点击云纷科技关注我们
定义与手法
01
对手可以为在不同条件下或特定功能下使用的命令和控制创建多个阶段。使用多个阶段的手法可能会混淆命令和控制通道,使检测更加困难。
远程访问工具可以回调到第一阶段命令,并控制服务器以获取指令。第一阶段可能具有自动收集基本主机信息、更新工具和上传附加文件的功能。此时,可以上传第二个远程访问工具(RAT),将主机重定向到第二阶段命令和控制服务器。第二阶段可能会有更全面的功能,并允许对手通过反向shell和额外的RAT功能与系统交互。
不同的阶段可能会被没有重叠的基础设施分开托管。加载程序还可能有备份的第一阶段回调或回调通道,以备最初的第一阶段通信路径被发现并锁定。
程序示例
02
完整列表请戳“阅读原文”
缓解措施
03
|
名称 |
描述 |
|
网络入 侵预防 |
|
检测方法
04
使用网络连接可以关联未知或可疑进程活动的主机数据,对于补充任意基于恶意软件命令和控制签名以及基础设施的现有攻击指标非常重要。将可能由于发现系统和网络信息或横向移动而导致的后续操作与原始过程相关联,也可以产生有用的数据,以便检测。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
往期推荐
|
|||
|
|||
|
云纷(上海)信息科技有限公司
专注于安全运营与管理
长按二维码关注我们
点击右下角,让我知道你在看哟~
Share this content:
Comments are closed