攻击者希望尽可能减少工作量,包括减少访问攻击对象的时间。即便运维人员采取重启、更改凭据等措施后,持久化仍然可以让计算机再次感染病毒或维护其现有连接。简单来说,持久化也就是所谓的应用程序持久化后门漏洞。
在所有ATT&CK战术中,笔者认为持久化是最应该关注的战术之一。如果企业在终端上发现恶意软件并将其删除,很有可能它还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此或网络上的其它地方建立了持久化。
简单来说,所谓的持久化战术,说就是各种留置后门的技术。对于web漏洞来说,所谓的持久化可以认为就是webshell漏洞。
04、提升权限
所有攻击者都会对提权爱不释手,利用系统漏洞达到root/系统管理员 级访问权是攻击者核心目标之一。比如从webshell权限要达到系统管理员权限就需要进行提权,这种都是针对被攻击的底层操作系统而设计,要缓解该类攻击一般会比较困难。
应对此类攻击战术比较常见的办法,是从日志审计记录着手。当攻击者去进行提权操作时,一般都会留下相关的操作痕迹。如果相关日志能够记录服务器的所有命令,进行存证以及实时审计。相关程序,一旦发现不合规行为可以进行实时告警,也可以作为事后审计存证。也可以将数据信息对接给态势感知等产品。
简单来说,就是提升权限这个战术的比较好的应对措施,就是在可以提权前(比如 webshell 命令执行等)进行防御,或者用日志审计方式进行感知预警。
05、防御绕过
到目前为止,该战术所拥有的技术是MITRE ATT&CK框架所述战术中最多的。
比如在系统安全层面,一些技术可以骗过杀毒软件,让杀毒软件无法对其进行检查,或者查杀后将其判断为没问题的程序。或者绕过防护程序的应用白名单技术,这种都属于防御绕过技术。
在web安全层面,有些点本身是有做防御措施的,但是最终被攻击者以某种方式绕过防御后并进行利用,这些都是属于防御绕过战术。
相关防御绕过的方式种类繁多,技术五花八门,所以说 该战术所拥有的技术是MITRE ATT&CK框架所述战术中最多的。
当然在系统安全层面,防御者可以通过,监视终端上的更改,并收集关键系统的日志,这样一般也会让入侵无处遁形。WEB安全层面,此类漏洞并不易被发现,因为你并不知道哪些点有明显的被绕过防御的情况出现,所以也只能利用一些WEB日志安全审计程序来配合发现。
06、凭据访问
毫无疑问,攻击者最想要的就是身份凭据,尤其是管理凭据。如果攻击者可以直接登录,为什么要去用0day或挖掘漏洞去入侵呢?这就犹如小偷进入房子,如果能够找到钥匙开门,没人会愿意砸破窗户方式进入。
任何攻击者在攻击过程中都希望保持一定程度的隐身。也就是他们将希望窃取尽可能多的凭据,同时更小概率地被发现。攻击者最喜欢的方式是窃取明文密码以及弱口令密码。明文密码可能存储在明文文件、数据库甚至注册表中。
应对凭据访问最简单的办法就是不要采用弱口令密码,而是采用比较复杂密码。建议使用大小写、数字和特殊字符组合,并且长度不低于8位,目的是让攻击者难以破解密码。
当然最稳妥的办法就是启用多因素验证。即使存在针对双重验证的相关攻击,但是有双重验证总比没有好。通过启用多因素验证,可以确保破解密码的攻击者在访问环境中的关键数据时,仍会遇到另一个障碍。一定程度上,大大地增加了攻击难度和攻击成本。
07、探索发现
“探索发现”战术是一种难以防御的战术。因为组织机构要正常运营业务,肯定会暴露某些特定方面的内容。
比如常见的子域名扫描、端口扫描,就是属于此类战术。
相关的防御措施,最常用的是应用白名单技术,可以解决大多数恶意软件和操作。此外,欺骗防御也是一个很好方法。放置一些虚假信息(比如蜜罐)让攻击者发现,进而检测到对手的活动。通过监视,可以跟踪用户是否正在访问不应访问的文档。
蜜罐这种措施,在攻防演练中,是防守方经常采用的一种战术。经常可以利用此类战术,去反制攻击方。
08、横向移动
攻击者在进行扩大攻击成果的时候,通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。这个问题在内网渗透里,尤为明显,一般进入内网后,都会横向地去扫描整个ip网段,也就是这里所说的横向移动。
