ATT&CK v13版本战术介绍——防御规避(六)

最新推荐文章于 2023-07-24 10:29:42 发布
VIP文章 最新推荐文章于 2023-07-24 10:29:42 发布
阅读量668 收藏
点赞数
分类专栏: 网络安全 ATTCK 文章标签: 网络安全 数据安全 系统安全 企业安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/130768002
版权

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第31-36种子技术,后续会介绍防御规避其他子技术,敬请关注。

二、ATT&CK v13简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2023年 4月25日,MITRE ATT&CK 发布了最新版本 V13,最大的变化是为ATT&CK中的一些技术添加了详细的检测指导,用于企业,移动数据源和两种新类型的更改日志(包括一个人类可读的详细更改日志,更具体地显示更新的ATT&CK对象中的更改,以及一个机器可读的JSON更改日志,其格式在ATT&CK的Github中描述)。

ATT&CK for Enterprise v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

ATT&CK战术全景图(红框为防御规避战术)

三、防御规避战术

3.1 概述

防御逃避包括攻击者在攻击过程中用来避免被发现的技术,包括禁用安全软件、加密数据和脚本、利用可信进程来隐藏或伪装恶意软件。

防御规避战术包括42种技术,本期介绍第31-36种技术,逐一介绍如下:

3.2 破坏信任控制(T1553)

攻击者可能会破坏安全控制,这些安全控制警告用户不受信任的活动或阻止执行不受信任的程序。

攻击者可以进行文件和目录权限修改或修改注册表以破坏信任控制,攻击者还可能创建或窃取代码签名证书以获取对目标系统的信任。

破坏信任控制技术包含6项子技术,介绍如下:

3.2.1 Gatekeeper绕过(T1553.001)

攻击者可能会修改文件属性并颠覆Gatekeeper功能,以逃避用户提示并执行不受信任的程序。Gatekeeper是一组充当Apple安全模型层的技术,以确保仅在主机上执行受信任的应用程序。

攻击者可以通过逻辑错误(例如利用防御逃避),未检查的文件类型和外部库来破坏Gatekeeper检查中的一个或多个安全控制。例如,在Macos13Ventura之前,代码签名和公证检查仅在首次启动时进行,允许攻击者将恶意可执行文件写入之前打开的应用程序,以绕过Gatekeeper安全检查。

3.2.2 代码签名(T1553.002)

攻击者可能会创建、获取或窃取代码签名文件以对其恶意软件或工具进行签名。代码签名提供了来自开发人员的二进制文件的真实性级别,并保证二进制文件未被篡改。操作过程中使用的证书可能会被攻击者创建、获取或窃取。代码签名证书可用于绕过需要在系统上执行签名代码的安全策略。

3.2.3 SIP和信任提供程序劫持(T1553.003)

在进行签名验证检查时,攻击者可能会篡改SIP和信任提供程序组件以误导操作系统和应用程序控制工具。

由于可执行文件类型和相应的签名格式各不相同,Microsoft创建了称为主题接口包(SIPs)的软件组件,以在API函数和文件之间提供一层抽象。SIPs负责使API函数能够创建、检索、计算和验证签名。大多数文件格式(可执行文件、PowerShell、安装程序等)都存在唯一的Sip。

与代码签名类似,攻击者可能会利用此体系结构来颠覆信任控制并绕过仅允许合法签名的代码在系统上执行的安全策略。

3.2.4 安装ROOT证书(T1553.004)

在受损系统上安装根证书将为攻击者提供降低该系统安全性的方法。当被入侵的系统通过HTTPS连接到欺骗网站以收集登录凭据的攻击者控制的web服务器时,攻击者使用此技术来避免安全警告提示用户。

ROOT证书也可以克隆并重新安装。克隆的证书链将携带源的许多相同元数据特征,并可用于对恶意代码进行签名,这些恶意代码可能会绕过签名验证工具。

3.2.5 MOTW绕过(T1553.005)

攻击者可能会利用特定的文件格式来修改Web标记(MOTW)控件。在Windows中,当文件从互联网上下载时,它们被标记为一个名为Zone的隐藏NTFS备用数据流(ADS)。具有称为MOTW的特定值的标识符。使用MOTW标记的文件受到保护,无法执行某些操作。

攻击者可能会利用容器文件来传递可能未使用MOTW标记的恶意有效负载。

3.2.6 代码签名策略修改(T1553.006)

攻击者可以修改代码签名策略以启用未签名或自签名代码的执行。代码签名提供了来自开发人员的程序的真实性级别,并保证程序未被篡改。安全控制可以包括强制机制,以确保只有有效的签名代码才能在操作系统上运行。

