代理/协议中继 代理是客户获取其他系统资源的中介。使用代理可能使追溯网络通信变得更加困难。 检测 可通过常见防御检测(是/否/部分): 否 解释: 具有标准功能的防御程序通常能够看到第一跳,但并不是后...
ATT&CK - 混淆或加密代码
混淆或加密代码 混淆是创建更难以理解的代码的行为。编码使用公开的格式转换代码。加密对代码进行转换使其需要密钥来解密。 检测 可通过常见防御检测(是/否/部分):是 解释:检测加密是容易的,解密/解混淆...
ATT&CK -
获取域名/ip 注册信息 为了让公众能够访问计算资源,域名和 IP 地址必须向权威的组织注册。 检测 可通过常见防御检测(是/否/部分): 否 解释:对 DNS 注册/路由信息的开放访问是互联网体系结...
ATT&CK - 混淆运营基础设施
混淆运营基础设施 混淆隐藏了新工具、聊天服务器等的日常构建和测试。 检测 可通过常见防御检测(是/否/部分):是 解释: 虽然检测给定的重要样本大小是可能的,但根据使用惟一标识符的方式,检测可能比较困...
ATT&CK - 识别供应链
识别供应链 供应链包括用于将产品或服务从供应商转移到消费者的人员、流程和技术。理解供应链可能为攻击者提供利用供应链中的技术或关系的机会。 检测 可通过常见防御检测(是/否/部分): 否 解释:很难(但...
ATT&CK -
接收经营者的 KITs/KIQs 任务 分析人员可能从收到领导层的情报需求,并开始研究以满足需求。这个过程可能包括描述需要 (need) 和欲望 (want) 之间的关系,以及思考所有可能与满足需求相...
ATT&CK - 确定工作岗位和需求缺口
确定工作岗位和需求缺口 无论是在公司网站上还是在其他论坛上发布的招聘信息,都提供了组织结构方面的信息,并经常提供组织内的某个人联系信息。这可能会向攻击者提供关于组织内的技术的信息,这些技术在攻击中可能...
ATT&CK - 确定空白领域
确定空白领域 领导层确定生成关键情报主题 (KIT) 或关键情报问题 (KIQ) 的迫切需求的空白领域。 检测 可通过常见防御检测(是/否/部分): 否 解释:正常情况下,防御者无法检测。很少有机构和...
ATT&CK - 远程访问工具开发
远程访问工具开发 远程访问工具 (RAT) 是允许用户远程控制系统的软件,就像他们可以物理访问该系统一样。攻击者可以利用现有的 RAT,修改现有的 RAT 或创建自己的 RAT。 检测 可通过常见防御...
ATT&CK - 获得模板/品牌材料
获得模板/品牌材料 攻击者可以使用模板和品牌材料来增加社会工程信息的真实性。 检测 可通过常见防御检测(是/否/部分): 否 解释:攻击者可以从防御者无法监控的公开演示文稿中下载模板或品牌。 对于攻击...
ATT&CK - 挖掘社交媒体
挖掘社交媒体 攻击者可能会调查在 Facebook、Instagram 或 Pinterest 等社交媒体网站上常见的目标的开源信息。社交媒体的设计是公开的,它提供了对被攻击者利用的目标的利益和潜在固...
ATT&CK - 确定分析人员水平的空白领域
确定分析人员水平的空白领域 分析人员确定生成关键情报主题(KIT)或关键情报问题(KIQ)的迫切需求的空白领域。 检测 可通过常见防御检测(是/否/部分): 否 解释:正常情况下,防御者无法检测。很...