跳转至

T1583-003-购买基础设施-虚拟专用服务器

来自ATT&CK的描述

攻击者可能会租用虚拟私人服务器(VPS),这些服务器可以在攻击目标期间使用。各种云服务提供商将虚拟机或容器作为一种服务出售。通过利用VPS,攻击者可以使其(追踪)难以在物理上将行动与他们联系起来。使用云计算基础设施也可以使攻击者更容易快速提供、修改和关闭其基础设施。

获取VPS用于攻击生命周期的后期阶段,如指挥和控制,较高声誉、普遍性较强的云服务提供商可以让攻击者获得更多的信任。攻击者也可以从VPS服务提供商那里获得基础设施,这些服务提供商以出租VPS而闻名,其注册信息极少,从而可以更加匿名地获得基础设施。

测试案例

虚拟专用服务器(英语:Virtual private server,缩写为 VPS),是将一台服务器分割成多个虚拟专享服务器的服务。实现VPS的技术分为容器技术和虚拟机技术 。在容器或虚拟机中,每个VPS都可分配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS为用户提供了管理配置的自由,可用于企业虚拟化,也可以用于IDC资源租用。 IDC资源租用,由VPS提供商提供。不同VPS提供商所使用的硬件VPS软件的差异,及销售策略的不同,VPS的使用体验也有较大差异。尤其是VPS提供商超卖,导致实体服务器超负荷时,VPS性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器VPS的价格都高于虚拟机VPS的价格。 这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。每个VPS主机都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。VPS主机用户可在服务器上自行安装程序,单独重启主机。(ps:不做过多介绍,懂得都懂)

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1583-003

https://attack.mitre.org/techniques/T1583/003/