MITREATT&CK是一个实战型、全球可访问的网络安全攻防战术和技术知识库,也是近几年网络安全领域最热门的工具和话题之一年。今天,ATT&CK知识库已成为为私营部门、政府和网络安全产品和服务社区开发特定威胁模型和方法的基础工具。ATT&CK包含200多种独特的技术(也称为TTP),每两年更新一次,是一个非常详细的库,包含各种攻击策略或类别,以及可被利用的一般系统管理员行为。在ATT&CK框架的帮助下,安全团队可以更广泛地了解攻击者的行为,从而使他们能够测试针对这些技术的缓解和检测方法。MITREATT&CK已成为许多网络安全学科中的有用工具,用于提供情报、红队对手仿真测试以及改进网络和系统防御入侵。不断发展的MITREATT&CK框架解决了信息安全社区面临的紧迫问题:鉴于有关对手行为、恶意软件和漏洞利用的大量数据,如何理解这些数据?现有网络安全产品的入侵防御检测能力(有效性)如何?MITREATT&CKFramework为从业者和用户创建了一个清晰、可衡量和可量化的行业标准和通用语言,用于评估他们的安全工具、安全风险和安全能力。《ATT&CK》不是学术理论框架,而是来自实战。在长期的攻防对抗、攻击溯源、攻击方式分析过程中,安全从业者逐步提炼总结,形成了切实可行、清晰的体系框架。这个框架先进,充满活力,具有非常高的使用价值。——引自《ATT&CK框架使用指南》MITREATT&CK活力来自于安全社区。通过对MITREATT&CK社区数据的统计分析,帮助防御者发现网络犯罪和攻击的主流趋势,及早做好准备。下面,我们根据RecordedFuture发布的MITREATT&CK统计报告,介绍2019年十大ATT&CK攻击技术,希望能为红蓝团队演练、渗透测试、威胁猎杀以及各类安全运营团队提供参考。十大ATT&CK攻击技术和策略(TTP)1.T1063:安全软件发现|策略:发现安全软件发现(T1063)是2019年ATT&CK列表中最受欢迎的技术。作为发现策略的一部分,T1063表示对手知道已部署的安全控制,同时,它是防御性规避策略的重要前奏。该技术被恶意软件家族广泛使用。T1063的实现:njRAT等常见的远程访问工具可以列出安全软件,例如使用基于Windows的WMIC来识别安装在受害者计算机上的防病毒产品并获取防火墙详细信息。Empire是一个开源、跨平台的远程管理和后期开发框架,它还能够枚举目标计算机上流行的防病毒软件。T1063的缓解:T1063很难缓解,因为该技术是对合法网络操作的滥用。但是,如果具有内置功能的远程访问工具直接与WindowsAPI交互以收集信息,则检测是可能的。收集有关何时请求数据的信息可以揭示不良行为。2.T1027:混淆文件或信息|策略:防御规避攻击者使用的主要规避方法之一是通过混淆加密或以其他方式操纵文件结构来增加检测或后续研究的难度。T1027的实施:某些PowerShell模块(例如Empire框架中的模块或“Don’tKillMyCat”有效载荷规避工具)能够运行“Invoke-Obfuscation”命令以Base64编码文件或字符串。许多知名的恶意软件家族都依靠混淆来逃避检测。例如,2018年12月,Emotet在以圣诞卡为主题的网络钓鱼活动中使用了混淆的VBA代码。T1027的缓解:除非混淆过程留下的痕迹可以被签名检测到,否则T1027的检测非常具有挑战性。尽管如此,如果混淆本身无法被检测到,防御者仍然可以检测到创建混淆文件的恶意活动(如果该方法用于写入、读取或修改文件系统上的文件)。此外,可以在网络层检测到初始访问负载中使用的混淆。此外,网络入侵检测系统(IDS)和电子邮件网关过滤可以识别压缩或加密的附件和脚本。3.T1055:进程注入|策略:防御规避进程注入(T1055)是一种在进程地址空间内运行自定义代码的技术。它是一种用于防御规避、特权升级和(在某些情况下)持久性的技术。