跳转至

T1588-005-获取能力-漏洞利用

来自ATT&CK的描述

攻击者可能会购买、窃取或下载可在攻击目标过程中使用的漏洞。漏洞利用了一个错误或漏洞,以使计算机硬件或软件发生非预期或意料之外的行为。与其开发自己的漏洞,攻击者可能从网上找到/修改漏洞,或从漏洞供应商那里购买漏洞。

除了从互联网上下载免费的漏洞外,攻击者还可能从第三方实体购买漏洞。第三方实体可以包括专门从事漏洞开发的技术公司、犯罪市场(包括漏洞工具包)或个人。除了购买漏洞,攻击者还可能从第三方实体(包括其他攻击者)窃取和重新利用漏洞。

攻击者可能会监控漏洞提供者的论坛,以了解现有的以及新发现的漏洞的状态。在发现漏洞和公开漏洞之间通常会有延迟。攻击者可能以那些已知进行漏洞研究和开发的系统为目标,以便获得知识,在后续行动中使用。

攻击可者能在攻击生命周期的各个阶段使用漏洞(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在与使用漏洞有关的行为上(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。

参考推荐

MITRE-ATT&CK-T1588-005

https://attack.mitre.org/techniques/T1588/005/