一、引言
在前幾期文章中我們介紹了ATT&CK中偵察及資源開發戰術理論知識及實戰研究,通過實戰場景驗證行之有效的檢測規則、防禦措施,本期我們為大家介紹ATT&CK 14項戰術中初始通路戰術,後續會陸續介紹其他戰術内容,敬請關注。
二、ATT&CK v10簡介
MITRE ATT&CK 是一個全球可通路的基于現實世界觀察的對手戰術和技術知識庫。ATT&CK 知識庫被用作在私營部門、政府以及網絡安全産品和服務社群中開發特定威脅模型和方法的基礎。
ATT&CK v10更新了适用于企業、移動裝置和 ICS(工業控制系統)架構的技術、組和軟體。最大的變化是在企業 ATT&CK 中增加了一組新的資料源和資料元件對象,這是對 ATT&CK v9 中釋出的 ATT&CK 資料源名稱更改的補充。在 ATT&CK v10 中更新的内容彙總了有關資料源的這些資訊,同時将它們建構為新的 ATT&CK 資料源對象。
ATT&CK v10 for Enterprise包含14個戰術、188個技術、379個子技術、129個組織、638個軟體,一共包括38類資料源。資料源對象具有資料源的名稱以及關鍵細節和中繼資料,包括 ID、定義、可以收集它的位置(收集層)、可以在什麼平台上找到它,突出顯示構成資料源的相關值/屬性的元件。ATT&CK v10 中的資料元件分析每個亮點映射到各種(子)技術,這些技術可以用該特定資料檢測到。在個别(子)技術上,資料源群組件已從頁面頂部的中繼資料框重新定位,以與檢測内容并置。這些資料源可用于 Enterprise ATT&CK 的所有平台,包括最新添加的涵蓋映射到 PRE 平台技術的開源情報 (OSINT) 相關資料源。
ATT&CK戰術全景圖(紅框為初始通路戰術)
三、初始通路戰術
3.1 概述
初始通路是攻擊者使用各種方法在網絡中獲得攻擊入口的技術,包括網絡釣魚和利用公司對外的Web 網站的漏洞。通過初始通路獲得的攻擊入口可能允許攻擊者繼續進行深入的滲透,例如擷取有效的帳戶資訊和對外提供的遠端服務,或者通過多次嘗試密碼鎖住使用者賬戶限制使用者使用等。
初始通路包括9種技術,下面逐一介紹下這九種技術。
3.2 路過式攻擊(T1189)
攻擊者可能通過使用者在正常通路網站的過程中入侵他的系統,主要包括擷取浏覽器的權限或者利用網站相關漏洞(比如認證漏洞等)進行攻擊。存在多種向浏覽器提供漏洞利用代碼的方法,包括:惡意代碼(如JavaScript、iFrame 和跨站點腳本等)、惡意廣告、使用者能操作的網站内容(比如表單送出)。
典型的攻擊過程:
1) 使用者通路了一個被攻擊者控制的網站。
2) 腳本會自動執行,通常會在浏覽器和插件中搜尋可能存在漏洞的版本。
3) 使用者可能需要通過忽略啟用腳本或活動網站元件的警告對話框來協助此過程。
4) 在找到易受攻擊的版本後,漏洞代碼将被傳遞到浏覽器。
5) 如果利用成功,除非有其他保護措施,否則它将在使用者系統上執行攻擊者代碼。
這種攻擊的對象是用戶端上的軟體,而使用者利用用戶端可能會通路公司内網,攻擊者可以通過用戶端合法的認證資訊作為跳闆合法的通路内網資源。
3.2.1 緩解措施
3.2.1.1 應用程式隔離和沙箱(M1048)
浏覽器沙箱可用于減輕利用的一些影響,但沙箱逃逸可能仍然存在。其他類型的虛拟化和應用程式微分段也可以減輕用戶端利用的影響。
3.2.1.2 漏洞利用保護(M1050)
可以通過安全應用程式(例如 Windows Defender Exploit Guard (WDEG) 和增強的一些專殺工具等(EMET))可用于緩解某些利用行為。控制流完整性檢查(Control flow integrity)是另一種可能識别和阻止軟體漏洞發生的方法。許多這些措施依賴于架構和目标應用程式二進制檔案的相容性。
