T1608-004-阶段性能力-Drive-by Target
来自ATT&CK的描述
攻击者可能会准备一个操作环境来感染在正常浏览过程中访问网站的系统。端点系统可能通过浏览攻击者控制的网站而被入侵,就像Drive-by Compromise中的情况。在这种情况下,用户的网络浏览器通常是利用的目标(一旦登陆网站,通常不需要任何额外的用户互动),但攻击者也可能为非利用行为(如应用访问标记)设置网站。在进行“偷渡式”破坏之前,攻击者必须准备好必要的资源,以便向浏览到攻击者控制的网站的用户提供这种利用。偷渡内容可以在攻击者控制的基础设施上上演,这些基础设施已经获得(购买基础设施)或以前被破坏(盗取基础设施)。
攻击者可能会上传或注入恶意的网络内容,如JavaScript。这可以通过多种方式实现,包括将恶意脚本插入网页或其他用户可控制的网络内容,如论坛帖子。攻击者也可以制作恶意的网络广告,并通过合法的广告供应商购买网站上的广告空间。除了放置内容以利用用户的网络浏览器外,攻击者还可能放置脚本内容来描述用户的浏览器(如收集受害者主机信息),以确保其在尝试利用前是脆弱的。
被攻击者攻破并用于实施偷渡的网站可能是特定群体访问的网站,如政府、特定行业或地区,其目的是基于共同的兴趣,攻破特定用户或一组用户。这种有针对性的攻击被称为战略网络攻击或水坑攻击。
攻击者在获取基础设施(域名)的过程中,可能会购买与合法域名类似的域名(例如:同音字、错别字、不同的顶级域名等),以帮助促进偷渡式破坏。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动的大部分将发生在目标组织的可见性之外,因此很难检测到这种行为。检测工作可能会集中在攻击生命周期的其他阶段,例如通过妥协或利用客户端执行。
参考推荐
MITRE-ATT&CK-T1608-004