一、介绍前几期我们介绍了ATT&CK中侦察和资源开发战术的理论知识和实战研究,并通过实战场景验证了有效的检测规则,防御措施。本期我们将介绍ATT&CK的14种策略中的初始接入策略。我们将陆续介绍其他战术,敬请期待。2.ATT&CKv10简介MITREATT&CK是一个全球可访问的基于真实世界观察的对手战术和技术的知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。ATT&CKv10为企业、移动设备和ICS(工业控制系统)框架更新技术、组和软件。最大的变化是在EnterpriseATT&CK中增加了一组新的数据源和数据组件对象,它补充了ATT&CKv9中发布的ATT&CK数据源名称更改。ATT&CKv10中更新的内容聚合了有关数据源的这些信息,并将它们构建到新的ATT&CK数据源对象中。ATT&CKv10forEnterprise包括14个战术、188个技术、379个子技术、129个组织、638个软件,共计38种数据源。数据源对象具有数据源的名称以及关键详细信息和元数据,包括ID、定义、可以收集的位置(收集层)、可以在哪个平台上找到它,突出显示构成相关值的组件/数据源的属性。ATT&CKv10中的数据组件分析每个亮点映射到可以使用该特定数据检测到的各种(子)技术。在单个(子)技术上,数据源和组件已从页面顶部的元数据框中重新定位,与检测内容并列。这些数据源可在EnterpriseATT&CK的所有平台上使用,包括最新添加的与映射到PRE平台技术的开源情报(OSINT)相关的数据源。ATT&CK战术全景图(红框为初始接入战术)3.初始接入战术3.1概述初始接入是攻击者在网络中使用各种手段获取攻击入口的技术,包括钓鱼、利用公司外部网站漏洞等。通过初始访问获得的攻击入口可能允许攻击者继续深入渗透,例如获取有效的账户信息和对外提供的远程服务,或者通过多次密码尝试锁定用户账户以限制用户使用等。初始访问包括9技术,下面一一介绍。3.2偷渡式攻击(T1189)攻击者在正常访问网站的过程中可能会侵入用户系统,主要包括获取浏览器权限或利用网站相关漏洞(如认证漏洞等)进行攻击。有几种方法可以将漏洞利用代码传送到浏览器,包括:恶意代码(如JavaScript、iFrame、跨站点脚本等)、恶意广告和用户可操作的网站内容(如表单提交)。典型的攻击流程:1)用户访问被攻击者控制的网站。2)脚本自动执行,通常会搜索可能存在漏洞的浏览器和插件版本。3)用户可能需要通过忽略启用脚本或活动网站组件的警告对话框来协助该过程。4)找到易受攻击的版本后,将漏洞利用代码传递给浏览器。5)如果漏洞利用成功,它将在用户系统上执行攻击者代码,除非另有保护。这种攻击的目标是客户端上的软件,用户可能使用客户端访问公司内网,攻击者可以利用客户端的合法认证信息作为跳板,合法访问内网资源。3.2.1缓解措施3.2.1.1应用程序隔离和沙盒(M1048)浏览器沙盒可用于减轻一些漏洞利用的影响,但沙盒逃逸可能仍然存在。其他类型的虚拟化和应用程序微分段也可以减轻客户端利用的影响。3.2.1.2漏洞利用保护(M1050)可用于通过WindowsDefenderExploitGuard(WDEG)和增强型防病毒工具(EMET)等安全应用程序减轻某些漏洞利用行为。控制流完整性检查(Controlflowintegrity)是另一种识别和防止软件漏洞发生的可能方法。其中许多措施依赖于体系结构和目标应用程序二进制文件的兼容性。3.2.1.3限制基于Web的内容(M1021)对于通过广告提供的恶意代码,广告拦截器可以帮助首先阻止该代码的执行。脚本阻止扩展可以帮助防止在开发过程中可能经常使用的JavaScript的执行。3.2.1.4更新软件(M1051)确保所有浏览器和插件保持最新状态将有助于防止利用此技术。使用开启了安全功能的浏览器。3.2.2检测防火墙和代理软件可以检查URL是否存在已知的恶意域或可能存在的参数。他们还可以对网站及其请求的资源执行基于威胁情报的分析,例如域的年龄、注册者、是否在已知恶意列表中,或者之前有多少其他用户连接到它.(URL结合威胁情报)网络入侵检测系统,有时带有SSL/TLS检测,可用于发现已知的恶意脚本、常见的脚本混淆和利用代码。3.3利用面向公众的应用程序(T1190)攻击者可能试图利用面向互联网的计算机或程序中的漏洞,使用软件、数据或命令进行攻击。