最常见的攻击方法,那就是ip段、C段、B段的扫描。
适当的做一些网络分段可以在很大程度上缓解风险。
将关键系统放置在一个子网中,将通用用户放置在另一个子网中,将系统管理员放置在第三个子网中,有助于快速隔离较小网络中的横向移动。
在终端和交换机的位置都设置防火墙也将有助于限制横向移动。
09、收集信息
ATT&CK “收集信息”战术概述了攻击者为了发现和收集实现目标所需的数据而采取的技术。
该战术中官方列出的许多技术,都没有关于如何减轻这些技术的实际指导。只能是尽量让相关敏感重要的信息不要进行过多的暴露。
这个和01、初始访问 有些类似,但是01的是最开始的接触和收集,09的这个是已经获取了一定权限后的信息收集。
相关防御措施建议:
了解企业存储敏感数据的位置,并采用适当的控制措施加以保护。对于极其敏感的数据,可查看更多的日志记录,了解哪些人正在访问该数据以及他们正在使用该数据做什么,做好严格的权限控制。
10、命令和控制
现在大多数恶意软件都有一定程度的命令和控制权。黑客可以通过命令和控制权来渗透数据、告诉恶意软件下一步执行什么指令。对于每种命令和控制,攻击者都是从远程位置访问网络。
这个说的和02、执行 里面的内容差不多,说的主要是远程命令执行的内容。更像是病毒、蠕虫、僵尸网络之类的行为。
11、数据渗漏
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据渗透。
但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对数据渗漏没有兴趣。与“9、收集信息”战术一样,该战术官方对于如何缓解攻击者获取数据,也几乎没有提供指导意见。
建立网络入侵检测或预防系统有助于识别何时有传输数据,尤其是在攻击者窃取大量数据(如客户数据库)的情况下更为明显。IDS、IPS这些都不是100%准确的,所以企业部署一个纵深防御体系结构以确保机密数据保持机密还是很有必要的。
简单来说,这个说的就是在获取到了一定权限后,的各种扒数据的行为。目前这类攻击,防御方是几乎发现不到的,不然也不会经常出现某些全球巨头公司的数据泄露事件了。所以目前只能是从漏洞防御措施进行着手,避免攻击者可以直接接触到数据进行数据渗漏行为。
要正确地解决这个战术,首先需要知道组织机构的关键数据所在的位置,进而针对性地确保数据安全。
12、影响
攻击者试图操纵、中断或破坏企业的系统和数据。用于影响的技术包括破坏或篡改数据。
例如攻击者可能破坏特定系统数据和文件,从而中断系统服务和网络资源的可用性。数据销毁可能会通过覆盖本地或远程驱动器上的文件或数据使存储的数据无法恢复。
还有某些内部打入(通过应聘、渠道商之类的行为),然后对关键数据库产品进行删除 等破坏行为。
针对这类破坏可以考虑实施IT灾难恢复计划,比如:定期进行数据备份操作,用于紧急数据还原等情况。
ATT&CK应用场景总结
ATT&CK绝非仅仅是网络攻击战术的简单汇总,它是一个全面且系统的网络安全知识框架。
在结构上,ATT&CK以战术与技术为维度构建矩阵。战术层面涵盖侦察、资源开发、初始访问等12个类别,每个类别下又包含众多技术。
从作用来看,ATT&CK对网络安全意义重大。一方面,它助力安全人员构建检测规则与防御策略,例如:当监测到“远程服务漏洞利用”这类异常行为时,能够及时采取阻断措施。另一方面,在应急响应过程中,依据ATT&CK可快速确定攻击所处阶段及运用的技术,进而采取针对性行动,大幅提高响应效率与准确性。同时,ATT&CK还促进了威胁情报的共享,让不同组织能够运用统一语言描述威胁,有效提升整体网络安全防御水平。
在应用领域,ATT&CK也发挥着关键作用。企业借助它强化安全防护体系,例如金融企业运用其检测和防范针对金融系统的攻击;安全产品厂商依据ATT&CK评估产品的检测与防御能力,推动产品性能的优化;政府和军事领域则依靠它保障国家关键基础设施与军事网络安全,为制定安全策略和应急计划提供有力支持。
这里借用一张CNCERT的图,来更加直观地总结下ATT&CK的典型应用场景。
返回搜狐,查看更多