ATT&CK框架:攻击者最常用的TOP7攻击技术及其检测策略|亚博app安全有保障
发布时间:2021-10-10
本文摘要:以前,大家早就对ATT&CK展开了一系列的解读,确信大家都已了解,MitreATT&CK根据深入分析公布发布可获得的威胁情报汇报,组成了一个巨大的ATT&CK技术性引流矩阵。

以前,大家早就对ATT&CK展开了一系列的解读,确信大家都已了解,MitreATT&CK根据深入分析公布发布可获得的威胁情报汇报,组成了一个巨大的ATT&CK技术性引流矩阵。实际上,这针对提高防御者的防御力、降低攻击者的还击成本费都是有关键作用。但或许是出自于猎奇心理,许多 威胁情报汇报能够更好地是在报道攻击者用于的比较精美有趣的技术性方式,而却忽视了攻击者反复用于的一般技术性。这也是Mitre公司在今年10月份的ATT&CKcon2.0交流会上,开售了ATT&CKSightings新项目,以求运用小区能量收集更为多必需认真观察数据信息的缘故所属。

答复,一些安全系数企业根据在实际自然环境中所收集的必需认真观察数据信息来检测还击技术性,这类方式形象性更为强悍,也具有感染力。RedCanary是英国一家主要从事网络信息安全的网络信息安全企业,部门管理对顾客自然环境中的终端设备数据信息展开规模性查找,来寻找攻击者。RedCanary剖析了以往五年里,其顾客自然环境中再次出现的一万多起故意恶性事件,并将故意恶性事件中用于的技术性与ATT&CK架构展开了同构。文中将根据比照MitreATT&CK的Top20还击技术性及RedCanary根据ATT&CK的Top20还击技术性,确定了攻击者最常见的七项ATT&CK技术性,并对其展开了深入分析。

Mitre公司VSRedCanaryTop20还击技术性MitreATT&CK根据整合、剖析400好几份公布发布的威胁情报汇报,将技术报告中的內容与ATT&CK技术性展开了同构,MITREATT&CK梳理下结论的Top20还击技术性为:攻击者最常见的TOP7还击技术性1.“Powershell”备受攻击者瞩目owerShell是Windows电脑操作系统中包含的功能齐全的互动式命令行界面和脚本制作自然环境。攻击者能够用于PowerShell继续执行很多作业者,还包含寻找信息内容和继续执行编码,比如,作为经营可执行程序的Start-Processcmdlet与在当地或在远程计算机上经营指令的Invoke-Commandcmdlet。

环境变量状况下,PowerShell大部分已包含在每一个Windows电脑操作系统中,获得了对WindowsAPI的基本上访谈管理权限,还包含数以百计可供开发者和网站管理员用于的作用,但某种意义也遭攻击者的肆无忌惮运用。像很多关键服务平台实用程序一样,PowerShell库很更非常容易获得,因而也很更非常容易搭建,必须裸露给出过程中的初始PowerShell作用。那麼该怎样展开检测呢?过程监管是最普遍合理地的技术性。

亚博app安全有保障

过程监管能够让防御者确定在其自然环境中用于PowerShell的标准。过程cmd监管则更为合理地,能够看透什么PowerShell案例妄图根据编号指令传输合理地特性阻抗并以别的方法误会其最开始用意。

除开PowerShell脚本制作的环境变量服务器以外,脚本制作还能够在载入PowerShell架构库的别的过程中继续执行。要查看该不负责任,认真观察控制模块特性阻抗及其展开剖析以获得别的前后文,进而为检测获得抵制。2.“脚本制作继续执行”不可忽视攻击者很有可能会用于脚本制作来帮助展开作业者并继续执行别的原本理应是手动式展开的多种作业者。

脚本制作继续执行针对缓解作业者每日任务,提升访谈重要資源需要的時间非常简单。根据必需在API等级与电脑操作系统互动,而必须启用别的程序流程,一些开发语言能够作为越过全过程监管体制。Windows的常见开发语言还包含VBScript和PowerShell,但还可以应用cmd批处理命令脚本制作的方式。安全系数专用工具和人力剖析的比较慢发展趋势让攻击者难以用于公布发布的还击荷载或是必需从硬盘出示涉及到荷载。

因而,攻击者务必找寻取代方式来继续执行重力梯度并继续执行别的故意主题活动,它是脚本制作涉及到技术性日渐流行的关键缘故。除此之外,该技术性运用的经营时自然环境、库和可执行程序是每一个当代推算出来服务平台的关键部件,没法只有停用,而且没一直对其展开密不可分监管。在Windows上,Windows脚本制作寄主(WSH)非常简单的检测测试用例是根据processancestry的。这还包含监管从shells命令(cmd.exe、powershell.exe)、Office应用软件、Web电脑浏览器和Web服务程序处理中溶解的wscript.exe或cscript.exe。

还提议监管从非标方向继续执行的脚本制作,比如客户可写成途径,还包含appdatalocal*、别的类似途径及其临时性文件目录。除此之外,监管过程数据库、过程cmd和文档修改全是十分最重要的对策。检测与托管地脚本制作涉及到的二进制文件的猜疑控制模块载入(比如vbscript.dll)的检测系统软件也是有一点采行的对策。

