ATT&CK v13版本战术介绍——防御规避（五）

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术，本期我们为大家介绍ATT&CK 14项战术中防御规避战术第25-30种子技术，后续会介绍防御规避其他子技术，敬请关注。

二、ATT&CK v13简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2023年 4月25日，MITRE ATT&CK 发布了最新版本 V13，最大的变化是为ATT&CK中的一些技术添加了详细的检测指导，用于企业，移动数据源和两种新类型的更改日志（包括一个人类可读的详细更改日志，更具体地显示更新的ATT&CK对象中的更改，以及一个机器可读的JSON更改日志，其格式在ATT&CK的Github中描述）。

ATT&CK for Enterprise v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

ATT&CK战术全景图（红框为防御规避战术）

三、防御规避战术

3.1 概述

防御逃避包括攻击者在攻击过程中用来避免被发现的技术，包括禁用安全软件、加密数据和脚本、利用可信进程来隐藏或伪装恶意软件。

防御规避战术包括42种技术，本期介绍第25-30种技术，逐一介绍如下：

3.2 plist文件修改（T1647）

攻击者可能会修改属性列表文件（plist文件）以启用其他恶意活动，以逃避和绕过系统防御。macOS应用程序使用plist文件，用于存储通知操作系统如何在运行时处理应用程序的属性和配置设置。Plist文件是基于Apple的Core Foundation DTD以XML格式格式化的键值对中的结构化元数据。Plist文件可以保存为文本或二进制格式。

攻击者可以修改plist文件中的键值对以影响系统行为，例如隐藏应用程序的执行或运行其他持久性命令。

3.2.1 缓解措施

ID	缓解措施	描述
M1013	应用开发者指南	确保应用程序使用开发人员指南。

3.2.2 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	监控用于修改plist文件的带有参数的命令（例如打开常用命令行编辑器）
DS0022	文件	文件修改	监控plist文件的修改，修改后的plist中任何路径指针的重大更改。
DS0009	进程	进程创建	监控新执行的进程。

3.3 在操作系统前启动（T1542）

攻击者可能会利用操作系统前启动机制建立持久性。在计算机的启动过程中，固件和各种启动服务在操作系统之前加载，这些程序在操作系统控制之前控制执行流程。

在操作系统前启动技术包含5项子技术，介绍如下：

3.3.1 系统固件（T1542.001）

攻击者可能会修改系统固件以建立持久性。例如BIOS（基本输入/输出系统）和统一可扩展固件接口（UEFI）或可扩展固件接口（EFI）等。

系统固件削弱了计算机的功能，并且可能被攻击者修改以执行恶意活动。

3.3.2 组件固件（T1542.002）