十大常见的ATT&CK战术及技术

时间:2022-01-13 13:45来源:短篇合集目录-短篇合集500篇最新章节列表手机官网-日本黄页 点击:

ATT&CK框架是一个网络坦然综相符性知识库,经过对抨击生命周期各阶段的实际不悦目察,从而对抨击者走为进走理解与分类,已成为钻研胁迫模型和方法的基础工具。随着厂商及企业对该框架的普及采用,ATT&CK知识库已公认成为晓畅抨击者的走为模型与技术权威。

Picus钻研人员从各栽来源搜集了超过二十万实活着界胁迫样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进走了分类,一切样本超过180万栽ATT&CK技术。Picus Labs针对此钻研发布了Red Report统计通知,包括最常见的十栽ATT&CK抨击技术。此钻研发现有助于退守者发现网络作恶和抨击的主流趋势,并协助坦然团队挑供退守策略,并有效预防、检测和回响反映胁迫。

一、主要发现

与此前数据相比,今年最隐微的转折是增补了“T1486数据添密影响”技术的行使,该技术首次进入前十名,排名第三。钻研外明,所分析的凶意柔件样本中有五分之一是为添密现在标体系中的文件而设计的。这一效果与勒索柔件抨击的通走趋势不息上升相反,据报道勒索柔件抨击在2020年7月至2021年6月期间增补了1,070%。

钻研表现,每个凶意柔件的平均凶意走为数目有所增补。在前一年的钻研平分析的凶意柔件样本表现平均有9次凶意走为,但现在凶意走为的平均数目为11次。这一发现与凶意柔件复杂性以及抨击者的技术能力正在增补的不悦目点相反。

另一个主要发现是,“T1059命令和脚本注释器”是最通走的ATT&CK技术,分析的一切凶意柔件样本中有四分之一行使。由于PowerShell等注释器是相符法的内置实用程序,能够普及访问操作体系的内部结构,所以抨击者频繁滥用它们来实走命令。

十大ATT&CK技术中有五栽被归类在“TA005退守规避”战术下。分析发现,三分之二的凶意柔件起码展现了一栽退守规避技术,这突显了抨击者想要躲避坦然团队监视的信念。

数据添密更为常见。今年,ATT&CK的TA0040影响战术中的T1486数据添密影响技术首次进入前十名,排名第三,19%分析的凶意柔件行使了该技术。这也注释了为何2021年勒索柔件抨击的大幅增补。 凶意柔件越来越复杂。今年凶意柔件平均外现出11次凶意走为(TTP),高于2020年的9次,这突显了抨击及其背后抨击者的复杂性增补。 退守规避是最常见的战术。抨击者行使的最常见的MITRE ATT&CK战术是TA0005退守规避,分析发现,三分之二的凶意柔件起码展现了一栽规避技术。T1218签名二进制代理实走、T1027杂沓文件或新闻、T1497虚拟化/沙盒规避是首次出现在通知前十名的退守规避技术。 抨击者更爱滥用内置工具。抨击者主要行使离地抨击(LoL)实用程序来实走通知前十名中列出的一切技术,这外明抨击者更爱滥用相符法工具,而不是自定义工具。该通知中最通走的技术是T1059命令和脚本注释器,分析的凶意柔件样本中有26%行使过了该技术。这栽技术涉及滥用内置或常用的命令走界面(CLI)和脚本说话,例如PowerShell、Apple脚本和Unix Shell,行为实走肆意命令的手腕。 二、钻研方法

MITRE ATT&CK是一个基于实际世界不悦目察的抨击者战术、技术和程序(TTP)的开源知识库。由于ATT&CK体系地定义和机关了TTP,已成为坦然团队之间描述TTP的通用说话。在2021年10月发布的ATT&CK for Enterprise v10版本中,共包含14个战术(Tactics)和188个技术(Techniques)。

Picus Labs钻研人员分析了2020年10月至2021年10月期间的231,507个文件,其中204,954个文件(89%)被归类为凶意文件,并从这些文件中挑取了2,197,025个操作,每个凶意柔件平均有11个凶意操作(TTP)。由于众个操作能够映射到联相符技术,2,197,025个行为被映射到1,871,682项MITRE ATT&CK技术,平均每个凶意柔件有9项MITRE ATT&CK技术。

