一、引言
在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
二、ATT&CK v10简介
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
ATT&CK v10更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象,这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息,同时将它们构建为新的 ATT&CK 数据源对象。
ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件,一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据,包括 ID、定义、可以收集它的位置(收集层)、可以在什么平台上找到它,突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种(子)技术,这些技术可以用该特定数据检测到。在个别(子)技术上,数据源和组件已从页面顶部的元数据框重新定位,以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台,包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。
ATT&CK战术全景图(红框为资源开发战术)
三、资源开发战术
3.1 概述
资源主要是攻击者为了成功攻击而获取的资源,这些资源包括基础设施,账号,攻击能力等。资源开发是获取资源能力的技术。
资源开发包括涉及对手创建、购买或损害/窃取可用于支持目标定位的资源的技术。这些资源包括基础设施、账户或能力。攻击者可以利用这些资源,例如使用购买的域来支持命令和控制,将电子邮件帐户作为初始访问的一部分进行网络钓鱼,或者窃取代码签名证书以实现防御规避。
3.2 获取基础设施(T1583)
攻击者可能会购买、租赁或租用基础设施,包括物理或云服务器、域名、第三方Web服务和僵尸网络。
获取基础设施技术包含6个子技术:域名、DNS服务器、虚拟专用服务器、服务器、僵尸网络、网络服务。
3.2.1 域名(T1583.001)
3.2.1.1 战术描述
购买域名用于网络钓鱼、妥协及命令控制,攻击者可能会选择与合法域名相似的域名,包括通过使用同形字或使用不同的顶级域 (TLD)。攻击者还可以使用国际化域名 (IDN) 创建视觉上相似的相似域名以用于操作。每个域名注册商都维护一个可公开查看的数据库,该数据库显示每个注册域名的联系信息。私人 WHOIS 服务显示替代信息,例如他们自己的公司数据,而不是域的所有者。攻击者可能会使用此类私人 WHOIS 服务来掩盖有关谁拥有购买的域的信息。攻击者可能会通过使用不同的注册信息和购买不同域名注册商的域名。
3.2.1.2 举例
-
可信任的域名
www.secisland.com
-
攻击者获取并使用的域名
www.secis1and.com
www.5ecisland.com
www.secisl4nd.com
www.secisland.com.cn
www.secisland.net
……
3.2.1.3 防御建议
-
通过主动网络流量探测或者互联网扫描主动发现攻击者获得的基础设施,包括连接到公共 Internet的各种类型的资源和服务器的信息。
-
通过对接威胁情报中心判断源是否是威胁设施。
-
将最相似的域名提前注册,避免被攻击者使用。
3.2.2 DNS服务器(T1583.002)
3.2.2.1 战术描述
攻击者可能会设置自己的域名解析系统 (DNS) 服务器。在攻击后,攻击者可能会将DNS流量用于命令和控制操作。攻击者可以选择配置和运行自己的 DNS 服务器,而不是劫持现有的DNS服务器。通过运行自己的DNS服务器,攻击者可以更好地控制管理服务器端 DNS的C2流量。通过对DNS服务器的控制,攻击者可以配置DNS应用程序有助于投放恶意软件,在基于DNS的C2通道上具有更大的灵活性。
