跳转至

T1588-004-获取能力-数字证书

来自ATT&CK的描述

攻击者可能会购买和窃取SSL/TLS证书,以便在攻击目标中使用。SSL/TLS证书是为了灌输信任。它们包括关于密钥的信息,关于其所有者身份的信息,以及一个实体的数字签名,该实体已经验证了证书的内容是正确的。如果签名是有效的,并且检查证书的人信任签名者,那么他们就知道可以使用该钥匙与证书所有者进行通信。

攻击者可能会购买或窃取SSL/TLS证书,以推进他们的行动,如加密C2流量(例如:网络协议的非对称加密法),甚至启用中间人,如果证书被信任或以其他方式添加到信任根(即安装根证书)。数字证书的购买可以使用一个幌子组织,或使用从以前被攻破的实体中窃取的信息,使攻击者能够以该实体的身份向证书提供者验证。攻击者也可以直接从被攻击的第三方那里窃取证书材料,包括从证书颁发机构那里。攻击者可以注册或劫持他们以后要购买SSL/TLS证书的域名。

有一些证书颁发机构允许攻击者免费获得SSL/TLS证书,如域名验证证书。

获得数字证书后,攻击者可能会在其控制的基础设施上安装该证书。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

考虑使用可能有助于跟踪新颁发的证书或互联网上的网站使用的证书的服务。在某些情况下,有可能通过已知的证书信息来发现其他攻击者的基础设施。攻击者工具的一些服务器端组件可能为SSL/TLS证书设置了默认值。

检测工作可能集中在相关行为上,如网络协议、非对称加密或安装根证书。

参考推荐

MITRE-ATT&CK-T1588-004

https://attack.mitre.org/techniques/T1588/004/