att&ack框架學習筆記5

深度解讀ATT&CK框架
前言：

在上一篇文章中，我們簡單介紹了這個由美國研究機構MITRE於2014年推出的新型攻擊框架ATT&CK的相關概念。ATT&CK是將已知攻擊者的行為匯總成戰術和技術的一種結構化列表，由於此列表相當全面的呈現了攻擊者再攻擊網絡時所采用的行為，因此對於各種進攻性和防御性考量機制十分有用。

聽完了上一篇的這些概念可能你還是一頭霧水亦或者是能理解個大概，都不用擔心。本篇美創安全實驗室將繼續帶你深入了解ATT&CK，詳細到每一項戰術、每一個落地場景，保證你看完之后會對ATT&CK有不一樣的認知，話不多說，我們直接進入正題。
ATT&CK的12項戰術：

ATT&CK戰術按照邏輯分布在多個矩陣中，以 “初始訪問” 戰術開始，經過 “執行”、“持久化”、“提權”、“防御繞過”、“憑據訪問”、“發現”、“橫向移動”、“收集”、“命令與控制”、“數據泄露“、”影響“ 等共計12項戰術。每項戰術下有着數量不同的技術存在，而且每種技術都有唯一的ID號碼，例如“初始訪問”下的“魚叉式鏈接“技術ID為T1192。

通常來說，攻擊者不會使用全部12項戰術用於同一次攻擊, 因為這會增加被發現的幾率。但不管怎樣，12項戰術的順序是一定的，也就是說某種程度上攻擊者的攻擊行為是可以預測到的，那么我們有必要把12項戰術依次講解一下。
在這里插入圖片描述
初始訪問
首先是初始訪問戰術，盡管ATT&CK並不是按照任何線性順序排列的，但初始訪問是攻擊者在企業環境中的立足點。對於企業來說，該戰術是從PRE-ATT&CK到ATT&CK的理想過渡點。攻擊者會使用不同技術來實現初始訪問技術。
在這里插入圖片描述
例如，假設攻擊者使用魚叉式附件。而附件本身可能利用了某種類型的漏洞（例如PowerShell或其他腳本）來實現初始訪問。如果該腳本執行成功，那么攻擊者就可以采用下一步策略或者技術來實現對電腦的掌控。但好在有大量案例的發生，是我們獲得了很多可以用來減輕或檢測的技術和方法。

除此之外，安全人員也可以將ATT&CK和CIS（互聯網安全中心）控制措施相結合，這將發揮更大作用。 根據CIS發布的新版20大安全控制，能夠有效針對“初始訪問”戰術的控制措施有控制措施4：控制管理員權限的使用；控制措施7：電子郵件和Web瀏覽器保護；控制措施16：帳戶監視和控制。

初始訪問是攻擊者將在企業環境中的落腳點。想要盡早終止攻擊，那么“初始訪問”將是一個很合適的起點。此外，如果企業已經采用了CIS控制措施並且正在開始采用ATT&CK的方法的話將會更加有效。

執行
“執行”戰術是所有攻擊者都必然會采用的一個戰術，因為無論攻擊者通過惡意軟件、勒索軟件還是APT攻擊等手段，為了能成功攻入主機最終都會選擇“執行”戰術。這是逃不開、躲不掉的，但換個角度想，如果惡意軟件必須運行，安全防御人員將有機會阻止或者檢測他，無論是主動出擊式還是守株待兔式，都有可能成功防住。但是值得注意的是，並非所有的惡軟都是可以用殺毒軟件輕松找到的可執行文件，成熟的惡軟會被攻擊者精心包裝，做了免殺加殼甚至自動備份隱藏，在面對這種機器無法掃描到的情況就需要人來進行干預。
在這里插入圖片描述
說到針對此戰術的控制措施可能目前比較有用的是應用白名單技術，雖然這並不是一個能根治此問題的靈丹妙葯但也算是當前網絡環境下的最優解了。同時，使用白名單技術不僅會降低攻擊者的攻擊效率使攻擊成本增大，最重要的是利用白名單可能會打破攻擊者的技術棧，進入到他們並不熟悉的領域以此來使用其他策略和技術，而此時攻擊者就有可能因為考慮不周或不夠熟練而犯錯，我們也就能及時阻止。