3.2.2.2 举例
-
可信任的DNS
114.114.114.114
8.8.8.8
运营商提供的DNS
192.168.1.20(公司内部搭建的DNS,前提是公司内部的DNS没有被渗透)
-
不可信任的DNS
不在运营商提供的DNS列表内
与自己设置的DNS不匹配(被恶意修改)
3.2.2.3 防御建议
-
定期检查自己的DNS是否恶意变更
-
定期检查公司内部DNS服务器是否健康
-
通过采集WHOIS数据库或者被动DNS注册日志,获取域名注册信息,包括IP、域名信息,结合威胁情报,分析是否属于恶意IP或者恶意域名。
-
通过对接威胁情报中心判断是否是非法DNS
3.2.3 虚拟专用服务器(T1583.003)
3.2.3.1 战术描述
攻击者会租用虚拟专用服务器 (VPS),这样很难在物理上将操作与攻击者联系起来。云基础设施还可以使攻击者更容易快速配置、修改和关闭他们的基础设施。
3.2.4 服务器(T1583.004)
3.2.4.1 战术描述
攻击者可能会购买、租赁或租用物理服务器。利用服务器执行各种任务,包括命令和控制。
3.2.5 僵尸网络(T1583.005)
3.2.5.1 战术描述
攻击者可能会购买、租赁或租用僵尸网络。借助僵尸网络,攻击者可能会执行后续活动,例如大规模网络钓鱼或分布式拒绝服务 (DDoS)。
3.2.5.2 防御建议
-
部署流量清洗产品,以防御DDoS拒绝服务攻击
-
部署边境防火墙,对恶意流量直接进行拦截
3.2.6 网络服务(T1583.006)
3.2.6.1 战术描述
攻击者可能会注册Web 服务,通过利用 Web 服务,很难将操作与攻击者进行物理绑定。
3.3 入侵账户(T1586)
入侵帐户之前,攻击者可能会进行侦察,然后通过网络钓鱼收集账户信息、从第三方站点购买账户或通过暴力破解账户,攻击者可能会直接利用受感染的电子邮件帐户进行网络钓鱼以获取价值信息。
入侵账户技术包含2个子技术:社交媒体账户、电子邮件账户。
3.3.1 社交媒体账号(T1586.001)
3.3.1.1 战术描述
攻击者通过网络钓鱼或者暴力破解社交媒体账户,然后利用受损的社交媒体资料创建新的账号或者劫持信息。
3.3.2 电子邮件帐户(T1586.002)
3.3.2.1 战术描述
攻击者通过网络钓鱼或者暴力破解电子邮件账户,然后利用受损的电子邮件账户进一步进行网络钓鱼收集价值信息或者投放病毒文件、恶意链接等。
3.3.3 举例
场景:当前公司的服务邮箱已被攻击者暴力破解(暴力破解可参考公众号之前的文章),然后对该邮箱内的联系人进行管理员钓鱼。
钓鱼截图:
钓鱼效果:管理员点击后,会跳转到仿造的管理页面,输入用户密码后,你的信息将被发送到攻击者手里,而公司管理员却浑然不知。
3.3.4 防御建议
-
加强内部员工的安全意识,仔细确认域名是否正确。
-
涉及到敏感信息,一定要和管理员进行二次确认。
-
部署邮件管理系统对邮件内容进行检测,并对恶意邮件进行拦截。
-
基于网络流量检测可疑账户短时间内向目标账户发出大量连接请求的事件。
-
基于邮件管理系统日志检测账户短时间内收到大量邮件或者定期与某特定用户联系的事件。
3.4入侵基础设施(T1584)
攻击者可能会入侵基础设施,包括物理或云服务器、域名、第三方Web服务和僵尸网络。
入侵基础设施技术包含6个子技术:域名、DNS服务器、虚拟专用服务器、服务器、僵尸网络、网络服务。
3.4.1 域名(T1584.001)
3.4.1.1 战术描述
攻击者可能会劫持可在定位期间使用域名或子域名。域名注册劫持是未经原注册人许可更改域名注册的行为。攻击者可以访问被列为域名所有者的人的电子邮件帐户更改域注册,攻击者可能会控制子域进行劫持。
