T1584.001

دامنه‌ها

Domains

توضیحات

مهاجمان دامنه‌های موجود و قانونی را به خطر می‌اندازند تا از آن‌ها در عملیات استفاده کنند. دامنه‌های به خطر افتاده دارای تاریخچه و اعتبار هستند که شناسایی آن‌ها را دشوارتر می‌کند. روش‌های به خطر انداختن شامل هک پنل مدیریت دامنه، سرقت اعتبارنامه registrar یا سوءاستفاده از آسیب‌پذیری‌های DNS است.

روش‌های شناسایی

پایش تغییرات غیرمجاز در رکوردهای DNS. نظارت بر دامنه‌هایی که رفتار غیرعادی نشان می‌دهند. استفاده از اطلاعات تهدید برای شناسایی دامنه‌های در معرض خطر.

روش‌های مقابله

استفاده از domain locking برای جلوگیری از انتقال غیرمجاز. پیاده‌سازی DNSSEC. استفاده از MFA برای پنل مدیریت دامنه. پایش منظم رکوردهای DNS.

تکنیک اصلی

T1584Compromise Infrastructure

به خطر انداختن زیرساخت

مهاجمان به جای خرید زیرساخت جدید، زیرساخت موجود شخص ثالث را به خطر می‌اندازند. این رویکرد به مهاجم اجازه می‌دهد از اعتبار و تاریخچه قانونی زیرساخت قربانی استفاده کند و شناسایی را دشوارتر سازد. زیرساخت به خطر افتاده ممکن است شامل سرورها، دستگاه‌های شبکه، دامنه‌ها یا سرویس‌های ابری باشد.

سایر زیرتکنیک‌ها (7)

T1584.002 · سرور DNS T1584.003 · سرور مجازی خصوصی T1584.004 · سرور T1584.005 · بات‌نت T1584.006 · سرویس‌های وب T1584.007 · سرورلس T1584.008 · دستگاه‌های شبکه