3.2.1.3 限制基于 Web 的内容(M1021)
對于通過廣告提供的惡意代碼,廣告攔截器可以幫助阻止該代碼首先執行。
腳本阻止擴充可以幫助阻止在利用過程中可能常用的 JavaScript 的執行。
3.2.1.4 更新軟體(M1051)
確定所有浏覽器和插件保持更新有助于防止該技術的利用。使用開啟了安全功能的浏覽器。
3.2.2 檢測
防火牆和代理軟體可以檢查 URL 中可能存在的已知惡意域或參數。他們還可以對網站及其請求的資源進行基于威脅情報的分析,例如域的年齡、注冊的對象、是否在已知的惡意清單中,或者之前有多少其他使用者連接配接到它。(URL結合威脅情報)
網絡入侵檢測系統,有時帶有 SSL/TLS 檢查,可用于查找已知的惡意腳本、常見的腳本混淆和漏洞利用代碼。
3.3 利用面向公衆的應用程式(T1190)
攻擊者可能會試圖利用面向 Internet 的計算機或程式中的弱點,使用軟體、資料或指令來攻擊。系統中的弱點可能是錯誤、故障或設計漏洞。這些應用程式通常是網站,但可以包括資料庫(如 SQL)、标準服務(如 SMB 或 SSH)、網絡裝置管理和管理協定(如 SNMP 和 Smart Install)、以及任何其他具有 Internet 可通路開放套接字的應用程式,例如 Web 伺服器和相關服務。對于網站和資料庫,OWASP 前 10 名和 CWE 前 25 名是最常見的基于 Web 的漏洞。
3.3.1 緩解措施
3.3.1.1 應用程式隔離和沙箱(M1048)
浏覽器沙箱可用于減輕利用的一些影響,但沙箱逃逸可能仍然存在。其他類型的虛拟化和應用程式微分段也可以減輕用戶端利用的影響。
3.3.1.2 漏洞利用保護(M1050)
可以通過安全應用程式(例如 Windows Defender Exploit Guard (WDEG) 和增強的一些專殺工具等(EMET))可用于緩解某些利用行為。控制流完整性檢查(Control flow integrity)是另一種可能識别和阻止軟體漏洞發生的方法。許多這些措施依賴于架構和目标應用程式二進制檔案的相容性。
3.3.1.3 網絡分段(M1030)
使用 DMZ 或單獨的托管基礎設施将面向外部的伺服器/服務與網絡的其餘部分隔離開來。
3.3.1.4 特權賬戶管理(M1026)
對服務帳戶使用最低權限控制管理,符合安全最小化授權原則。
3.3.1.5 更新軟體(M1051)
確定所有浏覽器和插件保持更新有助于防止該技術的利用。使用開啟了安全功能的浏覽器。
3.3.1.6 漏洞掃描(M1016)
定期掃描面向外部的系統的漏洞,并建立程式以在發現關鍵漏洞時快速修補系統。
3.3.2 檢測
監控應用程式日志中異常行為。
基于流量檢測或者WAF等裝置檢測常見的漏洞利用事件,例如 SQL 注入。
3.4 利用外部遠端服務(T1133)
攻擊者可能會利用面向外部的遠端服務來初始通路。VPN、Citrix 和其他通路機制等遠端服務允許使用者從外部位置連接配接到内部企業網絡資源。通常有遠端服務網關來管理這些服務的連接配接和憑據身份驗證。Windows 遠端管理和 VNC 等服務也可以在外部使用。通路有效帳戶以使用該服務通常是一項要求,這可以通過憑據域名解析或在破壞企業網絡後從使用者那裡擷取憑據來獲得。在操作期間,對遠端服務的通路可以用作備援或持久通路機制,也可以通過不需要身份驗證的公開服務獲得通路權限。在容器化環境中,這可能包括公開的 Docker API、Kubernetes API 伺服器、kubelet 或 Web 應用程式。
3.4.1 緩解措施
3.4.1.1 禁用或删除功能或程式(M1042)
禁用或阻止可能不必要的遠端可用服務。
3.4.1.2 限制通過網絡通路資源(M1035)
通過集中管理限制對遠端服務的通路。
