组织为数十个TTP提供了检测,缓解和补救建议
澳大利亚网络安全中心(ACSC)已发布有关网络攻击通过网络犯罪分子和国家赞助的高级持续威胁(APT)组广泛部署方法。
根据ACSC对2019年和2020年针对澳大利亚组织的网络攻击的调查,咨询概述了攻击者正在访问脆弱系统,渗透数据和执行恶意命令等各种方式。
它还提供信息安全专业人员(在公共部门和私营部门)与MITER&CK框架的网络攻击策略,技术和程序(TTP)有关的检测,缓解和补救指南的链接。
利用滚动电话
上周发布的47个TTP的详尽呼叫跨越了12个类别,包括执行,持久性,防御逃避,证书访问,发现,横向移动,收集,剥落和影响。
举个例子,初始访问类别特征驱动折衷攻击(T1189),在其中,用户下载了Microsoft Access数据库文件,其中有恶意有效载荷,一旦打开,该文件就可以持续访问该系统。
带有扩展名的数据库文件.accde附加到合法的文件扩展名,例如.pdf,,,,.doc和.docx咨询警告说,是受感染工作站的细工子。
ACSC还观察到了rotterpotato的利用被利用以实现特权升级的利用(T1068),为了获得脆弱系统的系统级特权。
敦促网络所有者在其基于主机的监视观察列表中实施一个单一规则,涵盖三个妥协指标。
标准应用层协议(T1071),列表中的唯一命令和控制TTP,功能Web Shell任务和Outlook.com邮箱任务。beplay体育能用吗
ACSC建议网络所有者分析网络,以与合法的Microsoft Outlook和Office365域(例如PowerShell和Microsoft Access流程)进行交流。
一般缓解
ACSC敦促组织实施ASD必不可少的八- 八种基线缓解策略具有“实质上[降低]本咨询中确定的对手TTP的妥协风险的记录”。
该咨询还鼓励Infosec专业人员审查其存在被剥削漏洞并提供TTP的环境。
它补充说:“从该咨询中发现TTP的证据的网络所有者应通过电子邮件与ASD.asd.ass@defence.gov.au联系ACSC,以报告他们的发现并提供进一步的建议。”
