T1583-004-购买基础设施-服务器

来自ATT&CK的描述

攻击者可能会购买、租赁或租用可在目标行动中使用的实体服务器。使用服务器可以让攻击者策划、发起和执行行动。在破坏后的活动中，攻击者可以利用服务器执行各种任务，包括用于指挥和控制。与破坏第三方服务器或租用虚拟专用服务器相比，攻击者也可能选择配置和运行自己的服务器来支持行动。

如果攻击者的大部分活动将使用在线基础设施进行，他们可能只需要一个轻量级的设置。或者，如果他们想在自己的系统上测试、通信和控制其活动等其他方面，他们可能需要建立广泛的基础设施。

测试案例

无

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

缓解措施

这种技术不容易用预防控制来缓解，因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队（组织）的能见度之外，使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段，如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1583-004

https://attack.mitre.org/techniques/T1583/004/