3.4.1.3 多因素認證(M1032)
對遠端服務帳戶使用強大的雙因素或多因素身份驗證以降低憑據被盜的機率。
3.4.1.4 網絡分段(M1030)
拒絕通過使用網絡代理、網關和防火牆直接遠端通路内部系統。
3.4.2 檢測
收集身份驗證日志并分析異常通路模式、活動視窗和正常工作時間以外的通路。
當通路公開的遠端服務不需要身份驗證時,監視後續活動,例如公開的 API 或應用程式的異常外部使用。
3.5 新增硬體(T1200)
攻擊者可能會将計算機配件、計算機或網絡硬體引入系統或網絡中,這些系統或網絡可用作擷取通路權限的媒介。商業和開源産品可以利用諸如被動網絡竊聽、網絡流量修改(即中間對手)、擊鍵注入、通過 DMA 讀取核心記憶體等功能,增加對現有網絡的新無線接入等。
3.5.1 緩解措施
3.5.1.1 限制通過網絡通路資源(M1035)
建立網絡通路控制政策,例如使用裝置證書和802.1x标準。将 DHCP 的使用限制在已注冊的裝置上,以防止未注冊的裝置與受信任的系統進行通信。
3.5.1.2 限制硬體安裝(M1034)
通過端點安全配置和監控代理阻止未知裝置安裝。
3.5.2 檢測
資産管理系統有助于檢測網絡上不應該存在的計算機系統或網絡裝置。基于動态字典關聯分析模型,當出現新增陌生IP時自動觸發新增IP告警。
端點傳感器可能能夠通過 USB、Thunderbolt 和其他外部裝置通信端口檢測到硬體的添加。
3.6 網絡釣魚(T1566)
攻擊者可能會發送網絡釣魚消息以通路受害系統。所有形式的網絡釣魚都是以電子方式傳遞的社會工程。在魚叉式網絡釣魚中,特定的個人、公司或行業将成為攻擊者的目标。
攻擊者可能會向受害者發送包含惡意附件或連結的電子郵件,通常是為了在受害者系統上執行惡意代碼。網絡釣魚技術包含3個子技術:釣魚附件、釣魚連結、釣魚消息。
3.6.1 釣魚附件(T1566.001)
3.6.1.1 戰術描述
攻擊者可能會發送帶有惡意附件的釣魚電子郵件,以試圖通路受害系統。攻擊者将檔案附加到電子郵件中,并且通常依靠使用者執行來獲得執行。附件類型包括Microsoft Office 文檔、可執行檔案、PDF等。使用者打開附件後,攻擊者的惡意代碼會利用漏洞或直接在使用者系統上執行。電子郵件還可能包含有關如何解密附件(例如 zip 檔案密碼)的說明,以規避電子郵件邊界防禦。攻擊者經常操縱檔案擴充名和圖示,以使附加的可執行檔案看起來是正常的檔案,或者利用一個應用程式的檔案看起來是另一個應用程式的檔案。
3.6.2 釣魚連結(T1566.002)
3.6.2.1 戰術描述
攻擊者可能會發送帶有惡意連結的釣魚電子郵件,使用連結下載下傳電子郵件中包含的惡意軟體,而不是将惡意檔案附加到電子郵件本身,以避免可能檢查電子郵件附件的防禦措施。通常,連結将伴随着社會工程内容,并要求使用者主動單擊或複制 URL 并将其粘貼到浏覽器中,利用使用者執行。被通路的網站可能會利用漏洞攻擊 Web 浏覽器,或者會提示使用者首先下載下傳應用程式、文檔、zip 檔案甚至可執行檔案。
3.6.3 釣魚消息(T1566.003)
3.6.3.1 戰術描述
攻擊者可能會通過第三方服務發送釣魚消息,而不是直接通過企業電子郵件管道,以試圖通路受害系統。一個常見的例子是通過社交媒體與目标建立融洽的關系,然後将内容發送到目标在其工作計算機上使用的個人網絡郵件服務。這允許攻擊者繞過對工作帳戶的一些電子郵件限制,并且目标更有可能打開檔案。
3.6.4 緩解措施
3.6.4.1 防病毒/反惡意軟體(M1049)
防毒軟體可以自動隔離可疑檔案。
3.6.4.2 網絡入侵防禦(M1031)
網絡入侵防禦系統可掃描和删除惡意電子郵件附件。
3.6.4.3 限制基于Web的 内容(M1021)
