跳转至

T1608-001-阶段性能力-上传恶意软件

来自ATT&CK的描述

攻击者可能会将恶意软件上传到第三方或攻击者控制的基础设施上,使其在攻击目标期间可以访问。恶意软件可以包括有效载荷、诱饵、后渗透工具、后门和其他各种恶意程序。攻击者可能会上传恶意软件以支持他们的行动,例如将有效载荷放在互联网可访问的网络服务器上,使受害者网络可以使用入侵工具传输。

恶意软件可能被放置在以前被攻击者购买或租用的基础设施上(购买基础设施)或被他们破坏的基础设施(盗取基础设施)。恶意软件也可以放在网络服务上,如GitHub或Pastebin。

攻击者可能会将备份文件,如应用程序二进制文件、虚拟机图像或容器图像,上传到第三方软件商店或存储库(例如:GitHub、CNET、AWS社区AMI、Docker Hub)。偶然的机会,目标组织人员可能会通过用户执行直接下载或安装这些被反屏蔽的文件。巧妙的伪装可能会增加用户错误地执行这些文件的机会。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的破坏后阶段,如用户执行或入侵工具转移。

相关TIP

[[T1608-002-阶段性能力-上传工具]] [[T1608-003-阶段性能力-安装数字证书]] [[T1608-004-阶段性能力-Drive-by Target]] [[T1608-005-阶段性能力-Link Target]]

参考推荐

MITRE-ATT&CK-T1608-001

https://attack.mitre.org/techniques/T1608/001/