數據源參考
https://attack.mitre.org/datasources/DS0029/
Network Traffic: Network Connection Creation
- 網絡流量連接創建的時候
1595
檢測數據源:網絡流量和網絡流量內容,根據官方給出的檢測方式,如下:
1.已知的可疑網絡流量
2.單一流量源含有大流量,特別是一些已知的僵屍網絡或者威脅情報信息
3.檢測Web應用層面指紋,例如用戶代理特征等等
PS:官方還提到此類會存在一定的誤報率,發生的頻率也很高,所以從防御者的角度還是比較難檢測的,檢測的周期大多數是分布在初始訪問期間
T1020
1.Automated Exfiltration
自動過濾技術,攻擊者會在收集數據之后,通過自動處理的方式來竊取數據
檢測方式:命令執行,文件訪問,腳本執行,網絡連接創建,會話和數據的檢測
2.Traffic Duplication (.001)
翻譯過來是流量復制,實際就是我們所說的交換機端口流量鏡像,出現的場景就是惡意攻擊者會通過修改配置更改流量鏡像,流量重定向等方式達到目的;
檢測方式:Network Traffic Content和Network Traffic Flow
T1197
1.BITS Jobs
BITS Jobs場景是在Windows環境下攻擊者的視角是用來做文件傳輸的作用,再具體點就是通過上傳一個攻擊者准備好的后門,然后使用BITS Jobs上傳到目標服務器並執行,來反彈shell相關場景案例文章可參考:https://www.cnblogs.com/xiaozi/p/11833583.html
檢測方式:命令執行,網絡連接創建,進程創建,服務數據
T1176
1.Browser Extensions
瀏覽器擴展的場景一般為惡意攻擊者會偽裝成合法的惡意擴展程序掛在應用程序商店下載,通過社會工程或已經有一定權限的系統上,隱秘安裝到瀏覽器中,以達到持久控制訪問的目的;
檢測方式:命令執行,網絡連接創建,文件創建,進程創建,Windows注冊表鍵值創建
T1612
1.Build Image on Host
通過編譯Docker環境自定義的鏡像,達到提權的目的,可參考https://github.com/saghul/lxd-alpine-builder 得知提權案例場景;
檢測方式:Image創建,網絡連接創建,連接和數據的檢測
T1602
1.Data from Configuration Repository
從配置倉庫里面獲取數據,這里主要說明的就是通過SNMP服務,進行獲取目標的敏感信息,另外還包括網絡設備的配置信息獲取,也就是其分解為的兩個子分支SNMP (MIB Dump)和Network Device Configuration Dump;
檢測方式:網絡連接創建和數據的檢測
T1030
1.Data Transfer Size Limits
攻擊者可能會以固定大小的塊而不是整個文件的形式泄露數據,或者將數據包大小限制在特定閾值以下。此方法可用於避免觸發網絡數據傳輸閾值警報;
檢測方式:網絡連接創建和會話的檢測
T1189
1.Drive-by Compromise
這個翻譯過來很繞口,路過妥協,從字面意思根本無法理解,我們說說具體的場景就迎刃而解了,一般場景就是類似於通過水坑攻擊,或者攻擊目標用戶訪問的網站,在其訪問的網站上掛馬,或者使用瀏覽器漏洞等等,簡單點理解總結下來,就是嘗試攻擊目標用戶的瀏覽器,通過瀏覽器來獲取更高的權限,其中包括但不限於,掛馬,XSS,CSRF,瀏覽器0day漏洞等利用方式;
檢測方式:應用日志,文件創建,網絡連接創建和數據的檢測,進程創建
T1568
1.Dynamic Resolution
動態解析,這個就下面有3個子技術章節,分別為Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 動態解析的由來就是在很早以前,攻擊者使用遠控的時代,因為要進行反彈權限,比如很早以前的木馬上線,灰鴿子上線的遠控木馬,那個時代會使用動態域名解析,常見的就是3322.org,花生殼之類的,通過這種方式,達到反彈解析的ip即使變了,也能找到種植木馬的主人機器,所以這是動態解析的由來,至於下面的3個技術章節,則是由於后來的安全對抗愈演愈烈,木馬為了更好的生存,演變出來的技術章節,其中Fast Flux DNS的技術就是指不斷改變域名和IP地址映射關系的一種技術,可理解為在短時間內查詢使用Fast-flux技術部署的域名,會得到不同的結果;而Domain Generation Algorithms,目的效果也是一樣,都是為了生成不同的域名,DNS Calculation也是其中用到的一個通過實現是采用DNS響應中IP地址的前三個八位字節,並使用這些值用來完成最終的目的C&C;
參考鏈接:
Fast-Flux
DGA
檢測方式:網絡鏈接創建,網絡流量會話,網絡流量數據
T1114
1.Email Collection
攻擊者通過電子郵件的方式來收集目標的敏感信息,具體有3個章節,分別為:Local Email Collection,Remote Email Collection,Email Forwarding Rule 這個集中方式都很好理解;
檢測方式:應用日志,文件訪問,網絡連接創建,登陸會話創建
T1048
1.Exfiltration Over Alternative Protocol