自然最彻底的方法便是停用Windows脚本制作寄主,还可以逼迫对脚本制作展开手写签名,以确保仅有继续执行准许后的脚本制作。例如AppLocker这类的专用工具还获得了与脚本制作继续执行涉及到的别的管束。

亚博app安全有保障

这种是预防对策,但也可作为检测的用处,由于试着继续执行给予批准的脚本制作不可造成更高品质的报警系统。3.“命令行界面”也是网络黑客最恋人命令行界面获得了一种与计算机软件展开互动的方法,而且是很多种类的电脑操作系统服务平台的协同作用。Windows系统软件上的令行页面是cmd,可作为继续执行很多每日任务,还包含继续执行第三方软件。命令行界面能够根据远程桌面连接应用软件、引擎声Shell不容易话等在当地或远程控制展开互动。

继续执行的指令以命令行界面过程的当今管理权限等级经营,除非是该指令展开过程启用,变动继续执行管理权限(比如任务计划)。命令行界面发展趋势迄今,早就有很多的成熟专用工具能够用于。

除此之外,命令行界面是一个十分轻便的应用软件,合上的时候会给硬件配置带来花销,因而合上一起更为慢。并且在根据GUI的应用软件上顺利完成的全部每日任务,必须根据命令行界面变慢地合上。

对于这类还击,能够根据用于命令行参数精确纪录展开继续执行状况来捕获命令行界面主题活动。根据掌握了解攻击者时怎样用于当地过程或自定专用工具的,能够更进一步了解攻击者的不负责任。这就务必做下列两层面:(1)了解的组织架构中应用软件的罕见来源于;(2)收集cmd和涉及到的检测数据信息.4.“注册表文件runkey/启动文件夹”是搭建持久简单化的重要姿势在注册表文件的“runkeys”或启动文件夹里加到一个内容,将不容易导致用户特定时,该程序流程不容易经营该内容。

这种程序流程将在客户的前后文中继续执行,并具有与帐户完全一致的管理权限等级。注册表文件runkey和启动文件夹历年全是各种攻击者搭建持久简单化的最重要总体目标。依据Microsoft文本文档,对注册表文件runkey的抵制至少能够上溯Windows95。

有可靠纪录强调,做为一种持久化机制,加上更非常容易推行,该技术性在一定水平上表明了其为什么在攻击者中用于十分普遍。攻击者仅有务必客户等级的管理权限,并具有加载注册表文件或将合理地特性阻抗扯放到启动文件夹的作用。尽管搭建一起较为比较简单,但十分合理地。

伴随着时间的流逝,该技术性早就从提及可继续执行合理地特性阻抗发展趋势为载入动态库,并运用了别的技术性(比如regsvr32和脚本制作继续执行)。对于该还击技术性,能够在持久化机制生命期的三个不同之处上合理地搭建检测:改装时、休眠模式时及其起动时刻。

在改装时检测runkey和启动文件夹新项目务必监管特殊注册表文件和系统文件途径的变更状况。能够根据服务平台文本文档或根据提及一些实用程序来汇报否不会有这种配置来列举这种途径。除此之外,很有可能会成功查验一切不明与这种途径结合用于的文件属性,比如LNK。

要检测已改装且正处在休眠模式的持久化,能够查验同一注册表文件和系统文件途径的內容中否不会有猜疑内容。开创一个标准并按时监管否有偏移标准的状况,为此来提升调研劳动量。自然,持久化总有一天会分离再次出现,它一直是超出目地的方式。

亚博app安全有保障

因而,监管预估一些变更不容易涉及什么过程及其仍未认真观察到的过程中间的关联也是十分合理地的。5.“装扮成”是越过防御的最好方法装扮成就是指为了更好地避开防御和认真观察而操纵或诈骗合理合法或故意的可执行程序的名字或方向的状况。攻击者运用装扮成做为越过防御技术性的方式或忽悠方式。

攻击者用于该技术性根据使故意可执行程序和手机软件看起来合理合法或预估来损坏设备和人力剖析。装扮成的搭建范畴很广,从比较简单地重新命名可执行程序(进而让这种文档看起来更为看上去长期过程中)到更为简易的方式(比如cmd忽悠)。装扮成在攻击者中用于很普遍,因为它合乎了越过防御技术性和人为因素剖析的比较简单市场的需求,而且较为更非常容易推行。

检测装扮成技术性的一种对策是运用二进制数据库,比如在文件创建或手写签名时的详细文件夹名称。比如,假如要查看wscript.exe,则不可查看具有该名字的二进制文件,都不应查看具有详细文件夹名称WScript的一切二进制文件。尽管,能够检测名字或数据库为wscript.exe的一切二进制文件,但根据文档的手写签名、hach或别的标志符并不靠谱。