3.4.2 DNS服务器(T1584.002)
3.4.2.1 战术描述
攻击者可能会破坏第三方DNS服务器。通过入侵DNS 服务器,攻击者可以更改 DNS记录,也可以创建指向恶意服务器的子域,而无需泄露DNS服务器的实际所有者。
3.4.3 虚拟专用服务器(T1584.003)
3.4.3.1 战术描述
攻击者可能会破坏第三方虚拟专用服务器 (VPS)。通过破坏VPS以用作基础设施实现隐蔽反追踪。
3.4.4 服务器(T1584.004)
3.4.4.1 战术描述
攻击者可能会破坏第三方服务器,攻击者可能会利用服务器执行各种任务,包括命令和控制,破坏Web服务器以实现路过式攻击。
3.4.5 僵尸网络(T1584.005)
3.4.5.1 战术描述
攻击者通过破坏众多第三方系统来构建自己的僵尸网络,还可能接管现有的僵尸网络,例如将机器程序重定向到攻击者控制的C2服务器。借助僵尸网络,攻击者可能会执行后续活动,例如大规模网络钓鱼或分布式拒绝服务 (DDoS)。
3.4.6 网络服务(T1584.006)
3.4.6.1 战术描述
攻击者可能会破坏第三方Web服务的访问,尝试获取合法用户对Web服务的访问权,盗取合法用户的访问权限以实现隐蔽反追踪。
3.4.7 防御建议
-
通过主动网络流量探测或者互联网扫描主动发现攻击者获得的基础设施,包括连接到公共 Internet的各种类型的资源和服务器的信息。
-
通过采集WHOIS数据库或者被动DNS注册日志,获取域名注册信息,包括IP、域名信息的异常变化,结合威胁情报,分析是否属于恶意IP或者恶意域。
-
通过对接威胁情报中心,及时发现外联恶意设备,以此锁定失陷资产。
3.5 开发能力(T1587)
攻击者可能会构建开发能力,例如开发恶意软件、漏洞利用和自签名证书,开发能力需要不同的技能组合。
开发能力技术包含4个子技术:恶意软件、代码签名证书、数字证书、漏洞利用。
3.5.1 恶意软件(T1587.001)
3.5.1.1 战术描述
攻击者可能会开发恶意软件,包括开发有效负载、释放程序、后入侵工具、后门、打包程序、C2协议以及创建受感染的媒介。通过植入恶意软件来维持对远程机器的控制、逃避防御和执行攻击后行为。
3.5.2 代码签名证书(T1587.002)
3.5.2.1 战术描述
攻击者可能会创建自签名代码签名证书。代码签名是对可执行文件和脚本进行数字签名以确认软件作者并保证代码未被更改或损坏的过程。代码签名为开发人员的程序提供了一定程度的真实性,并保证程序没有被篡改。攻击者通过伪造签名证书混淆隐蔽。
3.5.3 数字证书(T1587.003)
3.5.3.1 战术描述
攻击者可能会创建自签名 SSL/TLS 证书,包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名是有效的,并且检查证书的人信任签名者,那么他们知道他们可以使用该密钥与其所有者进行通信。在自签名的情况下,数字证书将缺少第三方证书颁发机构 (CA)的校验。
3.5.4 漏洞利用(T1587.004)
3.5.4.1 战术描述
攻击者可能会开发漏洞。通过模糊测试和补丁分析等方法发现可利用的漏洞。
3.5.5 防御建议
1. 通过分析开发相关的编译器、调试工具、编码行为特征,代码审计识别恶意软件或者漏洞利用等恶意开发行为。
2. 验证SSL证书的有效性,如果是自签名证书需要进行白名单验证,如果不是自己机构签名,则进行拦截。
3. 对恶意软件可以采用进程监控的方式,购买正版软件等。
4. 签名和数字证书需要定期校验签名中的证书是否是有效。
3.6 建立账户(T1585)
建立账户技术包含2个子技术:社交媒体账户、电子邮件账户。
3.6.1 社交媒体账户(T1585.001)
3.6.1.1 战术描述
攻击者可能会创建社交媒体帐户。在社交媒体上建立角色可能需要开发额外的文档以使其看起来真实。这可能包括填写个人资料信息、开发社交网络或合并照片。一旦角色被开发出来,对手就可以使用它来建立与感兴趣目标的联系。这些联系可能是直接的,也可能包括尝试通过其他人联系。
