一、引言
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术(一)及(二)知识,本期我们为大家介绍ATT&CK 14项战术中持久化战术(三)涉及的剩余子技术,后续会陆续介绍其他战术内容,敬请关注。
二、ATT&CK v12简介
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测,描述了检测各种ICS技术的方法,每种方法都与特定的数据源和数据组件相关联,检测功能既利用了传统的主机和基于网络的采集,也利用了ICS特定的来源,如资产和运营数据库等。
ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。
ATT&CK战术全景图(红框为持久化战术)
三、持久化战术
3.1 概述
持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术,例如替换或劫持合法代码或添加启动代码。
持久化战术包括19种技术,前几期给大家介绍了前12项技术,本期为大家逐一介绍最后7项技术。
3.2 修改身份验证过程(T1556)
攻击者可以修改身份验证机制和流程,以访问用户凭据或启用不必要的对账户的访问。身份验证过程通过机制处理,例如Windows上的本地安全身份验证服务器(LSASS)进程和安全帐户管理器(SAM)等。
攻击者可能会恶意篡改身份验证过程,以泄露凭据或绕过身份验证机制。泄露的凭据可用于绕过访问控制,并持续访问远程系统和外部可用服务。
修改身份验证过程技术包含7项子技术,介绍如下:
3.2.1 域控制器验证(T1556.001)
攻击者可能会修改域控制器上的身份验证过程,以绕过典型的身份验证机制访问账户。
恶意软件可用于在域控制器上的身份验证过程中注入虚假凭据,目的是创建用于访问任何用户的帐户或凭据的后门。经过身份验证的访问可以实现对单因素身份验证环境中的主机或资源的无限制访问。
3.2.2 密码过滤器DLL(T1556.002)
攻击者可能会将恶意密码过滤器动态链接库(Dll)注册到身份验证过程中,以便在验证用户凭据时获取这些凭据。
Windows密码过滤器是域和本地帐户的密码策略强制机制。过滤器作为Dll实现,其中包含根据密码策略验证潜在密码的方法。
攻击者可以注册恶意密码过滤器,以从本地计算机或整个域获取凭据。要执行正确的验证,过滤器必须从LSA接收纯文本凭据。每次发出密码请求时,恶意密码过滤器都会收到这些纯文本凭据。
3.2.3 可插入的身份验证模块(T1556.003)
攻击者可修改可插入的身份验证模块(PAM)以访问用户凭据或非法访问帐户。PAM是一个由配置文件、库和可执行文件组成的模块化系统,用于指导许多服务的身份验证。
攻击者可能会修改PAM系统的组件以创建后门。对PAM系统的恶意修改也可被利用以窃取凭据。
3.2.4 网络设备认证(T1556.004)
攻击者可以使用补丁系统镜像来硬编码操作系统中的密码,从而绕开网络设备上本地帐户的本地身份验证机制。在验证尝试时,插入的代码将首先检查用户输入的是否是密码。如果是,则授予访问权限。否则,植入的代码将传递凭据以验证潜在有效的凭据。
3.2.5 可逆加密(T1556.005)
攻击者可能会利用Active Directory身份验证加密属性以访问windows系统上的凭据。可逆密码加密属性指定是启用还是禁用帐户的可逆密码加密。默认情况下,此属性处于禁用状态。如果启用该属性,则攻击者可能会创建或更改的密码的明文。攻击者需要如下四个组件可以解密密码:
来自Activedirectory用户结构用户参数的加密密码(G$RADIUSCHAP)
也来自userParameters的16字节随机生成的值(G$RADIUSCHAPKEY)
全球LSA秘密(G$MSRADIUSCHAPKEY)
远程访问子身份验证DLL(RASSFM)中硬编码的静态密钥。
攻击者可以通过本地组策略编辑器、用户属性、细粒度密码策略(FGPP)或ActiveDirectory PowerShell模块设置此属性。
