资源开发战术是攻击者建立用于支持行动的资源战术,资源开发包括创建、购买或窃取可用于达成目标的资源的技术(例如:基础设施、账户或恶意程序)。攻击者可以利用这些资源为攻击生命周期的其他阶段提供支持(例如:购买硬件控制目标系统、创建邮箱账户用于钓鱼、窃取签名证书躲避防御)。
目录
T1583 Acquire Infrastructure 购买基础设施
T1586 Compromise Accounts 盗取账户
T1584 Compromise Infrastructure 攻陷基础设施
T1587 Develop Capabilities 开发能力
T1588 Obtain Capabilities 获得能力
T1583 Acquire Infrastructure 购买基础设施
攻击者在攻击目标之前会购买大量基础设施,用于在整个攻击周期内进行托管或辅助攻击操作,这些基础设施主要包括物理或云服务器、域、WEB服务以及僵尸网络等。
T1583.001 Domains 域名
攻击者会购买与合法域名相似的域名,用于诱导被攻击目标访问,当被攻击目标访问包含恶意代码的伪造站点,会遭到网络钓鱼(T1566)或路过式入侵(T1189)等攻击,攻击者为了掩盖域名的真实注册者信息还会使用“whois隐私保护”进行隐藏。
T1583.002 DNS Server DNS服务器
攻击者部署自己的DNS服务器,可以利用DNS服务器对目标DNS进行劫持、污染、欺骗等攻击操作,还可与C2相结合建立DNS通道,躲避安全设备检测。
相关工具
Bind
防御措施
使用hosts配置域名解析不依赖于DNS,关闭自动获取DNS使用openDNS服务。
T1583.003 Virtual Private Server VPS虚拟服务器
攻击者会购买VPS虚拟服务构建基础设施或对已攻陷的目标进行命令控制,攻击者使用虚拟服务器会更有效的隐藏身份信息,也很难从物理层面发现攻击行为与攻击者之间的联系。
T1583.004 Server 物理服务器
物理服务器与VPS虚拟服务器不同,可以为攻击者提供更高性能和构建大规模基础设施。
T1583.005 Botnet 僵尸网络
僵尸网络是一个由被攻陷的系统组成的网络,攻击者可以通过命令调度这些系统执行攻击任务。僵尸网络主要应用于大规模网络钓鱼和DDoS攻击方面。
T1583.006 Web Services WEB服务
攻击者利用WEB服务可以更好的隐藏自己,躲避目标系统的防御机制。
T1586 Compromise Accounts 盗取账户
攻击者在开发资源时可能会盗取与目标相关的账户,这些账户中可能包含大量具有资源开发价值的信息,由于角色的其它账户可能与被盗账户使用相同的账户密码,还可以对角色的其它账户进行撞库操作。
攻击者在盗取账户之前会先进行侦查,已确定所需盗取的账户,再使用网络钓鱼(T1598)或从闭源购买信息(T1597)进行破解。
盗取账户与创建账户不同,尤其是针对社会工程学的操作,盗取的角色与潜在被攻击目标之间存在关系或者互相认识,那么将会得到潜在目标的一定程度的信任。攻击者还可以利用被盗取的邮箱账户对目标进行网络钓鱼,由于是存在潜在关系的邮箱,会更容易取得信任。
T1586.001 Social Media Accounts 社交媒体账户
T1586.002 Email Accounts 邮箱账户
T1584 Compromise Infrastructure 攻陷基础设施
攻击者在对目标发起攻击前,可能会先攻陷其它的基础设施用于隐藏自己,避免攻击行为被目标所察觉。与购买基础设施不同,被攻陷的基础设施可能是高信誉的或是被攻击目标信任的站点。
T1584.001 Domains 域名
攻击者可能会对目标的域名进行劫持,劫持的方法主要是根据域名注册信息,破解域名注册邮箱修改域名管理密码,篡改域名的DNS解析。
T1584.002 DNS Server DNS服务器
攻击者可能会攻陷目标的DNS服务器,而不是自己建立DNS服务器,这样可以更隐蔽的将目标流量重定向。
T1584.003 Virtual Private Server VPS虚拟服务器
T1584.004 Server 物理服务器
T1584.005 Botnet 僵尸网络
T1584.006 Web Services WEB服务
攻击者可能尝试获取与目标有关的合法用户,在第三方WEB服务上的访问权限,并使用第三方WEB服务对目标发起攻击。
T1587 Develop Capabilities 开发能力
