一、背景ATT&CK攻击矩阵(Enterprise)共有11列。对不同环节、不同目标的攻击技术进行了分离和总结,对防御者具有重要的参考意义,SOC可以将安全设备的覆盖能力、防御方式、检测规则、情报等映射到矩阵中,从而感知SOC当前的检测和防御能力,规划未来的方向。但是,ATT&CK矩阵并不是灵丹妙药,值得思考的问题有很多:(1)防御和检测能力的矩阵覆盖评估是否应该为0和1?(2)对于某个技术环节,目前已经能够完全防御或检测。是不是以后就不用关注和投入人力了?(3)对于某种攻击技术,企业不同区域环境(总部和分支机构、各供应商、BYOD)是否具有相同的防御和检测能力?BITSJobs--T1197SecurityEquipmentCoverageDefenseCapabilitiesDetectionCapabilities北京总部EDRDLPStrong上海分公司DLPWeakStrong广州分公司NoneNoneWeak(四)矩阵第11列,是否需要防御者的资源投入?同等重要程度?如果不同,优先顺序是什么?(5)矩阵中每一列的不同技术和子技术对防御者的资源投入是否同等重要?如果不同,优先顺序是什么?在本系列文章中,作者将对ATT&CK矩阵的技术进行详细分析,并深入探讨每一项技术,以及这些技术在企业环境中应该做的防御和检测部署。在本文中,让我们进入ATT&CK矩阵的第三栏:IntialAccess,详细分析其中涉及到哪些技术以及企业安全工作的建设涉及哪些内容。2.技术介绍(1)Drive-byCompromise的主要思想是puddleattack。笔者在之前的文章中已经详细介绍了该技术以及SOC防御需要收集的日志。请参考https://www.freebuf.com/articles/es/336620.html。(2)ExploitPublic-FacingApplication直译为“使用面向公众的应用程序”。翻译后很容易理解。事实上,它是渗透测试人员和许多CTF竞赛中最常见的。攻击方式,攻击对外暴露的服务(可从任何外部网络访问的系统),包括的具体攻击目标不限于:Web系统、邮件服务、VPN服务、负载均衡等。其中,最受欢迎的应该是web系统。由于各种语言、框架、组件层出不穷,出现了一批又一批针对性的漏洞,可以说是让安全工作者有了一份踏实的工作。同时,企业应该在对Web系统的攻防上投入最大的资源。下一代防火墙、WAF、流量分析设备、HIDS、RASP等安全设备、应用程序和机制都得到了很好的保护。应用。(3)外部远程服务外部远程服务主要是指企业向内部员工和供应商开放的外部服务,如VPN、API、SSH服务、RDP服务、Citrix等云桌面、邮件系统等。这些服务通常有针对性的服务对象,因此可以做一定的限制,如限制源IP访问、MFA、端口敲门技术(参考ATT&CK-T1205.001)、MAC绑定等。(4)HardwareAdditions在目标环境中添加硬件主要是物理渗透的场景,比如物理接触目标机器,通过PE系统进入机器完成攻击;将U盘或BadUSB扔到目标公司大厅钓鱼等。(5)Phishing,笔者认为是HW等各种攻防对抗中最简单、杀伤力最强的攻击方式。网络钓鱼电子邮件无处不在。如果企业环境中没有配置商业邮件网关和Exchange杀毒模块,都不好意思说我重视安全。SPF、DKIM、DMARC、邮件杀毒模块都一样,面对APT级别的攻击者有用吗?无用!对邮件投递做白名单限制,限制附件后缀,不允许投递可执行文件,不允许投递加密压缩包,但是攻击者也可以通过钓鱼页面(参考gophish框架)进行钓鱼,安全性再高我们进行意识培训,我们要坚信普通用户一定会中招。