ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1109

术语表: /attack/glossary

组件固件

攻击者可以使用多个具有不同命令与控制协议的远程访问工具来规避检测。 如果一种类型的工具被检测到并被屏蔽或删除,而组织没有完全了解攻击者的工具和访问权限,那么攻击者将能够维持对网络的访问权限。 攻击者还可能试图获得对有效帐户的访问权,以使用外部远程服务(如外部 vpn) 来维护访问权限,尽管目标网络中部署的远程访问工具会受到干扰。 可以使用 Web Shell 来通过外部可访问的 Web 服务器维持对某一网络的访问权限。

缓解

防止攻击者访问特权帐户或执行此技术所需的资源。 考虑删除和更换怀疑受到攻击的系统组件。

检测

设备驱动程序(即进程和 API 调用)和/或智能(自我监控、分析和报告技术) 磁盘监控提供的数据和遥测,可能会揭露组件的恶意操纵。 否则这种技术可能难以检测,因为恶意活动可能发生在 OS 安全和完整性机制权限之外的系统组件上。 磁盘检查和对实用程序进行取证分析 可能会揭露恶意固件的标志,如字符串、意外的磁盘分区表项或需要进行深入调查的异常内存块。 还可以考虑将组件(包括组件固件和行为的散列)与已知的良性映像进行比较。