【ATT&CK]】分析攻击手法制定红队演练流程

已于 2023-11-23 13:44:45 修改
阅读量92 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全 ATTCK
于 2023-11-23 10:19:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqdd/article/details/134570710
版权
      本文以 分析三十六个 Techniques 为范例,分析攻击手法后作为红队演练的训练,可以制定一套学习 Windows 的流程与进度表:

第0步:了解 Windows 历史与文件

  • Windows 版本与 Windows 服务器版本
  • 各版本的差异与功能不同
  • 已知弱点(如 CVE )也需要注意版本

第一步:了解基本指令的操作

​​​​​​​      分析 ATT&CK® 针对 Windows 相关的 Techniques ,可以发现 APT 组织皆以 Cmd Powershell 作为攻击媒介,因此可以针对两种指令进行训练。 可以针对 ATT&CK® 所使用的指令,进行学习,作为补充指令。
​​​​​​​      cmd 命令提示字符,可参考 初学者之卷  所撰写的教学。
​​​​​​​      Powershell:可参考 微软官方文件
  • Get-Help Command-Name :取得帮助内容。
  • Get-Command  了解目前主机安装多少 cmdlet
  • Invoke-WebRequest  :送出请求,取得网页内容。
  • 尝试了解 APT 组织所使用的 PowerShell 指令

第二步:了解 Windows File System

  • Logical drives :硬盘 C
  • 默认文件夹( PerfLogs Program Files and Program Files x86 )、 Users
  • 默认文件(操作系统的代码)
了解这些预设文件夹的功能与预设档案的功能。

第三步:Windows 权限档案

​​​​​​​      权限主体分成 Users Group ,而可以设定的权限可以分成以下七个:
  • Full control :允许用户、组设置文件夹与其他人的所有权限(修改、读取、写入、执行)。
  • Modify :允许用户和群组修改、读取、写入和执行文件。
  • Read & execute :允许用户和组读取和执行文件。
  • List folders content :允许用户和群组列出文件夹内容,含子文件夹。
  • Read :仅允许用户和群组读取档案。
  • Write :允许用户和组写入指定文件夹。
  • Special permissions :特殊访问权限。
使用 icacls 检查文件权限和文件夹权限 :
  • I :从父容器继承的权限
  • F :完全控制
  • M :修改权限
  • OI :对象继承
  • IO :仅继承
  • CI :容器继承
  • RX :读取并执行
  • AD :追加子文件夹
  • WD :写入资料

第四步:Windows 身份验证

​​​​​​​      验证身份该用户的合法性。
  • 身份验证账户:本地用户账户和系统管理员账户。
​​​​​​​      登入概念
  • 认证:确认身份过程,认证 = 凭证 + 验证
  • 授权:该用户可以做什么操作与可以访问什么资源。
  • 凭证:身份证明:系统用户帐号和密码
​​​​​​​      ​​​​​​​ 验证阶段通过 Local Security Authority (本地安全性验证),管理本地安全性原则,进行验证。
  • 了解 Windows 验证的原理与流程
  • Windows 内建帐号与群组的关系
  • net  指令的相关应用
  • Windows 密码与哈希( NTLM

第五步:Windows 内建功能

一、 Computer Management :电脑管理
  • 工作调度器:可以指定特定条件自动执行定义与操作。
  • 事件查看器:查看 windows Log 相关事件(成功、失败登录事件与系统错误),可以将 Log 转发到 SIEM 中确认恶意动作。
  • 共享文件夹:在网络上共享可以被多个用户访问的目录或文件夹。
  • 本地用户和组:可以新增用户,可以管理群组。
  • 效能:监视设备的 CPU 使用率、内存使用率。
  • 装置管理器:硬件管理,网络接口卡、鼠标、韧体。
  • 磁盘管理:可以缩小、扩展、新增分区并格式化。
  • 服务和应用程序:可以检查系统上正在执行的服务,启动、停止、重新启动。
二、Local Security Policy:本机安全性原则
三、Disk Cleanup
四、Registry Editor
Win + R +  RegEdit
五、Registry Editor Regedit

