ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1017

术语表: /attack/glossary

应用部署软件

攻击者可以使用企业管理员使用的应用程序部署系统将恶意软件部署到网络中的系统。此操作所需的权限因系统配置而异;直接访问部署服务器可能需要本地凭据或特定的域凭据。但是,系统可能需要管理帐户才能登录或执行软件部署。

拥有网络范围或企业范围的软件部署系统的访问权限使攻击者能够在与该系统连接的所有系统上执行远程代码。该访问可用于横向移动到系统,收集信息或产生特定效果,例如擦除所有终端上的硬盘。

缓解

仅向有限的授权管理员授予对应用程序部署系统的访问权限。通过使用防火墙、帐户权限分离、组策略和多因素身份验证,确保关键网络系统具有正确的系统和访问隔离。确保可用于访问部署系统的帐户凭据是唯一的且不在整个企业网络中使用。定期对部署系统打补丁,防止通过漏洞利用进行远程访问。如果应用程序部署系统可以配置为仅部署已签名的二进制文件,请确保可信签名证书不与应用程序部署系统位于同一位置,而是位于无法远程访问或远程访问受到严格控制的系统上。

检测

从辅助系统监控应用程序部署。定期执行应用程序部署,以突出非正常部署活动。监控与已知良好软件无关的进程活动。监控部署系统上的帐户登录活动。