跳转至

T1608-002-阶段性能力-上传工具

来自ATT&CK的描述

攻击者可能会将工具上传到第三方或攻击者控制的基础设施上,使其在目标攻击期间可以使用。工具可以是开放或闭源的,免费或商业的。工具可被攻击者用于恶意目的,但这些工具的设计初衷(与恶意软件不同)并不打算用于这些目的(例如:PsExec)。攻击者可能会上传工具以支持他们的行动,例如将工具放在互联网可访问的网络服务器上,让受害者网络可以使用,以实现入侵工具传输。

工具可能被放置在攻击者之前购买或租用的基础设施上(购买基础设施),或者被他们以其他方式破坏(盗取基础设施)。工具也可以被放置在网络服务上,例如攻击者控制的GitHub repo。

攻击者可以通过让被攻击的受害者机器直接从第三方托管位置(例如:非攻击者控制的GitHub repo)下载工具,包括工具的原始托管网站,来避免上传工具的需要。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的后渗透阶段,如入侵工具转移。

参考推荐

MITRE-ATT&CK-T1608-002

https://attack.mitre.org/techniques/T1608/002/