ATT&CK系列之资源准备篇

资源准备阶段主要任务是通过各种途径收集工具，账户等资源，为后续行动做准备。根据ATT&CK中定义，结合工作中遇到的问题，记录成这篇文章。

1. 获取访问权限

通过某些网络服务购买目标网络的访问权限。有些电脑之前就已经失陷，但是黑客并没有立刻执行恶意行为，而是通过后门保留系统登陆权限，用于组建僵尸网络或出售

2. 获取基础设施

2.1 获取域名

通过在不同域名注册商购买或使用免费域名。域名可用来生成钓鱼链接，也可做为C2使用。通过提高与合法域名的相似程度，提高钓鱼成功率，比如注册使用不同的顶级域名，使用相似的不同字体冒充合法域名。也可以注册一些已经过期的白域名，比如一些合法的网站域名可能已经过期，但是域名信息可能已经被部分安全厂商收录到白名单中或已经有很高的信誉度，抢注这样的域名同样能提高钓鱼的成功率，甚至有可能躲避一些网络数据监控系统

2.2 DNS服务器

搭建自己的dns服务器，可以更好的控制dns的流量，从而更好的控制应用程序的条件响应

2.3 VPS

通过在不同的云服务提供商那里购买vps可以实现快速的搭建，复制攻击所需要的基础设施。同时还能利用云服务提供商的信誉度。如果云服务商不需要提供姓名等其他方便追踪的注册信息，那么vps也可以实现反追踪。

2.4 服务器

通过自己租用或购买物理服务器，自己搭建服务器环境，可以更灵活，也可能更隐蔽

2.5 僵尸网络

购买僵尸网络，用于后续操作，比如ddos

2.6 网络服务

购买云服务提供商的网络服务，如cdn，web服务等，使恶意流量变得更隐蔽

2.7 无服务器执行环境

购买云服务提供商的云函数，云worker等服务，可以更方便，隐蔽的执行恶意代码，同样可以隐藏恶意流量

2.8 恶意广告

投放，购买恶意广告，提高恶意程序的曝光度。好多流氓软件都会使用恶意推广的方式

3. 已失陷账号

3.1 社交帐号

收集，购买泄露的社交账号信息，做钓鱼信息收集

3.2 邮件账号

收集，购买泄露的邮件账号信息，伪造邮件

3.3 云服务账号

收集，购买泄露的云账号信息，搭建临时基础设施

4. 已失陷的基础设施

4.1 域名

子域名劫持技术，寻找到一个已经空置，但未清除的DNS记录，构建恶意流量。可使用nslookup，aquatone。

4.2 DNS服务器

修改dns记录，重定向到恶意网站。创建新的子域名，将恶意流量隐藏在正常流量中。

4.3 VPS

使用失陷VPS，提高被溯源的难度。利用云服务商的服务，隐藏恶意流量

4.4 服务器

使用失陷服务器构建水坑操作环境，和钓鱼邮件操作环境

4.5 僵尸网络

使用失陷的主机构建僵尸网络，为后续攻击做准备

4.6 网络服务

使用失陷的网络服务，冒用身份，隐藏恶意流量

4.7 无服务器执行环境

执行恶意代码，隐藏恶意流量

4.8 网络设备

利用失陷的路由器，等边界设备，可以规避恶意流量监测，创建恶意流量转发通道，设置访问权限

5. 开发能力

5.1 软件开发

攻击过程中需要使用大量的工具，下载器，后门程序，C2等。由于攻击环境的不同可能涉及到定制化开发

5.2 签名证书

被签名的可执行程序更容易过安全软件，我们可以通过自签名证书签名恶软件，如果能结合其他技术导入受信任根证书，更能提高成功执行的概率。我们还可以利用网上泄露的合法签名签署恶意软件，从而利用安全软件白名单机制。同时在修改可执行文件内容，但不破坏证书完整性的情况下，可以携带并恶意代码，供后续操作使用

5.3 安全证书

使用泄露的ssl证书可以冒充身份登录目标主机。使用自签名ssl证书可实现C2流量加密。同时利用其他技术导入受信任根证书可发起中间人攻击

5.4 漏洞挖掘

可通过模糊测试，补丁分析等方法发掘漏洞

6. 建立账号

6.1 社交账号

创建社交账号，接近攻击目标用户，进行社会工程学收集，为钓鱼攻击做准备

6.2 邮件账号

创建邮件，为钓鱼攻击做准备

6.3 云服务账号

创建云服务账号，使用云服务，如oss，s3存储等

7. 获取能力

7.1 软件

购买，窃取，下载开源恶意软件

7.2 工具

购买，窃取，下载开源恶意工具

7.3 签名证书

购买，窃取签名证书

7.4 安全证书

购买，窃取SSL安全证书

7.5 漏洞挖掘

可在开源网站，或第三方购买，窃取工具中可以使用的漏洞

7.6 漏洞利用

关注公开漏洞信息，通常漏洞的发掘和补丁的制作完成会存在时间差

7.7 人工智能

利用人工智能快速生成恶意代码，恶意邮件

8. 分步协调能力

8.1 上传软件

上传恶意软件到之前失陷的服务器中，方便后续下载使用

上传恶意虚拟机镜像，恶意容器镜像，诱导目标使用

上传恶意代码到代码托管服务

8.2 上传工具

上传恶意工具到服务器中，或代码托管平台中，方便后续下载使用

8.3 安装数字证书

安装购买的或自签名证书到目标环境中

8.4 目标驱动

上传恶意javascript，利用xss，csrf等技术，执行恶意代码

8.5 恶意链接

钓鱼使用恶意链接，诱导用户点击并执行恶意脚本。可通过克隆网站技术，再定制修改成包含恶意行为的网站

8.6 seo优化

利用关键字等seo优化机制，提高恶意软件流行度