但是,网络钓鱼只是通过邮件吗?并不真地。企业可以完全监控邮件投递过程,并进行回溯分析,但不一定要通过其他方式。微信、QQ、钉钉等各种IM软件也可用于钓鱼,防御成本巨大。在前段时间发生在搜狐的钓鱼事件中,攻击者使用了一种新的二维码方式。看到二维码,正常人的反应是拿出微信扫一扫。这种“扫描”的后续过程安全卫士们完全无法控制,真是防不胜防。(6)可移动介质复制可移动介质复制主要是指通过USB等可移动设备将恶意程序传递到目标机器,然后通过各种自动执行技术完成恶意程序的执行。(7)SupplyChainCompromise供应链攻击,一种通俗易懂的攻击方式,捕获企业使用的上游硬件设备,如芯片级后门;危害企业使用的软件源,比如之前的PYPI仓库中毒,如果你不小心把requests写成了你的Python包引用中的requests,那么很不幸,你的电脑甚至你同事的电脑可能已经是别人的了。(8)信任关系攻击通过信任关系,通常企业有或多或少的供应商,承包不同的服务内容,供应商通常需要访问部分或全部内部系统,不可避免地要对供应商进行授权。与供应商的“信任”关系是否可信?今年年初,LAPSUS$组织高调宣布:他们通过“购买”和“欺骗”的方式直接获取企业用户或供应商的账户,只需通过纸币能力即可完成InitialAccess。所以权限控制也很重要。(9)ValidAccounts,就像“无论进行多少安全意识培训,我们都要坚信普通用户会中招”的结论一样,我们也要坚信企业环境下的账户密码一定会被泄露对于攻击者来说,也就是说,攻击者必须能够获取到企业环境中某些系统的账号密码。为什么这么肯定?首先,弱口令难以根除。即使制定了复杂的密码策略,也一定有聪明的用户巧妙地绕过密码策略,设置一些“弱密码”。长度不少于8个字符的特殊符号似乎是一个很强的策略。但有些用户必须设置密码为:“Aa123!@#”。显然,这个密码是符合我们设置的高复杂度密码策略的。是的,但是这个密码弱吗?非常弱!在攻击者常用的任何词典中找到它,它就会在那里。其次,在不同的系统中重复使用相同的密码是大部分用户的习惯,这也很好理解,因为没有onepassword这样的工具,我们无法用人脑记住大量不同的密码(除非密码被记录在txt文件,然后把这个文件放在桌面上,没错,像你这样的攻击者就是这样记录密码的,呵呵),不同的系统使用相同的密码,很容易造成外部系统密码在社会工程数据库中泄露(不能保证所有系统都用盐加密存储密码,也不能保证盐加密一直有效),相当于泄露了公司系统的密码。3.归纳与延伸(1)初始访问内容归纳这个环节的攻击技术目标是什么?通过上面的介绍不难看出,其实就是红队常说的“管理”。虽然ATT&CK矩阵中的每一列技术不一定都用于一次攻击,但11列技术仍然是按顺序排列的。InitialAccess技术完成攻击后,会进入Execution环节。什么是执行?是恶意程序的执行,所以在执行前的第一步,攻击的目标其实是联系目标环境,投递恶意样本,只有投递后才能执行。(2)攻击技术扩展了ATT&CK中InitialAccess中的9种技术(Techniques),整体可以归纳为下表中的6种,那么这些不同类型的攻击技术具体的攻击流程(Procedures)是怎样的,他们应该如何辩护?(Mitigations),如何检测(Detection)?接下来我们开始详细分析。序列号攻击类型特点1钓鱼简单有效2Puddle攻击实施难度大3物理接触——可移动媒体设备需要一定程度的物理接触4互联网边界漏洞企业安全防御工作重点5供应链攻击难度大执行力和杀伤力极强6.