压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2020年，MITRE ATT&CK框架在兩個維度上有重大突破，首先是更“細(xì)”，今年七月份發(fā)布包含子技術(shù)（例如T1055進程注入這個技術(shù)在新版中包含11個子技術(shù)，子技術(shù)的編號在父技術(shù)的基礎(chǔ)上擴展）的新版本ATT&CK框架，然后是更“廣”，MITRE首席網(wǎng)絡(luò)安全工程師Jen Burns不久前曾透露下一個版本的ATT&CK框架將與PRE-ATT&CK合并，從而將網(wǎng)絡(luò)攻擊生命周期的前兩個階段——偵察和武器化/資源開發(fā)也覆蓋進來，將ATT&CK框架打造成覆蓋完整網(wǎng)絡(luò)攻擊生命周期（包括Kill Chain所有階段）的知識框架。可以預(yù)見，隨著MITRE ATT&CK年中的重大迭代，該框架在安全行業(yè)中的地位和意義將進一步提升。本文，我們將回顧過去一年ATT&CK最流行的攻擊技術(shù)和戰(zhàn)術(shù)。

MITRE ATT&CK 是基于實戰(zhàn)的，全球可訪問的網(wǎng)絡(luò)安全攻防戰(zhàn)術(shù)和技術(shù)知識庫，也是近幾年網(wǎng)絡(luò)安全領(lǐng)域最熱門的工具和話題之一。如今ATT&CK 知識庫已經(jīng)成為私營部門、政府和網(wǎng)絡(luò)安全產(chǎn)品服務(wù)社區(qū)開發(fā)特定威脅模型和方法的基礎(chǔ)工具。

ATT&CK 包含 200 多種獨特的技術(shù)（也稱為 TTP）和每兩年更新一次，是一個非常詳細(xì)的庫，包含各種攻擊戰(zhàn)術(shù)或類別，以及可以利用的常規(guī)系統(tǒng)管理員行為。在 ATT&CK 框架的幫助下，安全團隊對攻擊者的行為有了更廣泛的了解，從而可以針對這些技術(shù)測試緩解和檢測方法。MITRE ATT&CK已成為許多網(wǎng)絡(luò)安全學(xué)科的有用工具，用于提供情報、紅隊對手仿真測試，以及改進網(wǎng)絡(luò)和系統(tǒng)防御入侵的能力。

不斷進化的MITRE ATT&CK框架解決了信息安全社區(qū)面臨的緊迫問題：面對大量有關(guān)對手行為、惡意軟件和漏洞利用的數(shù)據(jù)，如何理解它？現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品和入侵防護檢測的能力（有效性）怎么樣？MITRE ATT&CK框架為從業(yè)者和用戶創(chuàng)建了一個明確的，可衡量可量化的行業(yè)標(biāo)準(zhǔn)和通用語言，以評估其安全工具、安全風(fēng)險和安全能力。

“ATT&CK”并非一個學(xué)院派的理論框架，而是來源于實戰(zhàn)。安全從業(yè)者們再長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉總結(jié)，形成了實用性強、說得清道得明得體系框架。這個框架是先進的、充滿生命力的，而且具備非常高得使用價值。——引自《ATT&CK框架使用指南》

MITRE ATT&CK的生命力來自于安全社區(qū)，通過對MITRE ATT&CK社區(qū)的數(shù)據(jù)統(tǒng)計和分析，有助于防御者發(fā)現(xiàn)網(wǎng)絡(luò)犯罪和攻擊的主流趨勢，并盡快做好準(zhǔn)備。以下，我們根據(jù)recorded future公司發(fā)布的MITRE ATT&CK統(tǒng)計報告，介紹2019年十大ATT&CK攻擊技術(shù), 希望能對紅藍團隊練習(xí)、滲透測試、威脅搜尋和各種安全運營團隊提供參考。

十大?ATT&CK?攻擊技戰(zhàn)術(shù)（TTP）

1.?T1063：安全軟件發(fā)現(xiàn)|戰(zhàn)術(shù)：發(fā)現(xiàn)

安全軟件發(fā)現(xiàn) （T1063） 是2019年ATT&CK榜單上中最流行的技術(shù)。作為發(fā)現(xiàn)戰(zhàn)術(shù)的一部分，T1063 表示對手了解已經(jīng)部署的安全控制，同時，它也是防御逃避戰(zhàn)術(shù)的重要前奏。這種技術(shù)在被惡意軟件家族廣泛使用。

