T1584-002-盗取基础设施-DNS服务

来自ATT&CK的描述

攻击者可能会盗取第三方DNS服务器，这些服务器可以在攻击目标期间使用。在破坏后的活动中，攻击者可能利用DNS流量进行各种任务，包括指挥和控制（例如：应用层协议）。攻击者可能不会建立自己的DNS服务器，而是利用第三方DNS服务器以支持行动。

通过盗取DNS服务器，攻击者可以改变DNS记录。这样的控制可以让一个组织的流量重新定向，为攻击者的收集和凭证访问工作提供便利。 攻击者也可以悄悄地创建指向恶意服务器的子域，而不向DNS服务器的实际所有者通风报信。

测试案例

暂无

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

缓解措施

这种技术不容易用预防控制来缓解，因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队（组织）的能见度之外，使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段，如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1584-002

https://attack.mitre.org/techniques/T1584/002/