获取访问权限

对手可能会购买或以其他方式获取对目标系统或网络的现有访问权限。各种在线服务和初始访问代理网络可用于出售对先前被破坏系统的访问权限。(引用: Microsoft Ransomware as a Service)(引用: CrowdStrike Access Brokers)(引用: Krebs Access Brokers Fortune 500) 在某些情况下，对手团体可能会形成合作伙伴关系，共享彼此的被破坏系统。(引用: CISA Karakurt 2022) 对被破坏系统的立足点可能采取多种形式，例如对种植的后门（例如 Web Shell）的访问或通过 外部远程服务 建立的访问。在某些情况下，访问代理会在被破坏的系统中植入“负载”，供付费客户安装额外的恶意软件。(引用: Microsoft Ransomware as a Service) 通过利用现有的访问代理网络，而不是开发或获取自己的初始访问能力，对手可以减少在目标网络上获得立足点所需的资源，并将精力集中在妥协的后期阶段。对手可能优先获取已确定缺乏安全监控或具有高权限的系统，或属于特定行业的组织的系统。(引用: Microsoft Ransomware as a Service)(引用: CrowdStrike Access Brokers) 在某些情况下，购买 IT 承包、软件开发或电信等行业的组织的访问权限可能允许对手通过 受信任关系、多因素认证拦截 甚至 供应链妥协 来妥协其他受害者。 注意： 虽然此技术与其他行为（如 购买技术数据 和 凭证）不同，但它们通常会结合使用（尤其是在获取的立足点需要 有效账户 的情况下）。