点击云纷科技关注我们
定义与手法
01
对手可能会将工具或其他文件从外部系统传输到受损害的环境中。文件可以通过命令和控制通道,在由外部对手控制的系统中进行复制,或者通过与其他工具(如FTP)的替代协议,将工具带入受害者网络。文件也可以使用scp、rsync和sftp等本地工具在Mac和Linux上进行复制。
程序示例
02
完整列表请戳“阅读原文”
缓解措施
03
|
名称 |
描述 |
|
网络入 侵预防 |
|
检测方法
04
监视文件创建和传输到网络的文件。外部网络连接到系统上创建文件的异常进程可能是可疑的。使用通常不出现的实用程序(如FTP)也可能是可疑的。
分析不常见数据流的网络数据(如:客户端发送的数据比从服务器接收的数据多得多)。利用网络的却没不具备网络通信、或者从未见过的的进程通常不是可疑的。分析数据包内容以检测通信,若有不符合预设协议的行为,则该端口正在使用通信。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
往期推荐
|
|||
|
|||
|
云纷(上海)信息科技有限公司
专注于安全运营与管理
长按二维码关注我们
点击右下角,让我知道你在看哟~
Comments are closed