跳转至

T1584-005-盗取基础设施-僵尸网络

来自ATT&CK的描述

攻击者可能会攻击许多第三方系统,以形成一个僵尸网络,在攻击目标过程中使用。僵尸网络是一个由被破坏的系统组成的网络,可以被执行下发的任务。攻击者可以通过攻陷许多第三方系统来建立自己的僵尸网络,而不是从压力测试服务商那里中购买或租用僵尸网络。攻击者也可以接管现有的僵尸网络,例如将僵尸重定向到攻击者控制的C2服务器。有了僵尸网络,攻击者可以进行后续活动,例如大规模网络钓鱼或分布式拒绝服务(DDoS)。

测试案例

简单的来讲:即攻击者自行组建属于自己的僵尸网络系统,通过攻击第三方系统的手段。

僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织(受害者)的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在网络钓鱼、端点拒绝服务或网络拒绝服务期间。

参考推荐

MITRE-ATT&CK-T1584-005

https://attack.mitre.org/techniques/T1584/005/