01 定义与手法 这种手法是攻击者通过上传、安装或以其他方式设置可以在锁定目标期间使用的功能。为了支持他们的行动,对手可能需要获得他们开发的能力(开发能力)或获得的能力(获得能力),并将其置于他们控制下的基础设施上。这些能力可能被放置在对手之前购买或租用的基础设施上(获取基础设施),或者被他们破坏(破坏基础设施)。功能也可以放在web服务上,比如GitHub或Pastebin,或者放在平台即服务(PaaS)产品上,这样用户就可以轻松地提供应用程序。 这种能力可以帮助攻击者进行一些初始访问和攻击后的行为,包括(但不限于): 当用户浏览一个站点时,提供必要的web资源来进行“水坑攻击” 为鱼叉式网络钓鱼使用的链接目标暂存web资源 上传恶意软件或工具到受害者网络可访问的位置,启用入口工具传输 安装先前获得的SSL/TLS证书,用于加密命令和控制流量(例如:使用Web协议的非对称加密)
02 程序示例
03 缓解措施 名称 描述 被攻击前 这种技术不容易通过预防性控制来缓解,因为它基于企业防御和控制范围之外执行的行为。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0035 网络 检索 响应 内容 如果恶意软件、工具、证书或恶意web内容中的基础设施或模式先前已被识别,则互联网扫描可能会发现攻击者何时部署了他们的能力。许多此类活动将发生在目标组织的可见性之外,这使得检测此类行为变得更为困难。检测工作可能集中在攻击者生命周期的相关阶段,例如初始访问和妥协后行为。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed