T1587-002-开发能力-代码签名证书
来自ATT&CK的描述
攻击者可能会创建自签名代码签名证书,这些证书可在攻击目标期间使用。代码签名是对可执行文件和脚本进行数字签名以确认软件作者并保证代码未被更改或损坏的过程。代码签名为开发人员的程序提供了一定程度的真实性,并保证程序未被篡改。用户或安全工具可能比未签名的代码更信任签名的代码,即使他们不知道谁颁发了证书或作者是谁。
在代码签名之前,攻击者可能会开发自签名代码签名证书以用于操作。
测试案例
暂无,仅提供辅助理解案例:
恶意软件团伙盗取大量证书用来绕过代码签名检查
https://www.anquanke.com/post/id/83654
恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿
https://www.landiannews.com/archives/47396.html
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在相关的后续行为上,例如代码签名或安装根证书。
参考推荐
MITRE-ATT&CK-T1587-002
https://attack.mitre.org/techniques/T1587/002/
恶意软件团伙盗取大量证书用来绕过代码签名检查
https://www.anquanke.com/post/id/83654
恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