T1063?的實施

• 常見的遠(yuǎn)程訪問工具（如 njRAT）可以列出安全軟件，例如使用基于 Windows 的 WMIC 來標(biāo)識受害者計算機上安裝的防病毒產(chǎn)品并獲取防火墻詳細(xì)信息。
• Empire 是一個開源、跨平臺遠(yuǎn)程管理和后開發(fā)框架，它也能夠枚舉目標(biāo)計算機上流行的防病毒軟件。

T1063的緩解

T1063難以緩解，因為該技術(shù)是對合法網(wǎng)絡(luò)操作的濫用。但是，如果具有內(nèi)置功能的遠(yuǎn)程訪問工具直接與Windows API交互以收集信息，則可以進行檢測。收集何時請求數(shù)據(jù)的信息可以揭示不良行為。

2.?T1027：混淆文件或信息?|?戰(zhàn)術(shù)：防御躲避

攻擊者采用的主要躲避方法之一是通過混淆加密或以其他方式操縱文件的結(jié)構(gòu)讓檢測或后續(xù)研究更得更加困難。

T1027的實施

• 某些PowerShell模塊（例如Empire框架或“Don’t Kill My Cat?”載荷逃避工具中的模塊）能夠運行“ Invoke-Obfuscation”命令來在Base64中編碼文件或字符串。
• 許多著名的惡意軟件家族都依靠混淆來逃避檢測。例如，在2018年12月，Emotet在以圣誕節(jié)賀卡為主題的網(wǎng)絡(luò)釣魚活動使用了混淆的VBA代碼。

T1027的緩解

除非混淆過程留下的痕跡可以通過簽名檢測到，否則T1027的檢測非常具有挑戰(zhàn)性。不過，如果無法檢測到混淆本身，防御者仍然可能檢測到創(chuàng)建混淆文件的惡意活動（如果該方法用于在文件系統(tǒng)上寫入，讀取或修改文件）。另外，可以在網(wǎng)絡(luò)層檢測到初始訪問載荷中使用的混淆。此外，網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）和電子郵件網(wǎng)關(guān)過濾也可以識別壓縮或加密的附件與腳本。

3.?T1055：進程注入?|?戰(zhàn)術(shù)：防御閃避

進程注入（T1055）是一種在進程的地址空間內(nèi)運行自定義代碼的技術(shù)。它是防御規(guī)避，特權(quán)升級以及(某些情況下)駐留會用到的一種技術(shù)。T1055利用合法進程進行隱藏，因此非常流行，這些合法進程包括但不限于：動態(tài)鏈接庫（DLL）注入，便攜式可執(zhí)行注入，ptrace系統(tǒng)調(diào)用，VDSO劫持等。

T1055的實施

• 威脅組織Turla曾對C2通信的合法進程執(zhí)行了DLL注入，并使用PowerSploit將PowerShell負(fù)載有效地加載到受害系統(tǒng)上的隨機進程中。

T1055的緩解

通過使用端點安全解決方案和啟發(fā)式工具來基于已知的行為模式識別和終止進程，從而緩解T1055。

4.?T1082：系統(tǒng)信息發(fā)現(xiàn)?|?戰(zhàn)術(shù)：發(fā)現(xiàn)

與T1063類似，系統(tǒng)信息發(fā)現(xiàn)（T1082）是攻擊者獲取有關(guān)操作系統(tǒng)和硬件的詳細(xì)信息的另一種方式，包括版本，補丁，修補程序，服務(wù)包和體系結(jié)構(gòu)等。這些信息有助于攻擊者決策使用何種攻擊載體。

T1082的實施

• 像其他發(fā)現(xiàn)技術(shù)一樣，T1082的使用會濫用合法過程來獲取信息。在Windows系統(tǒng)中，這意味著使用“ ver”，“ systeminfo”和“ dir”之類的命令來標(biāo)識文件和目錄，或者在macOS上使用“ systemsetup”或“ system_profiler”來提供系統(tǒng)，配置的詳細(xì)分類，防火墻規(guī)則等。
• 盡管其中一些命令需要管理員特權(quán)，但是在任何特權(quán)升級技術(shù)之前，仍可以先使用T1082。AWS，GCP或Azure等云計算基礎(chǔ)設(shè)施中的錯誤配置可以是T1082的攻擊對象。

T1082的緩解

檢測T1082所需的數(shù)據(jù)集可能很大的“噪聲”，因為系統(tǒng)信息發(fā)現(xiàn)有其合法用途。但是，監(jiān)視那些采集系統(tǒng)和網(wǎng)絡(luò)信息的命令參數(shù)（或云計算系統(tǒng)中的本機日志）可以幫助識別對手的行為。