這個翻譯過來也是覺得別扭,替代協議的滲透,從這個字面的意思上理解大概就知道是什么樣子的場景了,其實就是攻擊者在進行滲透初期,想要拿到目標權限,或者已經拿到目標權限,但是又擔心被IDS,IPS,殺毒軟件,防火牆等安全防護設備檢測出來,所以通過替代明顯的已知的而已特征和協議,來躲避檢測和查殺,這就有了本技術章節的3個字章節,分別為:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分別意思作用就是,使用對稱加密,使用非對稱加密,使用混淆或者偽裝;
參考鏈接:
Exfiltration
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1041
1.Exfiltration Over C2 Channel
攻擊者拿到權限之后通過C2通道將竊取的數據進行傳輸;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解為通過其他網絡介質進行滲透,子章節:Exfiltration Over Bluetooth,例如:WiFi連接,調制解調器,蜂窩數據連接,藍牙或其他射頻(RF)信道等方式;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1008
1.Fallback Channels
攻擊者拿到權限為了防止丟失權限,通常會再留一個極其隱蔽的備用C&C;
檢測方式:網絡連接創建,網絡流量會話
T1105
1.Ingress Tool Transfer
這個翻譯過來是入口工具傳輸,其實意思就是攻擊者拿到權限之后,需要再從外部傳入惡意文件到目標主機上,那么就會使用各種的入口傳輸工具,其中包括,ftp,scp,rsync,sftp等等;
檢測方式:文件創建,網絡連接創建,網絡流量會話,網絡流量數據
T1104
1.Multi-Stage Channels
這個翻譯過來叫多級通道,用到場景目的還是為了躲避檢測,從而使用多種不同的階段進行C&C,簡單點理解,前期我就做寫基礎信息搜集和檢測,跟正常行為一樣,到后面循序漸進的深入操作,進行多階段多級C&C;
檢測方式:網絡連接創建,網絡流量會話
T1571
1.Non-Standard Port
很好理解,使用非標准端口,場景就是通過使用非標准端口來躲避一些常規的檢測;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1542
1.Pre-OS Boot
翻譯過來是預操作系統啟動,很好理解,就是在啟動操作系統之前啟動攻擊者的惡意軟件,這類場景就是常說的BIOS和UEFI以及覆蓋或修改相關引導程序的惡意操作,子章節:System Firmware,Component Firmware,Bootkit,ROMMONkit,TFTP Boot;
檢測方式:命令執行,網絡連接創建,操作系統API執行,固件修改,驅動代碼修改,驅動數據修改
T1572
1.Protocol Tunneling
這個字面意思就看的出來,協議隧道,常見的場景有SSH隧道,DNS隧道,SSH端口轉發等等還有其他各種工具的使用隧道場景;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1090
1.Proxy
很好理解,也是攻擊者用的場景最多的一種,使用各種代理手段來繞過目標的檢測和訪問限制,其中包括子章節技術,內部代理,外部代理,多級代理,域前置,這些子章節中關於代理的都很好理解,但是域前置這個技術也算作是代理的范疇,其原理就是使用到了CDN技術,具體可參考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1219
1.Remote Access Software
遠程訪問軟件,就是我們日常使用的類似TeamViewer這類合法的遠程控制軟件等等;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據,進程創建
T1021
1.Remote Services
遠程服務,這里說的就是合法的為了方便正常的管理員使用的遠程服務,而被惡意攻擊者使用合法的身份使用的遠程服務,常見的就是RDP,SSH,VNC,Telnet,Windows共享,DCOM組件,Windows遠程管理,例如WinRM等等,本章節的子章節含有Remote Desktop Protocol,SMB/Windows Admin Shares,Distributed Component Object Model,Windows Remote Management,VNC,SSH,其中關於Distributed Component Object Model主要是用於內網滲透環境中進行橫向移動操作,通過此方式可以遠程執行命令,可在同網段或內部能互聯互通的主機,此類的相關參考文章如下:
https://cloud.tencent.com/developer/article/1798998
https://www.freebuf.com/articles/web/293280.html;
檢測方式:命令執行,登陸會話創建,模塊加載,網絡共享訪問,網絡連接創建,網絡流量會話,進程創建
T1018
1.Remote System Discovery
遠程系統發現,是我們日常使用的一些主機發現或者網絡探測的命令,例如,ping,tracert,net,或者直接是在hosts文件上查看等操作的行為,這類場景是在剛剛進入到內網的時候進行C段探測,或者說就是內存滲透初期進行的信息搜集階段;
檢測方式:命令執行,文件訪問,網絡連接創建,進程創建
T1496
