跳转至

T1587-001-开发能力-恶意软件

来自ATT&CK的描述

攻击者可能会开发恶意软件和恶意软件组件,可在攻击目标期间使用。构建恶意软件包括开发有效载荷、投放器、破坏后的工具、后门程序)、打包程序、C2协议,以及创建受感染的可移动媒体。攻击者可能会开发恶意软件来支持他们的行动,从而创建一种方法来保持对远程机器的控制、逃避防御和执行权限后的行为。

与合法的开发工作一样,开发恶意软件可能需要不同的技能组合。所需的技能可能位于内部,也可能需要外包。使用承包商可被视为该攻击者的恶意软件开发能力的延伸,前提是攻击者在塑造需求方面发挥作用并保持对恶意软件的一定程度的排他性。

恶意软件开发的某些方面,如C2协议开发,可能需要攻击者获得额外的基础设施。例如,为了C2与Twitter通信而开发的恶意软件可能需要使用Web服务。

测试案例

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期中的破坏后阶段。

相关TIP

[[T1587-002-开发能力-代码签名证书]] [[T1587-003-开发能力-数字证书]] [[T1587-004-开发能力-漏洞利用]]

参考推荐

MITRE-ATT&CK-T1587-001

https://attack.mitre.org/techniques/T1587/001/