ATT&CK v12版本战术介绍——提权（二）

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化战术、提权战术（一），本期我们为大家介绍ATT&CK 14项战术中提权战术（二），包括提权剩余7项子技术，后续会介绍其他战术，敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图（红框为提权战术）

三、提权战术

3.1 概述

权限升级是攻击者用来在系统或网络上获得更高级权限的技术。常见的方法是利用系统弱点、错误配置和漏洞。提升访问的示例包括:system/root账号、本地管理员、具有类似管理员访问权限的用户帐户、访问特定系统或功能的用户帐户。

提权战术包括13种技术，上期介绍了前6种技术，本期介绍剩余7种技术，逐一介绍如下：

3.2 容器逃逸（T1611）

攻击者可能会跳出容器以访问底层主机。原则上，容器化资源应提供应用程序功能的明确分离，并与主机环境隔离。

攻击者可以通过多种方式逃到宿主环境中，包括创建一个容器，配置为使用bind参数挂载主机的文件系统，该参数允许攻击者在主机上执行控制程序；利用特权容器在底层主机上运行命令或加载恶意内核模块；或利用unshare和keyctl等系统调用来升级特权。

3.2.1 缓解措施

ID	缓解措施	描述
M1048	应用隔离和沙箱	限制容器对主机进程命名空间、主机网络和主机文件系统的访问。
M1038	执行防御	使用只读容器、只读文件系统，防止运行命令。
M1026	特权账户管理	确保容器默认不以root身份运行。

3.2.2 检测

ID	数据源	数据组件	检测
DS0032	容器	容器创建	监控新建的容器，特别是以root身份运行的容器。
DS0008	内核	内核模块加载	监控安装的内核模块。
DS0009	进程	OS API执行	监控异常的系统调用，可能表明从特权容器逃逸到主机。
		进程创建	监控在容器外或主机上产生的异常进程。
DS0034	卷	卷修改	监控修改容器卷配置相关的行为。

3.3 事件触发执行（T1546）

攻击者可利用基于特定事件触发执行的系统机制建立持久性或提升特权。操作系统可监控登录或其他用户活动，云环境还可以监控特定云事件调用等。

攻击者利用这些机制，在获得对受害系统的访问权限后，通过创建或修改事件触发器以指向恶意代码，每当调用事件触发器时都会执行恶意代码。

事件触发执行包含16项子技术，介绍如下：

3.3.1 更改默认文件关联（T1546.001）

攻击者可以通过执行由文件关联触发的恶意内容来建立持久性。打开文件时，将检查打开文件的默认程序（也称为文件关联程序）。文件关联存储在Windows注册表中，应用程序可以修改给定文件扩展名的文件关联，以便在打开具有给定扩展名的文件时调用任意程序。攻击者可以修改注册表值以持续执行任意命令。

3.3.2 屏幕保护程序（T1546.002）

攻击者可以通过将屏幕保护程序设置为在用户不活动的某个时间段后运行恶意软件来建立持久性。屏幕保护程序设置存储在注册表（HKCU\Control Panel\Desktop\）中：

SCRNSAVE.exe-设置为恶意PE路径

屏幕保护程序-设置为"1"以启用屏幕保护程序

ScreenSaverIsSecure-设置为'0'不需要密码来解锁

ScreenSaveTimeout-在屏幕保护程序执行之前设置用户无效超时

3.3.3 WMI事件订阅（T1546.003）

攻击者可以使用WMI的功能订阅事件并在事件发生时执行任意代码，从而在系统上提供持久性。WMI订阅执行由WMI提供程序主机进程(WmiPrvSe)代理，从而可能导致系统特权提升。

3.3.4 Unix Shell配置修改（T1546.004）

攻击者可以通过执行由用户的shell触发的恶意命令来建立持久性。例如，当用户打开命令行界面或SSH远程登录时，将启动登录shell。启动时，系统上的所有登录shell都使用/etc/profile。这些配置脚本在其目录的权限级别运行，通常用于设置环境变量、创建别名和自定义用户的环境。攻击者可通过将命令插入shell自动执行的脚本来建立持久性。

3.3.5 Trap（T1546.005）

Trap命令允许程序和shell指定将在接收中断信号时执行的命令。攻击者可以使用它来注册当shell遇到特定中断时要执行的代码。

3.3.6 LC_LOAD_DYLIB添加（T1546.006）

MACH-O二进制文件中的LC_LOAD_DYLIB告诉macOS和OS X在执行期间加载哪些动态库（dylib）。只要对其余字段和依赖项进行调整，就可以将它们临时添加到已编译的二进制文件中。攻击者可以修改mach-O二进制文件，以便在每次执行二进制文件时加载和执行恶意dylib。

3.3.7 Netsh Helper DLL（T1546.007）

攻击者可通过执行由Netsh Helper DLL触发的恶意内容来建立持久性。netsh.exe是命令行脚本程序，用于与系统的网络配置进行交互。在HKLM \ Software \ Microsoft \ netsh上输入了注册Netsh Helper DLL的路径。

3.3.8 辅助功能（T1546.008）

攻击者可以通过执行由辅助功能触发的恶意内容来提升权限。Windows包含可在用户登录之前使用组合键启动的辅助功能。攻击者可以修改这些程序的启动方式，以获得命令提示符或后门，而无需登录到系统。

3.3.9 AppCert Dlls进程注入（T1546.009）

攻击者可以通过执行加载到进程中的AppCert Dll触发的恶意内容来提升权限。与进程注入类似，恶意AppCertDLLs还可以通过API活动持续触发来提供持久性。

3.3.10 APPInit Dlls进程注入（T1546.010）

攻击者可以通过执行加载到进程中的AppInit Dll触发的恶意内容来提升特权。与进程注入类似，恶意AppInit Dll也可能通过API活动持续触发来提供持久性。

3.3.11 应用兼容程序（T1546.011）

攻击者可以通过执行应用兼容程序触发的恶意代码来建立持久性或提升特权。创建应用兼容程序是为了在操作系统代码库随时间变化时允许软件的向后兼容性，充当程序和Windows操作系统之间的缓冲区。

为了保证应用兼容程序的安全，Windows将它们设计为在用户模式下运行，这样它们就不能修改内核，必须具有管理员权限才能安装应用兼容程序。但是，某些兼容程序可用于绕过用户帐户控制（UAC和RedirectEXE），将Dll注入进程（InjectDLL）等，利用这些应用兼容程序可能允许攻击者执行一些恶意行为，例如提升特权，安装后门，禁用windows Defender等防御措施。

3.3.12 IFEO注入（T1546.012）

攻击者可以通过执行由映像文件执行选项（IFEO）调试器触发的恶意代码来提升权限。IFEOs使开发人员能够将调试器附加到应用程序。创建进程时，应用程序的IFEO中存在的调试器将被添加到应用程序的名称前面，从而有效地在调试器下启动新进程。恶意软件还可能使用IFEO通过注册无效的调试器来破坏防御，这些调试器重定向并有效地禁用各种系统和