1.Resource Hijacking
資源劫持,看介紹這個是用在挖礦的場景,其中檢查項提到主機狀態,其場景就是類似被DDoS,主機資源被耗盡,CPU,進程等等都異常的情景;
檢測方式:命令執行,文件創建,網絡連接創建,網絡流量會話,進程創建,主機狀態
T1029
1.Scheduled Transfer
這個我翻譯為計划傳輸,就是在特定的時間點,或某一個間隔的時間段執行數據傳輸操作,一般場景是用在拿到權限然后要拿數據的情景;
檢測方式:網絡連接創建,網絡流量會話
T1218
1.Signed Binary Proxy Execution
合法簽名的二進制代理執行文件,簡單點說就是用來躲避殺毒軟件的查殺而使用到的免殺技術,其中子章節有列舉較多免殺情景,這個就參考上面的T1218;
檢測方式:命令執行,文件創建,模塊加載,操作系統API執行,進程創建,網絡連接創建,Windows注冊表鍵值修改
T1221
1.Template Injection
模板注入,此場景通常會在釣魚的時候,嵌入惡意代碼到office相關組件中,讓目標用戶執行,以達到免殺的目的,從而執行惡意代碼;
檢測方式:網絡連接創建,網絡流量數據,進程創建
T1205
1.Traffic Signaling
我這翻譯就是流量信號,其中子章節Port Knocking 從這個子章節來看就很好理解,一般在滲透測試場景,防御者那邊會為了增強安全性,會使用一些特殊的信號傳遞給目標主機,讓目標主機開放特定的端口信號,用完之后,一段時間后,會使用防火牆再次關閉特定的端口,這種行為就是上面子章節說到的端口敲門的一種說法,所以總結出來就是管理員管理自己的主機,他知道特殊的流量信號,那么發送特殊的流量信號目標就會開放特殊的端口,反之攻擊者不知道特殊的信號,那么就無法開放特殊的端口,這就是上面所說的流量信號;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1204
1.User Execution
這個翻譯過來就是用戶執行,目的就是讓目標用戶執行我們的惡意代碼,這期間用到的技術就我們之前說的通過社會工程學的方式進行網絡釣魚或者是魚叉式網絡釣魚;
檢測方式:應用日志內容,命令執行,容器創建,容器啟動,文件創建,鏡像創建,實例創建,實例啟動,網絡連接創建,網絡流量數據,進程創建
T1102
1.Web Service
這里的Web Service和其子章節提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我們可以理解為是使用第三方大廠提供的應用層服務,用其作為介質,作為橋梁使得在進行滲透使用C&C的方式更為隱蔽,比如一些APT中提到的使用場景,就是使用Dropbox、Amazon S3 和 Google Drive 來托管惡意下載等等;
檢測方式:網絡連接創建,網絡流量數據,網絡流量會話
T1047
1.Windows Management Instrumentation
這個就很常見了,就是我們經常看到WMI,使用她可以本地或者遠程執行命令,這類場景一般用來內網滲透過程中進行橫向移動,信息收集等操作;
檢測方式:命令執行,網絡連接創建,進程創建
Network Traffic: Network Traffic Content
- 網絡流量內容 -理解為網絡傳輸過程中所承載的數據,形象點理解就是火車里面運輸的東西
T1595
1.Active Scanning
主動掃描,其中包括掃描ip網段和漏洞掃描
檢測方式:網絡流量數據,網絡流量會話
T1557
1.Adversary-in-the-Middle
中間人攻擊,常用的手段是LLMNR/NBT-NS Poisoning and SMB Relay,ARP Cache Poisoning,理解為ARP投毒或者說是ARP欺騙,以及SMB中繼和LLMNR/NBT-NS欺騙
檢測方式:網絡流量數據,網絡流量會話,服務創建,Windows注冊表鍵值修改
T1071
1.Application Layer Protocol
通過使用各種協議來躲避檢測,常用的有Web協議,文件傳輸協議,郵件協議,DNS協議
檢測方式:網絡流量數據,網絡流量會話
T1020
1.Automated Exfiltration
通過使用C&C的方式進行隱秘的自動竊取數據的方式,子章節是流量的鏡像方式
檢測方式:網絡連接創建,網絡流量會話
T1612
1.Build Image on Host
通過編譯Docker環境自定義的鏡像,達到提權的目的,可參考https://github.com/saghul/lxd-alpine-builder 得知提權案例場景;這個上面也提到過,有重復的
檢測方式:Image創建,網絡連接創建,連接和數據的檢測
T1586
1.Compromise Accounts
通過社交賬戶,電子郵件賬戶收集目標敏感信息
檢測方式:網絡流量數據,社交媒體
T1132
1.Data Encoding
數據編碼的方式來躲避檢測,子章節提到標准編碼和非標准編碼,其中常用的有ASCII、Unicode、Base64、MIME 或其他二進制到文本和字符編碼系統
檢測方式:網絡流量數據
T1602
1.Data from Configuration Repository
從配置倉庫中獲取數據,子章節有SNMP的MIB轉儲和網絡設備配置轉儲
檢測方式:網絡連接創建,網絡流量數據
T1565
1.Data Manipulation
通過在傳輸和存儲的過程中操作數據,包括但不限於,插入,刪除,修改,新建等操作
