跳转至

T1608-003-阶段性能力-安装数字证书

来自ATT&CK的描述

攻击者可能会安装SSL/TLS证书,在攻击过程中可以使用。SSL/TLS证书是可以安装在服务器上的文件,以实现系统之间的安全通信。数字证书包括关于密钥的信息,关于其所有者身份的信息,以及一个实体的数字签名,该实体已经验证了证书的内容是正确的。如果签名是有效的,并且检查证书的人信任签名者,那么他们知道他们可以使用该钥匙与它的所有者进行安全通信。证书可以被上传到服务器上,然后服务器可以被配置为使用证书来实现与它的加密通信。

攻击者可能会安装SSL/TLS证书,用来推进他们的行动,如加密C2流量(例如:网络协议的非对称加密法),或将可信度借给证书采集网站。数字证书的安装可能发生在一些服务器类型上,包括网络服务器和电子邮件服务器。

攻击者可以获得数字证书或创建自签名的证书。然后,数字证书可以被安装在攻击者控制的基础设施上,这些基础设施可能是已经获得的(购买基础设施)或以前被破坏的(盗取基础设施)。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

考虑使用可能有助于跟踪整个互联网上的网站所使用的证书的服务。在某些情况下,有可能以已知的证书信息为支点,发现其他攻击者的基础设施。

检测工作可以集中在相关行为上,如网络协议或非对称密码学。

参考推荐

MITRE-ATT&CK-T1608-003

https://attack.mitre.org/techniques/T1608/003/