ATT&CK v10版本战术介绍—持久化（一）

最新推荐文章于 2024-04-26 10:02:36 发布

SECISLAND安全官

最新推荐文章于 2024-04-26 10:02:36 发布

阅读量651

点赞数

分类专栏： ATTCK 文章标签：网络运维网络安全数据安全运维开发 Powered by 金山文档

本文链接：https://blog.csdn.net/ducc20180301/article/details/128883070

版权

本文详细介绍了MITRE ATT&CK框架中的持久化战术，包括操纵账户（T1098）的五个子技术，如添加云凭证、电子邮件权限等，以及利用BITS服务（T1197）和自动启动执行（T1547）的若干子技术，探讨了如何通过这些方法在系统重新启动、更改凭据等情况下保持攻击者的访问权限。

摘要由CSDN通过智能技术生成

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术前6项技术，后续会陆续介绍持久化战术其他技术内容，敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻击者战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象，这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息，同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件，一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据，包括 ID、定义、可以收集它的位置（收集层）、可以在什么平台上找到它，突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种（子）技术，这些技术可以用该特定数据检测到。在个别（子）技术上，数据源和组件已从页面顶部的元数据框重新定位，以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台，包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

ATT&CK战术全景图（红框为持久化战术）

三、持久化战术

3.1 概述

持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术，例如替换或劫持合法代码或添加启动代码。

持久化战术包括19种技术，本期为大家逐一介绍前6种技术。

3.2 操纵账户（T1098）

攻击者可能会操纵帐户以保持对受害者系统的访问，包括保留攻击者对已泄露帐户的访问权限的任何操作，例如修改凭据，权限组或密码，提权等。

操纵账户技术包括5个子技术，介绍如下：

3.2.1 添加云凭证（T1098.001）

攻击者可将控制的凭据添加到云帐户中，以维持对受害者帐户和环境中实例的持续访问。

3.2.2 添加电子邮件权限（T1098.002）

攻击者可向邮箱添加权限，以保持对攻击者已控制的电子邮件帐户的持久访问。

攻击者还可通过单个文件夹权限或角色分配邮箱文件夹权限，利用租户中的任何其他帐户来保持对目标用户的邮件文件夹的持久访问。

3.2.3 添加云角色（T1098.003）

攻击者可以向控制的云帐户添加其他角色或权限，以保持对租户的持久访问。此帐户修改可在创建帐户或其他恶意帐户活动之后立即进行,攻击者也可以修改他们已经入侵的现有有效帐户。

3.2.4 SSH授权密钥（T1098.004）

攻击者可以修改SSH密钥文件以保持对受害者主机的持久访问。Linux发行版和macOS通常使用基于密钥的身份验证来保护SSH会话以进行远程管理。

攻击者可以直接使用脚本或shell命令修改SSH密钥文件。在云环境中，攻击者可通过命令行界面或rest API修改特定虚拟机的SSH密钥文件。如果攻击者向特权较高的用户添加密钥，则可能会在目标虚拟机上实现特权升级。

3.2.5 设备注册（T1098.005）

攻击者可将设备注册到攻击者控制的帐户。设备可以在多因素身份验证系统中注册，该系统处理对网络的身份验证，或者在设备管理系统中注册，该系统处理设备访问和合规性。

3.2.6 缓解措施

ID	缓解措施	描述
M1032	多因素认证	对用户和特权帐户使用多重身份验证。
M1030	网络分割	配置访问控制和防火墙以限制对关键系统和域控制器的访问。大多数云环境支持单独的虚拟私有云（VPC）实例，可以进一步细分云系统。
M1028	操作系统配置	通过确保关键服务器的正确安全配置来保护域控制器，以限制可能不必要的协议和服务（如SMB文件共享）的访问。
M1026	特权账户管理	不要用域管理员帐户进行日常操作，可能会增加账户泄露风险。
M1018	用户账户管理	确保低权限用户帐户没有修改帐户或帐户相关策略的权限。

3.2.7 检测

ID	数据源	数据组件	检测
DS0026	Active Directory	Active Directory对象修改	监控对日志的更改，以获取服务和应用程序的修改。
DS0017	命令	命令执行	监控已执行的命令和可疑命令的参数，这些命令可能指示修改相关服务设置的权限。
DS0022	文件	文件修改	监控对与帐户设置相关的文件所做的更改，例如系统上每个用户的/etc/ssh/sshd_config和authorized_keys文件。
DS0036	组	组修改	监控系统和域上的帐户对象权限更改的事件，例如事件ID 为4738、4728和4670。
DS0009	进程	进程创建	监控修改帐户设置的新进程，例如修改authorized_keys或/etc/ssh/sshd_config文件的进程。