檢測方式:文件創建,文件刪除,文件上下文的元數據,文件修改,網絡流量會話,網絡流量數據,操作系統API執行
T1001
1.Data Obfuscation
數據混淆,子章節包括垃圾數據,隱寫術,協議模擬
檢測方式:網絡流量數據
T1491
1.Defacement
子章節含所有外部數據污損和內部數據污損
檢測方式:應用日志內容,文件創建,文件修改,網絡流量數據
T1189
1.Drive-by Compromise
這個翻譯叫繞口,意思就是攻擊者通過攻擊用戶的瀏覽器來達到目的,常見的場景就是網頁掛馬,XSS,簡單點理解就是通過一切方式讓正常用戶執行惡意的JS代碼來達到目的,這個上面也提到過
檢測方式:應用日志內容,進程創建,網絡連接創建,網絡流量數據
T1568
1.Dynamic Resolution
動態解析,這個就下面有3個子技術章節,分別為Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 動態解析的由來就是在很早以前,攻擊者使用遠控的時代,因為要進行反彈權限,比如很早以前的木馬上線,灰鴿子上線的遠控木馬,那個時代會使用動態域名解析,常見的就是3322.org,花生殼之類的,通過這種方式,達到反彈解析的ip即使變了,也能找到種植木馬的主人機器,所以這是動態解析的由來,至於下面的3個技術章節,則是由於后來的安全對抗愈演愈烈,木馬為了更好的生存,演變出來的技術章節,其中Fast Flux DNS的技術就是指不斷改變域名和IP地址映射關系的一種技術,可理解為在短時間內查詢使用Fast-flux技術部署的域名,會得到不同的結果;而Domain Generation Algorithms,目的效果也是一樣,都是為了生成不同的域名,DNS Calculation也是其中用到的一個通過實現是采用DNS響應中IP地址的前三個八位字節,並使用這些值用來完成最終的目的C&C;
參考鏈接:
Fast-Flux
DGA
檢測方式:網絡鏈接創建,網絡流量會話,網絡流量數據
T1573
1.Encrypted Channel
加密隧道技術,子章節含有對稱密碼技術和非對稱密碼技術,攻擊者通過這種加密技術來達到隱藏的目的
檢測方式:網絡流量數據
T1499
1.Endpoint Denial of Service
終端拒絕服務,子章節有真的操作系統,服務,應用層和應用程序進行攻擊目的就是耗盡其資源達到拒絕服務的目的
檢測方式:應用日志內容,網絡流量會話,網絡流量數據,主機狀態
T1585
1.Establish Accounts
通過建立社交賬戶和電子郵件賬戶使用網絡釣魚等形式來獲取目標敏剛信息
檢測方式:網絡流量數據,社交媒體
T1048
1.Exfiltration Over Alternative Protocol
這個翻譯過來也是覺得別扭,替代協議的滲透,從這個字面的意思上理解大概就知道是什么樣子的場景了,其實就是攻擊者在進行滲透初期,想要拿到目標權限,或者已經拿到目標權限,但是又擔心被IDS,IPS,殺毒軟件,防火牆等安全防護設備檢測出來,所以通過替代明顯的已知的而已特征和協議,來躲避檢測和查殺,這就有了本技術章節的3個字章節,分別為:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分別意思作用就是,使用對稱加密,使用非對稱加密,使用混淆或者偽裝;
參考鏈接:
Exfiltration
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1041
1.Exfiltration Over C2 Channel
攻擊者拿到權限之后通過C2通道將竊取的數據進行傳輸;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解為通過其他網絡介質進行滲透,子章節:Exfiltration Over Bluetooth,例如:WiFi連接,調制解調器,蜂窩數據連接,藍牙或其他射頻(RF)信道等方式;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1567
1.Exfiltration Over Web Service
理解為通過Web服務進行滲透,子章節:Exfiltration to Code Repository,例如:通過合法的代碼庫收集敏感信息進行滲透,這里的代碼庫常見的就是Github,Exfiltration to Cloud Storage,例如:通過合法的雲存儲進行滲透,這里的雲存儲就是各種雲盤,國內的就百度雲盤,阿里雲盤,國外的就是谷歌雲盤等等;
檢測方式:命令執行,文件訪問,網絡流量會話,網絡流量數據
T1190
1.Exploit Public-Facing Application
攻擊者通過利用公共的應用設施進行滲透,這里指的就是各種Web應用服務,包括一些數據庫,SSH,SMB等標准服務,他們的各種缺陷進行利用,最常見的就是OWASP TOP 10等等;
檢測方式:應用日志內容,網絡流量數據
T1210
1.Exploitation of Remote Services
攻擊者通過利用遠程服務進行滲透,包括但不限於RDP,SMB,SSH等服務進行攻擊等等;
檢測方式:應用日志內容,網絡流量數據
T1187
1.Forced Authentication
攻擊者通過利用強制認證的方式進行神,例如:SMB,WebDav的HTTP擴展等等;
檢測方式:文件訪問,文件創建,文件修改,網絡流量會話,網絡流量數據
T1615
1.Group Policy Discovery
