ATT&CK v13版本战术介绍——凭证访问(三)

最新推荐文章于 2023-12-27 18:38:51 发布
VIP文章 最新推荐文章于 2023-12-27 18:38:51 发布
阅读量283 收藏
点赞数
分类专栏: ATTCK 网络安全 文章标签: java 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/131240973
版权

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术,本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第13-17种子技术,后续会介绍凭证访问其他子技术,敬请关注。

二、ATT&CK v13简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2023年 4月25日,MITRE ATT&CK 发布了最新版本 V13,最大的变化是为ATT&CK中的一些技术添加了详细的检测指导,用于企业,移动数据源和两种新类型的更改日志(包括一个人类可读的详细更改日志,更具体地显示更新的ATT&CK对象中的更改,以及一个机器可读的JSON更改日志,其格式在ATT&CK的Github中描述)。

ATT&CK for Enterprise v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

ATT&CK战术全景图(红框为凭证访问战术)

三、凭证访问战术

3.1 概述

凭证访问包括窃取凭证(如帐户名和密码)的技术。用于获取凭证的技术包括键盘记录或凭证转储,使用合法凭证可以让攻击者访问系统,使其更难检测。

3.2 窃取应用程序访问令牌(T1528 )

攻击者可以窃取应用程序访问令牌以获取凭证访问远程系统和资源。应用程序访问令牌用于代表用户或服务发出授权的API请求,通常用于访问云和基于容器的应用程序和SaaS中的资源。OAuth是一个常用的框架,它向用户发出令牌以访问系统。在云和容器化环境中窃取帐户API令牌的攻击者使用这些帐户的权限访问数据并执行操作。

在Kubernetes环境中,在容器内运行的进程使用服务帐户令牌与Kubernetes API服务器进行通信。如果容器被破坏,攻击者可能能够窃取容器的令牌,从而获得对Kubernetes API命令的访问权限。

令牌盗窃也可以通过社交工程发生,在这种情况下,可能需要用户操作才能授予访问权限。希望访问基于云的服务或受保护Api的应用程序可以通过各种授权协议使用OAuth2.0获得进入。

攻击者可以通过构建恶意应用程序来利用OAuth授权,该应用程序旨在授予目标用户的oauth令牌对资源的访问权限。攻击者需要在授权服务器上完成其应用程序的注册,然后,他们可以向目标用户发送钓鱼邮件链接,以诱使他们授予对应用程序的访问权限。一旦授予OAuth访问令牌,应用程序就可以通过应用程序访问令牌获得对用户帐户功能的潜在长期访问权限。

3.2.1 缓解措施

ID

缓解措施

描述

M1047

审计

管理员应审核所有云和容器帐户,以确保它们是必要的,并且授予它们的权限是适当的。

对所有OAuth应用程序及其授予的访问组织数据的权限执行审核。

调查并删除可疑的应用程序。

M1021

限制基于Web的内容

管理员可以阻止最终用户同意OAuth应用程序,禁止用户通过OAuth2.0授权第三方应用程序,并强制对所有请求进行管理同意。阻止最终用户注册其用户的应用程序,以减少风险。 云访问安全代理也可用于禁止应用程序。

M1018

用户账户管理

实施基于角色的访问控制,将帐户限制为所需的最低权限。

M1017

用户培训

通过培训强化未知的第三方应用程序授权控制。 用户应该特别注意重定向URL:如果URL是与预期服务或SaaS应用程序相关的拼写错误或令人费解的单词序列,则网站可能试图欺骗合法服务。用户还应该谨慎对待他们授予应用程序的权限。

3.2.2 检测

ID

数据源

数据组件

检测

DS0002

用户账号

用户账号修改

管理员应设置监控以在满足用户账号修改策略条件时触发自动告警,管理员可以设置各种日志并利用审核工具来监控由于OAuth2.0访问而可以执行的操作。例如,审核报告使管理员能够识别权限升级操作,例如角色创建或策略修改,这些操作可以是在初始访问后执行的操作。

3.3 窃取或伪造认证证书(T1649)

攻击者可能会窃取或伪造用于身份验证的证书以访问远程系统或资源。数字证书通常用于对消息或文件进行签名和加密。

身份验证证书既可以被盗,也可以被伪造。例如,AD CS证书可以从加密存储、不安全的凭证或通过各种加密Api直接从Windows证书存储中窃取。通过适当的注册权限,域内的用户或计算机还可以向企业证书颁发机构(CA)请求或手动续订证书。此注册过程定义与证书关联的各种设置和权限。证书的扩展密钥用法(EKU)值定义签名、加密和身份验证用例,证书的使用者备用名称(SAN)值定义证书所有者的备用名称。