Picus Labs钻研人员确定了数据荟萃的凶意文件行使了哪栽技术。然后计算了行使每栽技术的凶意柔件的百分比。例如,抨击者在204,954个凶意文件中的53,582个(26%)中行使了“T1059命令和脚本注释器”技术。

三、十大ATT&CK技术 1. T1059命令和脚本注释器

T1059命令和脚本注释器(Command and Scripting Interpreter)技术属于TA0002实走(Execution)战术,有53,582个(26%)凶意柔件样本行使了该技术。

命令和脚本注释器是抨击者用来在现在标体系上实走命令、脚本和二进制文件的一栽实走技术。所以不出所料,这项技术在通知中排名第一。命令和脚本注释器是为相符法用户开发的,但抨击者也频繁行使它们来运走他们的代码、与本地和长途体系交互以及在抨击运动期间实走其他柔件。

注释器(Interpreter)是一栽计算机程序,它直接实走用编程或脚本说话编写的指令,而无需事先编译。注释器在程序运走之前不必要编译过程,它直接一条一条的运走指令,这是抨击者更爱命令和脚本注释器的因为之一。

这栽技术包括命令注释器和脚本注释器。命令注释器(Command Interpreters)根据用户以交互模式挑交的命令或经过程序中存在的命令实走注释。操作体系具有内置的本机命令注释器,例如Windows中的Windows Command Shell和PowerShell,以及类Unix体系中的 Unix Shell。顾名思义,命令注释器也被称为shell。除了内置的操作体系命令Shell之外,一些编程说话如Python、Perl和Ruby也有命令注释器。

脚本注释器(Scripting Interpreter)注释和实走脚本中展现的命令,而无需编译。脚本是用脚本说话编写的一组有序命令,脚本说话是一栽注释性编程说话,无需编译即可实走脚本。一些著名的脚本说话是Windows中的PowerShell和VBScript、类Unix体系中的Unix Shell、macOS中的AppleScript、JavaScript、JScript、Python、Perl和Lua。命令注释器也包含在一些脚本说话中,例如PowerShell、Unix shell、Python和Perl。

体系管理员和程序员等相符法用户行使命令注释器来实走肆意义务。他们行使脚本注释器经过在脚本中自动化来添速操作义务。

固然命令和脚本注释器是为相符法用户开发的,但在抨击运动期间,抨击者频繁行使一个或众个注释器来实走凶意代码,并与本地和长途体系交互。例如,抨击者行使脚本枚举正在运走的服务和进程,发现体系和用户新闻,并经过在用户每次登录时实走凶意负载来在受害者计算机中持久化。

此外,Windows体系中的PowerShell和VBScript、类Unix体系中的Unix shell、macOS中的AppleScript等一些脚本说话能够经过API直接与操作体系交互,所以抨击者能够行使它们来绕过单薄的进程监控机制。它们是操作体系中的内置工具,所以行使它们比行使自定义工具更暗藏。

T1059命令和脚本注释器技术有八个子技术(Sub-Techniques),别离为:T1059.001 PowerShell、T1059.002 AppleScript、T1059.003 Windows Command Shell、T1059.004 Unix Shell、T1059.005 Visual Basic、T1059.006 Python、T1059.007 JavaScript和T1059.008网络设备CLI。

2. T1055进程注入

T1055进程注入(Process Injection)技术属于TA0004权限升迁(Privilege Escalation)和TA0005退守规避(Defense Evasion)战术,有43,639个(21%)凶意柔件样本行使了该技术。

抨击者总是试图在其高级网络抨击中实现更高程度的暗藏、持久性和特权。行为能够挑供这些功能的机制,进程注入照样位于通知列外顶部也就不能为奇了。

经过列出正在运走的进程并过滤失踪行为操作体系或已安设柔件的相符法进程,能够轻盈检测凶意柔件进程。倘若凶意柔件能够将其凶意代码封装在相符法进程中,将暗藏在受感染的体系中。进程注入是一栽迂腐但有效的技术,包括在另一个进程的地址空间内运走肆意代码。所以,该技术能够访问现在标进程的内存、体系和网络资源。

进程注入为抨击者挑供了三个隐微益处:

在相符法进程下实走代码能够会躲避坦然控制,列入白名单的相符法进程会假装凶意代码以躲避检测。 由于凶意代码是在相符法进程的内存空间内实走的,也能够躲避磁盘取证。 倘若现在标进程具有升迁的权限,则此技术将启用权限升迁。例如,倘若现在标进程能够访问网络资源,则凶意代码能够经过互联网以及与联相符网络上的其他计算机进走相符法通信。

坦然控制能够快速检测自定义进程。所以,胁迫走为者行使常见的Windows进程,例如explorer.exe、svchost.exe、dllhost.exe、services.exe、cvtres.exe、msbuild.exe、RegAsm.exe、RegSvcs.exe、rundll32.exe、arp.exe 、PowerShell.exe、vbc.exe、csc.exe、AppLaunch.exe和cmd.exe等内置本机Windows进程,以及iexplore.exe、ieuser.exe、opera.exe、chrome.exe、firefox.exe、outlook.exe、msinm.exe等通用柔件进程。

T1055进程注入有十一个子技术,别离为:T1055.001 DDL注入、T1055.002便携式可实走(PE)注入、T1055.003线程实走劫持注入、T1055.004异步过程调用(APC)注入、T1055.005线程本地存储(TLS)注入、T1055.008 Ptrace体系调用注入、T1055.009 Proc内存注入、T1055.011额外窗口内存(EWM)注入、T1055.012 Process Hollowing、T1055.013 Process Doppelgänging以及T1055.014 VDSO劫持。

3. T1486数据添密影响

T1486数据添密影响(Data Encrypted for Impact)技术属于TA0040影响(Impact)战术,有37,987个(19%)凶意柔件样本行使了该技术。

抨击者添密现在标体系上的数据,以防止访问体系和网络资源。这些抨击能够以收好为导向,如勒索柔件抨击,或者纯粹是损坏性的。正如众数勒索柔件抨击所外明的那样,当数据被添密时,机关的运营能力会受到隐微影响。由于2021年勒索柔件抨击的数目和影响不息增补,该技术快捷进入十大ATT&CK技术的第三名。

在比来的勒索柔件样本中,抨击者行使众栽添密算法来最大化添密性能和坦然性。此外,这栽方法在添密时不必要连接互联网,只有在解密时必要连接互联网。

在这栽同化添密方法中,勒索柔件行使对称(密钥)添密算法对文件进走添密,然后行使非对称(公钥)添密算法对对称添密中行使的密钥进走添密。

对称添密算法(也称为密钥添密)行使相通的密钥来添密息争密数据。AES、DES、3DES、Salsa20、ChaCha20和Blowfish是一些通走的对称添密算法。由于对称添密比非对称添密快得众,所以它最正当大量数据的批量添密。所以对称添密专门正当在勒索柔件请求的短时间内添密数千个文件。此外,对称算法清淡挑供较幼的文件大幼,从而实现更快的传输和更少的存储空间。

尽管对称添密具有兴旺的性能和高效果,但它有两个主要局限。第一个局限是密钥分配题目。对称添密主要基于添密密钥必须保密的请求。然而,坦然地分发密钥具有挑衅性。对于勒索柔件,此局限外现为将密钥保存在受害机器中。钻研人员能够找到密钥,并且由于它异国添密,所以能够创建一个行使密钥解密文件的工具。

第二个局限是密钥管理题目。由于每对发送方和授与方都必要一个唯一的密钥,所以所需的密钥数目随着用户的添长而增补。对于勒索柔件,勒索柔件操作者必须为每台受害机器创建差别的密钥,并将一切密钥保密。否则,倘若一切机器都行使相通的密钥,倘若在其中一台机器上泄露了密钥,则能够行使泄露的密钥解密勒索柔件添密的一切文件。

非对称添密(也称为公钥添密)解决了密钥分发和密钥管理题目。非对称添密算法行使两栽差别的密钥:私钥和公钥。发送方能够行使授与方的公钥对新闻进走添密,但该添密新闻只能行使授与方的私钥解密。私钥必须对其一切者保持私有,而公钥能够经过现在录公开访问。所以,勒索柔件操作者能够为每台受害机器创建差别的公钥,并让这些公钥在受害机器上可访问。即使有人找到了公钥,倘若异国勒索柔件运营商的私钥,他们也无法解密文件。

