MITRE ATT&CK超详细学习笔记 |
您所在的位置:网站首页 › ck模型官网 › MITRE ATT&CK超详细学习笔记 |
@ 目录1. ATT&CK框架简介1.1 背景1.2 特点1.3 与Cyber Kill Chain的关系2. ATT&CK相关术语2.1 Matrix2.2 TTPs2.3 痛苦金字塔2.4 五大对象3. ATT&CK战术及场景实践3.1 侦察3.1.1 主动扫描3.1.2 搜索公开网站/域名(被动)3.2 资源开发3.2.1 建立账户3.3 初始访问3.4 执行3.5 持久化3.5.1 使用schtasks计划任务完成“持久化”战术 1. ATT&CK框架简介 1.1 背景 MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目,开展了大量的网络安全实践。例如,MITRE公司在1999年发起了常见披露漏洞项目(CVE,Common Vulnera-bilities and Exposures)并维护至今。其后,MITRE公司还维护了常见缺陷列表(CWE,Common Weakness Enumeration)这个安全漏洞词典。
• 它是基于真实观察数据创建的。
• 它是公开免费、全球可访问的。
• 它为蓝方和红队提供了一种沟通交流的通用语言。
• 它是由社区驱动发展的。
ATT&CK模型正是在杀伤链模型的基础上,构建了一套更细粒度、更易共享的知识模型和框架。最开始ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。 现在删减变为 Enterprise:传统企业网络和云技术 Mobile:移动通信设备 ICS:工业控制系统这三个我们称之为技术域Domain,在官网上每次的ATT&CK矩阵可以对三个技术域进行分开的选择,一般我们研究的都注重于Enterprise即可。它与杀伤链有所不同的是,ATT&CK的战术没有遵循任何线性顺序。相反,攻击者可以随意切换来实现最终目标。 2. ATT&CK相关术语 2.1 Matrix
对抗一定是由下至上的,最后发展到最高层面,代表本质的行为。比如说小偷使用的工具包括起子扳手,你没收了工具可能他随时可以替换。但是如果他是左撇子,这是他惯用的很难改变的习惯,你把他的左手用什么捆起来,他的攻击成功率就大大降低 2.4 五大对象 ATT&CK框架中主要包含五大对象:攻击组织、软件、技术/子技术、战术、缓解措施,每个对象都在一定程度上与其他对象有关。
我们以一个特定的APT组织——APT28为例。图1-11展示了APT28使用Mimikatz转储Windows LSASS进程内存中保存的凭证的过程。lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问LSASS进程内存,从而可以导出内部数据(password),用于横向移动和权限提升。 其实这种原理是lsass.exe是Windows系统的安全机制,主要用于本地安全和登陆策略,通常在我们登陆系统时输入密码后,密码便会存贮在lsass.exe内存中,经过wdigest和tspkg两个模块调用后,对其使用可逆的算法进行加密并存储在内存中,而Mimikatz正是通过对lsass.exe逆算获取到明文密码。
比如说主动扫描包括扫描IP块和漏扫: IP扫描确定在信息收集中所找到的主机是否在线 根据IP地址来猜测IP段,扩大所知主机地址信息 通过对TCP和UDP的扫描来发现所开放端口和运行的服务
第二种:Intense scan plus UDP(nmap -sS -sU -T4 -A -v) 即UDP扫描,会发送空的UDP报头到目标的端口,如果返回ICMP端口不可到达错误就是关闭,返回响应UDP报文就是开放 -sS TCP SYN 扫描 -sU UDP 扫描 第三种:Intense scan,all TCP ports (nmap -p 1-65536 -T4 -A -v) 扫描所有TCP端口,范围在1-65535,试图扫描所有端口的开放情况,速度比较慢。 -p 指定端口扫描范围 第四种:Intense scan,no ping (nmap -T4 -A -v -Pn) 非ping扫描 -Pn 非ping扫描 第五种:Ping scan (nmap -sn) Ping 扫描 优点:速度快。 缺点:容易被防火墙屏蔽,导致无扫描结果 -sn ping扫描 第六种:Quick scan (nmap -T4 -F) 快速的扫描 -F 快速模式。 第七种:Quick scan plus (nmap -sV -T4 -O -F --version-light) 快速扫描加强模式 -sV 探测端口及版本服务信息。 -O 开启OS检测 –version-light 设定侦测等级为2。 第八种:Quick traceroute (nmap -sn --traceroute) 路由跟踪 -sn Ping扫描,关闭端口扫描 -traceroute 显示本机到目标的路由跃点。 第九种:Regular scan 规则扫描 第十种:Slow comprehensive scan (nmap -sS -sU -T4 -A -v -PE -PP -PS80,443,-PA3389,PU40125 -PY -g 53 --script all) 慢速全面扫描。 扫描结果如图
FOFA工具功能介绍
FOFA是一款空间搜索引擎,它可以通过进行网络空间测绘快速进行网络资产匹配
搜索HTTP响应头中含有“php”关键词且国家为中国的网站和IP
前面两项战术介绍的是攻击者入侵到企业之前的一些攻击技术,从“初始访问”开始,介绍的是攻击者入侵企业之后的一些攻击技术。通常,“初始访问”是指攻击者在企业环境中建立立足点。对于企业来说, 例如,攻击者使用鱼叉式钓鱼附件进行攻击。附件会利用某种类型的漏洞来实现该级别的访问, 例如PowerShell或其他脚本技术。如果执行成功,攻击者就可以采用其他策略和技术来实现最终目标。 Hack到对方网络去并且拿到一个入口,如何进入并且获取入口点,技术分为9个 路过损害即水坑攻击 利用面向公众的应用程序就是利用漏洞Exploit,对Web或者中间件,通过未公开或者已公开的漏洞进行访问 远程服务像SSH,MYSQL,这个我们上次也有提到过 硬件添加比如有毒的数据线, 这些方法都可以帮助黑客拿到入场券,对未来内网横向的移动、漫游、持久化做准备
Windows内置工具schtasks.exe提供了在本地或远程计算机上创建、修改和运行计划任务的功能。计划任务工具可用于实现“持久化”,并可与“横向移动”战术下的技术结合使用,从而实现远程“执行”。另外,该命令还可以通过参数来指定负责创建任务的用户和密码,以及运行任务的用户和密码。/rl参数可以指定任务以SYSTEM用户身份运行,这通常表示发生了“提升权限”行为。 攻击者可以使用schtasks命令进行横向移动,远程安排任务/作业。攻击者可以通过Task Scheduler GUI或脚本语言(如PowerShell)直接调用API。在这种情况下,需要额外的数据源来检测对抗行为。创建远程计划任务时,Windows使用RPC (135/tcp)与远程计算机上的Task Scheduler进行通信。建立RPC连接(CAR-2014-05-001)后,客户端将与在服务组netsvcs中运行的计划任务端口通信。通过数据包捕获正确的数据包解码器或基于字节流的签名,可以识别这些功能的远程调用。 在命令提示行中使用“schtasks”命令可以创建一个计划任务。![]() 首先create创建,/tn即taskname设置为PentestLab,指定唯一识别这个计划任务的名称 /tr即taskrun指定在这个计划时间运行的程序的路径和文件名。 /sc就是schedule,既定计划的频率,/ru就是username,指定任务在其下运行的“运行方式”就是系统账户。 bypass就是没有任何限制和提示的策略 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |