, LinkedIn, Twitter, Google, etc.). Les comptes compromis peuvent nécessiter un développement supplémentaire, ce qui peut inclure de compléter ou de modifier les informations du profil, de développer davantage les réseaux sociaux ou d'incorporer des photos.

Les adversaires peuvent exploiter directement les comptes de messagerie compromis pour le [Phishing for Information] (/techniques/T1598) ou le [Phishing] (/techniques/T1566).

Gli avversari possono compromettere account con servizi che possono essere usati durante il targeting. Per operazioni che incorporano l'ingegneria sociale, l'utilizzo di un personaggio online può essere importante. Piuttosto che creare e coltivare account (cioè Establish Accounts, gli avversari possono compromettere account esistenti. L'utilizzo di una persona esistente può generare un livello di fiducia in una vittima potenziale se ha una relazione o una conoscenza della persona compromessa.

Esistono vari metodi per compromettere gli account, come raccogliere credenziali tramite Phishing for Information, acquistare credenziali da siti terzi o forzare le credenziali (es: riutilizzo di password da dumps di credenziali di violazione).(Citazione: AnonHBGary) Prima di compromettere gli account, gli avversari possono condurre una ricognizione per informare le decisioni su quali account compromettere per promuovere la loro operazione.

Le personas possono esistere su un singolo sito o su più siti (es: Facebook, LinkedIn, Twitter, Google, ecc.). Gli account compromessi possono richiedere un ulteriore sviluppo, che potrebbe includere la compilazione o la modifica delle informazioni del profilo, l'ulteriore sviluppo delle reti sociali o l'incorporazione di foto.

Gli avversari possono sfruttare direttamente gli account email compromessi per Phishing for Information o Phishing.

Law Assessment

Dass sich Angreifer von Konto zu Konto bewegen, gehört seit jeher zu den grundsätzlichsten Angriffstechniken. Die unzähligen Verknüpfungsmöglichkeiten von Konten zwischen verschiedenen Anbietern und die Benutzung von Passwortwiederherstellungsmöglichkeiten über Email ohne Zwei-Faktoren-Authentisierung (2FA) machen diesen Angriffsvektor zu einem akuten Problem.

Der Account hat eine besondere Sicherung aufzuweisen; Standardpasswörter und Trivialpasswörter wie "12345678" oder "Passwort" dürften in der Tendenz nicht als besondere Sicherung gelten.

Literatur- und Quellenhinweise

Ammann Matthias, Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), S. 195-203
Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Für DE)
Pfister Christa, Hacking in der Schweiz – Im Spiegel des europäischen, deutschen und des österreichischen Computerstrafrechts, Diss., Zürich, 2008 (zit. Pfister, S.)
Stucki Daniel, Die Strafbarkeit von «Phishing» nach StGB, in: Jusletter 9. Januar 2012
Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5. Aufl., 2019, Art. 143^bis StGB, (zit. Weissenberger, Art. 143^bis, N 20)

Der Account hat eine besondere Sicherung aufzuweisen; Standardpasswörter und Trivialpasswörter wie "12345678" oder "Passwort" dürften in der Tendenz nicht als ...

Le fait que les attaquants se déplacent de compte en compte a toujours été l'une des techniques d'attaque les plus fondamentales. Les innombrables possibilités d'association de comptes entre différents fournisseurs et l'utilisation de possibilités de récupération de mot de passe par e-mail sans authentification à deux facteurs (2FA) font de ce vecteur d'attaque un problème aigu.

Le compte doit présenter une sécurité particulière ; les mots de passe standard et les mots de passe triviaux tels que "12345678" ou "mot de passe" n'ont pas tendance à être considérés comme une sécurité particulière.

Références bibliographiques et sources.

Ammann Matthias, Les e-mails de phishing sont-ils punissables ?, in : Pratique juridique actuelle (PJA), p. 195-203
Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Pour DE)
Pfister Christa, Hacking in der Schweiz - Im Spiegel des europäischen, deutschen und des österreichischen Computerstrafrechts, Diss., Zurich, 2008 (cit. Pfister, S.)
Stucki Daniel, La punissabilité du "phishing" selon le CP, in : Jusletter 9 janvier 2012
Weissenberger Philippe, in : Commentaire bâlois, droit pénal, 5e édition, 2019, art. 143^bis CP, (cit. Weissenberger, art. 143^bis, N 20)

Il fatto che gli aggressori si spostino da un conto all'altro è sempre stata una delle tecniche di attacco più fondamentali. La miriade di modi in cui gli account possono essere collegati tra diversi provider e l'uso del recupero password via email senza autenticazione a due fattori (2FA) rendono questo vettore di attacco un problema acuto.