系统中的弱点可能是错误、故障或设计缺陷。这些应用程序通常是网站,但可以包括数据库(例如SQL)、标准服务(例如SMB或SSH)、网络设备管理和管理协议(例如SNMP和智能安装)以及任何其他应用程序,例如Web服务器及相关服务。对于网站和数据库,OWASPTop10和CWETop25是最常见的基于Web的漏洞。3.3.1缓解措施3.3.1.1应用程序隔离和沙盒(M1048)浏览器沙盒可用于减轻一些漏洞利用的影响,但沙盒逃逸可能仍然存在。其他类型的虚拟化和应用程序微分段也可以减轻客户端利用的影响。3.3.1.2漏洞利用保护(M1050)可用于通过WindowsDefenderExploitGuard(WDEG)和增强型防病毒工具(EMET)等安全应用程序减轻某些漏洞利用行为。控制流完整性检查(Controlflowintegrity)是另一种识别和防止软件漏洞发生的可能方法。其中许多措施依赖于体系结构和目标应用程序二进制文件的兼容性。3.3.1.3网络分段(M1030)使用DMZ或单独的托管基础??设施将面向外部的服务器/服务与网络的其余部分隔离开来。3.3.1.4特权账户管理(M1026)对服务账户采用最小权限控制管理,符合安全最小授权原则。3.3.1.5更新软件(M1051)确保所有浏览器和插件保持最新状态将有助于防止利用此技术。使用开启了安全功能的浏览器。3.3.1.6漏洞扫描(M1016)定期扫描面向外部的系统漏洞,并建立程序在发现关键漏洞时快速修补系统。3.3.2检测和监控应用日志中的异常行为。基于流量检测或WAF等设备检测常见的漏洞利用事件,如SQL注入。3.4利用外部远程服务(T1133)攻击者可能利用面向外部的远程服务进行初始访问。VPN、Citrix和其他访问机制等远程服务允许用户从外部位置连接到内部公司网络资源。通常有一个远程服务网关来管理这些服务的连接和凭证认证。Windows远程管理和VNC等服务也可在外部使用。通常需要访问有效帐户才能使用该服务,这可以通过凭据名称解析或在破坏公司网络后从用户那里获取凭据来获得。在操作期间,对远程服务的访问可以用作冗余或持久访问机制,或者可以通过不需要身份验证的公开服务来获得访问。在容器化环境中,这可能包括公开的DockerAPI、KubernetesAPI服务器、kubelet或Web应用程序。3.4.1缓解措施3.4.1.1禁用或删除功能或程序(M1042)禁用或阻止可能不必要的远程可用服务。3.4.1.2限制对网络资源的访问(M1035)通过集中管理限制对远程服务的访问。3.4.1.3多重身份验证(M1032)对远程服务帐户使用强大的双因素或多因素身份验证,以减少凭据被盗的机会。3.4.1.4网络分段(M1030)拒绝通过使用网络代理、网关和防火墙直接远程访问内部系统。3.4.2检测收集认证日志并分析异常访问模式、活动窗口和正常工作时间以外的访问。当访问暴露的远程服务不需要身份验证时,监视后续活动,例如异常外部使用暴露的API或应用程序。3.5添加硬件(T1200)攻击者可能将计算机配件、计算机或网络硬件引入系统或网络中,以用作获取访问权限的工具。商业和开源产品可以利用被动网络窃听、网络流量修改(即中间的对手)、击键注入、通过DMA读取内核内存、向现有网络添加新的无线访问等功能。3.5.1缓解措施3.5.1.1限制通过网络访问资源(M1035)建立网络访问控制策略,例如使用设备证书和802.1x标准。将DHCP的使用限制在已注册的设备上,以防止未注册的设备与受信任的系统通信。3.5.1.2限制硬件安装(M1034)通过EndpointSecurity配置和监控代理防止未知设备安装。3.5.2检测资产管理系统可以帮助检测不应出现在网络上的计算机系统或网络设备。基于动态字典关联分析模型,当有新IP时,会自动触发新IP告警。端点传感器可能能够检测到通过USB、Thunderbolt和其他外部设备通信端口添加的硬件。3.6网络钓鱼(T1566)攻击者可能会发送网络钓鱼消息以获取对受害系统的访问权限。所有形式的网络钓鱼都是以电子方式进行的社会工程。在鱼叉式网络钓鱼中,特定的个人、公司或行业成为攻击者的目标。攻击者可能会向受害者发送一封带有恶意附件或链接的电子邮件,通常是为了在受害者的系统上执行恶意代码。网络钓鱼技术包括三个子技术:网络钓鱼附件、网络钓鱼链接和网络钓鱼邮件。