如果企業當前正在應用CIS關鍵安全控制措施，該戰術與控制措施2——已授權和未授權軟件清單非常匹配。從緩解的角度來看，企業無法防護自己未知的東西，因此，第一步是要了解自己的財產。要正確利用ATT&CK，企業不僅需要深入了解已安裝的應用程序，還要清楚內置工具或附加組件會給企業組織帶來的額外風險。

持久化
“持久化”戰術是所有攻擊者最受追捧的技術之一，除勒索軟件外，大部分攻擊者的存活時間取決於你何時被檢測系統發現，試想一下，一個攻擊者花了很大的攻擊成本攻入了某台主機后，他必然不願意再花同樣的時間成本浪費在下次登陸的過程中，所以最簡便最能減少工作量的方法就是“留后門”或者叫“持久化”。在攻擊者成功執行完“持久化”之后，即便運維人員采取重啟、更改憑據等措施后，持久化依然可以讓計算機再次感染病毒或維護其現有連接。例如“更改注冊表、啟動文件夾、鏡像劫持（IFEO）”等等。順便一提，美創安全實驗室增加發表過一篇關於“如何利用鏡像劫持攻擊來實現持久化”的文章，歡迎感興趣的同學查看。 在這里插入圖片描述
言歸正傳，在ATT&CK的所有戰術中，持久化是最有戰略意義的戰術之一，也是我們最應該關注的戰術之一。如果企業在終端上發現惡意軟件並將其刪除，很有可能它還會重新出現。這可能是因為有漏洞還未修補，但也可能是因為攻擊者已經在此或網絡上的其它地方建立了持久化，因此我們在做安全檢測時，絕不能只停留於表面、而要進行全面檢查，有問題處理問題是應該的但更要的是要想辦法杜絕此問題的再次發生。

提升權限
“提權”戰術也是攻擊者比較追捧的技術之一，畢竟不是每位攻擊者都能夠使用管理員賬號進行攻擊，誰都希望自己能獲得最大的權限，利用系統漏洞達到root級訪問權限可以說是攻擊者的核心目標之一了。
在這里插入圖片描述
ATT&CK提出 “應重點防止對抗工具在活動鏈中的早期階段運行，並重點識別隨后的惡意行為。”這意味着需要利用縱深防御來防止感染病毒，例如終端的外圍防御或應用白名單。對於超出ATT&CK建議范圍之外的權限升級，一種良好的防止方式是在終端上使用加固基線。例如CIS基線提供了詳細的分步指南，指導企業如何加固系統，抵御攻擊。

應對此類攻擊戰術另一個辦法是審計日志記錄。當攻擊者采用其中某些技術時，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對主機側的日志，如果能夠記錄服務器的所有運維命令，進行存證以及實時審計。例如，實時審計運維人員在服務器上操作步驟，一旦發現不合規行為可以進行實時告警，也可以作為事后審計存證。也可以將數據信息對接給SOC、態勢感知等產品，也可以對接給編排系統。

防御繞過
“防御繞過”戰術直至目前最新版的ATT&CK框架，仍是擁有技術最多的戰術，目前包含69項技術。而防御繞過中有一些技術可以讓一些惡意軟件騙過防病毒產品，讓這些防病毒產品根本無法對其進行檢查，又或者繞過白名單技術。例如，修改注冊表鍵值、刪除核心文件、禁用安全工具等等。當然作為防御者的我們，在應對此類戰術時可以通過監視終端上的更改並收集關鍵系統的日志將會讓入侵無處遁形。
在這里插入圖片描述
除此之外，對於勒索軟件來說這又是另一番情況。不同於其他需要隱藏的惡意軟件，勒索軟件的唯一目標就是在設備上成功執行一次，使用加密函數把文件加密就可以了，然后就是希望能夠被盡快發現與攻擊者聯系。因此勒索軟件對防御繞過的需求不是很大，但也絕不是沒有。

憑據訪問
“憑據訪問”也是攻擊者當中較為火熱的戰術，毫無疑問，“憑據”是攻擊者最想要的東西之一，因為有了憑據，不僅能節省下來大量的攻擊成本，而且減少了攻擊被發現的風險。試想一下，如果攻擊者可以堂而皇之的進行登錄，那么為什么要花費大量的攻擊成本冒險使用0day漏洞入侵呢。
在這里插入圖片描述
任何攻擊者在攻入企業后都希望能保持一定程度的隱身狀態，畢竟如果不熟知內網環境的話貿然行動會增大暴露的風險。他們更希望竊取盡可能多的憑據，例如各種各樣的密碼或者口令。當然，攻擊者最喜歡的毫無疑問的是明文密碼了，明文密碼可能存儲與明文文件中、數據庫中、注冊表中、甚至是注釋中。攻擊者入侵系統、竊取本地管理員明文密碼的案例多的是。

