一、引言
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术(一)知识,本期我们为大家介绍ATT&CK 14项战术中持久化战术(二)涉及的6项子技术,后续会陆续介绍其他战术内容,敬请关注。
二、ATT&CK v10简介
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
ATT&CK v10更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象,这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息,同时将它们构建为新的 ATT&CK 数据源对象。
ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件,一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据,包括 ID、定义、可以收集它的位置(收集层)、可以在什么平台上找到它,突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种(子)技术,这些技术可以用该特定数据检测到。在个别(子)技术上,数据源和组件已从页面顶部的元数据框重新定位,以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台,包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。
ATT&CK战术全景图(红框为持久化战术)
三、持久化战术
3.1 概述
持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术,例如替换或劫持合法代码或添加启动代码。
持久化战术包括19种技术,上期给大家介绍了前6项技术,本期为大家逐一介绍中间6项技术。
3.2 创建账户(T1136)
攻击者可以创建一个帐户以维持对受害者系统的访问。攻击者可以在本地系统或云租户内创建帐户,在云环境中,攻击者可能会创建只能访问特定服务的帐户,减少被检测的风险。
创建账户技术包含3项子技术,介绍如下:
3.2.1 本地账户(T1136.001)
攻击者可以创建一个本地帐户,以维持对受害者系统的访问。本地帐户可用于建立不需要在系统上部署持久性远程访问工具的辅助凭据访问。
3.2.2 域账户(T1136.002)
攻击者可以创建一个域帐户来保持对受害系统的访问,域帐户可以涵盖用户、管理员和服务帐户。
3.2.3 云账户(T1136.003)
攻击者可以创建一个云帐户来保持对受害者系统的访问,创建仅有权访问特定云服务的帐户,这可以减少被检测的风险。
3.2.4 缓解措施
ID |
缓解措施 |
描述 |
M1032 |
多因素认证 |
对用户和特权帐户使用多重身份验证。 |
M1030 |
网络分割 |
配置访问控制和防火墙以限制对域控制器和系统的访问。 |
M1028 |
操作系统配置 |
通过确保关键服务器的正确安全配置来保护域控制器。 |
M1026 |
特权账户管理 |
不要用域管理员帐户进行日常操作,可能会增加账户泄露风险。 |
3.2.5 检测
ID |
数据源 |
数据组件 |
检测 |
DS0017 |
命令 |
命令执行 |
监控与账户创建相关联操作的执行命令和参数。 |
DS0009 |
进程 |
进程创建 |
监控与账户创建相关联的新建的进程。 |
DS0002 |
用户账号 |
用户账号修改 |
监控新建的用户帐户,收集有关在网络或Windows事件ID为4720中创建帐户的数据。 |
3.3 创建或修改系统进程(T1543)
攻击者可以创建或修改系统级进程,通过重复执行恶意有效载荷保持持久性。当操作系统启动时,它们可以启动执行后台系统功能的进程。在Windows和Linux上,这些系统进程称为服务。
攻击者可以安装新的服务、守护进程或代理程序,这些服务、守护进程或代理程序可以配置为在启动时或定时执行,以建立持久性。同样,攻击者可以修改现有的服务、守护进程或代理以达到相同的效果。
创建或修改系统进程技术包含4项子技术,介绍如下:
3.3.1 启动代理(T1543.001)
攻击者可以创建或修改启动代理,通过重复执行恶意有效载荷以保持持久性。通常安装启动代理来执行程序更新、在登录时启动用户指定的程序或执行其他任务。
启动代理名称可以通过使用相关操作系统或合法软件中的名称来伪装,启动代理使用用户级别权限创建并执行。
3.3.2 Systemd服务(T1543.002)
攻击者可以创建或修改systemd服务,以重复执行恶意有效载荷以保持持久性。Systemd服务管理器通常用于管理后台守护进程和其他系统资源。Systemd利用服务单元配置文件来控制服务如何启动以及在什么条件下启动。
3.3.3 Windows服务(T1543.003)
攻击者可以创建或修改Windows服务,通过重复执行恶意有效载荷保持持久性。当Windows启动时,它会启动执行服务程序或应用程序。Windows注册表中存储了Windows服务配置信息,包括服务可执行或恢复程序/命令的文件路径。
攻击者可以安装新服务或修改现有服务以在启动时执行, 可以使用系统程序设置、修改服务配置、修改注册表或者直接与Windows API交互方式。
攻击者可使用服务来安装和执行恶意驱动程序。攻击者会利用这些驱动程序作为Rootkit来隐藏系统上恶意活动的存在。攻击者还可以将已签名但易受攻击的驱动程序加载到受损的计算机上实现特权升级。
3.3.4 启动守护进程(T1543.004)
攻击者可以创建或修改启动守护进程,以执行恶意有效载荷。启动守护进程通常用于提供共享资源,软件更新或执行自动化任务的访问。
攻击者可以通过使用参数设置在启动时执行启动守护进程,并将程序参数设置为恶意可执行路径。守护程序名称可以伪装成操作系统或合法软件名称来规避检测风险。
3.3.5 缓解措施
ID |
缓解措施 |
< |