攻擊者通過Windows組策略的形式進行滲透;
檢測方式:AD對象訪問,命令執行,網絡流量數據,進程創建,腳本執行
T1070
1.Indicator Removal on Host
這個場景是攻擊者干完事情之后,需要擦除痕跡,其中就包括Windows,Linux,Mac操作系統的事件日志清除,歷史命令清除,文件刪除,網絡共享刪除,時間戳修改擦除;
檢測方式:命令執行,文件刪除,文件上下文元數據,文件修改,網絡流量數據,操作系統API執行,進程創建,用戶賬戶認證,Windows注冊表鍵值修改和刪除
T1105
1.Ingress Tool Transfer
這個很好理解入口工具傳輸,常見的包括,ftp,scp,rsync,sftp等等;
檢測方式:文件創建,網絡連接創建,網絡流量數據,網絡流量會話
T1534
1.Internal Spearphishing
內部魚叉式網絡釣魚,這個從字面意思就能理解,一般用於漫游到內網之后,進一步擴大戰果進行橫向移動操作;
檢測方式:應用日志內容,網絡流量數據,網絡流量會話
T1570
1.Lateral Tool Transfer
在內網中進行橫向移動傳輸的操作,就是相當於將用用到的滲透工具傳輸到另一台主機上,用到工具同樣是scp,ftp,sftp,rsync等等;
檢測方式:命令執行,文件創建,文件上下文元數據,網絡共享訪問,網絡流量數據,網絡流量會話,進程創建,命名管道
T1599
1.Network Boundary Bridging
網絡邊界橋接,子章節含有網絡地址轉換,這個場景往往是拿到邊界的部分網絡權限,然后通過橋接的方式繞過一些防火牆,路由器的限制,直接進入內網;
檢測方式:網絡流量數據,網絡流量會話
T1095
1.Non-Application Layer Protocol
攻擊者通過使用非應用層協議來躲避檢測來達到C&C的目的,常見的有使用ICMP協議進行滲透,場景會是用到ICMP隧道進行C&C;
檢測方式:網絡流量數據,網絡流量會話
T1571
1.Non-Standard Port
攻擊者通過使用非標准端口來躲避檢測;
檢測方式:網絡連接創建,網絡流量數據,網絡流量會話
T1003
1.OS Credential Dumping
字面意思就是操作系統憑據轉儲,簡單點理解,就是通過各種方式讀取,獲取,竊取目標的登陸憑證,其中子章節提到很多姿勢,詳見上面的T1003;
檢測方式:AD對象訪問,命令執行,文件訪問,網絡流量數據,網絡流量會話,操作系統API執行,進程訪問,進程創建,Windows注冊表鍵值訪問
T1566
1.Phishing
攻擊者通過釣魚的方式拿目標權限,子章節還提到魚叉式附件,魚叉式釣魚鏈接,通過服務進行魚叉式網絡釣魚;
檢測方式:應用層日志內容,文件創建,網絡流量數據,網絡流量會話
T1598
1.Phishing for Information
釣魚信息,子章節還提到魚叉式附件,魚叉式網絡釣魚服務,魚叉式釣魚鏈接;
檢測方式:應用層日志內容,網絡流量數據,網絡流量會話
T1572
1.Protocol Tunneling
這個字面意思就看的出來,協議隧道,常見的場景有SSH隧道,DNS隧道,SSH端口轉發等等還有其他各種工具的使用隧道場景;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1090
1.Proxy
很好理解,也是攻擊者用的場景最多的一種,使用各種代理手段來繞過目標的檢測和訪問限制,其中包括子章節技術,內部代理,外部代理,多級代理,域前置,這些子章節中關於代理的都很好理解,但是域前置這個技術也算作是代理的范疇,其原理就是使用到了CDN技術,具體可參考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1219
1.Remote Access Software
遠程訪問軟件,就是我們日常使用的類似TeamViewer這類合法的遠程控制軟件等等;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據,進程創建
T1563
1.Remote Service Session Hijacking
遠程服務的會話劫持,簡單點理解就是獲取類似RDP,SSH,Telnet等登陸的會話,拿到這個會話可以不要賬戶密碼直接登陸目標,其中子章節提到了RDP會話劫持和SSH會話劫持;
檢測方式:命令執行,登陸會話創建,網絡流量會話,網絡流量數據,進程創建
T1207
1.Rogue Domain Controller
這里翻譯過來是流氓域控制器,可以理解為惡意注冊與控制從而達到直接控制域控制器來獲取域環境的登陸憑據等其他操作;
檢測方式:AD對象創建,AD對象修改,網絡流量數據,用戶賬戶認證
T1505
1.Server Software Component
服務器軟件組件,理解為服務器端提供服務的組件,常見有類似IIS之類的,子章節提到SQL存儲過程,傳輸代理,Webshell,IIS組件等;
檢測方式:應用日志內容,文件創建,文件修改,網絡流量數據,網絡流量會話,進程創建
T1221
1.Template Injection
模板注入,此場景通常會在釣魚的時候,嵌入惡意代碼到office相關組件中,讓目標用戶執行,以達到免殺的目的,從而執行惡意代碼;
檢測方式:網絡連接創建,網絡流量數據,進程創建
T1205
1.Traffic Signaling
