ATT&CK v10版本战术实战研究--侦察

最新推荐文章于 2023-08-18 11:00:00 发布
最新推荐文章于 2023-08-18 11:00:00 发布
阅读量5k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 网络安全 大数据 运维 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/123921374
版权
本文深入探讨了ATT&CK框架v10中的侦察战术,包括主动扫描、搜集受害者信息等方面,强调了侦察在攻击过程中的重要性。通过对10个侦察技术的验证,展示了如何检测和防护这些攻击手段,强调了增强网络信息安全意识和及时响应的必要性。
摘要由CSDN通过智能技术生成

一、引言

上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。

通过统计发现,任何恶意攻击一定是以侦察作为前奏,不论是内网还是外网,信息收集一定是攻击者下的第一步棋。根据资料显示,侦察占据整个攻击过程的60%,由此可见,一个全面、精准的侦察在整个攻击里面的重要性。

据不完全统计,只有11%的用户认为他们针对内部威胁的监控、检测以及响应是有效的,而49%的受访企业无法有效检测到内部威胁。针对遭受过内部威胁的受访企业,50%需要超过一天的时间才能检测到。那我们能不能在遭受攻击之前就将其扼杀在摇篮中呢?

二、侦察中的10个技术

  • 主动扫描(T1595)

  • 搜集受害者主机信息(T1592)

  • 搜集受害者身份信息(T1589)

  • 搜集受害者网络信息(T1590)

  • 搜集受害者组织信息(T1591)

  • 通过网络钓鱼搜集信息(T1598)

  • 从非公开源搜集信息(T1597)

  • 从公开技术数据库搜集信息(T1596)

  • 搜集公开网站/域(T1593)

  • 搜集受害者自有网站(T1594)

下面我们逐一介绍这10个技术内容。

2.1 主动扫描(T1595)

2.1.1 扫描IP段(T1595.001)

2.1.1.1 说明

在任何一个完整的恶意攻击流程中,侦察(TA0043)占50%以上,并且存在于攻击的各个阶段,即任何一步攻击都少不了侦察做铺垫。而普遍的信息收集除了社会工程学,其余的大部分都可以被感知到。

攻击者可能会扫描 IP 段以收集受害者网络信息,例如哪些 IP 地址正在被积极使用,以及有关分配了这些地址的主机的更详细信息。扫描的范围可以从简单的ping(ICMP请求和响应)到更细微的扫描,这些扫描可能通过服务器banners或其他网络组件获取主机软件/版本。来自这些扫描的信息可能会涉及其他形式的侦察(例如:搜索打开的网站/域或搜索开放的技术数据库)、建立操作资源(例如:开发能力或获取能力)或初始访问(例如:外部远程服务)的机会。