L'account deve avere una sicurezza speciale; password standard e password banali come "12345678" o "password" non dovrebbero tendere a qualificarsi come sicurezza speciale.

Riferimenti bibliografici e fonti.

Ammann Matthias, Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), pp. 195-203.
Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Per DE).
Pfister Christa, Hacking in Switzerland - In the Mirror of European, German and Austrian Computer Criminal Law, Diss., Zurigo, 2008 (cit. Pfister, S.).
Stucki Daniel, Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9 gennaio 2012.
Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143^bis StGB, (cit. Weissenberger, Art. 143^bis, N 20).

The fact that attackers move from account to account has always been one of the most fundamental attack techniques. The myriad ways accounts can be linked between different providers and the use of password recovery over email without two-factor authentication (2FA) make this attack vector an acute problem.

The account has to have special security; default passwords and trivial passwords such as "12345678" or "password" should not tend to qualify as special security.

Literature and source references.

Ammann Matthias, Sind Phishing-Mails strafbar?, in: Current Legal Practice (AJP), pp. 195-203.
Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (For DE).
Pfister Christa, Hacking in Switzerland - In the Mirror of European, German and Austrian Computer Criminal Law, Diss., Zurich, 2008 (cit. Pfister, S.).
Stucki Daniel, Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9. Januar 2012.
Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143^bis StGB, (cit. Weissenberger, Art. 143^bis, N 20).

The account has to have special security ...

Article	Assessment
Art. 143 Abs. 1 StGB (Datenbeschaffung) Contribution Details Last update: 2021-11-12 Autoren: Roman Kost ⓘ	En principe, rien n'est effacé lors de l'utilisation de comptes compromis. L'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. In linea di principio, non si cancella nulla quando si usano account compromessi. La corruzione dei dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. When using compromised accounts, nothing is deleted as a matter of principle. The data corruption according to Art. 144bis StGB is not relevant for this attack technique. Beim Benutzen von kompromittierten Accounts wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnick nicht einschlägig.
Art. 143^bis Abs. 1 StGB (Hacking) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ	Soit l'auteur se procure lui-même les données d'accès à un compte, soit il achète ces données d'accès. Si quelqu'un utilise des données d'accès à un compte qui ne lui appartient pas, il est punissable en vertu de l'article 143^bis al. 1 du Code pénal. Ce n'est pas l'avis de Germann/Wicki, qui veulent considérer le piratage informatique de manière plus étroite et estiment que le piratage informatique nécessite obligatoirement des modifications d'un système. Si l'auteur passe ensuite d'un compte à l'autre en trouvant dans le premier compte les données d'accès pour le deuxième compte ou en se faisant envoyer ces données d'accès et qu'il se connecte avec, il commet à nouveau l'infraction de piratage informatique au sens de l'article 143^bis du Code pénal. L'auteur s'empare sans autorisation d'un système de traitement de données spécialement protégé contre son accès. Ce qui est déterminant, c'est le franchissement de la barrière d'accès correspondante, par exemple par la saisie du mot de passe correct. - Soit l'auteur se procure lui-même les données d'accès à un compte, soit il achète ces données d'accès. Si quelqu'un utilise des données d'accès à un compte qui ne lui appartient pas, il est punissable en vertu de l'article 143^bis al. 1 du Code pénal. Ce n'est pas l'avis de Germann/Wicki, qui veulent considérer ... + O il trasgressore ottiene lui stesso i dati di accesso ad un conto o acquista questi dati di accesso. Se qualcuno usa i dati di accesso ad un conto che non gli appartiene, è perseguibile ai sensi dell'art. 143^to comma 1 SCC. I Germann/Wicki, che vogliono vedere l'hacking in modo più ristretto e sono dell'opinione che l'hacking implichi necessariamente modifiche ad un sistema, hanno una visione diversa. Se poi l'esecutore passa da un account all'altro trovando i dati di accesso per il secondo account nel primo account o facendosi inviare questi dati di accesso e accede con essi, commette nuovamente il reato di hacking secondo l'articolo 143^bis SCC. L'esecutore supera un sistema di elaborazione dati appositamente protetto contro il suo accesso senza autorizzazione. Il fattore decisivo è superare la rispettiva barriera di accesso, per esempio inserendo la password corretta. - O il trasgressore ottiene lui stesso i dati di accesso ad un conto o acquista questi dati di accesso. Se qualcuno usa i dati di accesso ad un conto che non gli appartiene, è perseguibile ai sensi dell'art. 143^to comma 1 SCC. I Germann/Wicki, che vogliono vedere l'hacking in modo più ristretto e ... + Either the offender obtains the access data to an account himself or he purchases these access data. If someone uses access data to an account that does not belong to him, he is liable to prosecution under Art. 143^to para. 1 SCC. A different opinion is held by Germann/Wicki, who want to see hacking more narrowly and are of the opinion that hacking necessarily involves changes to a system. If the perpetrator then moves from one account to the next, in which he finds the access data for the second account in the first account or has these access data sent to him and logs in with them, he again commits the offense of hacking under Art. 143^bis SCC. The perpetrator overcomes a data processing system that is specially protected against his access without authorization. Decisive is the overcoming of the respective access barrier, such as by entering the correct password. - Either the offender obtains the access data to an account himself or he purchases these access data. If someone uses access data to an account that does not belong to him, he is liable to prosecution under Art. 143^to para. 1 SCC. A different opinion is held by Germann/Wicki, who want to see ... + Entweder verschafft sich der Täter selbst die Zugangsdaten zu einem Account oder er kauft diese Zugangsdaten ein. Benutzt jemand Zugangsdaten zu einem Account, der ihm nicht gehört, macht er sich nach Art. 143^bis Abs. 1 StGB strafbar. Anderer Auffassung sind Germann/Wicki, die Hacking enger sehen wollen und der Ansicht sind, bei Hacking seien zwingend Veränderungen an einem System notwendig. Bewegt die Täterschaft sich dann von einem Account zum nächsten weiter, in dem sie im ersten Account die Zugangsdaten für den zweiten Account findet oder sich diese Zugangsdaten zustellen lässt und loggt sie sich damit ein, begeht sie erneut den Tatbestand des Hackings nach Art. 143^bis StGB. Die Täterschaft überwindet ohne Befugnis eine besonders gegen ihren Zugriff geschützte Datenverarbeitungsanlage. Massgebend ist die Überwindung der jeweiligen Zutrittsschranke wie beispielsweise durch die Eingabe des richtigen Passworts. - Entweder verschafft sich der Täter selbst die Zugangsdaten zu einem Account oder er kauft diese Zugangsdaten ein. Benutzt jemand Zugangsdaten zu einem Account, der ihm nicht gehört, macht er sich nach Art. 143^bis Abs. 1 StGB strafbar. Anderer Auffassung sind Germann/Wicki, die Hacking enger sehen wollen und der Ansicht sind, bei Hacking seien ... +
Art. 144^bis Ziff. 1 StGB (Datenbeschädigung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	En principe, rien n'est supprimé lors de l'utilisation de comptes compromis. L'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. Quando si usano account compromessi, non si cancella nulla. Il danno ai dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. When using compromised accounts, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis StGB is not relevant for this attack technique. Beim Benutzen von kompromittierten Accounts wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnick nicht einschlägig.

