ATT&CK系列之侦测篇

最新推荐文章于 2024-08-18 18:39:17 发布
最新推荐文章于 2024-08-18 18:39:17 发布
阅读量652 收藏 17
点赞数 21
分类专栏: ATT&CK 文章标签: 网络 安全 网络安全 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yindeyue/article/details/140673220
版权

侦测阶段主要任务是收集受害者相关信息,为后续行动做准备。根据ATT&CK中定义,结合工作中遇到的问题,记录成这篇文章。

1.主动扫描

1.1 ip段扫描

        使用工具收集受害者使用的IP段信息,常用的工具有nmap,Angry IP Scanner,Advanced IP Scanner,Fping等。还可以使用网上的在线扫描工具。

        扫描ip段就是判断指定ip是否被使用,建议切换多种不同的协议扫描(比如有的主机会关闭ICMP协议),提高收集信息的准确性。

        正在实现一个自定义的扫描工具,写完后会开源出来:yindeyue/安全工具 (gitee.com)

1.2 漏洞扫描

        常见的漏洞扫描工具有Nessus,AWVS,zap等。

        漏洞利用的大致流程:

        1.发现漏洞,可以自己挖掘,也可以通过公开的漏洞披露网站获取

        2.复现漏洞

        3.利用漏洞

        常见漏洞披露网站 

国家信息安全漏洞库 (cnnvd.org.cn)icon-default.png?t=N7T8https://www.cnnvd.org.cn/home/childHome
国家信息安全漏洞共享平台 (cnvd.org.cn)icon-default.png?t=N7T8https://www.cnvd.org.cn/

Exploit Database(exploit-db.com)icon-default.png?t=N7T8https://www.exploit-db.com/
CVE - CVE (mitre.org)icon-default.png?t=N7T8https://cve.mitre.org/       漏洞数据库icon-default.png?t=N7T8https://vuldb.com/

1.3 字典扫描

        使用公共字典,或自定义字典爆破扫描目标网站,确定网页访问路径。从中寻找没有权限控制的网址,后台管理系统网址,服务器配置文件访问地址,数据库操作相关访问地址等其他敏感访问路径

        常用工具 burpsuite DirBuster Webdirscan等        

2.收集受害者主机信息

2.1 硬件信息 

收集cpu相关信息,比如指令集,cpu位数,核数,虚拟化配置,cpu特性等信息。这些信息会影响到可执行文件的编码方式,可执行文件的加载方式

收集内存,硬盘,和其他内置或外接硬件信息,可用来搜索相关漏洞信息

2.2 软件信息

主要收集软件名称,软件安装位置,软件版本,软件依赖组件等信息。根据这些信息可以搜索是否有相关漏洞可以直接利用。根据收集到的信息复现软件执行环境,分析软件大致运行流程后可初步确定是否有dll劫持,白利用,权限提升等潜在逻辑bug。针对相同软件依赖组件的分析和利用,可以应用到很多软件中,从而实现事半功倍的效果。

2.3 固件信息

固件信息可用来搜索固件相关漏洞

2.4 客户端信息

主要收集操作系统版本,补丁,操作系统默认语言,时区等信息。不同操作系统的可执行文件需要单独编写。很多提权漏洞都可以通过系统补丁解决。很多时效性,或与时间相关的操作,都需要我们提前确定主机默认的时区。

3. 收集受害者身份信息

3.1 凭证信息

收集用户名,密码,web中使用的cookies,多因子授权信息,一次性密码,token等信息。这些信息可用来权限提升。我们可以使用搜索引擎,应用程序dump,代码托管平台等方式收集上述信息。

