译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1200
术语表: /attack/glossary
计算机附件、计算机或网络硬件可以作为获得执行的载体引入系统。 虽然 APT 组织使用的公共引用很少,但是许多渗透测试人员利用硬件添加来获得初始访问。 商业和开源产品利用了被动网络访问 、中间人破解 、击键注入 、通过 DMA 读取内核内存、向现有网络 添加新的无线访问等功能。
建立网络访问控制策略,如使用设备证书和 802.1x 标准。 将 DHCP 的使用限制在已注册的设备上,以防止未注册的设备与可信系统通信。 通过终端安全配置和监视代理拦截未知设备和附件。
资产管理系统可以帮助检测不应存在于网络中的计算机系统或网络设备。 终端传感器可以通过 USB、Thunderbolt 和其他外部设备通信端口检测添加的硬件。