T1584-006-盗取基础设施-web服务
来自ATT&CK的描述
攻击者可能会破坏对第三方网络服务的访问,这些服务可以在攻击目标期间使用。有各种流行的网站供合法用户注册基于网络的服务,如GitHub、Twitter、Dropbox、谷歌等。攻击者可能会尝试取得合法用户对网络服务的访问权,并将该网络服务用作支持网络操作的基础设施。此类Web服务可能会在攻击生命周期的后期阶段被滥用,例如在命令和控制 (Web服务) 或通过 Web服务渗透。使用通用服务,例如Google或Twitter提供的服务,可以让攻击者更容易隐藏在预期的噪音(正常行为中)中。通过使用Web服务,特别是当合法用户的访问权限被盗时,可能很难将操作与他们(攻击者)联系起来。
测试案例
Turla经常将受感染的WordPress站点用于C2基础设施
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在指挥和控制(网络服务)或通过网络服务渗透期间。
参考推荐
MITRE-ATT&CK-T1584-006