跳转至

T1584-003-盗取基础设施-虚拟专用服务器

来自ATT&CK的描述

攻击者可能会盗取第三方的虚拟专用服务器(VPS),这些服务器可以在攻击目标期间使用。有各种云服务提供商将虚拟机或容器作为一种服务出售。攻击者可以盗取由第三方实体购买的VPS,作为基础设施的VPS,攻击者可以使其难以在物理上将行动与自己联系起来。

盗取的VPS用于攻击生命周期的后期阶段,如指挥和控制,攻击者受益于与更高声誉的云服务提供商相关的普遍性和信任,以便增加受感染的第三方的信任。

测试案例

虚拟专用服务器(英语:Virtual private server,缩写为 VPS),是将一台服务器分割成多个虚拟专享服务器的服务。实现VPS的技术分为容器技术和虚拟机技术 。在容器或虚拟机中,每个VPS都可分配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS为用户提供了管理配置的自由,可用于企业虚拟化,也可以用于IDC资源租用。 IDC资源租用,由VPS提供商提供。不同VPS提供商所使用的硬件VPS软件的差异,及销售策略的不同,VPS的使用体验也有较大差异。尤其是VPS提供商超卖,导致实体服务器超负荷时,VPS性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器VPS的价格都高于虚拟机VPS的价格。 这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。每个VPS主机都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。VPS主机用户可在服务器上自行安装程序,单独重启主机。(ps:不做过多介绍,懂得都懂)

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1584-003

https://attack.mitre.org/techniques/T1584/003/