T1588-003-获取能力-代码签名证书
来自ATT&CK的描述
攻击者可能会购买或窃取代码签名证书,以便在攻击目标中使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件的作者并保证代码没有被改变或破坏。代码签名为程序的开发者提供了一定程度的真实性,并保证程序没有被篡改。用户和安全工具可能比未签名的代码更信任已签名的代码,即使他们不知道谁颁发了证书或谁是作者。
在代码签名之前,攻击者可能会购买或窃取代码签名证书用于操作。购买代码签名证书可以使用一个幌子组织,或使用从以前被攻破的实体中窃取的信息,使攻击者能够以该实体的身份向证书提供商验证。攻击者也可以直接从被攻击的第三方那里窃取代码签名材料。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的可视范围之外,因此很难检测到这种行为。检测工作可能集中在相关的后续行为上,如代码签名或安装根证书。
参考推荐
MITRE-ATT&CK-T1588-003