5.?T1057：進程發(fā)現(xiàn)?|?戰(zhàn)術(shù)：發(fā)現(xiàn)

與其他發(fā)現(xiàn)技術(shù)類似，系統(tǒng)配置枚舉可能是對手獲取決策信息的關(guān)鍵部分。除了命令格式的細(xì)微區(qū)別外，該技術(shù)還與平臺無關(guān)。

T1057的實施

• 使用Windows工具“任務(wù)列表”或Mac和Linux中的“ ps”命令是惡意軟件中常見的功能（例如Winnti）。
• 威脅參與者開始使用Process Discovery來發(fā)現(xiàn)和關(guān)閉安全研究人員工具。例如，在2018年末，觀察到伊朗威脅組織MuddyWater?檢查受害者系統(tǒng)上正在運行的進程，以尋找常見惡意軟件研究工具的證據(jù)。

T1057的緩解

與T1082的檢測方法一樣。

6.?T1045：軟件打包?|?戰(zhàn)術(shù)：防御閃避

與運行時或軟件打包程序相關(guān)聯(lián)的軟件打包（T1045）會壓縮初始文件或可執(zhí)行文件。盡管程序員也會使用軟件打包來降低存儲成本，但攻擊者也很喜歡這種技術(shù)，因為打包可執(zhí)行文件會更改其文件簽名并減小文件體積，從而使基于簽名或占用空間的檢測更加困難。

T1045的實施

• 許多APT相關(guān)惡意軟件變體都使用軟件打包技術(shù)，包括Uroburos（已使用其運營商Turla?的自定義打包程序）和APT28的Zebrocy（使用開源打包程序）。

T1045的緩解

通常可以使用反惡意軟件或防病毒軟件配置來緩解T1045。可以通過掃描已知的軟件打包工具（例如Aspack）或打包技術(shù)的工件來檢測軟件打包。但是，軟件打包也具有合法用途，因此并不一定都是惡意行為。

7.DLL側(cè)加載?|?戰(zhàn)術(shù)：防御閃避

DLL Side Loading（T1073）（僅在Windows操作系統(tǒng)中進行）是將欺騙性的惡意DLL文件放置在特定目錄中后，被當(dāng)作合法DLL加載。該技術(shù)將惡意代碼混入到合法的服務(wù)或流程中，而不是運行新的無法識別的流程，從而幫助威脅行為者逃避防御。

T1073的實施

• 已知有多個APT組織使用該技術(shù)，例如APT32。據(jù)報道，在2020年1月，Winnti威脅小組在對香港大學(xué)的攻擊中使用了DLL Side Loading技術(shù)。

T1073的緩解

DLL Side Loading會濫用合法進程，從而使緩解和檢測變得困難，但并非不可能。通過限制嘗試訪問文件和目錄的用戶的權(quán)限，安全團隊可以減少能夠執(zhí)行該技術(shù)的用戶數(shù)量。嘗試檢測T1073時，團隊可以比較DLL進程的執(zhí)行時間，以發(fā)現(xiàn)非補丁造成的異常差異。

8.?T1022：數(shù)據(jù)加密?|?戰(zhàn)術(shù)：滲透

數(shù)據(jù)加密（T1022）是滲透戰(zhàn)術(shù)下的一種技術(shù)，它是對手使用的另一種非常流行的技術(shù)。通過在泄露信息之前對數(shù)據(jù)進行加密，參與者可以更有效地隱藏被盜數(shù)據(jù)的內(nèi)容。今天有多種加密方法可供對手使用。

T1022的實施

• Lazarus Group使用Zlib壓縮和XOR操作來加密數(shù)據(jù)并將其泄漏到C2服務(wù)器。
• WARZONE RAT（也稱為Ave Maria Stealer）是一種主要在犯罪地下組織出售的遠(yuǎn)程訪問木馬，主要由Solmyr在Hack Forums和Nulled上出售。該惡意軟件的功能包括加密技術(shù)以及UAC繞過、密碼竊取和RDP訪問。

T1022的緩解

創(chuàng)建規(guī)則或針對異常加密命令發(fā)出警報，或使用啟發(fā)式工具來識別與數(shù)據(jù)加密有關(guān)的異常行為。網(wǎng)絡(luò)流量熵也可能發(fā)現(xiàn)加密數(shù)據(jù)的泄露。