3.2 邮箱地址

可通过简历,搜索引擎,个人博客,公司网站等方式收集邮箱相关信息,

3.3 员工姓名

可通过图片,社交媒体等方式收集员工相关信息,结合收集到的邮箱地址等信息,可实现定向,成功率更高的钓鱼攻击。

4. 收集受害者网络信息

4.1 域名信息

可使用WHOIS等工具收集域名相关信息,如域名过期时间,子域名列表,域名注册邮箱等信息。可用来做url地址欺骗,钓鱼。

4.2 DNS信息

收集邮件服务器,CNAME,A,SPR等记录信息,DNS地址。可用来完善攻击点

4.3 网络连接的二方和三方信息

收集可以与受害者网络相连的其他组织。分析网络连接方式可能发现身份冒充,权限绕过的利用点

4.4 网络拓扑信息

收集子网划分,网关信息,堡垒机,vpn等信息,为后期横向移动做准备

4.5 Ip地址

收集ip地址相关信息

4.6 网络安全设备信息

收集防火墙,数据监测,代理或堡垒机,NIDS,IDS,IPS等设备信息。利用已知漏洞。分析绕过原理

5. 收集受害者组织信息

5.1 地址信息

收集公司办公地址信息

5.2 经营信息

收集公司经营内容,合作方等信息

5.3 业务信息

收集公司业务的消息,可以通过业务的数据大致推测出对应的服务器配置和可能的技术架构

5.4 角色信息

收集公司不同角色的信息,从而制定定制化的钓鱼,如针对hr可冒充面试者

6. 钓鱼信息

发送钓鱼邮件,携带恶意链接,恶意附件等。后续会在专门的钓鱼系列文章中详细介绍钓鱼常用工具,钓鱼常用技术

7. 闭源信息搜索

使用一些企业提供的威胁情报中心收集数据,如奇安信威胁情报中心,绿盟情报中心,360情报中心

8. 开放信息搜索

使用公开的信息,比如dns服务器,cdns,whois,数字证书

9. 开放网站信息

使用社交媒体,搜索引擎,代码托管平台

10. 受害者自建网站

浏览企业自建网站,小程序,app等

YinCircle
关注
  • 21
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ATT&CK实战系列——红队实战(二)
Demonering的博客
02-23 5137
环境配置 首先在VMware->编辑->虚拟网络编辑器里 更改子网ip为192.168.111.0 环境说明 DC IP:10.10.10.10 OS:Windows 2012 WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去) IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008 PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7
浅谈新手入门级红蓝对抗系列之——Sysmon攻防
systemino的博客
11-17 2371
Sysmon介绍 Sysmon是微软的一款免费的轻量级系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具(带有微软代码签名)。它通过系统服务和驱动程序实现记录进程创建,网络连接以及文件创建时间更改的详细信息,并把相关的信息写入并展示在windows的日志事件里。 ...
ATT&CK框架指导云安全威胁调查
网络空间发展与战略研究
11-20 470
摘要 云计算的迅速采用,使得组织正面临着安全责任划分、安全防护和安全运营等方面的新挑战。云安全责任共担模型在管理和控制方面进行了明确的划分,但对于具体发生的安全事件来说仍是模棱两可。组织正在努力同时应对多种类型高风险威胁,在云安全防护方面仍然面临诸多重大挑战。随着云安全挑战和问题日渐复杂,安全运营中心单一的威胁调查方法也不再有效。 统一云端和本地环境的威胁调查框架有助于改善组织的网络安全态势、优化组织流程和提高产出。ATT&CK框架成为当前最广泛采用的威胁调查框架,并且仍在快速发展之中。 从.
MITRE ATT&CK超详细学习笔记-01(背景,术语,案例)
Zichel77的博客
07-22 8550
MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目,开展了大量的网络安全实践。例如,MITRE公司在1999年发起了常见披露漏洞项目(CVE,CommonVulnera-bilitiesandExposures)并维护至今。其后,MITRE公司还维护了常见缺陷列表(CWE,CommonWeaknessEnumeration)这个安全漏洞词典。.........
ATT&CK红队评估实战靶场(1)思路
MrHatSec的博客
04-20 2422
ATT&CK红队评估实战靶场
ATT&CK云威胁矩阵
网络空间发展与战略研究
03-02 472
