跳转至

T1583-006-购买基础设施-web服务

来自ATT&CK的描述

攻击者可以注册可在攻击目标期间使用的网络服务。有各种流行的网站供攻击者注册基于网络的服务,这些服务可以在攻击生命周期的后期阶段被滥用,例如在指挥和控制(网络服务)或通过网络服务渗透期间。使用常见的服务,如谷歌或Twitter提供的服务,使攻击者更容易隐藏在预期的噪音中。通过利用网络服务,攻击者可以使其(威胁追溯上)难以在物理上将行动与之联系起来。

测试案例

利用github web服务构建恶意下载链接等。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在指挥和控制(网络服务)或通过网络服务渗透期间。

参考推荐

MITRE-ATT&CK-T1583-006

https://attack.mitre.org/techniques/T1583/006/