3.2.6 多因素认证(T1556.006)
攻击者可能会禁用或修改多因素身份验证(MFA)机制,以启用对帐户的持久访问。
根据攻击者的范围、目标和权限,可能会对单个帐户或与较大组关联的所有帐户(例如受害者网络环境中的所有域帐户)禁用MFA防御。
3.2.7 混合身份(T1556.007)
攻击者可能会修改与本地用户身份相关联的云身份验证过程,以绕过典型的身份验证机制、访问凭据并持久访问帐户。
许多组织维护在内部部署和基于云的环境之间共享的混合用户和设备身份。通过修改绑定到混合身份的身份验证过程,攻击者可以建立对云资源的持久特权访问。
3.2.8 缓解措施
ID | 缓解措施 | 描述 |
M1047 | 审计 | 检查身份验证日志以确保MFA强制等机制按预期运行。 |
M1032 | 多因素身份认证 | 通过多因素身份验证(MFA)降低攻击者获得有效凭据控制权的风险,限制对云资源和Api的访问。 |
M1028 | 操作系统配置 | 确保仅注册有效的密码过滤器。 |
M1027 | 密码策略 | 确保AllowReversiblePasswordEncryption属性设置为disabled,除非有应用程序要求。 |
M1026 | 特权账户管理 | 审计域和本地帐户,限制对根帐户的访问, 限制本地账户。 |
M1025 | 特权进程完整性 | LSA的启用功能 |
M1022 | 限制文件和目录权限 | 限制对/library/security/securityagentplugins目录的写入访问权限。 |
M1018 | 用户账户管理 | 确保实施适当的策略,保障用户帐户的身份验证机制的安全注册和停用。 |
3.2.9 检测
ID | 数据源 | 数据组件 | 检测 |
DS0026 | 活动目录 | 活动目录对象对象 | 监控对与MFA登录要求相关的AD安全设置所做的更改。 |
DS0015 | 应用日志 | 应用日志内容 | 启用安全审核收集日志,例如,监控Azure AD应用程序代理连接器的登录,这些登录通常仅在添加新的通过身份验证(PTA)代理时生成。如果AD FS正在使用中,查看事件ID501的日志,该日志指定声明的所有EKU属性,并对环境中未配置的任何值发出警报。 |
DS0022 | 文件 | 文件创建 | 监视/Library/Security/SecurityAgentPlugins目录中的可疑添加。 |
文件修改 | 监控与身份验证过程相关的文件的可疑修改,例如配置文件和模块路径(例如/etc/pam) | ||
DS0028 | 登录会话 | 登录会话创建 | 监控异常登录行为,包括:一个账号同时登录到多个系统;单账号多IP同时登录,异常时间或异常地点登录等行为。 |
DS0011 | 模块 | 模块加载 | 监控写入域控制器或本地计算机的新增DLL文件。 |
DS0009 | 进程 | OS API执行 | 监控域控制器上的进程或者跟身份验证机制相关的DLL的修改。 |
进程访问 | 监控与身份验证机制交互的未知进程。 | ||
DS0002 | 用户账户 | 用户账户认证 | 监控未提供MFA凭据的帐户身份验证。 |
用户账户修改 | 使用无需MFA凭据即可成功登录的设备和用户帐户的注册。 | ||
DS0024 | Windows注册表 | Windows注册表修改 | 监控对密码过滤器的注册表值的修改,分析这些文件引用的DLL文件。 |
3.3 启动Office应用程序(T1137)
攻击者可能会在启动Office应用程序时,可以使用Office模板宏和加载项、Outlook规则、表单和主页等方式实现持久化。
启动Office应用程序技术包含6项子技术,介绍如下:
3.3.1 Office模板宏(T1137.001)
攻击者可能会利用Office模板获得持久性。VBA宏可以插入到基本模板中,并用于在相应的Office应用程序启动时执行代码,以便获得持久性。
