ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1105

术语表: /attack/glossary

远程文件复制

攻击者在操作过程中,可以将文件从一个系统复制到另一个系统以暂存攻击者的工具或其他文件。 可以通过命令与控制信道从外部攻击者控制系统复制文件,从而将工具放入受害者网络,或通过与 FTP 等其他工具的备用协议复制。 也可以使用 scp,rsync 和 sftp 等本机工具在 Mac 和 Linux 上复制文件。 攻击者还可以在内部受害者系统之间横向复制文件,以支持使用固有文件共享协议进行远程执行的横向移动,例如通过 SMB 与连接的网络共享或使用 Windows 管理员共享或远程桌面协议的经过身份验证的连接进行文件共享。

缓解

网络入侵检测和防御系统使用网络签名来识别特定恶意软件的流量或通过 FTP 等已知工具和协议进行异常数据传输,可用于缓解网络级别的活动。签名通常是协议中的唯一标志,并且可以基于特定攻击者或工具使用的特定混淆技术,可能在各种恶意软件系列和版本之间不同。攻击者可能会随着时间的推移改变工具 C2 签名或构建协议,以避免被常见的防御工具检测到。

检测

监控文件创建和通过 SMB 在网络中传输的文件。包含在系统上创建文件的外部网络连接的异常进程可能是可疑的。使用通常不会用到的实用程序(如 FTP)也可能存在问题。

分析不常见数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。利用通常不具有网络通信或从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。