Forensics

Forensic Domain	Assessment
Log Files	Fehlgeschlagene und erfolgreiche Logins können an unterschiedlichen Orten nachvollzogen werden, weshalb in jedem Fall spezifisch die betroffene (Web-)Anwendung analysiert werden muss. In Bezug z.B. auf einen Webserver wie apache2 werden erfolgreiche Zugriffe mit entsprechender HTTP-Statusmeldung im Normalfall in einem access-Logfile aufgezeichnet. Bei Webanwendungen sind im Regelfall Datenbanken (Link Forensik Datenbanken) im Hintergrund, die Login-Informationen aufzeichnen können. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Les échecs et les succès de connexion peuvent être suivis à différents endroits, c'est pourquoi l'application (web) concernée doit être analysée spécifiquement dans chaque cas. Par exemple, dans le cas d'un serveur web comme apache2, les accès réussis sont généralement enregistrés dans un fichier journal d'accès avec un message d'état HTTP correspondant. Dans les applications web, il y a généralement des bases de données (bases de données de link forensics) en arrière-plan qui peuvent enregistrer les informations de connexion. - Les échecs et les succès de connexion peuvent être suivis à différents endroits, c'est pourquoi l'application (web) concernée doit être analysée spécifiquement dans chaque cas. Par exemple, dans le cas d'un serveur web comme apache2, les accès réussis sont généralement enregistrés dans un fichier journal d'accès avec un message d'état HTTP correspondant. Dans les applications ... + I login falliti e quelli riusciti possono essere tracciati in posti diversi, per questo l'applicazione (web) interessata deve essere analizzata specificamente in ogni caso. Per quanto riguarda un server web come apache2, per esempio, gli accessi riusciti con il corrispondente messaggio di stato HTTP sono normalmente registrati in un file di log di accesso. Nelle applicazioni web, di solito ci sono database (link forensics databases) in background che possono registrare informazioni di login. - I login falliti e quelli riusciti possono essere tracciati in posti diversi, per questo l'applicazione (web) interessata deve essere analizzata specificamente in ogni caso. Per quanto riguarda un server web come apache2, per esempio, gli accessi riusciti con il corrispondente messaggio di stato HTTP sono normalmente registrati in un file di log di accesso. Nelle ... + Failed and successful logins can be tracked in different places, which is why the affected (web) application must be analyzed specifically in each case. With respect to e.g. a web server like apache2, successful accesses with corresponding HTTP status message are normally recorded in an access logfile. In web applications, there are usually databases (link forensics databases) in the background that can record login information.
Operating Systems	Sind Accounts eines Betriebssystems betroffen, können die einschlägigen Eventlogs (z.B. Windows Event Viewer) und Einträge bspw. in einem Syslog-Logfile konsultiert werden. Je nach Betriebssystem sind spezifische Techniken notwendig, um verwendete Accounts und deren Verlauf nachvollziehen zu können. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Si les comptes d'un système d'exploitation sont concernés, les journaux d'événements pertinents (par exemple, Windows Event Viewer) et les entrées dans un fichier journal Syslog, par exemple, peuvent être consultés. Selon le système d'exploitation, des techniques spécifiques sont nécessaires pour suivre les comptes utilisés et leur historique. Se gli account di un sistema operativo sono interessati, si possono consultare i relativi registri di eventi (ad esempio Windows Event Viewer) e le voci in un file di registro syslog. A seconda del sistema operativo, sono necessarie tecniche specifiche per poter rintracciare gli account usati e la loro storia. If accounts of an operating system are affected, the relevant event logs (e.g. Windows Event Viewer) and entries in a syslog log file, for example, can be consulted. Depending on the operating system, specific techniques are required to trace used accounts and their history.