非对称添密的主要弱点是它比对称添密慢得众。这是由于非对称添密的数学复杂性,必要更众的计算能力。

勒索柔件开发人员将对称添密和非对称添密(一栽同化添密方法)结相符首来,以消弭这两栽技术的弱点。他们行使对称密钥算法对受害体系中的文件进走批量添密,并行使非对称密钥算法对对称算法行使的隐秘密钥进走添密。所以,勒索柔件开发人员行使对称算法的添密性能,同时行使非对称算法的兴旺坦然性。

勒索柔件主要行使Windows API来行使对称和非对称算法,例如DES、AES、RSA 和RC4添密。例如,Nefilim滥用Microsoft的Enhanced Cryptographic Provider来导入添密密钥,并行使API函数对数据进走添密。勒索柔件清淡会查询每台主机的唯一新闻,以生成主机的唯一标识符,用于添密/解密过程,例如添密机GUID和卷新闻(磁盘卷名和序列号)。

4. T1218签名二进制代理实走

T1218签名二进制代理实走(Signed Binary Proxy Execution)技术属于TA0005退守规避(Defense Evasion)战术,有32,133个(16%)凶意柔件样本行使了该技术。

签名二进制文件,即行使可信数字证书签名的二进制文件,能够在受数字签名验证和行使程序控制珍惜的Windows操作体系上实走。然而,抨击者频繁滥用这些相符法的二进制文件来躲避坦然控制。这些二进制文件也称为离地抨击二进制文件(LOLBins)。

签名二进制代理实走是指经过行使另一个用可信数字证书签名的可实走文件来实走命令或可实走文件的过程。抨击者行使签名可实走文件的信任来躲避退守机制。

T1218签名二进制代理实走有十三个子技术,别离为:T1218.001 CHM文件、T1218.002控制面板、T1218.003 CMSTP、T1218.004 Installutil.、T1218.005 Mshta、T1218.007 Msiexec、T1218.008 Odbcconf、T1218.009 Regsvcs/Regasm、T1218.011 Rundll32、T1218.012 Verclsid、T1218.013 Mavinject、T1218.014 MMC。

5. T1003操作体系凭证转储

T1003操作体系凭证转储(OS Credential Dumping)技术属于TA0006凭证访问(Credential Access)战术,有29,355个(14%)凶意柔件样本行使了该技术。

一旦抨击者竖立了对体系的初首访问权限,他们的主要现在标之一就是找到访问环境中其他资源和体系的凭据。行为获取账户登录和暗号新闻的机制,凭据转储是十大最常用的MITRE ATT&CK技术的第五名。

在行使升迁的权限危害体系后,抨击者会尝试转储尽能够众的凭据。MITRE ATT&CK框架的凭证转储技术使抨击者能够从操作体系和柔件中获取账户登录和暗号新闻。这些凭据能够赋予更高级别的访问权限,例如特权域账户,或者相通的凭据能够用于其他资产。抨击者行使此技术搜集的凭据来:

访问受限新闻和关键资产; 经过行使相通凭据危害其他体系,在网络中实走横向移动; 创建新账户、实走操作和删除账户以驱逐跟踪; 分析暗号模式和暗号策略以表现其他凭据。

T1003操作体系凭证转储有八个子技术,别离为:T1003.001 LSASS内存、T1003.002坦然账号管理器、T1003.003 NTDS、T1003.004 LSA暗号、T1003.005缓存域凭据、T1003.006 DCSync、T1003.007 Proc文件体系、T1003.008 /etc/passwd和/etc/shadow。

6. T1027杂沓文件或新闻

T1027杂沓文件或新闻(Obfuscated Files or Information)技术属于TA0005退守规避(Defense Evasion)战术,有26,989个(13%)凶意柔件样本行使了该技术。

抨击者经过添密、编码、压缩或以其他方式在体系上或传输中暗藏可实走文件或文件的内容,从而杂沓可实走文件或文件的内容。这是一栽常见的抨击走为,可用于绕过众个平台和网络的退守。该技术在往年异国进入前十,但今年排名第六。