3.6.2 电子邮件账户(T1585.002)
3.6.2.1 战术描述
攻击者可能会创建电子邮件帐户。
3.6.3 防御建议
通过账户建立后的异常行为分析,通过邮件管理系统日志分析,包括邮件账户异常登录,发件数量、收件数量异常、附件特征、发送邮件时间异常、发送过量邮件、钓鱼邮件行为等异常事件检测。
3.7 获取能力(T1588)
攻击者可能会购买或窃取能力。除了从互联网下载免费的恶意软件、软件和漏洞利用之外,攻击者还可以从第三方实体购买这些功能。第三方实体可以包括专门从事恶意软件和漏洞利用、犯罪市场或来自个人的技术公司。
除了购买能力之外,对手可能会从第三方实体(包括其他对手)那里窃取能力。这可能包括窃取软件许可证、恶意软件、SSL/TLS 和代码签名证书,或漏洞数据库。
获取能力技术包含5项子技术:恶意软件、软件工具、代码签名证书、数字证书、漏洞利用。
3.7.1 恶意软件(T1588.001)
3.7.1.1 战术描述
攻击者可能会购买、窃取或下载恶意软件。恶意软件可能包括有效载荷、dropper、后入侵工具、后门、打包程序和 C2 协议。通过恶意软件投放维持对远程机器的控制、逃避防御和执行攻击后行为。
3.7.2 软件工具(T1588.002)
3.7.2.1 战术描述
攻击者可能会购买、窃取或下载软件工具。工具可以是开源或商业工具。
3.7.3 代码签名证书(T1588.003)
3.7.3.1 战术描述
攻击者可能会购买或窃取代码签名证书。代码签名是对可执行文件和脚本进行数字签名以确认软件作者并保证代码未被更改或损坏的过程。
3.7.4 数字证书(T1588.004)
3.7.4.1 战术描述
攻击者可能会购买或窃取SSL/TLS 证书。SSL/TLS 证书包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体数字签名。利用证书可以获取加密 C2 流量(例如:使用 Web 协议的非对称加密)。
3.7.5 漏洞利用(T1588.005)
3.7.5.1 战术描述
攻击者可能会购买、窃取或下载漏洞。利用漏洞来导致计算机硬件或软件上发生意外或意外行为。与其开发自己的漏洞,攻击者可能会从网上找到/修改漏洞或从漏洞供应商处购买。除了从 Internet下载免费漏洞利用程序外,攻击者还可以从第三方实体购买漏洞利用程序。攻击者可以通过搜索开放数据库或访问封闭的漏洞数据库来找到漏洞信息。
3.7.6 防御建议
1. 通过分析开发相关的编译器、调试工具、编码行为特征,代码审计识别恶意软件或者漏洞利用等恶意开发行为。
2. 跟踪新颁发的证书或Internet站点上正在使用的证书的服务。在某些情况下,可能会以已知的证书信息为中心来发现攻击者其他的基础设施。攻击者工具的某些服务器端组件可能为 SSL/TLS 证书设置了默认值。
3.8 部署能力(T1608)
-
为了支持行动,攻击者需要利用他们开发能力或者获取能力进行环境准备,包含但不限于:
-
当用户浏览到一个站点时,为进行路过式攻击提供必要的网络资源。
-
为要与鱼叉式网络钓鱼一起使用的链接目标暂存Web资源。
-
将恶意软件或工具上传到受害者网络可访问的位置以启用Ingress Tool Transfer。
-
安装先前获得的 SSL/TLS 证书以用于加密命令和控制流量(例如:具有 Web 协议的非对称加密)。
攻击者可以上传、安装或以其他方式设置可在目标定位期间使用的功能。为了支持他们的行动,对手可能需要利用他们开发的能力(开发能力)或获得的能力(获得能力),并将其放在他们控制的基础设施上。这些功能可能暂存于以前由对手购买/租用的基础架构(获取基础架构)或被他们破坏的基础架构(受损基础架构)。功能也可以暂存到 Web 服务上,例如 GitHub 或 Pastebin。
