跳转至

T1584-003-盗取基础设施-虚拟专用服务器

来自ATT&CK的描述

攻击者可能会盗取第三方的虚拟专用服务器(VPS),这些服务器可以在攻击目标期间使用。有各种云服务提供商将虚拟机或容器作为一种服务出售。攻击者可以盗取由第三方实体购买的VPS,作为基础设施的VPS,攻击者可以使其难以在物理上将行动与自己联系起来。

盗取VPS用于攻击生命周期的后期阶段,如指挥和控制,可以让攻击者受益于与更高声誉的云服务提供商相关的普遍性和信任,以及受感染的第三方增加的信任。

测试案例

虚拟专用服务器(英语:Virtual private server,缩写为 VPS),是将一台服务器分割成多个虚拟专享服务器的服务。实现VPS的技术分为容器技术和虚拟机技术 。在容器或虚拟机中,每个VPS都可分配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS为用户提供了管理配置的自由,可用于企业虚拟化,也可以用于IDC资源租用。 IDC资源租用,由VPS提供商提供。不同VPS提供商所使用的硬件VPS软件的差异,及销售策略的不同,VPS的使用体验也有较大差异。尤其是VPS提供商超卖,导致实体服务器超负荷时,VPS性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器VPS的价格都高于虚拟机VPS的价格。 这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。每个VPS主机都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。VPS主机用户可在服务器上自行安装程序,单独重启主机。(ps:不做过多介绍,懂得都懂)

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。

参考推荐

MITRE-ATT&CK-T1584-003

https://attack.mitre.org/techniques/T1584/003/