ATT&CK框架关于信息收集与资产梳理实战介绍

最新推荐文章于 2024-09-16 09:36:19 发布
最新推荐文章于 2024-09-16 09:36:19 发布
阅读量944 收藏 29
点赞数 23
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43817832/article/details/135253104
版权

ATT&CK框架关于信息收集与资产梳理实战介绍

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻击者战术和技术知识库。 ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
通过统计发现,任何恶意攻击一定是以侦察作为前奏,不论是内网还是外网,信息收集一定是攻击者下的第一步棋。根据资料显示,侦察占据整个攻击过程的60%,由此可见,一个全面、精准的侦察在整个攻击里面的重要性。
ATT&CK框架中对于信息收集与资产梳理主要涉及战术为侦查战术。下面是对于侦查战术与其相关子技术的介绍。

侦察战术

侦察包括涉及攻击者主动或被动收集可用于支持目标定位的信息的技术。此类信息可能包括受害组织、基础设施或人员的详细信息。攻击者可以利用这些信息来帮助攻击者完成其他工作,例如使用收集的信息来计划和执行初始访问、确定入侵目标的范围和优先级,或者推动进一步的侦察工作。

侦察战术包含10个技术
在这里插入图片描述

下面我们逐一介绍这10个技术内容。

1.主动扫描

攻击者可能会执行主动侦察扫描,以收集可用于锁定目标的信息。主动扫描是指攻击者通过网络流量探测目标基础设施的扫描,与不涉及直接交互的其他形式的侦察相反。
主动扫描包含三个子技术,下面将对各个子技术进行介绍以及子技术涉及到的工具:

  • 1、扫描IP段: 攻击者可能会扫描目标的IP地址段,以收集可用于锁定目标的信息。公共IP地址可以按块或一系列连续地址分配给组织。
  • 2、漏洞扫描: 攻击者可能会扫描目标的漏洞,以便在锁定目标时加以利用。漏洞扫描通常会检查目标主机/应用程序的配置(例如软件和版本)是否与攻击者可能寻求利用的特定漏洞的目标一致。
  • 3、目录扫描: 攻击者可能会使用暴力破解和爬行技术反复探测基础设施。虽然这种技术采用类似蛮力的方法来探测,它的目标是识别内容和基础结构,而不是发现有效的凭据。这些扫描中使用的单词表可能包含通用的、常用的名称和文件扩展名,或者特定软件专用的术语。攻击者也可能使用从其他侦察技术(例如:[收集目标组织信息],或者[搜索目标拥有的网站]).

2.收集目标主机信息

攻击者可能会收集有关目标主机的信息,这些信息可在锁定目标时使用。关于主机的信息可能包括各种详细信息,包括管理数据(例如:名称、分配的IP、功能等。)以及关于其配置的细节(例如:操作系统、语言等。).

攻击者可能通过各种方式收集这些信息,例如通过以下方式直接收集信息主动扫描或者信息网络钓鱼。攻击者也可能危害网站,然后包含旨在从访问者那里收集主机信息的恶意内容。[1]关于主机的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:社会化媒体或者搜索目标拥有的网站).收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库),建立运营资源(例如:发展能力或者获得能力),或初始访问(例如:供应链妥协或者外部远程服务).

