T1583.004

سرور

Server

توضیحات

مهاجمان سرورهای فیزیکی یا مجازی را برای استفاده در عملیات خریداری یا اجاره می‌کنند. این سرورها ممکن است برای میزبانی C2، ذخیره داده‌های سرقت‌شده، توزیع بدافزار یا سایر اهداف استفاده شوند. مهاجمان اغلب از سرویس‌های hosting که احراز هویت ضعیف دارند استفاده می‌کنند.

روش‌های شناسایی

استفاده از اطلاعات تهدید برای شناسایی سرورهای مخرب. پایش ارتباطات با سرورهای مشکوک. تحلیل ترافیک شبکه برای شناسایی C2.

روش‌های مقابله

مسدودسازی IP های سرورهای مخرب شناخته‌شده. استفاده از egress filtering. پیاده‌سازی network segmentation.

تکنیک اصلی

T1583Acquire Infrastructure

تهیه زیرساخت

مهاجمان زیرساختی را خریداری، اجاره یا به دست می‌آورند که می‌توانند در طول هدف‌گیری از آن استفاده کنند. این زیرساخت می‌تواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداری‌شده به مهاجم کمک می‌کند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.

سایر زیرتکنیک‌ها (7)

T1583.001 · دامنه‌ها T1583.002 · سرور DNS T1583.003 · سرور مجازی خصوصی T1583.005 · بات‌نت T1583.006 · سرویس‌های وب T1583.007 · سرورلس T1583.008 · تبلیغات مخرب