T1584.004

سرور

Server

توضیحات

مهاجمان سرورهای قانونی را به خطر می‌اندازند تا از آن‌ها به عنوان زیرساخت عملیاتی استفاده کنند. سرورهای به خطر افتاده ممکن است برای میزبانی C2، توزیع بدافزار، ذخیره داده‌های سرقت‌شده یا پروکسی ترافیک استفاده شوند. استفاده از سرورهای قانونی شناسایی را دشوارتر می‌کند.

روش‌های شناسایی

پایش رفتار غیرعادی سرورها. نظارت بر فرایندهای ناشناخته روی سرورها. استفاده از EDR برای شناسایی فعالیت مخرب. بررسی لاگ‌های سرور برای دسترسی‌های غیرمجاز.

روش‌های مقابله

به‌روزرسانی منظم سرورها. استفاده از احراز هویت قوی. پیاده‌سازی intrusion detection. نظارت مستمر بر رفتار سرورها. اعمال اصل حداقل دسترسی.

تکنیک اصلی

T1584Compromise Infrastructure

به خطر انداختن زیرساخت

مهاجمان به جای خرید زیرساخت جدید، زیرساخت موجود شخص ثالث را به خطر می‌اندازند. این رویکرد به مهاجم اجازه می‌دهد از اعتبار و تاریخچه قانونی زیرساخت قربانی استفاده کند و شناسایی را دشوارتر سازد. زیرساخت به خطر افتاده ممکن است شامل سرورها، دستگاه‌های شبکه، دامنه‌ها یا سرویس‌های ابری باشد.

سایر زیرتکنیک‌ها (7)

T1584.001 · دامنه‌ها T1584.002 · سرور DNS T1584.003 · سرور مجازی خصوصی T1584.005 · بات‌نت T1584.006 · سرویس‌های وب T1584.007 · سرورلس T1584.008 · دستگاه‌های شبکه