攻击者还可以通过劫持应用程序的搜索顺序来更改基本模板的位置以指向自己的位置,攻击者可能需要启用宏以不受限制地执行,具体取决于使用宏的系统安全策略。
3.3.2 Office测试(T1137.002)
攻击者可能会利Office测试注册表项以获得持久性。Office测试注册表位置,允许用户指定每次启动Office应用程序时执行的任意DLL。
存在Office测试功能的用户和全局注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\PerfHKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf攻击者可以添加此注册表项并指定恶意DLL,该DLL将在启动Office应用程序时执行。
3.3.3 Outlook表格(T1137.003)
攻击者可能会利用Outlook表单以获得持久性。Outlook表单用作Outlook邮件中的演示文稿和功能的模板,可以创建自定义Outlook表单,当恶意电子邮件由对手使用相同的自定义Outlook表单发送时,这些表单将执行代码。
一旦恶意表单被添加到用户的邮箱中,它们将在Outlook启动时加载。当攻击者向用户发送恶意电子邮件时,恶意表单将执行。
3.3.4 Outlook主页(T1137.004)
攻击者可能会利用Outlook的主页功能以获得持久性。Outlook主页功能允许在打开文件夹时加载和显示内部或外部URL。攻击者可以制作恶意HTML页面,该页面将在Outlook主页加载时执行代码。一旦恶意主页已添加到用户的邮箱,它们将在Outlook启动时加载。
3.3.5 Outlook规则(T1137.005)
攻击者可能会利用Outlook规则以获得持久性,Outlook规则允许用户定义管理电子邮件的自动行为。攻击者可以创建恶意Outlook规则,向用户发送恶意电子邮件时,这些规则可以触发代码执行。一旦恶意规则已添加到用户的邮箱,它们将在Outlook启动时加载。
3.3.6 加载项(T1137.006)
攻击者可能会利用Office加载项以获得持久性,Office加载项可用于向Office程序添加功能,包括Word/Excel加载项库(WLL/XLL)、VBA加载项、Office组件对象模型(COM)加载项、自动化加载项、VBA编辑器(VBE)、Visual Studio Tools For Office(VSTO)加载项和Outlook 等,加载项可以设置为在Office应用程序启动时执行代码。
3.3.7 缓解措施
ID | 缓解措施 | 描述 |
M1040 | 端点行为防御 | 在Windows10上,启用攻击面减少(ASR)规则以防止Office应用程序创建子进程并将恶意代码写入磁盘。 |
M1042 | 禁用或删除程序 | 禁止执行Office vba宏。禁用Office加载项。 |
M1054 | 软件配置 | 创建用于执行Office测试的注册表项,并将权限设置为"读取控制"。 |
M1051 | 更新软件 | 确保将阻止Outlook Visual Basic并显示恶意代码警告的KB3191938、默认情况下禁用自定义表单的KB4011091和删除旧版主页功能的KB4011162应用于系统。 |
3.3.8 检测
ID | 数据源 | 数据组件 | 检测 |
DS0015 | 应用日志 | 应用日志内容 | 监控第三方应用程序日志记录。 |
DS0017 | 命令 | 命令执行 | 监控执行的命令和参数,Microsoft已经发布了一个PowerShell脚本,以安全地收集邮件环境中的邮件转发规则和自定义表单以及解释输出的步骤。 |
DS0022 | 文件 | 文件创建 | 监控新创建的文件 |
文件修改 | 监控对文件所做的修改 | ||
DS0011 | 模块 | 模块加载 | 监控DLL/PE文件事件,从中查找未知或未加载到进程中的DLL。 |
DS0009 | 进程 | 进程创建 | 监控新执行的进程,收集进程执行信息,包括进程Id和父进程Id,并查找由Office进程导致的异常活动。 |
