ATT&CK v10版本战术介绍-初始访问

一、引言

在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究，通过实战场景验证行之有效的检测规则、防御措施，本期我们为大家介绍ATT&CK 14项战术中初始访问战术，后续会陆续介绍其他战术内容，敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象，这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息，同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件，一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据，包括 ID、定义、可以收集它的位置（收集层）、可以在什么平台上找到它，突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种（子）技术，这些技术可以用该特定数据检测到。在个别（子）技术上，数据源和组件已从页面顶部的元数据框重新定位，以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台，包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

ATT&CK战术全景图（红框为初始访问战术）

三、初始访问战术

3.1 概述

初始访问是攻击者使用各种方法在网络中获得攻击入口的技术，包括网络钓鱼和利用公司对外的Web 网站的漏洞。通过初始访问获得的攻击入口可能允许攻击者继续进行深入的渗透，例如获取有效的帐户信息和对外提供的远程服务，或者通过多次尝试口令锁住用户账户限制用户使用等。

初始访问包括9种技术，下面逐一介绍下这九种技术。

3.2 路过式攻击（T1189）

攻击者可能通过用户在正常访问网站的过程中入侵他的系统，主要包括获取浏览器的权限或者利用网站相关漏洞（比如认证漏洞等）进行攻击。存在多种向浏览器提供漏洞利用代码的方法，包括：恶意代码（如JavaScript、iFrame 和跨站点脚本等）、恶意广告、用户能操作的网站内容（比如表单提交）。

典型的攻击过程：

1) 用户访问了一个被攻击者控制的网站。

2) 脚本会自动执行，通常会在浏览器和插件中搜索可能存在漏洞的版本。

3) 用户可能需要通过忽略启用脚本或活动网站组件的警告对话框来协助此过程。

4) 在找到易受攻击的版本后，漏洞代码将被传递到浏览器。

5) 如果利用成功，除非有其他保护措施，否则它将在用户系统上执行攻击者代码。

这种攻击的对象是客户端上的软件，而用户利用客户端可能会访问公司内网，攻击者可以通过客户端合法的认证信息作为跳板合法的访问内网资源。

3.2.1 缓解措施

3.2.1.1 应用程序隔离和沙箱（M1048）

浏览器沙箱可用于减轻利用的一些影响，但沙箱逃逸可能仍然存在。其他类型的虚拟化和应用程序微分段也可以减轻客户端利用的影响。

3.2.1.2 漏洞利用保护（M1050）

可以通过安全应用程序（例如 Windows Defender Exploit Guard (WDEG) 和增强的一些专杀工具等(EMET)）可用于缓解某些利用行为。控制流完整性检查（Control flow integrity）是另一种可能识别和阻止软件漏洞发生的方法。许多这些措施依赖于架构和目标应用程序二进制文件的兼容性。

3.2.1.3 限制基于 Web 的内容（M1021）

对于通过广告提供的恶意代码，广告拦截器可以帮助阻止该代码首先执行。

脚本阻止扩展可以帮助阻止在利用过程中可能常用的 JavaScript 的执行。