攻击者可能会购买、租赁或租用可以在目标期间使用的基础设施。有各种各样的基础设施可以被来托管和协调他们的操作。
01 定义与手法
攻击者可能会购买、租赁或租用可以在目标期间使用的基础设施。有各种各样的基础设施可以被来托管和协调他们的操作。基础设施解决方案包括物理或云服务器、域和第三方web服务。此外,僵尸网络也可以租用或购买。
使用这些基础设施解决方案可以让攻击者准备、启动和执行操作。解决方案可以帮助攻击者,让他们的操作混入正常的流量中,例如联系第三方web服务或获取支持代理的基础设施。根据不同情况,攻击者可能会使用难以物理连接到他们的基础设施,也可能会利用可以快速供应、修改和关闭的基础设施。
02 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
03 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0038 |
域名 |
活跃的 DNS |
监视记录的域名系统(DNS)数据,特别是可能会购买、租赁或租用可在锁定目标期间使用的基础设施的相关数据。检测工作可能集中在攻击者生命周期的相关阶段,例如在命令和控制期间。 |
|
DS0038 |
域名 |
域名 注册 |
考虑使用可能有助于跟踪获取新基础设施的服务,例如用于域名注册信息的WHOIS数据库。检测工作可能集中在攻击者生命周期的相关阶段,例如在命令和控制期间。 |
|
DS0038 |
域名 |
被动 DNS |
监视记录的域名系统(DNS)数据,特别是可能会购买、租赁或租用可在锁定目标期间使用的基础设施的相关数据。检测工作可能集中在攻击者生命周期的相关阶段,例如在命令和控制期间。 |
|
DS0035 |
网络 扫描 |
响应 内容 |
一旦对手提供了基础设施(例如:用于命令和控制的服务器),网络扫描可以帮助主动发现对手所获得的基础设施。考虑寻找可识别的模式,例如服务监听、使用中的证书、SSL/TLS协商特性或与对手C2软件相关的其他响应构件。检测工作可能集中在对手生命周期的相关阶段,例如在命令和控制期间。 |
|
DS0035 |
网络 扫描 |
响应 元数据 |
监视从扫描中收集的面向网络资源的上下文数据,例如运行的服务或端口,这些服务或端口可能会购买、租赁或租用可在定位期间使用的基础设施。检测工作可能集中在攻击者生命周期的相关阶段,例如在命令和控制期间。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Share this content:
Comments are closed