环境准备技术包含5个子技术:上传恶意软件、上传工具、安装数字证书、路过式攻击、恶意链接。
3.8.1 上传恶意软件(T1608.001)
3.8.1.1 战术描述
攻击者可能会将恶意软件上传到第三方或攻击者控制的基础设施,恶意软件可能包括有效载荷、释放程序、入侵后工具、后门和各种其他恶意内容。攻击者可能会将后门文件(例如应用程序二进制文件、虚拟机映像或容器映像)上传到第三方软件商店或存储库。受害者可能会通过用户执行直接下载/安装这些后门文件。恶意软件伪装可能会增加用户错误执行这些文件的机会。
3.8.2 上传工具(T1608.002)
3.8.2.1 战术描述
攻击者可以将工具上传到第三方或攻击者控制的基础设施,例如通过将工具放置在可访问 Internet的Web服务器上,使受害网络可以使用工具来启用 Ingress Tool Transfer。工具也可以部署在Web服务上,例如攻击者控制的 GitHub存储库。攻击者可以通过让受感染的受害者机器直接从第三方托管位置(例如:非攻击者控制的 GitHub 存储库)下载工具来避免上传工具,包括该工具的原始托管站点。
3.8.3 安装数字证书(T1608.003)
3.8.3.1 战术描述
攻击者可能会安装SSL/TLS 证书。SSL/TLS 证书是可以安装在服务器上以启用系统之间安全通信的文件。数字证书包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。可以为多种服务器类型安装数字证书,包括 Web 服务器和电子邮件服务器。攻击者可以获得数字证书或创建自签名证书,然后可以将数字证书安装在受害者基础设施上。
3.8.4 路过式攻击(T1608.004)
3.8.4.1 战术描述
攻击者分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。路过式攻击利用了被攻击者对网站的信任。路过式攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。
在路过式攻击之前,攻击者可能会将恶意 Web 内容(例如 JavaScript)上传或注入网站。这可以通过多种方式完成,包括将恶意脚本插入网页或其他用户可控制的网页内容,例如论坛帖子。攻击者还可能通过合法的广告提供商制作恶意网络广告并在网站上购买广告空间。攻击者还可能暂存脚本内容以分析用户的浏览器(如在收集受害者主机信息中),以确保在尝试利用之前它是易受攻击的。在获取基础设施期间,攻击者可能会购买与合法域相似的域(例如:同形字、仿冒域名、不同的顶级域等)。
3.8.5 恶意链接(T1608.005)
3.8.5.1 战术描述
攻击者可能会依赖用户单击恶意链接来泄露信息或获得执行权,恶意链接可用于鱼叉式网络钓鱼,例如发送带有社交工程文本的电子邮件,以诱使用户主动单击或复制 URL 并将其粘贴到浏览器中。通常,链接目标的资源将是一个HTML 页面,其中可能包含一些客户端脚本,例如 JavaScript,以决定向用户提供哪些内容。攻击者可能会克隆合法网站作为链接目标,这可能包括克隆合法Web服务的登录页面或组织登录页面,以便在鱼叉式网络钓鱼链接期间获取凭据。攻击者也可能上传恶意软件,并让链接目标指向恶意软件以供用户下载或执行。
3.8.6 防御建议
1. 应用漏洞、系统漏洞都需要定期检查并更新到官方最新的版本。
2. 公司内部的终端软件要避免使用第三方软件下载站的软件,例如:天*下载站、下*之家,西*下载站等等
3. 培训公司内部员工的安全意识,严禁使用公司内部网络访问未经信任的站点与网络。
4. 安装安全类终端防护软件进行安全防护。
四、总结
本期主要介绍了资源开发战术及技术/子技术原理,资源开发战术覆盖的实战型场景验证过程及行之有效的检测规则、防御措施等,下期将给大家介绍初始访问战术原理及实战验证场景。
相关分享:
ATT&CK v10版本战术实战研究--侦察