ATT&CK框架:攻击者最常用的TOP7攻击技术及其检测策略
之前,我们早已对ATT&CK展开了一系列的讲解,坚信大家都已理解,MitreATT&CK通过详细分析公开发表可取得的威胁情报报告,构成了一个极大的ATT&CK技术矩阵。诚然,这对于提升防御者的防御能力、减少攻击者的反击成本都有巨大作用。但也许是出于猎奇心理,很多威胁情报报告更好地是在报导攻击者用于的较为精致有意思的技术方法,而却忽略了攻击者重复用于的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上,发售了ATT&CKSightings项目,以期利用社区力量搜集更加多必要仔细观察数据的原因所在。
回应,一些安全性公司通过在现实环境中所搜集的必要仔细观察数据来检测反击技术,这种方法直观性更加强劲,也极具说服力。RedCanary是美国一家专门从事信息安全的网络安全公司,负责管理对客户环境中的终端数据展开大规模检索,来找寻攻击者。RedCanary分析了过去五年里,其客户环境中再次发生的一万多起蓄意事件,并将蓄意事件中用于的技术与ATT&CK框架展开了同构。本文将通过对比MitreATT&CK的Top20反击技术及RedCanary基于ATT&CK的Top20反击技术,确认了攻击者最常用的七项ATT&CK技术,并对其展开了详细分析。
Mitre公司VSRedCanaryTop20反击技术MitreATT&CK通过统合、分析400多份公开发表的威胁情报报告,将技术报告中的内容与ATT&CK技术展开了同构,MITREATT&CK整理得出结论的Top20反击技术为:攻击者最常用的TOP7反击技术1.“Powershell”倍受攻击者注目owerShell是Windows操作系统中包括的功能强大的交互式命令行界面和脚本环境。攻击者可以用于PowerShell继续执行许多操作者,还包括找到信息和继续执行代码,例如,用作运营可执行文件的Start-Processcmdlet和在本地或在远程计算机上运营命令的Invoke-Commandcmdlet。配置文件情况下,PowerShell基本上已包括在每个Windows操作系统中,获取了对WindowsAPI的几乎采访权限,还包括数百个可供开发人员和系统管理员用于的功能,但某种程度也遭攻击者的肆意利用。像许多核心平台实用程序一样,PowerShell库很更容易取得,因此也很更容易构建,需要曝露给定进程中的原始PowerShell功能。
那么该如何展开检测呢?进程监控是最广泛有效地的技术。进程监控可以让防御者确认在其环境中用于PowerShell的基准。
进程命令行监控则更加有效地,可以看穿哪些PowerShell实例企图通过编码命令传送有效地阻抗并以其他方式误解其最初意图。除了PowerShell脚本的配置文件主机之外,脚本还可以在读取PowerShell框架库的其他进程中继续执行。
要查阅该不道德,仔细观察模块阻抗以及展开分析以获取其他上下文,从而为检测获取反对。2.“脚本继续执行”不容忽视攻击者可能会用于脚本来协助展开操作者并继续执行其他本来应当是手动展开的多项操作者。脚本继续执行对于减缓操作者任务,增加采访关键资源所需的时间很简单。
通过必要在API级别与操作系统交互,而需要调用其他程序,某些脚本语言可以用作跨过过程监控机制。Windows的常用脚本语言还包括VBScript和PowerShell,但也可以使用命令行批处理脚本的形式。
安全性工具和人工分析的较慢发展让攻击者很难用于公开发表的反击载荷或者必要从磁盘提供涉及载荷。因此,攻击者必须寻找替代方法来继续执行有效载荷并继续执行其他蓄意活动,这是脚本涉及技术日益风行的主要原因。此外,该技术利用的运营时环境、库和可执行文件是每个现代计算出来平台的核心组件,无法只能停止使用,并且没一直对其展开紧密监控。
在Windows上,Windows脚本宿主(WSH)最简单的检测用例是基于processancestry的。这还包括监控从shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中分解的wscript.exe或cscript.exe。还建议监控从非标准方位继续执行的脚本,例如用户可写出路径,还包括appdatalocal*、其他类似于路径以及临时目录。
