ATT&CK v12版本战术介绍——防御规避（一）

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究，本期我们为大家介绍ATT&CK 14项战术中防御规避战术（一），包括防御规避前6项子技术，后续会介绍防御规避其他子技术，敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图（红框为防御规避战术）

三、防御规避战术

3.1 概述

防御逃避包括攻击者在攻击过程中用来避免被发现的技术，包括禁用安全软件、加密数据和脚本、利用可信进程来隐藏或伪装恶意软件。

防御规避战术包括42种技术，本期介绍前6种技术，逐一介绍如下：

3.2 利用提升控制权限机制（T1548）

攻击者可能会绕过控制提升权限的机制以获得更高级别的权限。攻击者可用多种方法来利用内置控制机制，以升级系统上的权限。

利用提升控制权限机制包含4项子技术，介绍如下：

3.2.1 setuid和setgid（T1548.001）

如果应用程序设置了setuid或setgid位，则攻击者可能会利用配置，以便运行恶意代码。任何用户都可以指定要为自己的应用程序设置的setuid或setgid标志（即文件和目录权限修改），攻击者可以在他们自己的恶意软件上使用此机制，以确保他们将来能够在提升的上下文中执行。或者可以选择查找和定位已启用setuid或setgid位的易受攻击的二进制文件，二进制文件可能会被利用。

3.2.2 绕过用户帐户控制（T1548.002）

Windows用户帐户控制(UAC)允许程序提升其权限，以便在管理员级别权限下执行任务，通过提示用户进行确认。攻击者可能会绕过UAC机制来提升系统上的进程权限。

3.2.3 Sudo和Sudo缓存（T1548.003）

攻击者可以执行sudo缓存或使用sudoers文件提升权限。Sudo命令允许系统管理员委派权限，使某些用户能够以root或其他用户身份运行某些命令，同时提供命令及其参数的审计跟踪。/etc/sudoers描述了哪些用户可以从哪些终端运行哪些命令，哪些命令用户可以作为其他用户或组运行。攻击者利用这些机制的不良配置来升级特权，而不需要用户的密码。

3.2.4 带提示的提权执行（T1548.004）

攻击者可以利用AuthorizationExecuteWithPrivileges API通过提示用户输入凭据来升级权限。此API的目的是为应用程序开发人员提供一种使用root权限执行操作的简单方法，例如用于应用程序安装或更新。API不会验证请求root权限的程序是否合法。

3.2.5 缓解措施

ID	缓解措施	描述
M1047	审计	检查windows系统上常见的uac绕过弱点
M1038	执行预防	系统设置可以阻止未从合法渠道下载的应用程序运行，不允许运行未签名的应用程序。
M1028	操作系统配置	具有已知漏洞的应用程序不应设置setuid或setgid位，设置setuid或setgid位的程序的数量应该在整个系统中最小化。
M1026	特权账户管理	从系统上的本地管理员组中删除用户。要求用户在每次执行sudo时输入其密码。
M1022	限制文件和目录权限	应该严格编辑sudoers文件，始终需要密码。
M1052	用户帐户控