T1583.005

بات‌نت

Botnet

توضیحات

مهاجمان بات‌نت‌هایی را خریداری یا اجاره می‌کنند که می‌توانند برای حملات DDoS، توزیع اسپم، فیشینگ یا سایر عملیات استفاده شوند. بات‌نت‌ها شبکه‌ای از سیستم‌های آلوده هستند که توسط مهاجم کنترل می‌شوند. استفاده از بات‌نت‌های موجود به مهاجم اجازه می‌دهد عملیات گسترده‌ای را با هزینه کم انجام دهد.

روش‌های شناسایی

پایش ترافیک شبکه برای الگوهای بات‌نت. شناسایی ارتباطات با سرورهای C2 شناخته‌شده بات‌نت. استفاده از اطلاعات تهدید برای شناسایی IP های بات‌نت.

روش‌های مقابله

مسدودسازی IP های شناخته‌شده بات‌نت. استفاده از DNS filtering. پیاده‌سازی egress filtering. نظارت بر ترافیک غیرعادی.

تکنیک اصلی

T1583Acquire Infrastructure

تهیه زیرساخت

مهاجمان زیرساختی را خریداری، اجاره یا به دست می‌آورند که می‌توانند در طول هدف‌گیری از آن استفاده کنند. این زیرساخت می‌تواند برای میزبانی C2، صفحات فیشینگ، توزیع بدافزار یا سایر مراحل حمله استفاده شود. استفاده از زیرساخت خریداری‌شده به مهاجم کمک می‌کند تا ردپای خود را پنهان کند و شناسایی را دشوارتر سازد.

سایر زیرتکنیک‌ها (7)

T1583.001 · دامنه‌ها T1583.002 · سرور DNS T1583.003 · سرور مجازی خصوصی T1583.004 · سرور T1583.006 · سرویس‌های وب T1583.007 · سرورلس T1583.008 · تبلیغات مخرب