我這翻譯就是流量信號,其中子章節Port Knocking 從這個子章節來看就很好理解,一般在滲透測試場景,防御者那邊會為了增強安全性,會使用一些特殊的信號傳遞給目標主機,讓目標主機開放特定的端口信號,用完之后,一段時間后,會使用防火牆再次關閉特定的端口,這種行為就是上面子章節說到的端口敲門的一種說法,所以總結出來就是管理員管理自己的主機,他知道特殊的流量信號,那么發送特殊的流量信號目標就會開放特殊的端口,反之攻擊者不知道特殊的信號,那么就無法開放特殊的端口,這就是上面所說的流量信號;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1204
1.User Execution
這個翻譯過來就是用戶執行,目的就是讓目標用戶執行我們的惡意代碼,這期間用到的技術就我們之前說的通過社會工程學的方式進行網絡釣魚或者是魚叉式網絡釣魚;
檢測方式:應用日志內容,命令執行,容器創建,容器啟動,文件創建,鏡像創建,實例創建,實例啟動,網絡連接創建,網絡流量數據,進程創建
T1102
1.Web Service
這里的Web Service和其子章節提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我們可以理解為是使用第三方大廠提供的應用層服務,用其作為介質,作為橋梁使得在進行滲透使用C&C的方式更為隱蔽,比如一些APT中提到的使用場景,就是使用Dropbox、Amazon S3 和 Google Drive 來托管惡意下載等等;
檢測方式:網絡連接創建,網絡流量數據,網絡流量會話
Network Traffic: Network Traffic Flow
- 網絡流量流 - 理解為一個會話,再形象點理解為火車票,這個票就是Network Traffic Flow
T1595
1.Active Scanning
主動掃描,其中包括掃描ip網段和漏洞掃描
檢測方式:網絡流量數據,網絡流量會話
T1557
1.Adversary-in-the-Middle
中間人攻擊,常用的手段是LLMNR/NBT-NS Poisoning and SMB Relay,ARP Cache Poisoning,理解為ARP投毒或者說是ARP欺騙,以及SMB中繼和LLMNR/NBT-NS欺騙
檢測方式:網絡流量數據,網絡流量會話,服務創建,Windows注冊表鍵值修改
T1071
1.Application Layer Protocol
通過使用各種協議來躲避檢測,常用的有Web協議,文件傳輸協議,郵件協議,DNS協議
檢測方式:網絡流量數據,網絡流量會話
T1020
1.Automated Exfiltration
自動過濾技術,攻擊者會在收集數據之后,通過自動處理的方式來竊取數據
檢測方式:命令執行,文件訪問,腳本執行,網絡連接創建,會話和數據的檢測
2.Traffic Duplication (.001)
翻譯過來是流量復制,實際就是我們所說的交換機端口流量鏡像,出現的場景就是惡意攻擊者會通過修改配置更改流量鏡像,流量重定向等方式達到目的;
檢測方式:Network Traffic Content和Network Traffic Flow
T1612
1.Build Image on Host
通過編譯Docker環境自定義的鏡像,達到提權的目的,可參考https://github.com/saghul/lxd-alpine-builder 得知提權案例場景;
檢測方式:Image創建,網絡連接創建,連接和數據的檢測
T1565
1.Data Manipulation
通過在傳輸和存儲的過程中操作數據,包括但不限於,插入,刪除,修改,新建等操作
檢測方式:文件創建,文件刪除,文件上下文的元數據,文件修改,網絡流量會話,網絡流量數據,操作系統API執行
T1030
1.Data Transfer Size Limits
攻擊者可能會以固定大小的塊而不是整個文件的形式泄露數據,或者將數據包大小限制在特定閾值以下。此方法可用於避免觸發網絡數據傳輸閾值警報;
檢測方式:網絡連接創建和會話的檢測
T1568
1.Dynamic Resolution
動態解析,這個就下面有3個子技術章節,分別為Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 動態解析的由來就是在很早以前,攻擊者使用遠控的時代,因為要進行反彈權限,比如很早以前的木馬上線,灰鴿子上線的遠控木馬,那個時代會使用動態域名解析,常見的就是3322.org,花生殼之類的,通過這種方式,達到反彈解析的ip即使變了,也能找到種植木馬的主人機器,所以這是動態解析的由來,至於下面的3個技術章節,則是由於后來的安全對抗愈演愈烈,木馬為了更好的生存,演變出來的技術章節,其中Fast Flux DNS的技術就是指不斷改變域名和IP地址映射關系的一種技術,可理解為在短時間內查詢使用Fast-flux技術部署的域名,會得到不同的結果;而Domain Generation Algorithms,目的效果也是一樣,都是為了生成不同的域名,DNS Calculation也是其中用到的一個通過實現是采用DNS響應中IP地址的前三個八位字節,並使用這些值用來完成最終的目的C&C;
參考鏈接:
Fast-Flux
DGA
檢測方式:網絡鏈接創建,網絡流量會話,網絡流量數據
T1499
1.Endpoint Denial of Service
終端拒絕服務,子章節有真的操作系統,服務,應用層和應用程序進行攻擊目的就是耗盡其資源達到拒絕服務的目的
檢測方式:應用日志內容,網絡流量會話,網絡流量數據,主機狀態
T1048