應對此戰術的辦法最簡單的是加強密碼的健壯性，那么如何增強密碼的健壯性呢，可能很多人覺得是采用更復雜的密碼，特殊字符、數字、字母混搭的辦法，其實不盡然。最有效增強密碼健壯性的方法是提升密碼長度，其具體理論與實驗過程將在發表在美創安全實驗室的論文中，所以這里就只說一個結論。

除此之外最穩妥的辦法就是啟用多因素驗證(MFA)。即使存在針對雙重驗證的攻擊，有雙重驗證（2FA）總比沒有好。通過啟用多因素驗證，可以確保破解密碼的攻擊者在訪問環境中的關鍵數據時，仍會遇到另一個障礙。

發現
“發現”戰術可以說是整個ATT&CK框架中最難以防御的策略，可以說是“防不勝防啊”。其實“發現”戰術與上一篇簡單提到過的洛克希德·馬丁網絡Kill Chain的偵查階段有很多相似之處。組織機構要正常運營業務，肯定會暴露某些特定方面的內容。
在這里插入圖片描述
那么針對此戰術最常用的防御手段就是應用白名單技術，以美創科技的諾亞防勒索系統為例，無論是啟動“絕對防御“的堡壘模式還是針對特定文件或特定應用的防護規則都是基於白名單技術的，其只能允許特定應用訪問某些數據，對於不在白名單上的請求一律拒絕，可以解決大部分惡意軟件。此外，欺騙防御也是一個很好的方法，放置一些虛假信息讓攻擊者發現，進而檢測到對手的活動。通過監視，可以跟蹤用戶是否正在訪問不應訪問的文檔。

由於用戶通常在日常工作中執行各種技術中所述的許多操作，因此，從各種干擾中篩選出惡意活動可能非常困難。理解哪些操作屬於正常現象，並為預期行為設定基准時，會在嘗試使用這一戰術時有所幫助。

橫向移動
“橫向移動”戰術是攻擊者常用戰術之一，在攻擊者利用某個漏洞進入系統后，無論是為了收集信息還是繼續為了下一步攻擊尋找突破點，通常都會嘗試在網絡內橫向移動。哪怕是勒索軟件，甚至是只針對單個系統的勒索軟件，通常也會試圖在網絡中移動尋找其攻擊目標。攻擊者一般都會先尋找一個落腳點，然后開始在各個系統中移動，尋找更好的訪問權限，最終控制整體網絡。
在這里插入圖片描述
在緩解和檢測對該特定技術的濫用方面，適當的網絡分段可以在很大程度上緩解風險。將關鍵系統放置在一個子網中，將通用用戶放置在另一個子網中，將系統管理員放置在第三個子網中，有助於快速隔離較小網絡中的橫向移動。在終端和交換機級別都設置防火牆也將有助於限制橫向移動。

根據CIS的20項控制措施，我們可以發現其中的第14項：基於需要了解受控訪問是一個很好的切入點。除此之外，還應遵循控制措施第4項：控制管理員權限的使用。攻擊者尋求的是管理員憑據，因此，嚴格控制管理員憑據的使用方式和位置，將會提高攻擊者竊取管理員憑據的難度。此控制措施的另一部分是記錄管理憑據的使用情況。即使管理員每天都在使用其憑據，但他們應該遵循其常規模式。發現異常行為可能表明攻擊者正在濫用有效憑據。

收集
ATT&CK的 “收集”戰術是一種攻擊者為了發現和收集實現目標所需的數據而采取的技術。但是該戰術中列出的許多技術都沒有關於如何減輕這些技術的實際指導。實際上，大多數都是含糊其辭，稱使用應用白名單，或者建議在生命周期的早期階段阻止攻擊者。
在這里插入圖片描述
但是，企業可以使用該戰術中的各種技術，了解更多有關惡意軟件是如何處理組織機構中數據的信息。攻擊者會嘗試竊取有關當前用戶的信息，包括屏幕上有什么內容、用戶在輸入什么內容、用戶討論的內容以及用戶的外貌特征。除此之外，他們還會尋求本地系統上的敏感數據以及網絡上其它地方的數據。

