跳转至

T1587-003-开发能力-数字证书

来自ATT&CK的描述

攻击者可能会创建自签名SSL/TLS证书,可在攻击目标期间使用。SSL/TLS证书旨在灌输信任。它们包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们知道他们可以使用该密钥与其所有者进行通信。在自签名的情况下,数字证书将缺乏与第三方证书颁发机构 (CA) 签名相关联的信任元素。

攻击者可能会创建自签名SSL/TLS证书,可用于进一步其操作,例如加密C2流量(例如:使用Web协议的非对称加密),或者如果添加到信任根,甚至启用中间人(即安装根证书)。

创建数字证书后,攻击者可以在其控制的基础设施上安装该证书。

测试案例

CS通过(CDN+证书)powershell上线详细版

https://blog.csdn.net/god_zzZ/article/details/109057803

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

考虑使用可能有助于跟踪Internet站点上使用的证书的服务。在某些情况下,可能会以已知的证书信息为中心,以发现其他攻击者的基础设施。

检测工作可能集中在相关行为上,例如Web协议、非对称加密或安装根证书。

参考推荐

MITRE-ATT&CK-T1587-003

https://attack.mitre.org/techniques/T1587/003/

CS通过(CDN+证书)powershell上线详细版

https://blog.csdn.net/god_zzZ/article/details/109057803