1.Exfiltration Over Alternative Protocol
這個翻譯過來也是覺得別扭,替代協議的滲透,從這個字面的意思上理解大概就知道是什么樣子的場景了,其實就是攻擊者在進行滲透初期,想要拿到目標權限,或者已經拿到目標權限,但是又擔心被IDS,IPS,殺毒軟件,防火牆等安全防護設備檢測出來,所以通過替代明顯的已知的而已特征和協議,來躲避檢測和查殺,這就有了本技術章節的3個字章節,分別為:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分別意思作用就是,使用對稱加密,使用非對稱加密,使用混淆或者偽裝;
參考鏈接:
Exfiltration
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1041
1.Exfiltration Over C2 Channel
攻擊者拿到權限之后通過C2通道將竊取的數據進行傳輸;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解為通過其他網絡介質進行滲透,子章節:Exfiltration Over Bluetooth,例如:WiFi連接,調制解調器,蜂窩數據連接,藍牙或其他射頻(RF)信道等方式;
檢測方式:命令執行,文件訪問,網絡連接創建,網絡流量會話,網絡流量數據
T1567
1.Exfiltration Over Web Service
理解為通過Web服務進行滲透,子章節:Exfiltration to Code Repository,例如:通過合法的代碼庫收集敏感信息進行滲透,這里的代碼庫常見的就是Github,Exfiltration to Cloud Storage,例如:通過合法的雲存儲進行滲透,這里的雲存儲就是各種雲盤,國內的就百度雲盤,阿里雲盤,國外的就是谷歌雲盤等等;
檢測方式:命令執行,文件訪問,網絡流量會話,網絡流量數據
T1133
1.External Remote Services
外部的遠程服務,場景就是使用VNC,Windows遠程管理工具或者Docker的API,Kubernetes API之類的遠程服務進行滲透;
檢測方式:應用日志內容,登陸會話元數據,網絡流量會話
T1008
1.Fallback Channels
攻擊者拿到權限為了防止丟失權限,通常會再留一個極其隱蔽的備用C&C;
檢測方式:網絡連接創建,網絡流量會話
T1187
1.Forced Authentication
攻擊者通過利用強制認證的方式進行神,例如:SMB,WebDav的HTTP擴展等等;
檢測方式:文件訪問,文件創建,文件修改,網絡流量會話,網絡流量數據
T1105
1.Ingress Tool Transfer
這個翻譯過來是入口工具傳輸,其實意思就是攻擊者拿到權限之后,需要再從外部傳入惡意文件到目標主機上,那么就會使用各種的入口傳輸工具,其中包括,ftp,scp,rsync,sftp等等;
檢測方式:文件創建,網絡連接創建,網絡流量會話,網絡流量數據
T1534
1.Internal Spearphishing
內部魚叉式網絡釣魚,這個從字面意思就能理解,一般用於漫游到內網之后,進一步擴大戰果進行橫向移動操作;
檢測方式:應用日志內容,網絡流量數據,網絡流量會話
T1570
1.Lateral Tool Transfer
在內網中進行橫向移動傳輸的操作,就是相當於將用用到的滲透工具傳輸到另一台主機上,用到工具同樣是scp,ftp,sftp,rsync等等;
檢測方式:命令執行,文件創建,文件上下文元數據,網絡共享訪問,網絡流量數據,網絡流量會話,進程創建,命名管道
T1104
1.Multi-Stage Channels
這個翻譯過來叫多級通道,用到場景目的還是為了躲避檢測,從而使用多種不同的階段進行C&C,簡單點理解,前期我就做寫基礎信息搜集和檢測,跟正常行為一樣,到后面循序漸進的深入操作,進行多階段多級C&C;
檢測方式:網絡連接創建,網絡流量會話
T1599
1.Network Boundary Bridging
網絡邊界橋接,子章節含有網絡地址轉換,這個場景往往是拿到邊界的部分網絡權限,然后通過橋接的方式繞過一些防火牆,路由器的限制,直接進入內網;
檢測方式:網絡流量數據,網絡流量會話
T1498
1.Network Denial of Service
字面意思就能理解,網絡拒絕服務,就是DoS攻擊,子章節有直接洪水攻擊和反射放大攻擊;
檢測方式:主機狀態,網絡流量會話
T1046
1.Network Service Scanning
字面意思就能理解,網絡服務掃描,端口掃描,主機發現之類的;
檢測方式:雲服務枚舉,命令執行,網絡流量會話
T1095
1.Non-Application Layer Protocol
攻擊者通過使用非應用層協議來躲避檢測來達到C&C的目的,常見的有使用ICMP協議進行滲透,場景會是用到ICMP隧道進行C&C;
檢測方式:網絡流量數據,網絡流量會話
T1571
1.Non-Standard Port
攻擊者通過使用非標准端口來躲避檢測;
檢測方式:網絡連接創建,網絡流量數據,網絡流量會話
T1003
1.OS Credential Dumping
字面意思就是操作系統憑據轉儲,簡單點理解,就是通過各種方式讀取,獲取,竊取目標的登陸憑證,其中子章節提到很多姿勢,詳見上面的T1003;
檢測方式:AD對象訪問,命令執行,文件訪問,網絡流量數據,網絡流量會話,操作系統API執行,進程訪問,進程創建,Windows注冊表鍵值訪問
T1566