HIDS/Host	HIDS eigenen sich insbesondere bei Zugriffen auf Betriebssystemaccounts sehr gut, um die Verwendung betroffener Accounts nachzuvollziehen. In eingeschränktem Masse ist es HIDS möglich, Logins bei Webapplikationen nachzuvollziehen. Das wäre sicher dann der Fall, wenn das HIDS für diese Webapplikation eine Schnittstelle aufweist. Gewisse HIDS ermöglichen auch das Logging von Applikationszugriffen, wie bspw. einer unternehmensinternen Anwendung, wofür es in aller Regel Anpassungen braucht. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Les HIDS sont particulièrement utiles pour suivre l'utilisation des comptes du système d'exploitation. Dans une moindre mesure, les HIDS peuvent suivre les connexions aux applications web. Ce serait certainement le cas si l'HIDS disposait d'une interface pour cette application web. Certains HIDS permettent également d'enregistrer les accès aux applications, comme par exemple une application interne à l'entreprise, ce qui nécessite généralement des adaptations. Gli HIDS sono particolarmente adatti ad accedere agli account del sistema operativo per tracciare l'uso degli account in questione. In misura limitata, è possibile per gli HIDS rintracciare i login alle applicazioni web. Questo sarebbe certamente il caso se l'HIDS ha un'interfaccia per questa applicazione web. Alcuni HIDS permettono anche di registrare gli accessi alle applicazioni, come un'applicazione interna all'azienda, per la quale di solito sono necessari degli aggiustamenti. HIDS are particularly suitable for accessing operating system accounts in order to trace the use of affected accounts. To a limited extent, it is possible for HIDS to trace logins for web applications. This would certainly be the case if the HIDS has an interface for this web application. Some HIDS also allow the logging of application accesses, such as a company-internal application, which usually requires customization.
Applications	Sofern Anwendungen über eigene Loginvorkehrungen verfügen, speichern sie häufig Loginvorgänge lokal in einer Datenbank oder einem Logfile ab oder übermitteln die Tatsache eines Logins an den Server der Anwendung (die z.B. den Lizenzierungsstatus überprüft etc.). There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Si les applications disposent de leurs propres dispositifs de connexion, elles enregistrent souvent les opérations de connexion localement dans une base de données ou un fichier journal, ou transmettent le fait d'une connexion au serveur de l'application (qui vérifie par exemple le statut de la licence, etc.). Se le applicazioni hanno le proprie disposizioni di login, spesso memorizzano gli eventi di login localmente in un database o in un file di log, o trasmettono il fatto di un login al server dell'applicazione (che, per esempio, controlla lo stato delle licenze, ecc). . When applications have their own login provisions, they often store login events locally in a database or log file, or transmit the fact of a login to the application's server (which, for example, checks licensing status, etc.).
Databases	Es kann mutatis mutandis auf die Forensikdomänen Applications und Log Files verwiesen werden. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Il peut être fait référence, mutatis mutandis, aux domaines forensiques Applications et Log Files. Mutatis mutandis, si può fare riferimento ai domini forensi Applications e Log Files. Mutatis mutandis, it can be referred to the Applications and Log Files forensics domains.
Data Media	Unter Umständen sind Rückschlüsse auf verwendete Accounts möglich, indem man Dateizugriffe und Dateimodifikationen analysiert, die nur für den entsprechenden Account möglich sind. Solche Zugriffe und Modifikationen sind regelmässig nur dem Fileowner und allfälligen Usern mit höheren Rechten möglich. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Dans certaines circonstances, il est possible d'identifier les comptes utilisés en analysant les accès aux fichiers et les modifications de fichiers qui ne sont possibles que pour le compte en question. De tels accès et modifications ne sont régulièrement possibles que pour le propriétaire du fichier et les éventuels utilisateurs disposant de droits plus élevés. In determinate circostanze è possibile trarre conclusioni sugli account usati analizzando gli accessi ai file e le modifiche dei file che sono possibili solo per l'account corrispondente. Tali accessi e modifiche sono regolarmente possibili solo per il proprietario del file ed eventuali utenti con diritti superiori. Under certain circumstances, it is possible to draw conclusions about the accounts used by analyzing file accesses and file modifications that are only possible for the corresponding account. Such accesses and modifications are regularly only possible for the fileowner and any users with higher rights.