此外,监控进程元数据、进程命令行和文件改动都是十分最重要的策略。检测与托管地脚本涉及的二进制文件的怀疑模块读取(例如vbscript.dll)的检测系统也是有一点采行的策略。当然最完全的办法就是停止使用Windows脚本宿主,也可以强迫对脚本展开亲笔签名,以保证仅有继续执行批准后的脚本。
诸如AppLocker之类的工具还获取了与脚本继续执行涉及的其他约束。这些是防治策略,但也可用作检测之用,因为尝试继续执行予以许可的脚本不应产生更高质量的报警信号。3.“命令行界面”也是黑客最爱人命令行界面获取了一种与计算机系统展开交互的方式,并且是许多类型的操作系统平台的联合功能。
Windows系统上的令行界面是cmd,可用作继续执行许多任务,还包括继续执行其他软件。命令行界面可以通过远程桌面应用程序、声浪Shell不会话等在本地或远程展开交互。继续执行的命令以命令行界面进程的当前权限级别运营,除非该命令展开进程调用,变更继续执行权限(例如计划任务)。
命令行界面发展至今,早已有大量的成熟期工具可以用于。此外,命令行界面是一个十分轻巧的应用程序,关上时会给硬件带给开销,因此关上一起更加慢。而且在基于GUI的应用程序上已完成的所有任务,需要通过命令行界面更慢地关上。
针对这类反击,可以通过用于命令行参数准确记录展开继续执行情况来捕捉命令行界面活动。通过了解理解攻击者时如何用于本地进程或自定义工具的,可以更进一步理解攻击者的不道德。这就必须做以下两方面:(1)理解的组织机构中应用程序的少见来源;(2)搜集命令行和涉及的检测数据.4.“注册表runkey/启动文件夹”是构建长久简化的关键动作在注册表的“runkeys”或启动文件夹中加到一个条目,将不会导致用户指定时,该程序不会运营该条目。
这些程序将在用户的上下文中继续执行,并具备与账户完全相同的权限级别。注册表runkey和启动文件夹历年来都是各类攻击者构建长久简化的最重要目标。根据Microsoft文档,对注册表runkey的反对最少可以追溯到Windows95。有可信记录指出,作为一种长久化机制,加之更容易实行,该技术在一定程度上说明了其为何在攻击者中用于十分广泛。
攻击者仅有必须用户级别的权限,并具备载入注册表或将有效地阻抗扯放在启动文件夹的功能。虽然构建一起比较非常简单,但十分有效地。
随着时间的流逝,该技术早已从提到可继续执行有效地阻抗发展为读取动态库,并利用了其他技术(例如regsvr32和脚本继续执行)。针对该反击技术,可以在长久化机制生命周期的三个不同点上有效地构建检测:加装时、休眠状态时以及启动时时。在加装时检测runkey和启动文件夹项目必须监控特定注册表和文件系统路径的更改情况。
可以通过平台文档或通过提到一些实用程序来报告否不存在这些配备来列出这些路径。此外,可能会顺利检查任何未知与这些路径融合用于的文件类型,例如LNK。
要检测已加装且正处于休眠状态的长久化,可以检查同一注册表和文件系统路径的内容中否不存在怀疑条目。创立一个基准并定期监控否有位移基准的情况,以此来增加调查工作量。
当然,长久化总有一天会分开再次发生,它一直是超过目的的手段。因此,监控预期某些更改不会牵涉到哪些进程以及仍未仔细观察到的进程之间的关系也是十分有效地的。
5.“伪装成”是跨过防卫的最佳办法伪装成是指为了躲避防卫和仔细观察而操控或欺诈合法或蓄意的可执行文件的名称或方位的情况。攻击者利用伪装成作为跨过防卫技术的手段或愚弄手段。
攻击者用于该技术通过使蓄意可执行文件和软件看上去合法或预期来毁坏机器和人工分析。伪装成的构建范围很广,从非常简单地重命名可执行文件(从而让这些文件看上去更加看起来长时间系统进程)到更加简单的方法(例如命令行愚弄)。伪装成在攻击者中用于很广泛,因为它符合了跨过防卫技术和人为分析的非常简单市场需求,并且比较更容易实行。
检测伪装成技术的一种策略是利用二进制元数据,例如在文件创建或亲笔签名时的完整文件名。例如,如果要查询wscript.exe,则不应查询具备该名称的二进制文件,也不应查询具备完整文件名WScript的任何二进制文件。
虽然,可以检测名称或元数据为wscript.exe的任何二进制文件,但基于文件的亲笔签名、哈希或其他标识符并不可靠。因此可对文件方位创建一个基准,对上述方法展开补足。
