T1583.001

دامنه‌ها

Domains

توضیحات

مهاجمان دامنه‌هایی را ثبت می‌کنند که می‌توانند در طول عملیات از آن‌ها استفاده کنند. این دامنه‌ها ممکن است برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب دامنه‌هایی را انتخاب می‌کنند که شبیه دامنه‌های قانونی هستند (typosquatting) یا از دامنه‌های منقضی‌شده با تاریخچه خوب استفاده می‌کنند.

روش‌های شناسایی

پایش ثبت دامنه‌های مشابه دامنه سازمان (typosquatting). استفاده از سرویس‌های هوشمند تهدید برای شناسایی دامنه‌های مخرب. نظارت بر Certificate Transparency logs برای دامنه‌های مشکوک.

روش‌های مقابله

ثبت دامنه‌های مشابه دامنه سازمان برای جلوگیری از typosquatting. پایش منظم دامنه‌های مشابه. استفاده از سرویس‌های هوشمند تهدید. مسدودسازی دامنه‌های مشکوک در DNS.

تکنیک اصلی

T1583Acquire Infrastructure

تهیه زیرساخت

مهاجمان زیرساختی را خریداری، اجاره یا به دست می‌آورند که می‌توانند در طول هدف‌گیری از آن استفاده کنند. این زیرساخت می‌تواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداری‌شده به مهاجم کمک می‌کند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.

سایر زیرتکنیک‌ها (7)

T1583.002 · سرور DNS T1583.003 · سرور مجازی خصوصی T1583.004 · سرور T1583.005 · بات‌نت T1583.006 · سرویس‌های وب T1583.007 · سرورلس T1583.008 · تبلیغات مخرب