确定可用于網絡釣魚的某些網站或附件類型(例如:.scr、.exe、.pif、.cpl 等)是否對業務營運是必要的。
3.6.4.4 軟體配置(M1054)
使用反欺騙和電子郵件身份驗證機制檢查發件人域的有效性,并結合郵件的完整性過濾郵件。
3.6.4.5 使用者教育訓練(M1017)
教育訓練使用者安全意識,提升識别社會工程技術和網絡釣魚電子郵件的能力。
3.6.5 檢測
網絡入侵檢測系統和電子郵件網關可用于檢測傳輸中帶有惡意附件的網絡釣魚。
電子郵件中的 URL 檢查可以幫助檢測導緻已知惡意站點的連結。
防病毒軟體可能會檢測到下載下傳到使用者計算機上的惡意文檔和檔案。
3.7 通過移動媒體複制(T1091)
通過将惡意軟體複制到移動媒體并自動運作功能,攻擊者可能會進入系統,通過修改存儲在移動媒體上的可執行檔案或通過複制惡意軟體并将其重命名為看起來像合法檔案以誘騙使用者在單獨的系統上執行它。
3.7.1 緩解措施
3.7.1.1 端點行為防禦(M1040)
在 Windows 10 上,啟用攻擊面減少 (ASR) 規則以阻止未簽名/不受信任的可執行檔案(例如 .exe、.dll 或 .scr)在USB上運作。
3.7.1.2 禁用或删除功能或程式(M1042)
如果不需要,禁用自動運作。如果業務營運不需要移動媒體,則在組織政策級别禁止或限制移動媒體。
3.7.1.3 限制硬體安裝(M1034)
限制在網絡中使用 USB 裝置或其他移動媒體。
3.7.2 檢測
部署終端防禦産品實作移動裝置的管控。
監控移動媒體的檔案通路。檢測在移動媒體安裝後或由使用者啟動時從可移動媒體執行的程序。如果以這種方式使用遠端通路工具進行橫向移動,則執行後可能會發生其他操作,例如打開網絡連接配接以進行指令和控制以及發現系統和網絡資訊。
3.8入侵供應鍊(T1195)
入侵供應鍊可以發生在供應鍊的任何階段,包括:
- 開發工具的操作
- 開發環境的操作
- 源代碼存儲庫的操作
- 在開源依賴項中操作源代碼
- 操縱軟體更新/分發機制
- 受損/受感染的系統映像
- 用修改版本替換合法軟體
- 向合法經銷商銷售修改/假冒産品
入侵供應鍊技術包含3個子技術:入侵軟體依賴和開發工具、入侵軟體供應鍊、入侵硬體供應鍊。
3.8.1 入侵軟體依賴和開發工具(T1195.001)
3.8.1.1 戰術描述
攻擊者可能會在最終消費者收到之前操縱軟體依賴關系和開發工具,以達到資料或系統危害的目的。應用程式通常依賴外部軟體才能正常運作。在許多應用程式中用作依賴項的流行開源項目可能會成為攻擊者添加惡意代碼的入口。
3.8.2 入侵軟體供應鍊(T1195.002)
3.8.2.1 戰術描述
軟體供應鍊的危害可以通過多種方式發生,包括操縱應用程式源代碼、操縱該軟體的更新/分發機制,或用修改版本替換已編譯的版本。
3.8.3 入侵硬體供應鍊(T1195.003)
3.8.3.1 戰術描述
通過修改供應鍊中的硬體或固件,攻擊者可以将後門插入可能難以檢測到的消費者網絡中,并使攻擊者對系統具有高度控制權。硬體後門可以插入到各種裝置中,例如伺服器、工作站、網絡基礎設施或外圍裝置。
3.8.4 緩解措施
3.8.4.1 更新軟體(M1051)
實施更新檔管理流程來檢查未使用的依賴項、未維護的或以前易受攻擊的依賴項、不必要的功能、元件、檔案和文檔。
3.8.4.2 漏洞掃描(M1016)
實施對漏洞來源的持續監控以及自動和手動代碼審查工具的使用。
3.8.5 檢測
通過散列檢查或其他完整性檢查機制對分布式二進制檔案進行驗證。掃描下載下傳的惡意簽名并在部署之前嘗試測試軟體和更新,同時注意潛在的可疑活動。對硬體進行實體檢查以尋找潛在的篡改。
3.9 利用受信關系(T1199)
攻擊者可能會破壞或以其他方式利用可以接觸到目标受害者的組織。通過受信任的第三方關系進行通路會繞過網絡通路權限的标準機制。