如果我们理解等价二进制文件通过哪个路径继续执行,则可以在其他任何地方看见该标志时,就可以启动时报警。6.“误解文件或信息”可躲避基于亲笔签名的检测系统攻击者可能会企图通过加密、编码或其他方式误解系统上或传输中的可执行文件或文件内容,从而使其无法找到或分析。这是一种可以横跨有所不同的平台和网络用于,以跨过防卫的少见不道德。许多网络安全检测产品(防病毒软件、IDS等)设计为基于恶意软件的亲笔签名运营。
一旦找到了在野党用于的特定恶意软件变体,之后不会萃取出该恶意软件的独有功能,并用作在未来病毒感染中对其展开检测和辨识。将通过网络边界或iTunes到主机的每条数据与这些亲笔签名展开较为。如果寻找给定项,则将采取措施(移除、隔绝、警报等)。
误解的目的是跨过这些基于亲笔签名的检测系统,并减少对恶意软件样本展开核查分析的可玩性。如果以某种方式误解了亲笔签名所基于的数据或代码,则检测引擎在找寻显文本亲笔签名时就无法寻找给定项。
不存在许多误解算法,例如传输、编码、加密、隐写等等。恶意软件使用者可以隐蔽各种有所不同类型的文件和数据。
例如,恶意软件有可能被设计为用于误解来隐蔽其恶意代码。或者,恶意软件变体可能会对其配置文件展开加密,从而使恶意软件分析师更加难以解读其功能。想检测误解文件或者信息,除非在误解过程留给了可以检测到的独有伪像,否则很难检测文件误解。如果无法检测,则可以去检测继续执行误解文件的蓄意活动(例如,用作在文件系统上载入、加载或改动文件的方法)。
标记并分析包括误解命令符和未知怀疑语法(例如未解释的转义字符,如'''^'''和'''"''')的命令。反误解工具可以用来检测文件/有效载荷中的这些指标。
此外,可以在网络上检测到用作初始采访的有效载荷中用于了哪些误解方法。还可以用于网络侵略检测系统和电子邮件网关检验来辨识传输和加密的附件和脚本。
某些电子邮件附件展出系统可以关上传输和加密的附件。通过网站从加密相连传送的有效载荷必须展开加密的网络流量检查。
7.“凭据转储”让黑客在内网为所欲为凭据转储就是指操作系统和软件提供帐户登录名和密码信息的过程,一般来说是哈希或明文密码形式的信息。展开凭据转储后,攻击者就可以用于凭据展开纵向移动及采访有限信息。凭据转储是攻击者采访目标的组织中的用户帐户和其他资源的联合市场需求。
攻击者还利用转储的凭据来构建权限提高和纵向移动。凭据对于攻击者而言是如此最重要,以致在许多情况下,提供用户名和密码不仅是超过目的的手段,而且是反击的整个目标。
因此,在各种犯罪论坛上,凭据都是可出售的商品,并且有些网站可以跟踪公开发表的凭据转储情况。除了将转储凭据用作出售和初始采访外,凭据是漏洞利用后的一个最重要部分。
一旦攻击者取得对环境的初始采访权限,一般来说必须某种级别的特权采访权限才能构建反击活动中的更进一步目标。虽然有很多方法可以提升特权级别,但是最有效地和可信的方法之一是用于具备特定级别权限的人员的合法凭据。
凭据可以从内存中以显文本格式萃取。监控对特定进程的采访可以为防御者获取一种检测凭据转储的方式。这种检测方法很更容易产生大量误报事件,因为操作系统的内置功能也可以采访这些过程。
防御者要重点注目潜在问题进程之间的交互来增加这种噪声。检测否不存在凭据转储的另一种方法是分析常用工具,并用于其他数据源作为涉及点,基于留给的指纹来制订检测策略。
注册表项和文件改动就是一个很好的切入点。写出在最后我们之前早已针对ATT&CK框架展开了一系列的讲解,有兴趣的读者可以读者一下之前的涉及文章。但是,ATT&CK框架包括了300多种技术,而且每种技术又包括多种变体。
面临一个体型如此可观的框架,可能会让人有些望而却步,一脸茫然,知道该从何处应从。本文通过对比分析MITREATT&CK和RedCanary总结分析的Top20反击技术,找到其中有七项技术是重合的,引人注目说明了这七项反击技术在攻击者中的普遍性,是必须防御者重点注目或是创建防卫方案时的著手点。本文对这七项技术展开了非常简单的讲解,说明了这些技术需要获得攻击者注目的原因所在,并得出了检测策略,期望需要为读者用于ATT&CK框架带给一些协助。
本文关键词:ATT,amp,框架,攻击者,最常,用的,TOP7,攻击,技术,新葡萄88805官网
本文来源:新葡萄88805官网-www.mhbxw.cn