T1055非常流行,因为它使用合法进程进行隐藏,包括但不限于:动态链接库(DLL)注入、可移植可执行文件注入、ptrace系统调用、VDSO劫持等。T1055的实施:威胁组织Turla对与C2通信的合法进程执行DLL注入,并使用PowerSploit有效地将PowerShell有效载荷加载到受害者系统上的随机进程中。T1055的缓解措施:通过使用端点安全解决方案和启发式工具根据已知的行为模式识别和终止进程来缓解T1055。4.T1082:系统信息发现|策略:发现与T1063类似,系统信息发现(T1082)是攻击者获取有关操作系统和硬件的详细信息的另一种方式,包括版本、补丁、修补程序、服务包、体系结构等。此信息可帮助攻击者决定使用哪个攻击向量。T1082的实施:与其他发现技术一样,T1082的使用滥用合法进程来获取信息。在Windows上,这意味着使用“ver”、“systeminfo”和“dir”等命令来识别文件和目录,或者在macOS上使用“systemsetup”或“system_profiler”来提供系统、配置、防火墙规则等的详细分类.尽管其中一些命令需要管理员权限,但T1082可以在任何权限升级技术之前使用。AWS、GCP或Azure等云计算基础设施中的错误配置可能成为T1082的目标。T1082的缓解措施:检测T1082所需的数据集可能非常“嘈杂”,因为系统信息发现有其合法用途。但是,监视捕获系统和网络信息的命令参数(或云计算系统中的本机日志)可以帮助识别对手的行为。5.T1057:流程发现|战术:发现与其他发现技术类似,系统配置枚举可能是对手获取决策信息能力的关键部分。除了命令格式的细微差别外,该技术还与平台无关。T1057的实施:使用Windows工具“任务列表”或Mac和Linux中的“ps”命令是恶意软件(例如Winnti)的常见特征。威胁参与者开始使用ProcessDiscovery来查找和关闭安全研究人员工具。例如,在2018年底,有人观察到伊朗威胁组织MuddyWater检查受害者系统上正在运行的进程,以寻找常见恶意软件研究工具的证据。T1057缓解:检测方法同T1082。6.T1045:软件打包|策略:防御规避与运行时或软件打包程序关联的软件打包(T1045)压缩初始文件或可执行文件。虽然程序员也使用软件打包来降低存储成本,但这种技术也受到攻击者的青睐,因为打包可执行文件会更改其文件签名并减小其文件大小,从而使基于签名或足迹的检测变得更加困难。T1045的实施:许多与APT相关的恶意软件变体使用软件打包技术,包括Uroburos(已经使用其运营商Turla的自定义打包程序)和APT28的Zebrocy(使用开源打包程序)。T1045的缓解:通常可以通过反恶意软件或防病毒软件配置来缓解T1045。可以通过扫描已知软件打包工具(例如Aspack或打包技术)的??伪影来检测软件打包。然而,软件打包也有合法用途,所以不一定都是恶意的。7.T1073:DLL侧加载|Tactic:DefenseevasionDLLsideloading(T1073)(仅限于Windows操作系统)是将具有欺骗性的恶意DLL文件放置在特定目录下,并将其作为合法DLL加载。该技术通过将恶意代码混合到合法服务或进程中而不是运行新的无法识别的进程来帮助威胁行为者逃避防御。T1073的实施:已知有几个APT组织使用此技术,例如APT32。2020年1月,据报道,Winnti威胁组织使用DLL侧载技术攻击了香港大学。T1073的缓解措施:DLL旁加载可能会滥用合法进程,使缓解和检测变得困难但并非不可能。通过限制试图访问文件和目录的用户的权限,安全团队可以减少能够执行该技术的用户数量。在尝试检测T1073时,团队可以比较DLL进程的执行时间,以发现不是由补丁引起的异常差异。