ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1108

术语表: /attack/glossary

冗余访问

攻击者可以使用多个具有不同命令与控制协议的远程访问工具来规避检测。 如果一种类型的工具被检测到并被屏蔽或删除,而组织没有完全了解攻击者的工具和访问权限,那么攻击者将能够维持对网络的访问权限。 攻击者还可能试图获得对有效帐户的访问权,以使用外部远程服务(如外部 vpn) 来维护访问权限,尽管目标网络中部署的远程访问工具会受到干扰。 可以使用 Web Shell 来凭借外部可访问的 Web 服务器维持对某一网络的访问权限。

缓解

识别并拦截可能用作远程访问工具的潜在恶意软件,并在适当情况下使用白名单 工具(如 AppLocker, 或软件限制策略 )对其进行审核和/或拦截。

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常作为协议中的唯一标志,并且在不同的恶意软件系列和版本中会有所不同。 攻击者可能会随着时间的推移修改工具签名,或者以这种方式构造协议以规避常见防御工具的检测。

检测

现有的检测远程访问工具的方法是有用的。 备用远程访问工具或其他访问点可能没有在入侵期间打开已建立的命令与控制通道,因此传输的数据量不如主信道那么大,除非访问丢失。 基于信标流量、命令与控制协议或攻击者基础设施的工具的检测需要有关攻击者可能使用的工具、IP 地址和/或域的预先威胁情报,以及在网络边界检测使用情况的能力。 如果工具可以扫描攻击指标,那么预先了解这些指标也有助于在终端检测攻击者工具。 如果攻击者正在进行入侵并且收集了足够的终端数据或解码的命令与控制流量,那么防御者很可能能够在攻击者执行操作时检测到其丢弃的其他工具。 对于使用外部可访问 vpn 或远程服务的备用访问,请遵循有效帐户(Valid Accounts)和外部远程服务 (External Remote Services) 下的检测建议来收集帐户使用信息。