跳转至

T1608-005-阶段性能力-Link Target

来自ATT&CK的描述

攻击者可能会将链接所引用的资源放在适当的位置,以便在针对特定目标时使用。攻击者可能依靠用户点击一个恶意链接来泄露信息(包括证书)或获得执行,如恶意链接。链接可用于鱼叉式网络钓鱼,如发送一封电子邮件,并伴有社会工程文本,以哄骗用户主动点击或在浏览器中复制和粘贴一个URL。在网络钓鱼获取信息(如鱼叉式链接)或网络钓鱼获得对系统的初始访问(如鱼叉式链接)之前,攻击者必须为鱼叉式链接的链接目标设置资源。

通常情况下,链接目标的资源将是一个HTML页面,可能包括一些客户端脚本,如JavaScript,以及决定向用户提供什么内容。攻击者可能会克隆合法网站作为链接目标,这可能包括克隆合法网络服务的登录页面或组织的登录页面,在鱼叉式网络钓鱼链接期间获取凭据。

在获取基础设施(域名)期间,攻击者可能会购买与合法域名相似的域名(例如:同音字、错别字、不同的顶级域名等),以帮助促进恶意链接。也可以使用短域名服务。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动的大部分将发生在目标组织的可见性之外,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的其他阶段,例如在网络钓鱼链接或恶意链接期间。

参考推荐

MITRE-ATT&CK-T1608-005

https://attack.mitre.org/techniques/T1608/005/