有权访问根CA证书私钥的攻击者也可以通过为受害域伪造任意身份验证证书来建立持久性。攻击者也可能以证书和相关服务为目标,以便访问其他形式的凭证。

3.3.1 缓解措施

ID

最低0.47元/天 解锁文章
SECISLAND安全官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK v10版本战术介绍—侦察
ducc20180301的博客
02-18 4120
在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CKATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术,后续会陆续介绍其他的战术内容,敬请关注。
ATT&CK v10版本战术介绍—资源开发
ducc20180301的博客
04-15 5620
在前两期文章中我们介绍ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
ATT&CK框架关于信息收集与资产梳理实战介绍
最新发布
weixin_43817832的博客
12-27 906
*侦察战术****1.主动扫描****2.收集目标主机信息****3、搜集目标身份信息****4、搜集目标网络信息****5、搜集目标组织信息****6、通过网络钓鱼搜集信息****7、从非公开源搜集信息****8、从公开技术数据库搜集信息****9、搜集公开网站/域****10、搜集目标自有网站****侦查战术涉及工具:****可进行技术验证****不可技术验证**落地应用MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻击者战术和技术知识库。
ATT&CK实战系列-红队实践一
weixin_45778886的博客
06-12 1196
靶机下载 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 环境配置 vnet1网卡: win7: 仅主机vnet1:192.168.52.143 NATvnet8:192.168.124.20 在C盘下运行phpstudy. win2008: 仅主机IP:192.168.52.138 win2k3: 仅主机IP:192.168.52.141 攻击机kali2019: NAT模式IP:192.168.124.26 DMZ区(win7渗透) 信
ATT&CK v10版本战术介绍-初始访问
ducc20180301的博客
04-24 4618
在前几期文章中我们介绍ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
2023 ATT&CK v13版本更新指南
ducc20180301的博客
05-06 854
V13版本主要更新了更为详细的检测指导,有效提升网络安全防御技术,针对ATTCK每一类攻击技术,可以根据V13版本输出的细粒度检测指导,清晰地了解防御检测思路,选择合适的数据源进行数据采集分析,细化告警规则模型,有效提升告警精准度,降低告警误报,缩短从威胁检测-溯源分析-处置响应的闭环时间,从被动防御向纵深主动防御持续提升!
ATT&CK框架现有的14个战术进行了详细介绍
千寻的博客
10-19 1690
ATT&CK战术详解。
ATT&CK实战系列——红队实战(
Demonering的博客
04-14 3606
一、环境配置 打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。 挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。 除重新获取ip,不建议进行任何虚拟机操作。 参考虚拟机网络配置,添加新的网络,该网络作为内部网络。 注:名称及网段必须符合上述图片,进行了固定ip配置。 攻击机: Kail:192.168.1.130 Windows10:192.168.1.1 服务机: Centos 外网卡IP:192.168.1.129
ATT&CK实战系列——红队实战(二)
Tajang的大千世界
02-22 716
红日二
2021 ATT&CK v10版本更新指南
ducc20180301的博客
12-06 3601
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK框架介绍及战技术对照表
05-18
ATT&CK框架介绍及战技术对照表
ATT&CK手册(修改版)
09-16
ATT&CK手册(修改版)
ATT&CK.红队战术漫谈.pdf
09-09
ATT&CK.红队战术漫谈
网络安全能力成熟度模型介绍
ducc20180301的博客
06-26 9416
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
ATT&CK v10版本战术实战研究--侦察
ducc20180301的博客
04-02 4974
上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 3958
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
网络设备中的日志分析
ducc20180301的博客
07-27 3823
一、引言 前几期我们介绍了关于主机的相关日志分析和威胁场景,介绍了基于账号登陆异常的检测,基于账号异常行为的检测,基于数据泄露/篡改的检测,基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。 二、分析检测 1.交换机端口状态频繁改变 告警发生场景:一般情况而言,交换机的端口在被使用时为UP状态,未使用时为Down状态。如果状态频繁改变,会给网络链路和数据传送带来影响。 攻击方式:交换机端口物理线路问题或端口工作方式以及或者为环路状态。 检测思路:可以通过人工查看原始的交换机
ATT&CK都有哪些战术
05-30
ATT&CK框架包括以下11个战术(tactics): 1. 初始访问(Initial Access) 2. 执行(Execution) 3. 持久性(Persistence) 4. 特权升级(Privilege Escalation) 5. 凭证访问(Credential Access) 6. 密码破解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值