跳转至

T1588-002-获取能力-工具

来自ATT&CK的描述

攻击者可能会购买、窃取或下载可在攻击目标过程中使用的软件工具。工具可以是开源或闭源的,免费或商业的。一个工具可以被攻击者用于恶意目的,但工具(与恶意软件不同)并不是被用于这些目的(例如:PsExec)。工具的获取可能涉及商业软件许可证的采购,包括Cobalt Strike等红色团队工具。商业软件可以通过购买、盗取许可证(或软件的许可副本)或破解试用版来获得。

攻击者可以获得工具来支持他们的行动,包括支持执行破坏后的行为。除了自由下载或购买软件外,攻击者还可能从第三方实体(包括其他攻击者)窃取软件或软件许可证。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击者生命周期的妥协后阶段。

参考推荐

MITRE-ATT&CK-T1588-002

https://attack.mitre.org/techniques/T1588/002/