维权者很难获得社会工作者的许可。猎头、HR欺骗员工、虚假客户、供应商欺骗客服等各类社工。虽然攻击手段五花八门,属于“攻易守难”的范畴,但我们安全工作者也不能坐以待毙。我们还需要做到以下几点:加强邮件基础设施,如SPF、DKIM、DMARC、Email杀毒模块、沙箱检测(尽量向左移动)、YARA检测b.加固网络基础设施,例如禁用不支持MFA的网络协议,例如POP等。加强用户浏览器,可参考浏览器隔离方案。坚持不懈地进行用户安全意识培训。规范内部网络钓鱼和宣传f.为被钓鱼的用户制定应急预案,并尝试通过SOARg实现自动化。制定针对钓鱼邮件的SIEM检测规则(如果读者对这部分内容有所了解,有兴趣可以后面单独写一篇文章介绍)h.为尽可能多的应用程序系统启用MFA。对于无法启用MFA的系统或用户,应进行专项监控。虽然MFA不是一个完美的解决方案,但是通过TLS劫持的反向代理作为中间人还是可以完成攻击的,但是安全本身就是在做对抗。你有一个好计划,我有一个墙梯。将URL、文件哈希等信息接入威胁情报进行分析,并根据分析结果确定后续的转发策略。一系列重定向,重定向到漏洞利用页面,部署浏览器&浏览器插件漏洞利用工具,将payload直接投递到受害机器。水坑攻击其实是一种复杂高难度的攻击方式,是一种比较少见的攻击方式,而浏览器隔离方案可以完美应对针对浏览器的攻击:用户通过浏览器web代理访问互联网,浏览器代理进行解析页面的呈现将最终屏幕呈现给用户终端。如果浏览器存在漏洞,访问到攻击者的恶意页面,只会在web代理中执行,不会影响用户终端。另外,即使不使用浏览器隔离方案,水坑攻击也会有大量的攻击特征。对于企业防御工作,这与常见恶意程序、反连接木马、窃密木马、挖矿软件、勒索病毒的防御是一样的。工作内容是一样的,这也是防御者和攻击者视角的不同。防御是基于攻击面作为针对性的策略,而攻击是基于攻击点和攻击向量。3.可移动媒体设备对可移动媒体的攻击主要有两种类型。一种是物理接触用户机器,PE系统通过BadUSB进入机器或抓取机器。这种攻击方式需要攻击者潜入企业环境,这通常比较困难,就不详细分析了。另一种是诱骗用户将攻击者的移动设备插入自己的电脑,然后通过自动运行、自动播放等方式完成恶意程序的传递和执行,相对容易完成,主要有以下几种讨论了这种攻击方法。实现攻击的方式有很多种,举例如下:(1)通过autorun.inf实现其他可执行文件的自动运行。(2)通过自动播放的方式实现恶意程序的执行。(3)将可执行文件放在可移动设备中,诱骗用户点击,例如:a.双扩展名,例如a.pdf.exe,让受害者误以为是pdf文件,从而完成点击。b.通过unicode202E将文件名显示为镜像,诱骗受害者点击。(4)将网络设备伪装成U盘(也可以是充电宝甚至充电器),实现流量劫持、键盘记录等功能。防御策略也有很多,例如:a.直接通过组策略禁止使用可移动设备,并根据序列号制作白名单。b.在域内启用applocker,指定细粒度的控制策略,限制恶意程序的执行。C。使用USB安全保护软件。...当然,身体接触不仅限于使用可移动媒体设备。还有ARP投毒、DNS欺骗、TLS中间人劫持、LLMNR投毒获取企业wifi后获取Net-NTLMHash进行爆破等方法……4.互联网对边界服务的保护边境漏洞需要企业投入大量的人力、物力和时间才能做好。我不会详细描述它。下面是一个简单的例子:a.软件应用程序补丁B.操作系统补丁C.部署WAF、下一代防火墙、流量分析等安全设备d.操作安全设备的策略e.处理安全设备警报f.及时有效应对0day漏洞5.供应链攻击6.社工获取权限
