跳转至

T1588-003-获取能力-代码签名证书

来自ATT&CK的描述

攻击者可能会购买或窃取代码签名证书,以便在攻击目标中使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件的作者并保证代码没有被改变或破坏。代码签名为程序的开发者提供了一定程度的真实性,并保证程序没有被篡改。用户和安全工具可能比未签名的代码更信任已签名的代码,即使他们不知道谁颁发了证书或谁是作者。

在代码签名之前,攻击者可能会购买或窃取代码签名证书用于操作。购买代码签名证书可以使用一个幌子组织,或使用从以前被攻破的实体中窃取的信息,使攻击者能够以该实体的身份向证书提供商验证。攻击者也可以直接从被攻击的第三方那里窃取代码签名材料。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的可视范围之外,因此很难检测到这种行为。检测工作可能集中在相关的后续行为上,如代码签名或安装根证书。

参考推荐

MITRE-ATT&CK-T1588-003

https://attack.mitre.org/techniques/T1588/003/