ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1102

术语表: /attack/glossary

Web 服务

攻击者可以使用现有的合法外部 Web 服务将命令转发到受攻击系统。 这些命令还可以包括指向命令与控制 (C2) 基础结构的指针。攻击者可能会在带有嵌入式(通常是混淆/编码的)域名或 IP 地址的 Web 服务上发布内容,即所谓的死点解析器。一旦感染,受害者就会主动接触这些解析器,并被它们重新引导。 作为 C2 机制的流行网站和社交媒体可能会提供大量的掩护,因为在达成攻击之前,网络中的主机可能已经在与它们进行通信。使用常见的服务,比如 Google 或 Twitter 提供的服务,可以让攻击者更容易地隐藏在预期的干扰中。Web 服务提供者通常使用 SSL/TLS 加密,这为攻击者提供了额外的保护。 使用 Web 服务还可以通过恶意软件二进制分析保护后端 C2 基础设施不被发现,同时还可以支持操作弹性(因为这个基础设施可能会动态更改)。

缓解

可使用防火墙和 Web 代理执行外部网络通信策略。 组织可能难以阻止特定服务,因为在业务过程中常常使用这些服务。 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常协议中的唯一标志,可能基于特定的攻击者或工具使用的特定协议或编码命令,并且可能在不同的恶意软件系列和版本之间不同。 攻击者可能会随着时间的推移修改工具 C2 签名,或者以这种方式构造协议以规避常见防御工具的检测。

检测

有关使用网络连接的未知可疑进程活动的主机数据对于增强基于恶意软件命令与控制签名以及基础设施或存在强加密的任何现有攻击指标非常重要。 如果数据被加密,数据包捕获分析将需要 SSL / TLS 检查。分析不常见数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。用户行为监控有助于检测异常的活动模式。 分析数据包内容以检测不符合所使用端口的预期协议行为的通信。