第六步:Windows Server

了解 Windows Server 的服务器可衍生出多种功能。

第七步:Windows Log

Windows 默认路径 。 C:\Windows\System32\winevt\Logs
三种查看 Windows 事件的工具
  1. Event Viewer
  2. Wevtutil.exe
  3. Get-WinEvent
五种 Windows 纪录的事件
  • 关闭 Windows IIS HTTP Logging 的手法
C:\Windows\System32\inetsrv\appcmd.exe set config “website_name” /section:httplogging /dontLog:true

第八步:Active Directory

了解 Active Directory Azure Active Directory 的差别,以及验证方式的不同。
Active Directory
  • NTLM
  • LDAP / LDAPS
  • KERBEROS
Azure Active Directory
  • SAML (安全性声明标记语言)
  • OAUTH 2.0
  • OpenID 连接

第九步:恶意脚本撰写

分析 APT 组织所撰写的恶意脚本内容,并学习该程式语言以及了解恶意脚本执行方式与内容。
  • PowerShell
  • VBScript
  • JavaScript
以上为透过分析 Techniques 初步制定红队演练的学习流程,可以再继续透过分析 Technique 了解更多攻击手法,将红队演练的知识树扩展。
参考网址

码农丁丁
关注
专栏目录
ATT&CK的理解与应用场景
weixin_44983560的博客
04-18 252
本文将详细介绍ATT&CK的概念,包括:ATT&CK核心组件和矩阵介绍;介绍ATT&CK的应用场景,包括:情报分析、威胁检测、模拟攻击和安全评估。
红蓝对抗之蓝队防守:ATT&CK框架的应用
DBappSecurity_的博客
07-15 2681
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为十大关注
网络防御的艺术:解读ATT&CK模型以洞察攻击者策略
随手糊墙上的技术笔记
04-23 887
网络攻击手段不断演变,防御策略也需不断更新。ATT&CK模型作为一个动态的框架,将持续更新以反映最新的攻击技术。作为安全专家,我们需要持续学习,不断适应新的安全挑战。
ATT&CK实战指南
Vdieoo的博客
04-07 4375
ATT&CK框架作为安全领域继承Kill Chain的安全攻防框架,在全世界的信息安全领域正在如火如荼的发挥着影响。通过Google Trends可以看出在最近两年的热度呈指数级增长。 图1:ATT&CK框架的热度增长趋势 ATT&CK框架早在2014年就已提出,但当时的框架还比较简单。 图2:2014年时的ATT&CK框架 目前,这个框架还在不断演进,在今年10月份的ATT&CKcon 2.0大会上,披露的更新内容如下: 图3:ATT&
推荐一款安全领域利器——MITRE ATT&CK® Navigator
gitblog_00361的博客
08-09 544
推荐一款安全领域利器——MITRE ATT&CK® Navigator attack-navigatorWeb app that provides basic navigation and annotation of ATT&CK matrices项目地址:https://gitcode.com/gh_mirrors/at/attack-navigator 在网络安全的茫茫大海中航行,如...
ATT&CKATTCK开源项目Caldera学习笔记
xqdd的专栏
11-13 1996
CALDERA是一个由python语言编写的红蓝对抗工具(攻击模拟工具)。它是MITRE公司发起的一个研究项目,该工具的攻击流程是建立在ATT&CK攻击行为模型和知识库之上的,能够较真实地APT攻击行为模式。通过CALDERA工具,安全红队可以提前手动模拟并设定好攻击流程,并以此进行自动化攻击和事件响应演练。同样,安全蓝队也可以利用该工具,根据相应的威胁开展模拟应对。
看完这篇 教你玩转ATT&CK红队评估实战靶场Vulnstack(三)_att+vulnstack靶场(2)
2401_84264096的博客
05-04 865
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
攻防演练学习之浅析ATT&CK和Cyber Kill Chain
m0_59598029的博客
08-18 800