3.6.1钓鱼附件(T1566.001)3.6.1.1战术描述攻击者可能会发送带有恶意附件的钓鱼邮件,试图获得对受害系统的访问权限。攻击者将文件附加到电子邮件中,并且通常依靠用户执行来获得执行。附件类型包括MicrosoftOffice文档、可执行文件、PDF等。用户打开附件后,攻击者的恶意代码可以利用该漏洞或直接在用户系统上执行。电子邮件还可能包含有关如何解密附件(例如zip文件密码)以规避电子邮件边界防御的说明。攻击者经常操纵文件扩展名和图标,使附加的可执行文件看起来像普通文件,或利用一个应用程序的文件看起来像另一个应用程序的文件。3.6.2钓鱼链接(T1566.002)3.6.2.1策略描述攻击者可能会发送带有恶意链接的钓鱼邮件,使用该链接下载邮件中包含的恶意软件,而不是将恶意文件附加到邮件本身,以避免可能检查电子邮件附件的防御措施。通常,该链接会附带社交工程内容,需要用户主动点击或复制粘贴该URL到浏览器中,利用用户执行。被访问的网站可利用该漏洞攻击网页浏览器,或提示用户先下载应用程序、文档、压缩文件甚至可执行文件。3.6.3钓鱼邮件(T1566.003)3.6.3.1战术描述攻击者可能会通过第三方服务发送钓鱼邮件,而不是直接通过企业电子邮件渠道,试图获得对受害系统的访问权限。一个常见的例子是通过社交媒体与目标建立融洽关系,然后将内容发送到目标在其工作计算机上使用的个人网络邮件服务。这使得攻击者可以绕过工作账户的一些电子邮件限制,并且目标更有可能打开该文件。3.6.4缓解措施3.6.4.1防病毒/反恶意软件(M1049)防病毒软件可以自动隔离可疑文件。3.6.4.2网络入侵防御(M1031)网络入侵防御系统可以扫描和删除恶意电子邮件附件。3.6.4.3限制基于Web的内容(M1021)确定某些可用于网络钓鱼的网站或附件类型(例如:.scr、.exe、.pif、.cpl等)是否是业务运营所必需的。3.6.4.4软件配置(M1054)使用反欺骗和邮件认证机制检查发件人域的有效性,并结合邮件完整性来过滤邮件。3.6.4.5用户培训(M1017)培训用户安全意识,提高识别社会工程技术和钓鱼邮件的能力。3.6.5检测网络入侵检测系统和电子邮件网关可用于检测传输中带有恶意附件的网络钓鱼。电子邮件中的URL检查可以帮助检测指向已知恶意站点的链接。防病毒软件可以检测下载到用户计算机的恶意文档和文件。3.7Copyingviaremovablemedia(T1091)通过将恶意软件复制到可移动媒体和自动运行功能,攻击者可以通过修改存储在可移动媒体上的可执行文件或通过复制恶意软件并将其重命名为看起来像合法文件来诱骗用户访问系统在单独的系统上执行它。3.7.1缓解措施3.7.1.1端点行为防御(M1040)在Windows10上,启用攻击面减少(ASR)规则以阻止未签名/不受信任的可执行文件(例如.exe、.dll或.scr)在USB上运行。3.7.1.2禁用或删除功能或程序(M1042)如果不需要,请禁用自动运行。如果业务运营不需要删除媒体,则在组织策略级别禁止或限制删除媒体。3.7.1.3限制硬件安装(M1034)限制在网络上使用USB设备或其他可移动媒体。3.7.2检测部署终端防御产品控制移动设备。监视对可移动媒体的文件访问。在用户安装或启动可移动媒体后检测从可移动媒体执行的进程。如果以这种方式使用远程访问工具进行横向移动,执行后可能会发生其他动作,例如打开网络连接进行命令和控制,发现系统和网络信息。3.8黑客攻击供应链(T1195)黑客攻击供应链可能发生在供应链的任何阶段,包括:操纵开发工具操纵开发环境操纵源代码存储库操纵开源依赖项中的源代码操纵软件更新/分发机制受影响损坏/感染系统映像用修改版本替换合法软件向合法分销商出售修改/假冒产品入侵供应链技术包括3个子技术:入侵软件依赖项和开发工具、入侵软件供应链、入侵硬件供应链。3.8.1破坏软件依赖关系和开发工具(T1195.001)3.8.1.1策略描述攻击者可能会在最终消费者收到之前操纵软件依赖关系和开发工具,以达到破坏数据或系统的目的。应用程序通常依赖于外部软件才能正常运行。在许多应用程序中用作依赖项的流行开源项目可能成为攻击者添加恶意代码的切入点。