DS0024 | Windows注册表 | Windows注册表创建 | 监控新建的Windows注册表项。 |
Windows注册表修改 | 监控修改的Windows注册表项。 |
3.4 操作系统前启动(T1542)
攻击者可能会利用操作系统前启动机制建立持久性。在计算机的启动过程中,固件和各种启动服务在操作系统之前加载,这些程序在操作系统控制之前控制执行流程。
在操作系统前启动技术包含5项子技术,介绍如下:
3.4.1 系统固件(T1542.001)
攻击者可能会修改系统固件以建立持久性。例如BIOS(基本输入/输出系统)和统一可扩展固件接口(UEFI)或可扩展固件接口(EFI)等。
系统固件削弱了计算机的功能,并且可能被攻击者修改以执行恶意活动。
3.4.2 组件固件(T1542.002)
攻击者可能会修改组件固件以建立持久性。攻击者可能会使用复杂的手段来破坏计算机组件并安装恶意固件,这些固件将在操作系统和主系统固件或BIOS之外执行恶意代码。
3.4.3 Bootkit(T1542.003)
攻击者可以使用bootkit来持久化系统。Bootkit是一种恶意软件变体,可修改硬盘驱动器的引导扇区,包括主引导记录(MBR)和卷引导记录(VBR)。MBR是BIOS完成硬件初始化后首先加载的磁盘部分,引导加载程序的位置。对启动驱动器具有原始访问权限的攻击者可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到恶意代码。
MBR将引导过程的控制传递给VBR。与MBR的情况类似,对启动驱动器具有原始访问权限的攻击者可能会覆盖VBR以将启动期间的执行转移到恶意代码。
3.4.4 RommonKit(T1542.004)
攻击者可能会利用ROM监视器(ROMMON),通过加载带有恶意代码的未经授权的固件来提供持久访问。
攻击者可以使用恶意代码在本地或远程升级ROMMON镜像,并重新启动设备,以覆盖现有的ROMMON镜像。
3.4.5 TFTP启动(T1542.005)
Netbooting是引导序列中的一个选项,可用于集中、管理和控制设备镜像。攻击者可能会利用Netbooting从TFTP服务器加载未经授权的网络设备操作系统。
攻击者可以操纵网络设备上的配置,指定使用恶意TFTP服务器,该服务器可以与修改系统映像一起使用,以便在设备启动或重置时加载修改后的镜像。未经授权的镜像允许对手修改设备配置,向设备添加恶意功能,并引入后门以保持对网络设备的控制。
3.4.6 缓解措施
ID | 缓解措施 | 描述 |
M1046 | 启动完整性 | 使用受信任的启动过程,检查现有BIOS或EFI的完整性,以确定它是否容易被修改。 |
M1026 | 特权账户管理 | 确保具有适当的权限,防止特权帐户被利用。 |
M1051 | 更新软件 | 根据需要修补BIOS和EFI。 |
3.4.7 检测
ID | 数据源 | 数据组件 | 检测 |
DS0017 | 命令 | 命令执行 | 监控命令历史记录中执行的命令和参数,以确定是否使用了未经授权或可疑的命令来修改设备配置。 |
DS0016 | 驱动 | 驱动修改 | 监控MBR和VBR发生的变化,以确定可疑活动和进一步分析的指标。记录MBR和VBR的快照,并与已知的良好样本进行比较。 |
DS0027 | 驱动 | 驱动程序元数据 | 监控磁盘检查、取证实用程序和来自设备驱动程序(即进程和API调用)的数据。 |
DS0001 | 固件 | 固件修改 | 监控在操作系统前引导机制上所做的更改。 |
DS0029 | 网络流量 | 网络连接创建 | 监控新构建的网络设备配置和系统镜像,以发现对系统引导、启动配置或正在运行的操作系统的未经授权的更改。 |
DS0009 | 进程 | OS API执行 | 监控利用操作系统前引导机制的API调用。 |
3.5 利用计划任务(T1053)
攻击者可能会利用计划任务功能在系统启动时或定期重复执行恶意代码以实现持久性。