威胁类别 威胁名称 威胁描述 高级持续威胁 初始化访问威胁 系统攻破 攻击者通常将web浏览器作为攻击目标,利用正在访问网站的用户攻破系统,或者使用受损网站获取应用访问令牌。 利用公共访问的软件漏洞 攻击者利用公共访问的计算机或程序的漏洞(bug、故障或设计缺陷),以引起非预期或非预期的行为。这些应用程序通常是网站,包括数据库、标准服务(如SMB或SSH)、网络设备管理和管理协议以及任何其他具有公共访问开放套接字的应用程序,如web服务器和相关服务。 网络钓鱼
红日靶场1(渗透记录)
b1n的博客
09-12 1351
分享的靶机实战环境,这博客是为自己记录的同时分享出来让大佬们共同检阅,如有问题,还请多多指教。
Elasticsearch:为 Elastic Security 定制 Detection rules
Elastic 中国社区官方博客
02-03 2160
自从 Elastic Stack 7.6 之后,SIEM 里已经植入 Detection Engine。我们可以创建 Detection rules 来对我们感兴趣的事件进行检测。随着 Elastic Security 7.6 的发布,Elastic SIEM 看到了92条与 MITRE ATT&CK一致的威胁搜寻和安全分析检测规则。 我们还在 Elastic SIEM 中引入了信号,该功能可根据这些检测规则显示风险和严重性得分,以实现有效的分析人员分类。在之前的文章 “Elastic Secur.
【威胁情报综述阅读2】综述:高级持续性威胁智能分析技术 Advanced Persistent Threat intelligent profiling technique: A survey
定期分享我的发现和想法,感谢你的陪伴和支持
03-12 6788
随着互联网和信息技术的蓬勃发展,网络攻击变得越来越频繁和复杂,尤其是高级持续威胁 (APT) 攻击。与传统攻击不同,APT 攻击更具针对性、隐蔽性和对抗性,因此手动分析威胁行为以进行 APT 检测、归因和响应具有挑战性。因此,研究界一直专注于智能防御方法。智能威胁分析致力于通过知识图谱和深度学习方法分析APT攻击并提高防御能力。基于这一见解,本文首次系统回顾了针对 APT 攻击的智能威胁分析技术,涵盖数据、方法和应用三个方面。内容包括数据处理技术、威胁建模、表示、推理方法等。
ATT&CK手册(修改版)
09-16
**ATT&CK手册(修改版)** ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由美国非营利组织MITRE Corporation开发的一种框架,用于描述和分类网络攻击者的行为战术、技术和过程(TTPs)。这个框架...
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK手册.pdf
09-20
本手册涉及的核心概念是ATT&CK模型,这是一种由MITRE Corporation开发的攻击框架,用于对攻击者在渗透和入侵过程中使用的手法、技术和程序进行分类和描述。ATT&CK手册将网络安全的视角从防御转向了攻击者的行为,为...
ATT&CK框架介绍及战技术对照表
05-18
**ATT&CK框架详解** ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是由MITRE公司开发的一个公开的知识库,旨在提供一个统一的视角来理解和防御网络攻击。该框架详细描述了攻击者在不同阶段可能...
【qt】基于tcp的消息发送
yyqzjw的博客
08-18 323
我们需要实现客户端发消息,服务端接收消息。
Linux网络设置
最新发布
Lwc1027的博客
08-18 1219
根据pid查询5、查看端口查看网络配置的几个命令又ifconfig、hostname、route、netstat、ss,可以查看网卡,路由表还有统计信息,可以直接指定查询需要的指令。
RegFormer:用于大规模点云配准的高效投影感知Transformer网络
人工智能小白
08-18 756
2023年ICCV论文RegFormer的论文解读,点云配准工作背景,网络结构,实验分析
day 28 HTTP协议
2301_79909332的博客
08-17 400
UDP MTU最大传输单元(理论:65535 实际:1500)TCP发送数据是连续的,两次发送的数据可能粘连成一包被接收到。例如:https://www.baidu.com。3.客户端向发送HTTP请求报文,告诉服务器想要的数据。4.服务器回复HTTP响应报文,将客户端要的数据发回。长连接:通信前建立链接,通过新过程中链接一直保持。1、HTTP:超文本传输协议,在协议的应用层。1.协议://主机:端口号/资源路径。UDP是无连接的,面向数据包的传输方式。TCP是面向连接的,面向字节流传输方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值