ATT&CK v12版本战术介绍持久化（三）

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术（一）及（二）知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术（三）涉及的剩余子技术，后续会陆续介绍其他战术内容，敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图（红框为持久化战术）

三、持久化战术

3.1 概述

持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术，例如替换或劫持合法代码或添加启动代码。

持久化战术包括19种技术，前几期给大家介绍了前12项技术，本期为大家逐一介绍最后7项技术。

3.2 修改身份验证过程（T1556）

攻击者可以修改身份验证机制和流程，以访问用户凭据或启用不必要的对账户的访问。身份验证过程通过机制处理，例如Windows上的本地安全身份验证服务器(LSASS)进程和安全帐户管理器(SAM)等。

攻击者可能会恶意篡改身份验证过程，以泄露凭据或绕过身份验证机制。泄露的凭据可用于绕过访问控制，并持续访问远程系统和外部可用服务。

修改身份验证过程技术包含7项子技术，介绍如下：

3.2.1 域控制器验证（T1556.001）

攻击者可能会修改域控制器上的身份验证过程，以绕过典型的身份验证机制访问账户。

恶意软件可用于在域控制器上的身份验证过程中注入虚假凭据，目的是创建用于访问任何用户的帐户或凭据的后门。经过身份验证的访问可以实现对单因素身份验证环境中的主机或资源的无限制访问。

3.2.2 密码过滤器DLL（T1556.002）

攻击者可能会将恶意密码过滤器动态链接库(Dll)注册到身份验证过程中，以便在验证用户凭据时获取这些凭据。

Windows密码过滤器是域和本地帐户的密码策略强制机制。过滤器作为Dll实现，其中包含根据密码策略验证潜在密码的方法。

攻击者可以注册恶意密码过滤器，以从本地计算机或整个域获取凭据。要执行正确的验证，过滤器必须从LSA接收纯文本凭据。每次发出密码请求时，恶意密码过滤器都会收到这些纯文本凭据。

3.2.3 可插入的身份验证模块（T1556.003）

攻击者可修改可插入的身份验证模块（PAM）以访问用户凭据或非法访问帐户。PAM是一个由配置文件、库和可执行文件组成的模块化系统，用于指导许多服务的身份验证。

攻击者可能会修改PAM系统的组件以创建后门。对PAM系统的恶意修改也可被利用以窃取凭据。

3.2.4 网络设备认证（T1556.004）

攻击者可以使用补丁系统镜像来硬编码操作系统中的密码，从而绕开网络设备上本地帐户的本地身份验证机制。在验证尝试时，插入的代码将首先检查用户输入的是否是密码。如果是，则授予访问权限。否则，植入的代码将传递凭据以验证潜在有效的凭据。

3.2.5 可逆加密（T1556.005）

攻击者可能会利用Active Directory身份验证加密属性以访问windows系统上的凭据。可逆密码加密属性指定是启用还是禁用帐户的可逆密码加密。默认情况下，此属性处于禁用状态。如果启用该属性，则攻击者可能会创建或更改的密码的明文。攻击者需要如下四个组件可以解密密码：

来自Activedirectory用户结构用户参数的加密密码（G$RADIUSCHAP）

也来自userParameters的16字节随机生成的值(G$RADIUSCHAPKEY)

全球LSA秘密(G$MSRADIUSCHAPKEY)

远程访问子身份验证DLL(RASSFM)中硬编码的静态密钥。

攻击者可以通过本地组策略编辑器、用户属性、细粒度密码策略(FGPP)或ActiveDirectory PowerShell模块设置此属性。

3.2.6 多因素认证（T1556.006）

攻击者可能会禁用或修改多因素身份验证(MFA)机制，以启用对帐户的持久访问。

根据攻击者的范围、目标和权限，可能会对单个帐户或与较大组关联的所有帐户（例如受害者网络环境中的所有域帐户）禁用MFA防御。

3.2.7 混合身份（T1556.007）

攻击者可能会修改与本地用户身份相关联的云身份验证过程，以绕过典型的身份验证机制、访问凭据并持久访问帐户。

许多组织维护在内部部署和基于云的环境之间共享的混合用户和设备身份。通过修改绑定到混合身份的身份验证过程，攻击者可以建立对云资源的持久特权访问。

3.2.8 缓解措施

ID	缓解措施	描述
M1047	审计	检查身份验证日志以确保MFA强制等机制按预期运行。
M1032	多因素身份认证	通过多因素身份验证(MFA)降低攻击者获得有效凭据控制权的风险，限制对云资源和Api的访问。
M1028	操作系统配置	确保仅注册有效的密码过滤器。
M1027	密码策略	确保AllowReversiblePasswordEncryption属性设置为disabled，除非有应用程序要求。
M1026	特权账户管理	审计域和本地帐户，限制对根帐户的访问， 限制本地账户。
M1025	特权进程完整性	LSA的启用功能
M1022	限制文件和目录权限	限制对/library/security/securityagentplugins目录的写入访问权限。
M1018	用户账户管理	确保实施适当的策略，保障用户帐户的身份验证机制的安全注册和停用。

3.2.9 检测

ID	数据源	数据组件	检测
DS0026	活动目录	活动目录对象对象	监控对与MFA登录要求相关的AD安全设置所做的更改。
DS0015	应用日志	应用日志内容	启用安全审核收集日志，例如，监控Azure AD应用程序代理连接器的登录，这些登录通常仅在添加新的通过身份验证(PTA)代理时生成。如果AD FS正在使用中，查看事件ID501的日志，该日志指定声明的所有EKU属性，并对环境中未配置的任何值发出警报。
DS0022	文件	文件创建	监视/Library/Security/SecurityAgentPlugins目录中的可疑添加。
		文件修改	监控与身份验证过程相关的文件的可疑修改，例如配置文件和模块路径（例如/etc/pam）