了解企業存儲敏感數據的位置，並采用適當的控制措施加以保護。這個過程遵循CIS控制措施14：基於需要了解受控訪問,可以幫助防止數據落入敵手。對於極其敏感的數據，可查看更多的日志記錄，了解哪些人正在訪問該數據以及他們正在使用該數據做什么。

命令和控制
現在大多數惡意軟件都有一定程度的命令和控制權。黑客可以通過命令和控制權來滲透數據、告訴惡意軟件下一步執行什么指令。對於每種命令和控制，攻擊者都是從遠程位置訪問網絡。因此了解網絡上發生的事情對於解決這些技術至關重要。
在這里插入圖片描述
在許多情況下，正確配置防火牆可以起到一定作用。一些惡意軟件家族會試圖在不常見的網絡端口上隱藏流量，也有一些惡意軟件會使用80和443等端口來嘗試混入網絡噪音中。在這種情況下，企業需要使用邊界防火牆來提供威脅情報數據，識別惡意URL和IP地址。雖然這不會阻止所有攻擊，但有助於過濾一些常見的惡意軟件。

如果邊界防火牆無法提供威脅情報，則應將防火牆或邊界日志發送到日志服務處理中心，安全引擎服務器可以對該級別數據進行深入分析。例如Splunk等工具為識別惡意命令和控制流量提供了良好的方案。

數據滲漏
攻擊者獲得訪問權限后，會四處搜尋相關數據，然后開始着手數據滲透。但並不是所有惡意軟件都能到達這個階段。例如，勒索軟件通常對數據逐漸滲出沒有興趣。與“收集”戰術一樣，該戰術對於如何緩解攻擊者獲取公司數據，幾乎沒有提供指導意見。
在這里插入圖片描述
在數據通過網絡滲漏的情況下，建立網絡入侵檢測或預防系統有助於識別何時傳輸數據，尤其是在攻擊者竊取大量數據（如客戶數據庫）的情況下。此外，盡管DLP成本高昂，程序復雜，但可以確定敏感數據何時會泄露出去。IDS、IPS和DLP都不是100%准確的，所以部署一個縱深防御體系結構以確保機密數據保持機密。

如果企業組織機構要處理高度敏感的數據，那么應重點關注限制外部驅動器的訪問權限，例如USB接口，限制其對這些文件的訪問權限，即可禁用他們裝載外部驅動器的功能。

要正確地解決這個戰術，首先需要知道組織機構的關鍵數據所在的位置。如果這些數據還在，可以按照CIS 控制措施14：基於需要了解受控訪問，來確保數據安全。之后，按照CIS控制措施13：數據保護中的說明了解如何監視試圖訪問數據的用戶。

影響
“影響”是ATT&CK最后一項戰術，攻擊者試圖操縱、中斷或破壞企業的系統和數據。用於影響的技術包括破壞或篡改數據。在某些情況下，業務流程可能看起來很好，但可能已經更改為有利於對手的目標。這些技術可能被對手用來完成他們的最終目標，或者為機密泄露提供掩護。
在這里插入圖片描述
例如攻擊者可能破壞特定系統數據和文件，從而中斷系統服務和網絡資源的可用性。數據銷毀可能會通過覆蓋本地或遠程驅動器上的文件或數據使存儲的數據無法恢復。針對這類破壞可以考慮實施IT災難恢復計划，其中包含用於進行可用於還原組織數據的常規數據備份的過程。
結語：

本篇文章到這里就結束了，回顧一下本期的主要內容，重點講述了ATT&CK框架的所有12項戰術，包括涵蓋了哪些具體技術，戰術目的，防御方法以及某些特殊情況。相信認真看完了本期內容，加上第一期的主要概念的朋友，對這個ATT&CK這個詞已經有了些自己的理解了吧。但可能還有一些朋友想更細致的了解一些ATT&CK落地細則或者應用場景，不要着急，下期美創安全實驗室將給大家帶來ATT&CK系列技術文章的最后一篇，跟大家一起研究一下國內外ATT&CK的實施場景和落地項目，敬請期待。
————————————————
版權聲明：本文為CSDN博主「美創安全實驗室」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/m0_38103658/article/details/106517758