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号(非典型产品经理笔记)上写的原创内容,挑一部分发一下。后续新内容会考虑同步在freebuf上发送。本系列当前共14篇。理解事物从描述开始。要理解一件事情,首先要能描述它,不可描述的事情,显然很难被解析、被应对,难以发展和演进。网络攻防因其抽象性,更是如此。下图为洛克希德·马丁公司官网(
【转】从ATT&CK看安全如何落地
tpriwwq的专栏
03-13 1126
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
前沿安全论丨ATT&CK框架下,看攻击趋势的变化
山石网科的博客
07-23 655
企业在构建纵深防御体系之前,一个是可以看看ATT&CK攻击框架,从通用的攻击战术、技术、过程,通过透视攻击路径和方式方法,布局检测、防御的策略。另一方面,可以从目前的政策要求、标准来搭建体系化的防御体系。 运用 MITRE ATT&CK 中的攻击者行为通用分类,可以帮助网络事件响应团队 (CIRT)、安全运营中心 (SOC)、红蓝队、威胁猎手、IT 部门等安全团队,更好地测试、开发和排序其检测和响应机制,对公司的业务、行业和知识产权提供高效安全保障。 在栏目的第一篇文章,我们展现
如何建立企业内部的ATT&CK.pdf
09-13
- **模拟攻击**:进行红队演练,提升ATT&CK覆盖率。 - **合规性**:将ATT&CK与NIST 800-53、PCI DSS等标准映射,协助合规工作。 - **安全分析师训练**:使用MITRE MAD进行基于ATT&CK的培训,提升员工安全能力。 - **...
关于如何建立企业内部的ATT&CK的介绍说明.zip
11-07
9. **实战演练**:通过模拟攻击或红队演练,检验企业的防御能力,找出不足并进行修复。 10. **共享知识**:在组织内部分享ATT&CK框架的理解和应用,提高整体安全水平。 通过以上步骤,企业可以建立一个基于ATT&CK...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8487
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
南京工业大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单).zip
10-04
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单)
基于Java开发的智能文件管家设计源码
10-04
该项目是一款基于Java的智能文件管家设计源码,涵盖102个文件,包括29个Java源文件、27个类文件、19个XML配置文件、10个YAML文件、8个列表文件、4个属性文件、4个JAR包文件以及1个Git忽略文件。该系统旨在提供高效便捷的文件管理解决方案。
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动).zip
10-04
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动)
基于Vue和JavaScript的心旅途个性化推荐旅游平台设计源码
10-04
本项目是一款基于Vue和JavaScript开发的心旅途个性化推荐旅游平台设计源码,整合了513个Java文件、76个PNG图片、70个XML配置文件、62个JavaScript文件、42个Vue组件文件、28个CSS样式文件、22个HTML文件、18个YAML配置文件、16个属性文件、11个Vue模板文件,总计919个文件。平台采用现代化前端技术堆栈,旨在为用户提供个性化的旅游推荐服务。
基于Python的AutoLine自动化测试开源平台设计源码
最新发布
10-04
AutoLine是一个基于Python的通用自动化测试开源平台,包含了657个文件,涵盖228个PNG图片、209个CSS样式、95个JavaScript脚本、39个Python源代码、21个HTML文件、19个XML文件、14个GIF图片、6个DS_Store文件、5个文本文件、4个Markdown文件。该平台的设计源码由多种编程语言编写,旨在提供灵活高效的自动化测试解决方案。
构建与运营企业内部ATT&CK框架
ATT&CK是由MITRE创建的一种基于已知攻击技术的知识库,旨在帮助组织理解和防御高级持续性威胁(APT)的攻击手法。文档提到了ATT&CK的最新版本V9和2021路线图,包括对不同平台如MacOS、IaaS、SaaS、容器领域的攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农丁丁

你的认可是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值