测试恶意软件以规避检测 攻击者可以在具有网络安全保护的系统上运行他们的代码,如反病毒产品,以查看其代码是否被检测到。他们还可以在免费的公共服务上测试他们的恶意软件。 检测 可通过常见防御检测(是/否/...
ATT&CK - 创建自定义的有效载荷
创建自定义的有效载荷 有效载荷是恶意软件执行恶意行为的一部分。当不存在具有所需功能或针对特定环境的载荷时,攻击者可以创建自定义有效载荷。 检测 可通过常见防御检测(是/否/部分): 否 解释: 由于 ...
ATT&CK -
Friend/Follow/Connect感兴趣的目标 一旦角色建立完成,攻击者就会使用它来创建与感兴趣目标的连接。这些联系可以是直接的,也可以包括尝试通过其他连接。 检测 可通过常见防御检测(是/否...
ATT&CK - 攻击第三方基础设施以支持交付
攻击第三方基础设施以支持交付 攻击者可能会破坏基础设施并将其用于部分或整个攻击周期,而不是购买、租赁或租用基础设施。 检测 可通过常见防御检测(是/否/部分): 否 解释:防御者无法查看第三方网站,除...
ATT&CK - 常见的、高容量的协议和软件
常见的、高容量的协议和软件 某些类型的流量(例如 Twitter14、HTTP) 比其他类型更常用。使用更常见的协议和软件可能会使攻击者的流量更难与合法流量区分开来。 检测 可通过常见防御检测(是/否...
ATT&CK - 评估物理位置的安全状况
评估物理位置的安全状况 某些类型的攻击行动可能需要物理访问。 检测 可通过常见防御检测(是/否/部分):是 解释: 物理安全性通常不知道物理访问网络的影响。然而,一些组织有彻底的物理安全措施,可以记录...
ATT&CK - 分析组织技能和不足
分析组织技能和不足 分析目标的优点和缺点,找出潜在的攻击重点。 检测 可通过常见防御检测(是/否/部分): 否 解释:可以在收集数据之后脱机完成。 对于攻击者的难度 对于攻击者是容易的 (是/否): ...
ATT&CK - 确定物理位置
确定物理位置 物理位置信息可能被攻击者用来尝试社会工程(语言、文化、事件、天气等)或计划物理行动,如垃圾搜寻或试图访问设施。 检测 可通过常见防御检测(是/否/部分): 否 解释: 攻击者搜索列出防御...
ATT&CK - 识别组织/角色
识别组织/角色 公司内部的人员可能属于一个组,或具有电子专用访问权(access)、权限(authorities)或特权(privilege),从而使他们成为攻击者关注的目标。一个例子是系统管理员。 ...
ATT&CK - 确定第三方基础设施服务
确定第三方基础设施服务 基础设施服务包括操作通信环境所需的硬件、软件和网络资源。这个基础设施可以由第三方而不是拥有它的组织管理。 检测 可通过常见防御检测(是/否/部分): 否 解释:数据在本质上是被...
ATT&CK - 确定战略目标
确定战略目标 攻击者要经历目标选择的迭代过程,这个过程可以从广义上缩小到具体细节(从战略 strategic 到战术 tactical),也可以从狭义上扩大到外部(从战术到战略)。作为这个过程的一部分...
ATT&CK - 进行成本/效益分析
进行成本/效益分析 领导层进行成本/效益分析,产生收集信息的迫切需求,从而触发关键情报主题 (KIT) 或关键情报问题 (KIQ)。例如,攻击者将网络入侵的成本与增加情报收集带来的对于网络攻击者的预期...
270