攻击者可以通过多种方式修改代码签名策略,包括通过使用命令行或GUI实用程序,修改注册表,以调试或恢复模式重新启动计算机,或通过更改内核内存中可以修改系统的代码签名策略的命令。

3.2.7 缓解措施

ID

缓解措施

描述

M1038

执行预防

系统设置可以阻止异常应用程序运行,以阻止恶意内容的加载。

M1028

操作系统配置

Windows组策略可用于管理证书,以防止非管理员用户越权安装。

M1024

限制注册表配置

确保为注册表配置单元设置了适当的权限,以防止用户修改与SIP和信任提供程序组件相关的密钥。

M1054

软件配置

HTTP公钥固定(HPKP)通过强制使用预期证书来拦截加密通信。 

3.2.8 检测

ID
最低0.47元/天 解锁文章
SECISLAND安全官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
内网渗透-免杀
最新发布
carmi的博客
10-25 50
内网渗透-免杀 全文内容来自网络,如有冒犯立删。 目录内网渗透-免杀杀软原理静态检测动态检测流量检测云查杀免杀原理静态免杀修改特征码花指令免杀加壳免杀动态免杀API免杀内存免杀二次编译分离免杀资源修改免杀技术研究Bypass一览表(2020年)Bypass一览表(2022年)复现环境(2022年)Metasploit自带免杀原生态payload(VT查杀率51/69)msf自编码免杀(VT查...
2023 ATT&CK v13版本更新指南
yy1715713348的博客
07-24 351
是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK v10版本战术介绍—侦察
ducc20180301的博客
02-18 4120
在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CKATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术,后续会陆续介绍其他的战术内容,敬请关注。
ATT&CK v10版本战术介绍—资源开发
ducc20180301的博客
04-15 5620
在前两期文章中我们介绍ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK v10版本战术介绍-初始访问
ducc20180301的博客
04-24 4618
在前几期文章中我们介绍ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK框架现有的14个战术进行了详细介绍
千寻的博客
10-19 1690
ATT&CK战术详解。
2021 ATT&CK v10版本更新指南
ducc20180301的博客
12-06 3601
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
ATT&CK实战系列——红队实战(五)
lza20001103的博客
10-17 2364
ATT&CK实战系列——红队实战(五) 文章目录ATT&CK实战系列——红队实战(五)前言靶场搭建网络配置外网渗透内网渗透内网信息收集msf反弹shell设置路由探测内网存活主机cs上线横向移动fscan扫描内网主机端口拿下域控后记 前言 前面我们接触了vulnhub靶场和CTF综合靶场系列的练习,但是只是涉及外网到提权的渗透,没有对内网的进一步的渗透,近日刚学完内网,想巩固一下内网方面的知识,刚好看到红日有一个不错的靶场,所以来想来练练手,接下来,给大家好好演示一下噢。 靶场搭建 靶场下载
ATT&CK框架介绍及战技术对照表
05-18
ATT&CK框架介绍及战技术对照表
ATT&CK手册(修改版)
09-16
ATT&CK手册(修改版)
ATT&CK.红队战术漫谈.pdf
09-09
ATT&CK.红队战术漫谈
网络安全能力成熟度模型介绍
ducc20180301的博客
06-26 9416
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
ATT&CK v10版本战术实战研究--侦察
ducc20180301的博客
04-02 4974
上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 3958
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
网络设备中的日志分析
ducc20180301的博客
07-27 3823
一、引言 前几期我们介绍了关于主机的相关日志分析和威胁场景,介绍了基于账号登陆异常的检测,基于账号异常行为的检测,基于数据泄露/篡改的检测,基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。 二、分析检测 1.交换机端口状态频繁改变 告警发生场景:一般情况而言,交换机的端口在被使用时为UP状态,未使用时为Down状态。如果状态频繁改变,会给网络链路和数据传送带来影响。 攻击方式:交换机端口物理线路问题或端口工作方式以及或者为环路状态。 检测思路:可以通过人工查看原始的交换机
日志如何采集?
ducc20180301的博客
05-24 3795
引言 日志是人类关于日常生活的一个记录,也是机器运作时对于事件发生的报告。关于网络设备、系统及服务程序等,在运作时都会产生一个叫log的事件记录;每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。当遇到安全攻击事件时,日志能协助进行安全事件还原,能尽快找到事件发生的时间、原因等,通过大量不同安全设备的联动,日志可以关联分析监测真正有威胁的攻击行为,还原出真实的攻击情况。日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测和
ATT&CK都有哪些战术
05-30
ATT&CK框架包括以下11个战术(tactics): 1. 初始访问(Initial Access) 2. 执行(Execution) 3. 持久性(Persistence) 4. 特权升级(Privilege Escalation) 5. 凭证访问(Credential Access) 6. 密码破解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值