T1587-003-开发能力-数字证书

来自ATT&CK的描述

攻击者可能会创建自签名SSL/TLS证书，可在攻击目标期间使用。SSL/TLS证书旨在传输信任。它们包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容、正确的实体的数字签名。如果签名有效，并且检查证书的人信任签名者，那么他们知道他们可以使用该密钥与其所有者进行通信。在自签名的情况下，数字证书将缺乏与第三方证书颁发机构 (CA) 签名相关联的信任元素。

攻击者可能会创建自签名SSL/TLS证书，可用于进一步操作，例如加密C2流量（例如：使用Web协议的非对称加密），或者如果添加到信任根，甚至启用中间人（即安装根证书）。

创建数字证书后，攻击者可以在其控制的基础设施上安装该证书。

测试案例

CS通过(CDN+证书)powershell上线详细版

https://blog.csdn.net/god_zzZ/article/details/109057803

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

缓解措施

这种技术不容易用预防控制来缓解，因为它是基于企业防御和控制范围之外的行为。

检测

考虑使用可能有助于跟踪Internet站点上使用的证书的服务。在某些情况下，可能会以已知的证书信息为中心，以发现其他攻击者的基础设施。

检测工作可能集中在相关行为上，例如Web协议、非对称加密或安装根证书。

参考推荐

MITRE-ATT&CK-T1587-003

https://attack.mitre.org/techniques/T1587/003/

CS通过(CDN+证书)powershell上线详细版

https://blog.csdn.net/god_zzZ/article/details/109057803