一、引言
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术、防御规避(一)理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术(二),包括防御规避6项子技术,后续会介绍防御规避其他子技术,敬请关注。
二、ATT&CK v1简介
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测,描述了检测各种ICS技术的方法,每种方法都与特定的数据源和数据组件相关联,检测功能既利用了传统的主机和基于网络的采集,也利用了ICS特定的来源,如资产和运营数据库等。
ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。
ATT&CK战术全景图(红框为防御规避战术)
三、防御规避战术
3.1 概述
防御逃避包括攻击者在攻击过程中用来避免被发现的技术,包括禁用安全软件、加密数据和脚本、利用可信进程来隐藏或伪装恶意软件。
防御规避战术包括42种技术,本期介绍前7-12种技术,逐一介绍如下:
3.2 部署容器(T1610)
攻击者可以将容器部署到环境中以逃避防御,攻击者通过部署新容器以执行与特定镜像相关联的进程,例如下载恶意软件的进程。新容器配置没有网络规则、用户限制等,以绕过环境中的现有防御。
3.2.1缓解措施
ID |
缓解措施 |
描述 |
M1047 |
审计 |
在部署之前扫描镜像,并阻止不符合安全策略的镜像。 |
M1035 |
限制通过网络访问资源 |
将与容器服务的通信限制为本地Unix套接字或通过SSH远程访问。禁用对Docker API、Kubernetes API服务器和容器编排web应用程序的未经身份验证的访问,需要安全端口访问才能通过TLS与Api通信。 |
M1030 |
网络分割 |
通过使用网络代理、网关和防火墙拒绝直接远程访问内部系统。 |
M1018 |
用户账户管理 |
限制容器仅对必要用户的访问,强制执行最小特权原则。 |
3.2.2 检测
ID |
数据源 |
数据组件 |
检测 |
DS0015 |
应用日志 |
应用日志内容 |
通过资产管理系统检测不应该存在于网络上的计算机系统或网络设备。 |
DS0032 |
容器 |