利用计划任务技术包含5项子技术,介绍如下:
3.5.1 At(T1053.002)
攻击者可能会利用at程序来执行任务调度,以初始或重复执行恶意代码。At程序用于在指定的时间和日期调度任务。
3.5.2 Cron(T1053.003)
攻击者可能会利用cron程序来执行任务调度,以初始或重复执行恶意代码来实现持久性。cron程序是基于时间的作业调度程序,Crontab文件包含要运行的cron条目的时间表和指定的执行时间。
3.5.3 计划任务(T1053.005)
攻击者可能会利用Windows任务计划程序来执行任务计划,以初始或重复执行恶意代码来实现持久性。有多种方法可以访问Windows中的任务计划程序:Schtasks程序可以直接在命令行上运行;也可以通过控制面板的管理员工具部分内的GUI打开任务计划程序;攻击者使用Windows任务计划程序的.NET包装器;攻击者使用Windows netapi32库创建计划任务。
攻击者还可能创建"隐藏"计划任务,这些任务可能对用于枚举任务的defender工具和手动查询不可见。具体来说,攻击者可以通过删除关联的安全描述符(SD)注册表值从schtasks或查询和任务计划程序中隐藏任务,也可以使用其他方法来隐藏任务,例如更改关联注册表项中的元数据等。
3.5.4 SystemD计时器(T1053.006)
攻击者可能会利用systemd计时器来执行任务调度,以初始或重复执行恶意代码。Systemd定时器是控制服务的定时器,Systemd计时器可以通过systemctl命令行实用程序远程激活,程序通过SSH运行。
攻击者可以使用systemd计时器在系统启动时或按计划执行恶意代码以实现持久性。使用特权路径安装的计时器可用于维护根级别持久性。攻击者还可以安装用户级计时器以实现用户级持久性。
3.5.5 容器编排任务(T1053.007)
攻击者可能会利用容器编排工具(如Kubernetes)提供的任务调度功能部署带有恶意代码的容器。容器编排任务在特定的日期和时间运行这些自动化任务。
在Kubernetes中,CronJob可用于调度运行一个或多个容器以执行特定任务的任务。因此,攻击者可以利用CronJob来计划在集群内的各个节点中执行恶意代码任务的部署。
3.5.6 缓解措施
ID | 缓解措施 | 描述 |
M1047 | 审计 | 审计计划任务中可用于特权升级的权限漏洞。 |
M1028 | 操作系统配置 | 配置计划任务的设置,以强制任务在经过身份验证的帐户下运行。 |
M1026 | 特权账户管理 | 将"增加调度优先级"选项配置为仅允许管理员组调度优先级进程的权限。 |
M1018 | 用户账户管理 | 限制用户帐户的权限,只有授权管理员才能在远程系统上创建计划任务。 |
3.5.7 检测
ID | 数据源 | 数据组件 | 检测 |
DS0017 | 命令 | 命令执行 | 监控已执行命令和参数。 |
DS0032 | 容器 | 容器创建 | 监控新创建的容器。 |
DS0022 | 文件 | 文件创建 | 监控新创建的文件。 |
文件修改 | 监控对文件所做的更改。 | ||
DS0009 | 进程 | 进程创建 | 监控新创建的进程。 |
DS0003 | 计划任务 | 计划任务创建 | 监控新建的计划任务。 |
3.6 利用服务器软件(T1505)
攻击者可能会利用服务器的合法可扩展开发功能来建立对系统的持久访问。 服务器应用程序包括允许开发人员编写和安装软件或脚本以扩展主应用程序功能。 攻击者可能安装恶意组件来扩展和利用服务器应用程序。
利用服务器软件技术包含5项子技术,介绍如下:
3.6.1 SQL存储过程(T1505.001)
攻击者可能会利用SQL存储过程来建立对系统的持久访问。SQL存储过程是可以保存和重用的代码,存储过程可以通过sql语句使用过程名称或通过定义的事件调用数据库。
攻击者可能会制造恶意存储过程,这些过程可以在SQL数据库服务器中提供持久性机制。
