ATT&CK v10版本战术介绍—持久化（二）

最新推荐文章于 2023-06-26 11:43:28 发布

SECISLAND安全官

最新推荐文章于 2023-06-26 11:43:28 发布

阅读量575

点赞数

分类专栏：网络安全 ATTCK 文章标签：网络安全数据安全系统安全大数据运维 Powered by 金山文档

本文链接：https://blog.csdn.net/ducc20180301/article/details/129320902

版权

本文详细介绍了MITRE ATT&CK框架v10中的持久化战术，包括创建账户（本地、域、云）和创建或修改系统进程（启动代理、Systemd服务、Windows服务等），讨论了攻击者如何通过这些技术维持对系统的长期访问，并提供了缓解措施和检测策略。

摘要由CSDN通过智能技术生成

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术（一）知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术（二）涉及的6项子技术，后续会陆续介绍其他战术内容，敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象，这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息，同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件，一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据，包括 ID、定义、可以收集它的位置（收集层）、可以在什么平台上找到它，突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种（子）技术，这些技术可以用该特定数据检测到。在个别（子）技术上，数据源和组件已从页面顶部的元数据框重新定位，以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台，包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

ATT&CK战术全景图（红框为持久化战术）

三、持久化战术

3.1 概述

持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术，例如替换或劫持合法代码或添加启动代码。

持久化战术包括19种技术，上期给大家介绍了前6项技术，本期为大家逐一介绍中间6项技术。

3.2 创建账户（T1136）

攻击者可以创建一个帐户以维持对受害者系统的访问。攻击者可以在本地系统或云租户内创建帐户，在云环境中，攻击者可能会创建只能访问特定服务的帐户，减少被检测的风险。

创建账户技术包含3项子技术，介绍如下：

3.2.1 本地账户（T1136.001）

攻击者可以创建一个本地帐户，以维持对受害者系统的访问。本地帐户可用于建立不需要在系统上部署持久性远程访问工具的辅助凭据访问。

3.2.2 域账户（T1136.002）

攻击者可以创建一个域帐户来保持对受害系统的访问，域帐户可以涵盖用户、管理员和服务帐户。

3.2.3 云账户（T1136.003）

攻击者可以创建一个云帐户来保持对受害者系统的访问，创建仅有权访问特定云服务的帐户，这可以减少被检测的风险。

3.2.4 缓解措施

ID	缓解措施	描述
M1032	多因素认证	对用户和特权帐户使用多重身份验证。
M1030	网络分割	配置访问控制和防火墙以限制对域控制器和系统的访问。
M1028	操作系统配置	通过确保关键服务器的正确安全配置来保护域控制器。
M1026	特权账户管理	不要用域管理员帐户进行日常操作，可能会增加账户泄露风险。

3.2.5 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	监控与账户创建相关联操作的执行命令和参数。
DS0009	进程	进程创建	监控与账户创建相关联的新建的进程。
DS0002	用户账号	用户账号修改	监控新建的用户帐户，收集有关在网络或Windows事件ID为4720中创建帐户的数据。