  • 1、主机硬件信息搜集
    攻击者可能会收集有关目标主机硬件的信息,这些信息可用于攻击目标。有关硬件基础架构的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及是否存在可能表明增加了防御保护的其他组件(例如:卡/生物识别读卡器、专用加密硬件等)。
  • 2、主机软件信息搜集
    攻击者可能会收集目标主机软件的信息,这些信息可在攻击目标时使用。有关已安装软件的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及是否存在其他组件,这些可能表明增加了防御保护(例如:防病毒软件、SIEMs等)。
    攻击者可能通过各种方式收集这些信息,例如通过以下方式直接收集信息主动扫描(例如:端口扫描、服务器标题)或信息网络钓鱼。攻击者也可能危害网站,然后包含旨在从访问者那里收集主机信息的恶意内容。关于已安装软件的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:职位发布、网络地图、评估报告、简历或购买发票)。收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库),建立运营资源,用于初始访问(例如:供应链妥协或者外部远程服务).
  • 3、主机固件信息
    攻击者可能会收集目标主机固件的信息,这些信息可用于攻击目标。关于主机固件的信息可以包括各种细节,例如特定主机上的类型和版本,其可以用于推断关于环境中的主机的更多信息(例如:配置、用途、年龄/补丁级别等)。
    攻击者可以通过各种方式收集这些信息,例如通过以下方式直接获取信息网络钓鱼。有关主机固件的信息只能通过在线或其他可访问的数据集(例如:招聘公告、网络地图、评估报告、简历或购买发票)暴露给攻击者。收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库),建立运营资源(例如:发展能力或者获得能力),或初始访问(例如:供应链妥协或者开发面向公众的应用
  • 4、客户端配置信息
    攻击者可能会收集有关目标客户端配置的信息,这些信息可以在定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置,包括操作系统/版本、虚拟化、架构(例如:32 位或 64 位)、语言或时区。
    有关客户端配置的信息也可
最低0.47元/天 解锁文章
℡待
关注
ATT&CK 实战(三)
GoDunTong's Blog
07-26 624
一、环境搭建 1.环境搭建测试 红日靶场地址 1.1 网络所示 目标:域控中存在一份重要文件。 本次环境为黑盒测试,不提供虚拟机账号密码。 2.信息收集 2.1 CMS识别 python3 cmseek.py -u http://192.168.134.130/ 2.2 端口扫描 nmap -A -sV 192.168.134.130 2.3 目录探测 DirBuster目录探测 后台地址:http://192.168.134.130/administrator/ 二、漏洞探测与提权 1、漏洞
滲透测试ATT&CK攻击模型一(Reconnaissance侦查)
Mr.mark的博客
07-06 2255
侦察战术主要包括攻击者主动或被动地收集可用于达成目标的信息的技术。此类信息可能包括目标的组织、基础设施或工作人员的详细信息。攻击者可以利用此信息为攻击生命周期的其他阶段提供帮助。例如使用收集的信息来规划和执行初始访问,确定沦陷目标的范围和优先顺序,以及驱动和领导进一步的侦察行动。 T1595 Active Scanning 主动扫描 主动扫描可以用于在网络中收集资产信息,便于快速掌握开放到公网上的网络服务。主动扫描是指通过网络流量探查目标基础设施的扫描,与不涉及直接交互的
3.ATTCK概述与用例
07-28 849
源:https://www.youtube.com/watch?v=p7Hyd7d9k-c 威胁情报  检测与分析 防御效果如何  是否可以检测到APT系列  收集的数据有用吗  我的工具使用重复了吗 购买厂家的防御产品能帮助我的组织有效防御吗  进行红队攻击检测可以解决以上所有问题 从哈希值  IP地址等方面入手防御,红队可以很容易的发生改变让检测失效 从ATT&...
【赠书】《ATTCK框架实践指南》
漏洞战争
03-05 1151
网络安全领域,攻击者始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的...
网络安全居然不了解ATTCK?这篇文章的介绍详细到令人尖叫
博文视点(北京)官方博客
01-14 7205
网络安全领域,攻击者始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击。基于这种攻防不对称的情况,防守方始终会被以下问题(如图1所示)所困扰: 我们的防御方案有效吗? 我们能检测到APT攻击吗? 新产品能发挥作用吗? 安全工具覆盖范围是否有重叠呢? 如何确定安全防御优先级? 图1 防守方的困局 一直以来,没有人能够很好地回答图1中的问题,直到MITRE ATT&CK的出现。
【转】从ATT&CK看安全如何落地
tpriwwq的专栏
03-13 1066
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
红蓝对抗之蓝队防守:ATT&CK框架的应用
DBappSecurity_的博客
07-15 2671
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为十大关注
ATT&CK V11版发布看ATT&CK的更新历程
dzqxwzoe的博客
08-01 149
2022年4月26日ATT&CK V11如约而至,这次的版本的更新主要集中在三个方面。通过分析ATT&CK 版本的更新历程,我们可以梳理ATT&CK的三条发展路线。
红日安全ATTCK靶机实战系列之vulnstack7
黑白的博客
04-30 1万+
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 边下载着,可以开始vmware的网络配置 这次和前面不太一样了 有三个网段,所以需要我们把网络这块拿捏的死死的 DMZ区 桥接模式(这个IP段不固定,我是31段的) IP段为192.168.31.1/24 第二层网络环境 NAT模式 IP段为192.168.52.1/24 第三层网络环境 仅主机模块 IP段为192.1
ATT&CK随笔系列之二:偷天陷阱
xhlylxhl的博客
10-22 3066
“右脑知攻、左脑知防”是 ATT&CK 随笔系列第一篇,如果上天能给我机会让读者记住一个关键词,我选择“假定失陷(assume breach)【1】”,如果非要为她做点什么,希望是检测“黑客行为(TTP)”。 这两个关键词是 ATT&CK 出现和被迅速认可的核心动因, ATT&CK 建立了“知攻”通向“知防”的桥梁,安全行业经由白帽子黑客为了“知防”而“知攻”,演进到基于...
【愚公系列】2023年05月 网络安全高级班 038.WEB渗透与安全(红队渗透测试入门指南)
时光隧道
05-14 8334
0 DAY攻击鱼叉攻击水坑攻击DNS 域名劫持Webshell 木马DDoS 攻击SQL注入勒索病毒APT (Advanced Persistent Threat) 即高级持续性威胁,通常是指出于政治或商业动机,针对特定目标进行的手段高超、低调隐蔽、时间持久、精心策划的攻击。APT攻击可看成是发生在网络空间领域的“谍战”,其组织者通常具备国家政府或网络犯罪集团背景,有一流的资金实力和军火库支撑,例如海莲花、方程式组织。
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
热门推荐
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
4.网络编程
weixin_45476535的博客
09-14 467
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 188
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
【计算机网络 - 基础问题】每日 3 题(七)
最新发布
Newin2020的博客
09-16 865
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
【计网】从零开始使用UDP进行socket编程 --- 客户端与服务端的通信实现
叫我龙翔的博客
09-14 1109
本文讲解了UDP协议下的服务端与客户端通信过程!!!
iptables实现内外网ip转换
m0_67475830的博客
09-13 482
准备三台虚拟机。
C#使用TCP-S7协议读写西门子PLC(三)
ylq1045的专栏
09-11 838
这里我们进行封装读写西门子PLC的S7协议命令以及连接西门子PLC并两次握手 新建部分类文件SiemensS7ProtocolUtil.ReadWrite.cs 主要方法: 连接西门子PLC并发送两次握手。两次握手成功后,才真正连接到PLC public OperateResult ConnectPlcAndHandshake(SiemensPlcCategory siemensPlcCategory, IPEndPoint endPoint, int timeout = 3000) 生成一个写入字节数据
构建与运营企业内部ATT&CK框架
此外,文档还介绍ATT&CK的历史发展,以及它作为攻击与防守双方沟通语言的角色。" 在企业内部建立ATT&CK的过程中,首先需要理解ATT&CK的核心设计哲学,即从攻击者的视角出发,精确描述攻击技术,以便更好地了解...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值