# Mitre ATT&CK Resource Development ###### MITRE ## Resource Development 攻擊者準備攻擊工具及建設惡意基站的基礎設施，還有準備可能所需要用到的憑證，可能是用竊取或是購買的來源方式，最後還有準備進行社交工程所準備的帳號。 ## 技術細項 1. Acquire Infrastructure - Botnet - DNS Server - Domains - Server - Virtual Private Server - Web Services 使用這些基礎設施解決方案允許攻擊者進行、啟動和執行操作。解決方案可以幫助對手的操作與被視為正常的流量融合，例如與第三方 Web 服務的聯繫。根據實施的不同，攻擊者可能會使用難以與他們進行物理聯繫的基礎設施，也可能利用可以快速配置、修改和關閉的基礎設施。 2. Compromise Accounts - Email Accounts - Social Media Accounts 可能用暴力破解或是釣魚來取得合法帳號，再利用合法帳號之身分進行更多資訊的誘騙 3. Compromise Infrastructure - Botnet - DNS Server - Domains - Server - Virtual Private Server - Web Services 破壞其他企業的網路設施，然後佔領並成為攻擊者的殭屍網路 4. Develop Capabilities - Code Signing Certificates - Digital Certificates - Exploits - Malware 意旨攻擊者的開發技術，包含惡意軟體、漏洞和自簽名證書，可能會建立可在鎖定目標時購買、免費下載或竊取能力。 5. Establish Accounts - Email Accounts - Social Media Accounts 攻擊者會建立社群帳號，接著偽造受害者的好友，最後騙取信任偽冒身份盜取資訊。 6. Obtain CapabilitiesA - Code Signing Certificates - Digital Certificates - Exploits - Malware - Tool - Vulnerabilities 攻擊者透過買/偷來達成所需的攻擊工具，而不是自己開發的。 7. Stage Capabilities - Drive-by Target - Install Digital Certificate - Link Target - Upload Malware - Upload Tool 攻擊者可能會將惡意網頁內容（例如 JavaScript）上傳或註入網站。這可以通過多種方式完成，包括將惡意腳本插入網頁或其他用戶可控制的網頁內容，例如論壇帖子。攻擊者還可能通過合法的廣告提供商製作惡意網絡廣告並在網站上購買廣告空間。除了登台內容以利用用戶的網絡瀏覽器，攻擊者還可以登台腳本內容來分析用戶的瀏覽器（如收集受害者主機信息），以確保它在嘗試利用之前容易受到攻擊。 ## 減緩方式 - 黑名單(IP、DNS) - 惡意程式碼特徵收集 - 社交工程演練 - 因大多工作屬於準備階段，並無有效措施來應對駭客在開發階段的預防 ## 偵測 - 網路掃描 - 網路流量 - 憑證註冊 - 域名 - 惡意程式的Metadata - 人員行為