抨击者杂沓凶意文件、代码、命令、配置和其他新闻,以避免被坦然控制检测到。最常见的杂沓方法有:

转折数据形态:这栽方法包括转换数据以避免检测的机制,例如压缩、打包和归档。其中一些机制必要用户交互才能将数据恢复为原首形态,例如挑交暗号以掀开受暗号珍惜的文件。 更改数据大幼:此方法包括诸如二进制填充之类的机制,可在不影响其功能和走为的情况下增补凶意文件的大幼。其现在标是避开未配置为扫描大于特定大幼的文件的坦然工具。 暗藏凶意数据:这些机制将凶意数据暗藏在望似良性的文件中。在暗藏到文件中之前,能够拆分数据以降矮其检测率。新闻隐写和HTML私运是这栽方法的一些例子。 杂沓或删除指标:此方法包括用于从凶意文件中杂沓或删除危害指标以避免检测的机制。文件签名、环境变量、字符、片面名称和其他平台/说话/行使程序特定语义是一些指标。 抨击者经过杂沓/删除以绕过基于签名的检测。

T1027杂沓文件或新闻有六个子技术,别离为:T1027.001二进制填充、T1027.002柔件打包、T1027.003新闻隐写、T1027.004交付后编译、T1027.005从工具中移除指标、T1027.006 HTML私运。

7. T1053计划义务

T1053计划义务(Scheduled Task/Job)技术属于TA0002实走(Execution)、TA0003赓续性(Persistence)和TA0004权限升迁(Privilege Escalation)战术,有21,367个(11%)凶意柔件样本行使了该技术。

计划义务是指在异日的特准时间、按期(如每周一的早晨1:00)或在定义的事件发生时(如用户登录体系)实走的命令、程序或脚本。相符法用户(如体系管理员)行使计划义务自动创建和运走操作义务。

抨击者还行使操作体系的义务调度实用程序按定义的时间外或在体系启动时实走凶意负载,以实现持久性。钻研发现,计划义务是抨击者在其凶意柔件中行使的第七大ATT&CK技术。

操作体系和平台挑供的一些实用程序,能够依照定义的时间外自动实走程序或脚本,例如微柔Windows的schtasks.exe和at.exe、Linux的at、类Unix操作体系的cron、macOS的launchd、systemd timers、以及Kubernetes的cronjobs。

T1053计划义务有七个子技术,别离为:T1053.001 at(Linux)、T1053.002 at(Windows)、T1053.003 cron、T1053.004 Launchd、T1053.005计划义务、T1053.006 Systemd Timers、T1053.007容器编排。

8. T1036假装

T1036假装(Masquerading)技术属于TA0005退守规避(Defense Evasion)战术,有18,702个(9%)凶意柔件样本行使了该技术。

行为一栽退守规避技术,抨击者将其凶意柔件的特征更改为相符法和可信的。代码签名、凶意柔件文件的名称和位置、义务和服务的名称都是这些功能的示例。假装后,抨击者的凶意柔件文件对用户和坦然来说都是相符法的。用于退守躲避的假装对象能够分为四类:

扩展名:T1036.002从右到左遮盖、T1036.006文件名后的空格以及T1036.007双文件扩展名涉及欺骗用户或行使程序掀开一个望首来像良性文件类型的文件,由于它清晰的扩展名,但其实是凶意柔件。用户望到的扩展名实际上并不逆映文件实在的扩展名。 名称:抨击者能够会将凶意文件名更改为相符法且受信任的行使程序的名称,例如flash_en.exe(T1036.005匹相符作法名称或位置)。但是,抨击者也会在行使相符法体系实用程序之前更改其名称,由于某些坦然工具会监控这些内置体系实用程序以检测其疑心行使情况(T1036.003重命名体系实用程序)。除了文件名之外,抨击者还会用相符法的义务或服务的名称来假装义务或服务的名称,使其望首来是良性的并避免检测(T1036.004假装义务或服务)。 位置:抨击者能够会将凶意文件安放在C:\Windows\System32等受信任现在录中以躲避退守。他们还能够创建相通于已知柔件行使的现在录,例如C:\Intel\。未必,抨击者会假装凶意柔件的整个路径,包括现在录和文件名,例如C:\NVIDIA\NvDaemon.exe。这些方法归类在T1036.005匹相符作法名称或位置。 签名:抨击者复制有效和签名程序的元数据和代码签名新闻,并在其凶意柔件中行使这些新闻来躲避退守(T1036.001无效代码签名)。