2.1.1.2 技术验证

2.1.1.2.1 工具准备

  • Nmap

  • 网络主机存活探测工具

2.1.1.2.2 命令

nmap -sP 192.168.1.0/24

./hostAction.py 192.168.1.0/24

2.1.1.2.3 效果

最低0.47元/天 解锁文章
SECISLAND安全官
关注
专栏目录
ATT&CK v10版本战术介绍-初始访问
ducc20180301的博客
04-24 4733
在前几期文章中我们介绍了ATT&CK侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术介绍执行(下篇)
ducc20180301的博客
02-04 893
在上期文章中我们介绍了ATT&CK执行战术前6项技术内容,本期我们为大家介绍执行战术后7项技术内容,后续会陆续介绍ATT&CK其他战术内容,敬请关注。
ATT&CK v10版本战术介绍-执行(上篇)
ducc20180301的博客
05-13 685
在前几期文章中我们介绍了ATT&CK侦察、资源开发、初始访问战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容,下期介绍执行战术后6项技术内容,敬请关注。
ATT&CK v10版本战术介绍—侦察
ducc20180301的博客
02-18 4242
在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CKATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术,后续会陆续介绍其他的战术内容,敬请关注。
ATT&CK v10版本战术介绍—资源开发
ducc20180301的博客
04-15 5715
在前两期文章中我们介绍了ATT&CK侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术实战研究—持久化(一)
ducc20180301的博客
03-03 481
文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段,其中的原理是什么,是怎样实现的,安全运维人员如何及时发现,我们应该从哪些方面预防和检测。
十大最常见的ATT&CK战术及技术
xnxqwzy的博客
08-01 2043
ATT&CK框架是一个网络安全综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,已成为研究威胁模型和方法的基础工具。随着厂商及企业对该框架的广泛采用,ATT&CK知识库已公认成为了解攻击者的行为模型与技术权威。Picus研究人员从各种来源收集了超过二十万真实世界威胁样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进行了分类,所有样本超过180万种ATT&CK技术。PicusLabs针对此研究发布了Red。
ATT&CK(对抗性战术,技术和公共知识库)
一智哇的博客
03-23 5901
ATT&CK
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 2581
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段。
滲透测试ATT&CK攻击模型一(Reconnaissance侦查)
Mr.mark的博客
07-06 2316
侦察战术主要包括攻击者主动或被动地收集可用于达成目标的信息的技术。此类信息可能包括目标的组织、基础设施或工作人员的详细信息。攻击者可以利用此信息为攻击生命周期的其他阶段提供帮助。例如使用收集的信息来规划和执行初始访问,确定沦陷目标的范围和优先顺序,以及驱动和领导进一步的侦察行动。 T1595 Active Scanning 主动扫描 主动扫描可以用于在网络中收集资产信息,便于快速掌握开放到公网上的网络服务。主动扫描是指通过网络流量探查目标基础设施的扫描,与不涉及直接交互的
攻防演练学习之浅析ATT&CK和Cyber Kill Chain
最新发布
m0_59598029的博客
08-18 892
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号(非典型产品经理笔记)上写的原创内容,挑一部分发一下。后续新内容会考虑同步在freebuf上发送。本系列当前共14篇。理解事物从描述开始。要理解一件事情,首先要能描述它,不可描述的事情,显然很难被解析、被应对,难以发展和演进。网络攻防因其抽象性,更是如此。下图为洛克希德·马丁公司官网(
ATT&CK-T1592-001-收集受害者主机信息-硬件
swordheart的博客
12-07 449
在入侵受害者之前,攻击者可能会收集有关受害者主机硬件的信息,这些信息可以在目标定位期间使用。有关硬件基础设施的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及是否存在可能指示附加防御保护措施的其他组件(例如:卡/生物识别器,专用加密硬件等)。攻击者可以通过各种方式收集此信息,例如通过主动扫描(例如:主机名,服务器旗标,用户代理字符串)、 钓鱼。攻击者还可能入侵站点,然后植入旨在收集访问者主机信息的恶意内容。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告
ATT&CK v10版本战术介绍:初始访问的九种技术
2201_75735270的博客
07-24 200
初始访问是攻击者使用各种方法在网络中获得攻击入口的技术,包括网络钓鱼和利用公司对外的Web网站的漏洞。通过初始访问获得的攻击入口可能允许攻击者继续进行深入的渗透,例如获取有效的帐户信息和对外提供的远程服务,或者通过多次尝试口令锁住用户账户限制用户使用等。初始访问包括9种技术,下面逐一介绍下这九种技术。
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 702
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
ATT&CK框架
热门推荐
qq_40216188的博客
02-28 2万+
ATT&CK框架一、ATT&CK框架1.1、侦查Reconnaissance-包含10项技术1.2、资源开发Resource Development-包含6项技术1.3、初始访问Initial Access-包含9项技术 一、ATT&CK框架 序号 战术 战术功能 1 侦察 信息收集 2 资源开发 建立攻击者行动所需资源 3 初始访问 进入目标网络,获取一个入口 4 执行 运行恶意代码 5 持久化 保持攻击立足点 6 权限提升 获取最高权限 7
ATT&CK框架现有的14个战术进行了详细介绍
千寻的博客
10-19 1917
ATT&CK战术详解。
ATT&CK框架简介 已知攻击技术汇总
whatday的专栏
03-10 1万+
一、ATT&CK框架背景介绍 MITRE是美国政府资助的一家研究机构,该公司于1958年从MIT分离出来,并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统和AWACS机载雷达系统。MITRE在美国国家标准技术研究所(NIST)的资助下从事了大量的网络安全实践。 MITRE在2013年推出了ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。AT...
【转】ATTCK模型解读
tpriwwq的专栏
06-05 3733
EDR 和市场上常见的EPP( Endpoint Protection Platform)不同,EDR 更注重“探测”和“响应”。真实的网络攻击并不是一蹴而就的,往往伴随着多次不同的攻击,最后才能突破防御达成攻击目的。入侵一定会有痕迹,EDR 希望在最终灾难发生之前,通过对入侵方法的探测和及时高效的安全响应(警报、隔离等多种方式),将安全事故发生的几率降到最低。......
构建与运营企业内部ATT&CK框架
文档提到了ATT&CK的最新版本V9和2021路线图,包括对不同平台如MacOS、IaaS、SaaS、容器领域的攻击技术更新,并强调了数据源和结构化的改进。此外,文档还介绍了ATT&CK的历史发展,以及它作为攻击与防守双方沟通语言...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值