ID: T1586

Sub-techniques: T1586.001, T1586.002

ⓘ

Tactic: Resource Development

ⓘ

Platforms: PRE

Version: 1.1

Created: 01 October 2020

Last Modified: 16 October 2021

Translations: DE FR IT EN

Schweizerisches Strafgesetzbuch (StGB)

Relevant Articles:

Art. 143 Abs. 1 StGB (Datenbeschaffung)

Art. 143^bis Abs. 1 StGB (Hacking)

Art. 144^bis Ziff. 1 StGB (Datenbeschädigung)

Relevant Forensic Domains:

Log Files Operating Systems HIDS/Host Applications Databases Data Media

Provided by LAYER 8

Mitigations

ID	Mitigation	Description
M1056	Pre-compromise	This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.

Detection

ID	Data Source	Data Component
DS0029	Network Traffic	Network Traffic Content
DS0021	Persona	Social Media

Consider monitoring social media activity related to your organization. Suspicious activity may include personas claiming to work for your organization or recently modified accounts making numerous connection requests to accounts affiliated with your organization.

Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access (ex: Phishing).

Ziehen Sie in Erwägung, die Aktivitäten in den sozialen Medien im Zusammenhang mit Ihrer Organisation zu überwachen. Zu den verdächtigen Aktivitäten können Personas gehören, die behaupten, für Ihr Unternehmen zu arbeiten, oder kürzlich geänderte Konten, die zahlreiche Verbindungsanfragen an Konten stellen, die mit Ihrem Unternehmen verbunden sind.

Ein Grossteil dieser Aktivitäten findet ausserhalb der Sichtbarkeit des Zielunternehmens statt, was die Erkennung dieses Verhaltens erschwert. Die Entdeckungsbemühungen können sich auf die entsprechenden Phasen des Lebenszyklus des Angreifers konzentrieren, z. B. während des Erstzugriffs (ex: Phishing).

Pensez à surveiller l'activité des médias sociaux liée à votre organisation. Une activité suspecte peut inclure des personas prétendant travailler pour votre organisation ou des comptes récemment modifiés faisant de nombreuses demandes de connexion à des comptes affiliés à votre organisation.

Une grande partie de cette activité aura lieu en dehors de la visibilité de l'organisation cible, ce qui rendra la détection de ce comportement difficile. Les efforts de détection peuvent se concentrer sur des étapes connexes du cycle de vie de l'adversaire, comme lors de l'accès initial (ex : Phishing).

Prenda in considerazione il monitoraggio dell'attività dei social media relativa alla sua organizzazione. L'attività sospetta può includere persone che affermano di lavorare per la sua organizzazione o account modificati di recente che fanno numerose richieste di connessione ad account affiliati alla sua organizzazione.

Molte di queste attività si svolgeranno al di fuori della visibilità dell'organizzazione bersaglio, rendendo difficile il rilevamento di questo comportamento. Gli sforzi di rilevamento possono essere concentrati su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale (ex: Phishing).

References

Bright, P. (2011, February 15). Anonymous speaks: the inside story of the HBGary hack. Retrieved March 9, 2017.