T1036假装有七个子技术,别离为:T1036.001无效代码签名、T1036.002从右到左遮盖、T1036.003重命名体系实用程序、T1036.004假装义务或服务、T1036.005匹相符作法名称或位置、T1036.006文件名后的空格、T1036.007双文件扩展名。

9. T1082体系新闻发现

T1082体系新闻发现(System Information Discovery)技术属于TA0007发现(Discovery)战术,有17,024个(8%)凶意柔件样本行使了该技术。

当抨击者获得对体系的初首访问权限时,他们会不悦目察环境并获得相关体系的知识,然后抨击者行使搜集到的体系新闻来确定如何在后续走为中采取走动。

在对体系进走初首访问后,抨击者必要搜集相关体系的新闻,来决定如何不息抨击。抨击者清淡会搜集的新闻包括:主机/用户新闻,如主机名、用户名、域名、注册一切者、注册机关、平常运走时间等;操作体系新闻,如操作体系名称、操作体系版本、体系区域竖立、键盘布局、修缮程序等;硬件新闻,如CPU架构、处理器、总物理内存、网卡、IP地址、CPUID/ProcessorID、卷序列号、磁盘大幼、屏幕分辨率等。

抨击者频繁行使内置的操作体系实用程序来发现体系新闻,包括体系新闻、体系竖立和IaaS API调用。Systeminfo是一个Windows实用程序,可表现相关计算机及其操作体系的详细配相新闻。Systemsetup是一个macOS命令,它行使户能够搜集和配置清淡在体系首选项行使程序中配置的特定每台机器竖立。抨击者行使API来获取相关云基础设施即服务(IaaS)挑供商,例如Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP)中实例的新闻。

10. T1497虚拟化/沙箱规避

T1497虚拟化/沙箱规避(Virtualization/Sandbox Evasion)技术属于TA0005退守规避(Defense Evasion)和TA0007发现(Discovery)战术,有12,810个(6%)凶意柔件样本行使了该技术。

抨击者能够会向其凶意柔件增补体系和用户新闻发现功能,以检测和避免虚拟化和分析环境,例如凶意柔件分析沙箱。倘若凶意柔件检测到虚拟机或沙箱环境,就会脱离受害者或不实走凶意功能,例如下载额外负载。

凶意柔件分析人员频繁评估阻隔环境中的未知代码,例如虚拟机(VM)或沙箱。同样,坦然产品清淡行使这些环境在批准凶意柔件进入机关网络之前实走湮没凶意代码以进走动态凶意柔件分析。行为凶意柔件分析的效果,确定了凶意柔件及其IOC(危害指标)行使的TTP(战术、技术和程序)。TTP和IOC用于检测凶意柔件。

自然,凶意柔件开发人员不期待在孤立的环境平分析他们的凶意柔件,所以他们设计代码来检测虚拟机和沙箱环境,并避免在这些孤立的环境中运走时外现出凶意走为。例如,倘若检测到沙箱环境,Agent Tesla长途访问木马(RAT)就会关闭。

抨击者行使各栽方法来躲避虚拟机和沙箱环境,这些方法被称为Anti-Sandbox或Anti-VM方法。清淡,这些方法涉及搜索这些环境的典型特征。这些特征能够是受害体系的某些属性或对象,例如VM供答商的特定MAC地址,以及体系中清淡用户创建的通用工件的缺失,例如空的涉猎器历史记录。

T1497虚拟化/沙箱规避有三个子技术,别离为:T1497.001体系检查、T1497.002用户运动检查、T1497.003时间规避。

【编辑保举】

鸿蒙官方战略相符作共建——HarmonyOS技术社区 设计模式之对象池模式(Object Pool Pattern) 行使 ChatterBot 库制作一个座谈机器人 设计模式之规格模式(Specification Pattern) 注入Attention,精度涨30%!谷歌发外最新众现在标“动态抠图”模型 企业安放MITRE ATT&CK框架面临挑衅
------分隔线----------------------------
栏目列表
推荐内容