在攻击受害者之前,攻击者可能会建立在确定目标过程中使用的能力。与购买、免费下载或者窃取能力不同,攻击者可能会在内部开发他们自己的能力。这是识别开发需求和构建解决方案(如恶意软件、漏洞利用和自签名证书)的过程。攻击者开发能力,在攻击者生命周期的多个阶段支持他们的操作。
与其他合法的开发工作一样,开发能力需要不同的技能集。所需的技能可能位于内部,也可能需要外包。使用外包可以被认为是攻击者开发能力的拓展,前提是攻击者在形成需求方面发挥作用,并对能力保持一定程度的排他性。
T1587.001 Malware 恶意软件
攻击者在发起攻击前需要会开发用于攻击的恶意软件,例如攻击载荷、木马病毒、入侵工具、后门程序、打包程序、C2协议已经受感染的移动媒体等。
T1587.002 Code Signing Certificates 代码签名证书
攻击会为自己开发的恶意程序创建自签名证书,由于代码签名证书可以用来确认程序未被恶意篡改损坏,安全工具对有签名证书的程序会更加信任(即使不知道证书作者是谁)。
T1587.003 Digital Certificates 数字证书
攻击者会创建SSL/TLS证书,对C2协议的流量进行加密,用于躲避防御系统对流量的的检测。
T1587.004 Exploits 漏洞利用
攻击者会根据目标所使用的系统和软件中挖掘0Day漏洞,再根据漏洞开发相应的漏洞利用工具。
T1585 Establish Accounts 创建账户
攻击者会建立并培养用于攻击目标的账号角色,角色的培养包括公共信息、历史记录和适当从属关系的发展。角色的培养主要体现在社交媒体、网站或其它可公开获取信息的地方,使用这些角色进行操作时可以通过角色合法性审查。
对于社会工程学来说创建账户并培养角色是非常重要的,这些角色可以存在于多个网站或社交平台,而且角色会带有看上去很真实的个人资料。
T1585.001 Social Media Accounts 社交媒体账户
T1585.002 Email Accounts 邮箱账户
T1588 Obtain Capabilities 获得能力
攻击者需要获取攻击目标所需要的能力,与开发能力不同,攻击者可以购买、下载或窃取这些能力,获取能力的主要方式有从网络上下载、从第三方购买或直接从闭源数据库窃取。
T1588.001 Malware 恶意软件
T1588.002 Tool 工具
例如:Cobalt Strike, PsExec
T1588.003 Code Signing Certificates 代码签名证书
T1588.004 Digital Certificates 数字证书
T1588.005 Exploits 漏洞利用程序
T1588.006 Vulnerabilities 漏洞
T1608 Stage Capabilities 伪装能力
T1608.001 Upload Malware 上传恶意软件
攻击者可能会将恶意软件上传到目标可能会访问到的基础设施上,用于对目标进行攻击。
例如:
攻击者可能会上传到已被控制的基础设施或WEB服务器上,当目标访问这些站点会执行恶意代码。
攻击者可以上传到应用商店、存储库(例如:GitHub)中,等待目标下载安装这些恶意软件,这种伪装可能会增加用户执行恶意代码的几率。
T1608.002 Upload Tool 上传工具
攻击者会将工具上传到自己或被控制的基础设施上,以便在目标网络中下载使用工具,有时为了躲避安全设备的检测,攻击者也会将工具上传到第三方托管库(例如:GitHub),然后在目标的网络中下载使用。
T1608.003 Install Digital Certificate 安装数字证书
攻击者可以将获取的证书或自签名证书安装到目标基础设施中,与目标基础设置建立安全通讯。
T1608.004 Drive-by Target 路过攻击站点
攻击者在对目标进行路过式攻击前,需要建立一个可以暂存路过攻击代码的地方,并且是目标容易访问到的,例如目标经常浏览的网站或只有目标所在区域才会访问的网站等。
T1608.005 Link Target 链接目标
攻击者在使用网络钓鱼向目标发送一个包含恶意脚本的链接时,通常会克隆一个与合法站点相似的页面(例如:登录页面),在页面中包含恶意脚本用来收集用户信息或入侵。
声明:本文仅作为信息安全和攻防演练技术的研究与学习使用,请勿用于其他用途,任何未经授权的测试、入侵及破坏均属违法违规行为,如使用本文内涉及的技术从事违法违规行为,由此所产生的一切后果均有读者自行承担,与本文作者无关!