3.8.2软件供应链的妥协(T1195.002)3.8.2.1策略描述软件供应链的妥协可以通过多种方式发生,包括操纵应用程序源代码、操纵应用程序源代码的更新/分发机制软件,或者用修改后的版本替换编译版本。3.8.3入侵硬件供应链(T1195.003)3.8.3.1战术描述通过修改供应链中的硬件或固件,攻击者可以在消费者网络中插入一个后门,该后门可能难以检测,并给攻击者带来高度控制。硬件后门可以插入各种设备,例如服务器、工作站、网络基础设施或外部设备。3.8.4缓解措施3.8.4.1更新软件(M1051)实施补丁管理流程以检查未使用的依赖项、未维护或以前易受攻击的依赖项、不必要的功能、组件、文件和文档。3.8.4.2漏洞扫描(M1016)对漏洞来源实施持续监控,并使用自动和手动代码审查工具。3.8.5检测通过哈希检查或其他完整性检查机制验证分布式二进制文件。扫描下载的恶意签名并尝试在部署前测试软件和更新,同时留意潜在的可疑活动。物理检查硬件以寻找潜在的篡改。3.9利用信任关系(T1199)攻击者可能会破坏或以其他方式利用有权访问目标受害者的组织。通过受信任的第三方关系的访问绕过了网络访问的标准机制。3.9.1缓解措施3.9.1.1网络分段(M1030)网络分段可用于隔离不需要大量网络访问的基础设施组件。3.9.1.2用户帐户控制(M1052)妥善管理信任关系中各方使用的帐户和特权,以最大限度地减少该方的潜在滥用以及该方被对手破坏的情况。3.9.2检测部署IAM身份识别和访问管理系统,进行权限、账号、身份等多维度的统一认证管理。3.10利用有效账户(T1078)攻击者可能获取并滥用现有账户的凭据。泄露的凭据可用于绕过对网络内系统上各种资源的访问控制,甚至绕过远程系统和外部可用服务。持久访问。泄露的凭据还可能授予攻击者在特定系统上更高的权限或访问网络受限区域的权限。利用有效的账户技术包括4个子技术:默认账户、域账户、本地账户和云账户。3.10.1默认帐户(T1078.001)默认帐户是操作系统内置的帐户,例如Windows系统上的访客或管理员帐户。默认账户不限于客户端机器,还包括网络设备和计算机应用程序等设备的预设账户。具有预设用户名和密码组合的设备对安装后不更改的组织构成严重威胁,因为它们很容易成为攻击者的目标。同样,攻击者有可能使用公开披露或窃取的私钥通过远程服务合法连接到远程环境。3.10.2域账户(T1078.002)攻击者可以通过操作系统凭证转储或密码重用等多种方式破坏域账户,其中一些具有高级权限,允许访问域的特权资源。3.10.3本地帐户(T1078.003)本地帐户是组织配置的帐户,供用户、远程支持、服务使用,或用于管理单个系统或服务。本地帐户也可能被滥用以提升权限并通过操作系统凭据转储获取凭据。3.10.4云账户(T1078.004)云账户是组织创建和配置的账户,供用户用于远程支持或服务,或用于管理云服务提供商或SaaS应用程序中的资源。被盗用的云账户凭证可用于从在线存储账户和数据库中获取敏感数据。通过滥用信任关系,还可以滥用对云帐户的访问权限来获得对网络的初始访问权限。与域帐户类似,联合云帐户的危害可能使攻击者更容易在环境中横向移动。3.10.5缓解措施3.10.5.1应用程序开发人员指南(M1013)确保应用程序安全地存储敏感数据或凭据。3.10.5.2密码策略(M1027)使用默认用户名和密码的应用程序和设备应在安装后和部署到生产之前立即更改。3.10.5.3特权帐户管理(M1026)定期审核域和本地帐户及其特权级别,以发现可能允许攻击者通过获取特权帐户的凭据获得广泛访问权限的条件。这些审计还应包括是否启用默认帐户,或是否创建新的未经授权的本地帐户等,以限制跨管理级别的特权帐户使用。3.10.5.4用户培训(M1017)应用程序可以发送推送通知来验证登录,作为多因素身份验证的一种形式。培训用户只接受有效的推送通知并报告可疑的通知。3.10.6检测基于安全管理平台智能关联分析引擎,检测可疑账户行为,包括:一个账户同时登录多个系统、多个账户同时登录同一台机器、账户非工作时间登出,单账号,多IP登录,静默账号,失效如果账号登录成功后短时间内登出,账号可以通过SSH跳板通过堡垒机登录,并且还可以定期对登录行为进行审计,比如登录会话的创建、登录后的上下文行为等,以发现异常行为。4.小结本期主要介绍入门的接入策略和技术/子技术原理。下一期我们将介绍初始接入策略所涵盖的实战场景验证过程以及有效的检测规则和防御措施。
