T1587-004-开发能力-漏洞利用
来自ATT&CK的描述
攻击者可能会开发可在攻击目标期间使用的漏洞。漏洞利用了一个错误或漏洞,以使计算机硬件或软件发生非预期或意料之外的行为。与其从网上寻找,修改漏洞或从漏洞供应商那里购买漏洞,攻击者可能会自行挖掘漏洞。攻击者可能会使用通过漏洞获得的信息来集中开发漏洞利用工具。作为漏洞利用开发过程的一部分,攻击者可能会通过模糊测试和补丁分析等方法发现可利用的漏洞。
与合法的开发工作一样,开发漏洞可能需要不同的技能。所需的技能可能位于内部,也可能需要外包。使用承包商可以被认为是该攻击者开发能力的扩展,只要攻击者在制定要求方面发挥作用,并保持对漏洞的独有性。
攻击者可能会在攻击生命周期的各个阶段使用漏洞利用(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭据访问、利用远程服务以及利用应用程序或系统利用)。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作大多集中在与使用漏洞有关的行为上(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。
参考推荐
MITRE-ATT&CK-T1587-004