3.9.1 緩解措施
3.9.1.1 網絡分段(M1030)
網絡分段可用于隔離不需要廣泛網絡通路的基礎設施元件。
3.9.1.2 使用者賬戶控制(M1052)
正确管理受信任關系中各方使用的帳戶和權限,以盡量減少該方的潛在濫用以及該方被對手入侵的情況。
3.9.2 檢測
部署IAM身份識别與通路管理系統進行權限、賬号、身份等多元度統一認證管理。
3.10 利用有效賬戶(T1078)
攻擊者可能會擷取和濫用現有帳戶的憑據,受損憑據可用于繞過對網絡内系統上各種資源的通路控制,甚至可用于對遠端系統和外部可用服務的持久通路。被洩露的憑證還可能授予攻擊者增加特定系統的特權或通路網絡的受限區域。利用有效賬戶技術包含4個子技術:預設賬戶、域賬戶、本地賬戶、雲賬戶。
3.10.1 預設賬戶(T1078.001)
預設帳戶是作業系統内置的帳戶,例如 Windows 系統上的訪客或管理者帳戶。
預設賬戶不限于用戶端機器,還包括為網絡裝置和計算機應用程式等裝置預設的賬戶,預設使用者名和密碼組合的裝置對安裝後不更改的組織構成嚴重威脅,因為它們很容易成為攻擊者的目标。同樣,攻擊者也可能利用公開披露或被盜的私鑰通過遠端服務合法地連接配接到遠端環境。
3.10.2 域賬戶(T1078.002)
攻擊者可能會通過作業系統憑據轉儲或密碼重用等各種手段破壞域帳戶,其中一些帳戶具有進階别的權限,進而允許通路域的特權資源。
3.10.3 本地賬戶(T1078.003)
本地帳戶是由組織配置供使用者、遠端支援、服務使用或用于管理單個系統或服務的帳戶。本地帳戶也可能被濫用以通過作業系統憑據轉儲來提升權限和擷取憑據。
3.10.4 雲賬戶(T1078.004)
雲帳戶是由組織建立和配置的帳戶,供使用者遠端支援或服務使用,或用于管理雲服務提供商或 SaaS 應用程式中的資源。雲帳戶的受損憑據可用于從線上存儲帳戶和資料庫中收集敏感資料。還可以濫用對雲帳戶的通路權限,通過濫用信任關系獲得對網絡的初始通路權限。與域帳戶類似,聯合雲帳戶的入侵可能使攻擊者更容易在環境中橫向移動。
3.10.5 緩解措施
3.10.5.1 應用程式開發人員指南(M1013)
確定應用程式安全地存儲敏感資料或憑據。
3.10.5.2 密碼政策(M1027)
使用預設使用者名和密碼的應用程式和裝置應在安裝後和部署到生産環境之前立即更改。
3.10.5.3 特權賬戶管理(M1026)
定期稽核域和本地帳戶及其權限級别,以查找可能允許攻擊者通過擷取特權帳戶的憑據來獲得廣泛通路權限的情況。這些稽核還應包括是否啟用了預設帳戶,或者是否建立了未經授權的新本地帳戶等以限制跨管理層的特權帳戶使用。
3.10.5.4 使用者教育訓練(M1017)
應用程式可能會發送推送通知以驗證登入作為多因素身份驗證的一種形式。教育訓練使用者隻接受有效的推送通知并報告可疑的推送通知。
3.10.6 檢測
基于安全管理平台智能關聯分析引擎,檢測可疑帳戶行為,包括:
- 一個賬号同時登入多個系統
- 多個賬号同時登入同一台機器
- 工作時間以外登入的帳戶
- 單賬号多IP登入
- 沉默賬号、失效賬号登入
- 登入成功後短時間内登出的賬号
- 賬号繞堡壘機登入
- SSH跳闆登入
也可以定期審計登入行為,比如登入會話建立,登入後的上下文行為等發現異常行為。
四、總結
本期主要介紹了初始通路戰術及技術/子技術原理,下期将給大家介紹初始通路戰術覆寫的實戰型場景驗證過程及行之有效的檢測規則、防禦措施等。敬請關注。
相關分享:
2021 ATT&CK v10版本更新指南
![BurpSuite2021系列(七)Repeater詳解[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)