ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1091

术语表: /attack/glossary

通过可移动媒体进行复制

攻击者可以通过将恶意软件复制到可移动的媒体上,利用媒体插入系统并执行的自动运行特性,转移到系统,这些系统大概在未连通或气隙网络上。在横向移动 (Lateral Movement) 中,可以修改可移动媒体中的可执行文件,或者复制恶意软件并将其重命名,使其看起来像合法文件,从而诱使用户在独立的系统上执行它。对于初始访问(Initial Access),可以通过手动操作媒体、修改用于初始格式化媒体的系统或修改媒体本身的固件来实现。

缓解

如果不需要,禁用 Autorun。 如果业务操作不需要可移动媒体, 在组织策略级别上禁用或限制可移动媒体。

识别可能被用来感染可移动媒体或可能由受污染的可移动媒体导致的潜在恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它。

检测

监控可移动媒体上的文件访问。 检测在可移动媒体被挂载或由用户启动后执行的进程。 如果以这种方式使用远程访问工具来横向移动,那么在执行之后可能会发生其他操作,例如打开用于命令与控制的网络连接以及披露系统和网络信息。