3.6.2 传输代理(T1505.002)
攻击者可能会利用Microsoft传输代理来建立对系统的持久访问。Microsoft Exchange传输代理可以对通过传输管道的电子邮件进行操作,以执行各种任务。
攻击者可以注册恶意传输代理,以便在Exchange Server中提供可由攻击者指定的电子邮件事件触发的持久性机制。
3.6.3 WebShell(T1505.003)
攻击者可利用web shell为web服务器设置后门,以建立对系统的持久访问。 Webshell是放置在可公开访问的Web服务器上的Web脚本,允许攻击者使用Web服务器作为网关。Web shell可以在承载Web服务器的系统上提供一组要执行的函数或命令行界面。
3.6.4 IIS组件(T1505.004)
攻击者可在IIS服务器上运行恶意代码以建立持久性。攻击者可以安装恶意ISAPI扩展和过滤器来修改流量,在受损机器上执行命令,ISAPI扩展和筛选器可以访问所有IIS web请求和响应。例如,攻击者可能会利用这些机制来修改HTTP响应,以便将恶意命令分发到以前包含的主机。攻击者还可能安装恶意IIS模块来修改流量。
3.6.5 终端服务DLL(T1505.005)
攻击者可能会利用终端服务的组件来实现对系统的持久访问。终端服务允许服务器通过RDP向客户端传输完整的交互式图形用户界面。
攻击者可以修改或替换终端服务DLL以启用对受害主机的持久访问,修改这个DLL可以执行任意的有效载荷。
3.6.6 缓解措施
ID | 缓解措施 | 描述 |
M1047 | 审计 | 定期检查关键服务上的组件软件,确定是否进行了更改。 |
M1045 | 代码签名 | 确保所有应用程序组件二进制文件都由正确的应用程序开发人员签名。 |
M1042 | 禁用或删除功能或程序 | 适当情况下禁用服务器中的软件组件,以防止攻击者利用。 |
M1026 | 特权帐户管理 | 管理员账号最小化授权管理原则。 |
M1024 | 限制注册表权限 | 使用组策略来配置和阻止对注册表中的服务和其他关键服务器参数的修改。 |
M1018 | 用户账户管理 | 只有授权帐户才能修改或添加服务器软件组件。 |
3.6.7 检测
ID | 数据源 | 数据组件 | 检测 |
DS0015 | 应用日志 | 应用日志内容 | 监控第三方应用程序日志记录,以查找可疑安装应用软件组件的异常行为。 |
DS0022 | 文件 | 文件创建 | 监控与新应用软件组件的安装相关联的文件新增。 |
文件修改 | 监控对文件所做的修改。 | ||
DS0029 | 网络流量 | 网络流量内容 | 监控和分析流量和数据包检查、进程监视和命令行的相关参数。 |
网络流量 | 监控未知的异常网络数据。 | ||
DS0009 | 进程 | 进程创建 | 进程监控用于检测执行可疑操作的服务器组件,例如运行cmd.exe或访问文件。 |
3.7 使用流量(T1205)
攻击者可以使用流量隐藏开放端口或其他恶意功能,例如打开封闭端口或执行恶意代码,在打开一个端口之前发送一系列恶意数据包,攻击者可以使用该端口进行命令和控制。
攻击者也可能与已经打开的端口通信,但在该端口上侦听的服务只会响应命令或触发其他恶意功能。
在网络设备上,攻击者可以使用精心设计的数据包来为设备提供的标准服务启用网络设备身份验证,还可以用于打开诸如telnet的封闭服务端口,或者用于触发设备上的恶意软件能力。
攻击者也可以使用LAN唤醒功能来打开已关闭电源的系统。LAN唤醒是一种硬件功能,它允许断电系统通过向其发送数据包来打开或唤醒它。一旦系统通电,它可能成为横向移动的目标。
利用流量技术包含2项子技术,介绍如下:
3.7.1 端口试探(T1205.001)
攻击者可以使用端口试探来隐藏打开端口。为了启用端口,攻击者向预定义的关闭端口程序发送一系列尝试连接,程序完成后,打开端口通常由基于主机的防火墙完成,但也可以通过自定义软件实现。
端口试探技术既用于动态打开侦听端口,也用于启动不同系统到侦听服务器的连接。