1.Phishing
攻擊者通過釣魚的方式拿目標權限,子章節還提到魚叉式附件,魚叉式釣魚鏈接,通過服務進行魚叉式網絡釣魚;
檢測方式:應用層日志內容,文件創建,網絡流量數據,網絡流量會話
T1598
1.Phishing for Information
釣魚信息,子章節還提到魚叉式附件,魚叉式網絡釣魚服務,魚叉式釣魚鏈接;
檢測方式:應用層日志內容,網絡流量數據,網絡流量會話
T1572
1.Protocol Tunneling
這個字面意思就看的出來,協議隧道,常見的場景有SSH隧道,DNS隧道,SSH端口轉發等等還有其他各種工具的使用隧道場景;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1090
1.Proxy
很好理解,也是攻擊者用的場景最多的一種,使用各種代理手段來繞過目標的檢測和訪問限制,其中包括子章節技術,內部代理,外部代理,多級代理,域前置,這些子章節中關於代理的都很好理解,但是域前置這個技術也算作是代理的范疇,其原理就是使用到了CDN技術,具體可參考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1219
1.Remote Access Software
遠程訪問軟件,就是我們日常使用的類似TeamViewer這類合法的遠程控制軟件等等;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據,進程創建
T1563
1.Remote Service Session Hijacking
遠程服務的會話劫持,簡單點理解就是獲取類似RDP,SSH,Telnet等登陸的會話,拿到這個會話可以不要賬戶密碼直接登陸目標,其中子章節提到了RDP會話劫持和SSH會話劫持;
檢測方式:命令執行,登陸會話創建,網絡流量會話,網絡流量數據,進程創建
T1021
1.Remote Services
遠程服務,這里說的就是合法的為了方便正常的管理員使用的遠程服務,而被惡意攻擊者使用合法的身份使用的遠程服務,常見的就是RDP,SSH,VNC,Telnet,Windows共享,DCOM組件,Windows遠程管理,例如WinRM等等,本章節的子章節含有Remote Desktop Protocol,SMB/Windows Admin Shares,Distributed Component Object Model,Windows Remote Management,VNC,SSH,其中關於Distributed Component Object Model主要是用於內網滲透環境中進行橫向移動操作,通過此方式可以遠程執行命令,可在同網段或內部能互聯互通的主機,此類的相關參考文章如下:
https://cloud.tencent.com/developer/article/1798998
https://www.freebuf.com/articles/web/293280.html;
檢測方式:命令執行,登陸會話創建,模塊加載,網絡共享訪問,網絡連接創建,網絡流量會話,進程創建
T1496
1.Resource Hijacking
資源劫持,看介紹這個是用在挖礦的場景,其中檢查項提到主機狀態,其場景就是類似被DDoS,主機資源被耗盡,CPU,進程等等都異常的情景;
檢測方式:命令執行,文件創建,網絡連接創建,網絡流量會話,進程創建,主機狀態
T1029
1.Scheduled Transfer
這個我翻譯為計划傳輸,就是在特定的時間點,或某一個間隔的時間段執行數據傳輸操作,一般場景是用在拿到權限然后要拿數據的情景;
檢測方式:網絡連接創建,網絡流量會話
T1505
1.Server Software Component
服務器軟件組件,理解為服務器端提供服務的組件,常見有類似IIS之類的,子章節提到SQL存儲過程,傳輸代理,Webshell,IIS組件等;
檢測方式:應用日志內容,文件創建,文件修改,網絡流量數據,網絡流量會話,進程創建
T1205
1.Traffic Signaling
我這翻譯就是流量信號,其中子章節Port Knocking 從這個子章節來看就很好理解,一般在滲透測試場景,防御者那邊會為了增強安全性,會使用一些特殊的信號傳遞給目標主機,讓目標主機開放特定的端口信號,用完之后,一段時間后,會使用防火牆再次關閉特定的端口,這種行為就是上面子章節說到的端口敲門的一種說法,所以總結出來就是管理員管理自己的主機,他知道特殊的流量信號,那么發送特殊的流量信號目標就會開放特殊的端口,反之攻擊者不知道特殊的信號,那么就無法開放特殊的端口,這就是上面所說的流量信號;
檢測方式:網絡連接創建,網絡流量會話,網絡流量數據
T1102
1.Web Service
這里的Web Service和其子章節提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我們可以理解為是使用第三方大廠提供的應用層服務,用其作為介質,作為橋梁使得在進行滲透使用C&C的方式更為隱蔽,比如一些APT中提到的使用場景,就是使用Dropbox、Amazon S3 和 Google Drive 來托管惡意下載等等;
檢測方式:網絡連接創建,網絡流量數據,網絡流量會話
案例指紋
https://catalog.caida.org/details/paper/2015_analysis_slash_zero
https://wiki.owasp.org/index.php/OAT-004_Fingerprinting