8.T1022:数据加密|战术:渗透数据加密(T1022)是渗透战术下的一种技术,这是对手使用的另一种非常流行的技术。通过在泄露信息之前加密数据,参与者可以更有效地隐藏被盗数据的内容。今天的对手可以使用多种加密方法。T1022的实施:LazarusGroup使用Zlib压缩和XOR操作来加密数据并将其泄露到C2服务器。WARZONERAT(也称为AveMariaStealer)是一种远程访问木马,主要在地下犯罪组织中销售,主要由Solmyr在HackForums和Nulled上销售。恶意软件功能包括加密技术以及UAC旁路、密码窃取和RDP访问。T1022的缓解措施:针对异常加密命令创建规则或警报,或使用启发式工具来识别与数据加密相关的异常行为。网络流量熵还可以发现加密数据的泄漏。9.T1106:通过API执行|策略:通过API执行(T1106)是攻击者对合法API的冒犯性滥用。该技术允许用户在宏观层面提取数据并与程序和脚本进行交互。T1106的实施:TurlaGroup使用的LightNeuron是一个滥用MicrosoftExchange邮件服务器的复杂后门。关联进程之一是API命令CreateProcess。恶意使用API不仅用于直接执行,攻击者还通过进行冗余API调用来制造“噪音”,因为网络防御者可以监控API调用是否存在恶意活动。T1106的缓解措施:持续监控所有API调用对于网络防御者来说可能非常耗时。但是,组织可以使用应用程序白名单工具来减少恶意API调用。他们还可以利用有关新型API滥用的威胁情报来更快地查明可疑的API使用情况。10.T1032:标准加密协议|策略:与命令和控制以及数据加密(T1022)技术不同,攻击者可以使用标准加密协议(T1032)技术将C2流量隐藏在常规使用的加密机制之后。T1032是“命令与控制”战术的一部分,被认为是攻击的最后阶段之一。T1032的实施:RC4和AES是C2流量或许多不同恶意软件变体配置的常用加密方法,包括银行木马IcedID(RC4)和Glupteba僵尸网络(AES)。2019年8月,有人观察到恶意软件xRAT伪装成所得税计算器使用AES加密C2流量。T1032的缓解措施:对于试图检测T1032的安全团队来说幸运的是,如果T1032的某些实现在示例配置文件中生成工件或密钥,则它们可能相对容易进行逆向工程。网络IDS和防御技术可以帮助减轻网络层的攻击活动,而SSL/TLS检查可以帮助找到加密的会话。主要发现最常见的攻击策略是防御规避(TA005),最常见的技术是安全软件发现(T1063)。防御规避包括避免检测、隐藏在受信任的进程中、混淆恶意脚本和禁用安全软件。下一个最常见的策略是发现(TA007),涉及对目标网络或主机的了解和理解。几乎所有的TOP10技术都与许多知名的恶意软件变种有关,例如Emotet、Trickbot、njRAT等木马,以及Gafgyt、Mirai等僵尸网络,以及Coinminer等挖矿软件。展望和建议发现和防御规避是2019年最流行的ATT&CK技术。在许多情况下,这些技术利用了合法的软件功能,这使得纯基于签名的检测更难以识别恶意活动。总的来说,有效缓解这些技术需要纵深防御方法以及对正常网络配置和活动的高度熟悉。以下一般操作可作为检测和阻止对这些技术的依赖的起点:监视公共进程、配置文件、API调用或文件系统以查找新实例或异常更改。监视异常或频繁的命令参数,这些参数通常用作发现技术的一部分。保持您的防病毒和反恶意软件程序更新,以领先于新打包或加密的恶意软件。打开软件的自动更新,以防止网络攻击者识别和利用易受攻击的系统或软件。2020年,网络攻击者将更加频繁地使用“发现与防御规避”策略,随着安全解决方案检测手段的提升,ATT&CK攻击技术也在快速演进。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