因而可对文档方向建立一个标准,对所述方式展开补充。如果我们了解等额的二进制文件根据哪一个途径继续执行,则能够在别的任何地方看到该标示时,就可以启动警报。6.“误会文档或信息内容”可避开根据手写签名的检测系统软件攻击者很有可能会妄图根据数据加密、编号或别的方法误会系统软件上或传送中的可执行程序或文档內容,进而使其无法找到或剖析。

它是一种能够跨过各有不同的服务平台和互联网用于,以越过防御的罕见不负责任。很多网络信息安全检测商品(杀毒软件、IDS等)设计方案为根据恶意程序的手写签名经营。

一旦找到在野党用于的特殊恶意程序组合,以后不容易提纯出该恶意程序的特有作用,并作为在未来病毒性感染中对其展开检测和识别。将根据互联网界限或iTunes到服务器的一条数据信息与这种手写签名展开比较。假如找寻给出项,则将采取一定的有效措施(清除、阻隔、报警等)。

误会的目地是越过这种根据手写签名的检测系统软件,并降低对恶意程序样版展开审查剖析的可玩度。假如以某类方法误会了手写签名所根据的数据信息或编码,则检测模块在寻找显文字手写签名时就没法找寻给出项。不会有很多误会优化算法,比如传送、编号、数据加密、隐写这些。恶意程序使用人能够隐秘各种各样各有不同种类的文档和数据信息。

比如,恶意程序有可能被设计方案为用于误会来隐秘其恶意程序。或是,恶意程序组合很有可能会对其环境变量展开数据加密,进而使恶意程序投资分析师更为无法讲解其作用。想检测误会文档或是信息内容,除非是在误会全过程交给了能够检测到的特有伪像,不然难以检测文档误会。假如没法检测,则能够去检测继续执行误会文档的故意主题活动(比如,作为在系统文件上加载、载入或修改文档的方式)。

亚博app安全有保障

标识并剖析包含误会命令符和不明猜疑英语的语法(比如未解释的转义字符,如'''^'''和'''"''')的指令。反误会专用工具能够用于检测文档/重力梯度中的这种指标值。

除此之外,能够在互联网上检测到作为原始访谈的重力梯度中用于了什么误会方式。还能够用于互联网入侵检测系统软件和电子邮箱网关ip检测来识别传送和数据加密的配件和脚本制作。一些电子邮箱配件展览系统软件能够合上传送和数据加密的配件。

根据网址从数据加密相接传输的重力梯度务必展开数据加密的数据流量查验。7.“凭证转储”让网络黑客以内网肆无忌惮凭证转储是指电脑操作系统和手机软件出示账号用户名和登陆密码信息内容的全过程,一般来说是hach或弱密码方式的信息内容。展开凭证转储后,攻击者就可以用于凭证展开竖向挪动及访谈比较有限信息内容。凭证转储是攻击者访谈总体目标的机构中的客户账号和别的資源的协同市场的需求。

攻击者还运用转储的凭证来搭建管理权限提升 和竖向挪动。凭证针对攻击者来讲是这般最重要,以至在很多状况下,出示登录名和登陆密码不但是超出目地的方式,并且是还击的全部总体目标。

因而,在各种各样违法犯罪社区论坛上,凭证全是可售卖的产品,而且一些网址能够追踪公布发布的凭证转储状况。除开将转储凭证作为售卖和原始访谈外,凭证是漏洞检测后的一个最重要一部分。

一旦攻击者获得对自然环境的原始访谈管理权限,一般来说务必某类等级的权利访谈管理权限才可以搭建还击主题活动中的更进一步总体目标。尽管有很多方式能够提高权利等级,可是最有效地和可靠的方式之一是用于具有特殊等级管理权限的工作人员的合理合法凭证。凭证能够从运行内存中以显文档格式提纯。

监管对特殊过程的访谈能够为防御者获得一种检测凭证转储的方法。这类检测方式很更非常容易造成很多乱报恶性事件,由于电脑操作系统的内嵌作用还可以访谈这种全过程。防御者要关键瞩目潜在性难题过程中间的互动来提升这类噪音。检测否不会有凭证转储的另一种方式是剖析实用工具,并用于别的数据库做为涉及到点,根据交给的指纹识别来制定检测对策。

注册表项和文档修改便是一个非常好的突破口。写成在最 后大家以前早就对于ATT&CK框架进行了一系列的解读,有兴趣爱好的读者能够读者一下以前的涉及到文章内容。可是,ATT&CK框架包含了300多种多样技术,并且每个技术又包含多种多样组合。遭遇一个身型这般丰厚的框架,很有可能会令人一些望而生畏,一脸茫然,了解该从哪里需从。

文中根据数据分析MITREATT&CK和RedCanary汇总剖析的Top20反击技术,寻找在其中有七项技术是重叠的,让人注目表明了这七项反击技术在攻击者中的客观性,是务必防御者关键注目或者建立防御计划方案时的著手点。文中对这七项技术进行了比较简单的解读,表明了这种技术必须得到 攻击者注目的缘故所属,并得到了检验对策,期待必须为读者用以ATT&CK框架带来一些帮助。


本文关键词:亚博app安全有保障

本文来源:亚博app安全有保障-www.geotourism-tr.com