T1584-004-盗取基础设施-服务器
来自ATT&CK的描述
攻击则可能会攻击第三方服务器,这些服务器可以在瞄准目标时使用。使用服务器可以让攻击者策划、发动和执行行动。在攻击后的活动中,攻击者可以利用服务器执行各种任务,包括用于指挥和控制。攻击者可能不购买服务器或虚拟私人服务器,而是利用自己攻击获取的第三方服务器用以支持行动。
攻击者还可能攻击Web务器以支持水坑操作,如Drive-by Compromise。
测试案例
简单来说:就是通过攻击第三方服务器,作为跳板机,俗称“肉鸡”。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
参考推荐
MITRE-ATT&CK-T1584-004