ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1072

术语表: /attack/glossary

第三方软件

在网络环境中可以使用第三方应用程序和软件部署系统来管理(例如,SCCM、VNC、HBSS、Altiris 等)。如果攻击者获得对这些系统的访问权,那么他们可能能够执行代码。

攻击者可以访问和使用安装在企业网络中的第三方应用程序部署系统。通过访问网络范围或企业范围的软件部署系统,攻击者可以在连接到此类系统的所有系统上远程执行代码。这种访问可以用于横向移动到系统,收集信息,或者产生特定效果,例如清除所有终端上的硬盘驱动器。

此操作所需的权限因系统配置而异;直接访问部署服务器时,本地凭据可能就足够了,也可能需要特定的域凭据。但是,系统可能要求管理员帐户进行登录或执行软件部署。

缓解

评估可用于部署或执行程序的第三方软件的安全性。 确保对部署系统的管理系统的访问是受限的、受监视的和安全的。 对部署系统的使用有严格的批准策略。 仅向有限的授权管理员授予对应用程序部署系统的访问权限。 通过使用防火墙、帐户权限分离、组策略和多因素身份验证,确保关键网络系统具有正确的系统和访问隔离。 确保可用于访问部署系统的帐户凭据是唯一的且不在整个企业网络中使用。 定期对部署系统打补丁,防止通过漏洞利用进行远程访问。 如果应用程序部署系统可以配置为仅部署已签名的二进制文件,请确保可信签名证书不与应用程序部署系统位于同一位置,而是位于无法远程访问或远程访问受到严格控制的系统上。

检测

第三方软件或系统的类型以及通常的使用方式不同,检测方法也会有所不同。 这里可以应用与其他潜在恶意活动相同的检测过程,其中分布向量最初是未知的,但是结果行动遵循可识别的模式。 分析进程执行树、来自第三方应用程序的历史活动(例如通常推送的文件类型),以及从文件/二进制文件/脚本推送到系统的结果活动或事件。 通常,这些第三方应用程序都有自己的日志,可以收集这些日志并将其与环境中的其他数据关联。 审核软件部署日志并查找可疑或未经授权的活动。 通常不用于将软件推送到客户端的系统,突然在已知的管理功能之外用于此任务时可能是可疑的。 定期执行应用程序部署,以突出非正常部署活动。 监控与已知良好软件无关的进程活动。 监控部署系统上的帐户登录活动。