跳转至

T1588-001-获取能力-恶意软件

来自ATT&CK的描述

攻击者可能会购买、窃取或下载可在攻击目标过程使用的恶意软件。恶意软件可能包括有效载荷、植入程序、后渗透工具、后门程序、加壳程序和C2协议。攻击者可能会获取恶意软件来支持他们的行动,获得一种维持对远程机器的控制、逃避防御和攻陷后行为的手段。

除了从互联网上下载免费的恶意软件外,攻击者还可能从第三方实体购买这些恶意软件。第三方实体可以包括专门从事恶意软件开发的技术公司、犯罪市场(包括恶意软件即服务,或称MaaS),或来自个人。除了购买恶意软件外,攻击者还可能从第三方实体(包括其他攻击者)窃取和重新使用恶意软件。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期中的破坏后阶段。

相关TIP

[[T1588-002-获取能力-工具]] [[T1588-003-获取能力-代码签名证书]] [[T1588-004-获取能力-数字证书]] [[T1588-005-获取能力-漏洞利用]] [[T1588-006-获取能力-漏洞]]

参考推荐

MITRE-ATT&CK-T1588-001

https://attack.mitre.org/techniques/T1588/001/