战术目标
战术主要目标是构建开展攻击所需的所有资源准备工作。
构建基础设施
通过购买、租用等方式采购物理服务器、云主机、域名、僵尸网络等,构建攻击过程中所需要的基础设施。
1)域名:通过伪造近似企业域名的假域名进行网络钓鱼,提高真实性。在命令控制时,也会用到域名,使失陷主机回连到攻击设备。
2)DNS服务器:攻击者构建自己的DNS服务器用于攻击,如基于DNS的C2通道。
3)VPS:攻击者通过购买公有云VPS,快速构建和销毁基础设施。提升防守者溯源难度。
4)实体服务器:通过实体服务器构建攻击所需基础设施。
5)僵尸网络:购买或租用僵尸网络,开展网络钓鱼、DDOS攻击等。
6)网络服务:注册攻击可能用到的网络服务,利用Google等常见的网络服务商,使攻击隐藏在噪音中,增加溯源难度。
缓解措施:M1056
检测措施:
1)DS0038
2)DS0035
失陷账号
通过黑掉和目标有关联的账号进行网络钓鱼(如获取员工账号后,询问管理员服务器密码)、获取初始访问(如获取管理员邮箱密码可能在服务器上重用)等。账户攻击会涉及其他技术,如“利用网络钓鱼获取信息”、“暴力破解”等。
1)社交账号:可以通过网络钓鱼、暴力破解、或从第三方购买泄露的账号密码。
2)电子邮件账号:方式相同。
缓解措施:M1056
检测措施:DS0029/DS0021
失陷基础设施
攻击者可能破坏第三方的基础设施,用于对目标的攻击中。相对于购买、租用基础设施,利用失陷的基础设施,可以更好的隐匿攻击。
1)域名
2)DNS服务器
3)VPS
4)实体服务器
5)网络服务
缓解措施:M1056
检测措施:
1)DS0038
2)DS0035
开发能力
攻击者基于自身开发能力,开发攻击所需的恶意程序、利用脚本等。所需技术能力与合法开发相同。
1)恶意软件:通常恶意软件会具备远程控制能力,涉及C2通讯、后门等。
2)代码签名证书:开发攻击者自签名的代码签名证书。一定程度上可以提升恶意软件被信任的可能。
3)数字证书:创建自签名的SSL/TLS证书,同样可以提升可信度,并可以实现C2流量的加密。
4)利用程序:基于漏洞开发利用程序,或基于网上寻找漏洞利用程序开发。
缓解措施:M1056
检测措施:
1)DS0035
2)DS0004
建立账户
创建新的账号,虚构或冒充真实的人,进行社会工程学活动。利用建立的账号进行网络钓鱼获取更多信息或获取初始访问。
1)社交账号
2)电子邮件账号
缓解措施:M1056
检测措施:
1)DS0029
2)DS0021
获取能力
相对于开发能力,攻击者可以直接从网上获取或购买所需的恶意软件、工具、安全漏洞等。
1)恶意软件
2)工具:如Cobalt Strike、PsExec。
3)代码签名证书
4)数字证书
5)利用程序
6)安全漏洞:搜索或购买安全漏洞。
缓解措施:M1056
检测措施:
1)DS0037
2)DS0035
3)DS0004
发布能力
在攻击过程中,需要做好能够让攻击目标访问到资源准备中的恶意软件、工具等的准备工作。
1)上传恶意软件:将开发的恶意软件放到构建的基础设施或失陷的基础设施,在攻击过程中,能够让攻击目标访问到。同样可以上传到第三方网络服务、github等。
2)上传工具:同样,工具也需要能够被攻击目标访问到,可以上传到前期资源准备中的基础设施、第三方网络服务、github等。
3)安装数字证书:完成数字证书安装准备工作,用于建立加密通讯。
4)中间目标(Drive-by Target):(想不到合适的名词)个人理解为开展Drive-by compromise攻击的准备工作,类似XSS攻击,将恶意代码注入到已失陷的网站或攻击者伪造的网站上,让正常访问失陷网站的主机进一步被控制或获取其Token信息。
5)链接目标(Link Target):连接目标通常可能是一个HTML页面,用于网络钓鱼,当用户点击恶意链接后,访问到链接目标,达到攻击者的目的。
缓解措施:M1056
检测措施:DS0035