3.7.2 Socket过滤器(T1205.002)
攻击者可以将过滤器连接到网络套接字,可监控并激活后门。通过提升权限,攻击者可以使用libpcap库等功能打开套接字并安装过滤器,以确定某些类型的数据是否可以通过套接字。过滤器可能适用于通过指定的网络接口的所有流量,当网络接口接收到匹配过滤条件的数据包时,可以在主机上触发操作,例如激活反向shell。
3.7.3 缓解措施
ID | 缓解措施 | 描述 |
M1042 | 禁用或删除功能或程序 | 禁用不必要的功能或程序。 |
M1037 | 过滤网络流量 | 可通过防火墙过滤网络流量。 |
3.7.4 检测
ID | 数据源 | 数据组件 | 检测 |
DS0029 | 网络流量 | 网络连接创建 | 监控不受信任的主机发送或接收的新的网络连接。 |
网络流量内容 | 监控和分析网络数据包内容。 | ||
网络流量 | 监控和分析与不遵循标准协议的网络通信流。 | ||
DS0009 | 进程 | 进程创建 | 使用原始套接字识别正在运行的进程。 |
3.8 利用有效账户(T1078)
攻击者可以获取和利用现有帐户的凭据,作为获得初始访问、持久性、特权升级或逃避防御的手段。 泄露的凭据可用于绕过访问控制,用于持久访问远程系统和外部可用服务,受威胁的凭据也可能授予攻击者对特定系统的更多特权。
在系统网络中,本地、域和云帐户的权限重叠是值得关注的,因为攻击者可能跨帐户和系统访问,以达到较高的访问级别。
利用有效账户技术包含4项子技术,介绍如下:
3.8.1 默认账户(T1078.001)
攻击者可获取并利用默认帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。默认帐户是操作系统或其他设备内置的帐户,预置用户名和密码不修改的话很容易成为攻击者的目标。
3.8.2 域账户(T1078.002)
攻击者可获取并利用域帐户凭据,作为获得初始访问、持久性、特权升级或逃避防御的手段。域帐户是由Active Directory域服务管理的帐户,其中访问和权限是跨属于该域的系统和服务配置的。域帐户可以覆盖用户、管理员和服务。
3.8.3 本地账户(T1078.003)
攻击者可获取并利用本地帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。本地帐户是由组织配置的帐户,供用户、远程支持、服务在系统上管理。
3.8.4 云账户(T1078.004)
攻击者可获取并利用云帐户的凭据,作为获得初始访问、持久性、特权升级或防御逃避的手段。云帐户是由组织创建和配置的帐户,供用户、远程支持、服务、云服务提供商或SaaS应用程序内的资源管理使用。
云帐户的受损凭据可用于从在线存储帐户和数据库中获取敏感数据。与域帐户类似,对云帐户的入侵可能使攻击者更容易在环境中横向移动。
3.8.5 缓解措施
ID | 缓解措施 | 描述 |
M1013 | 应用开发者指南 | 确保应用程序不会明文存储敏感数据或凭据。 |
M1027 | 密码策略 | 使用默认用户名和密码的应用程序和设备应在安装后立即更改,并在部署到生产环境之前更改。 |
M1026 | 特权账户管理 | 定期审核域和本地帐户及其权限级别,包括是否启用了默认帐户,或者是否创建了未经授权的新本地帐户。 |
M1018 | 用户账户管理 | 定期审核用户帐户的活动,并停用或删除任何不再需要的帐户。 |
M1017 | 用户培训 | 加强安全意识,启用多因素身份验证。 |
3.8.6 检测
ID | 数据源 | 数据组件 | 检测 |
DS0028 | 登录会话 | 登录会话创建 | 监控新增的登录行为。 |
登录会话元数据 | 异常登录行为监控,包括:异常账号、异常时间、异常地点等登录异常。 | ||
DS0002 | 用户账户 | 用户账户身份验证 | 监控用户帐户凭据。 |
四、总结
本期主要介绍了持久化战术(三),涉及最后7项理论技术,下期将给大家介绍持久化战术(三)理论技术对应的实战研究场景,敬请关注。