9.?T1106：通過API執(zhí)行?|?戰(zhàn)術(shù)：執(zhí)行

通過API執(zhí)行（T1106）是攻擊者對合法應(yīng)用程序接口的一種攻擊性濫用。此技術(shù)允許用戶提取數(shù)據(jù)，并在宏級別與程序和腳本進行交互。

T1106的實施

• Turla Group使用的LightNeuron是一個復(fù)雜的后門，它濫用了Microsoft Exchange Mail服務(wù)器。關(guān)聯(lián)的過程之一是API命令CreateProcess。
• API的惡意使用不僅會被用于直接執(zhí)行，由于網(wǎng)絡(luò)防御者可以監(jiān)視API調(diào)用是否有惡意活動，因此攻擊者還會用冗余API調(diào)用的方法來制造“噪音”。

T1106的緩解

始終監(jiān)視所有API調(diào)用對于網(wǎng)絡(luò)防御者來說是個費時費力的工作。不過，組織可以使用應(yīng)用程序白名單工具來減輕惡意API調(diào)用。他們還可以利用新型API濫用相關(guān)的威脅情報來更快地查明可疑的API使用。

10.?T1032：標(biāo)準(zhǔn)加密協(xié)議?|?戰(zhàn)術(shù)：命令與控制

與數(shù)據(jù)加密（T1022）技術(shù)不同，攻擊者可以使用標(biāo)準(zhǔn)加密協(xié)議（T1032）技術(shù)將C2流量隱藏在常規(guī)使用的加密機制之后。T1032是“命令與控制”戰(zhàn)術(shù)的一部分，被認(rèn)為是攻擊的最后階段之一。

T1032的實施

• RC4和AES是許多不同惡意軟件變體的C2流量或配置的常用加密方法，包括銀行木馬IcedID（RC4）和Glupteba僵尸網(wǎng)絡(luò)（AES）。在2019年8月，觀察到偽裝成所得稅計算器的惡意軟件xRAT?使用AES?加密C2流量。

T1032的緩解

幸運的是，對于嘗試檢測T1032的安全團隊來說，如果T1032在示例配置文件中生成了構(gòu)件或密鑰，則其某些實現(xiàn)可能比較容易被逆向工程。網(wǎng)絡(luò)IDS和預(yù)防技術(shù)可以幫助緩解網(wǎng)絡(luò)層的攻擊活動，此外SSL / TLS檢查可以幫助尋找加密會話。

主要發(fā)現(xiàn)

• 最常見的攻擊戰(zhàn)術(shù)是防御規(guī)避（TA005），最常見的技術(shù)是安全軟件發(fā)現(xiàn)（T1063）。防御規(guī)避包括避免檢測、隱藏在受信任進程中、混淆惡意腳本、以及禁用安全軟件。下一個最常見的戰(zhàn)術(shù)，發(fā)現(xiàn)（TA007），涉及對目標(biāo)網(wǎng)絡(luò)或主機的知識和理解。
• 幾乎所有TOP10技術(shù)都與許多著名的惡意軟件變體相關(guān)，例如Emotet、Trickbot 和 njRAT 這樣的木馬程序，以及Gafgyt和Mirai這樣的僵尸網(wǎng)絡(luò)，還有像Coinminer這樣的挖礦軟件。

展望與建議

發(fā)現(xiàn)和防御逃避是2019年最流行的ATT&CK技術(shù)。多數(shù)情況下，這些技術(shù)會利用合法軟件功能，這使基于簽名的純檢測變得更加困難，難以識別惡意活動。總體而言，有效緩解這些技術(shù)需要采用縱深防御方法，并且對正常的網(wǎng)絡(luò)配置和活動高度熟悉。以下常規(guī)操作可以作為檢測和阻止依賴這些技術(shù)的起點：

• 監(jiān)視公共進程，配置文件，API調(diào)用或文件系統(tǒng)的新實例或異常更改。
• 監(jiān)視不尋常或頻繁的命令參數(shù)，這些參數(shù)通常用作發(fā)現(xiàn)技術(shù)的一部分。
• 保持防病毒和反惡意軟件程序的更新，以領(lǐng)先于新打包或加密的惡意軟件。
• 打開軟件的自動更新，以防止網(wǎng)絡(luò)攻擊者識別和利用易受攻擊的系統(tǒng)或軟件。

2020年，網(wǎng)絡(luò)攻擊者將更加頻繁地使用 “發(fā)現(xiàn)和防御規(guī)避”策略，并且，隨著安全解決方案檢測方法的完善，ATT&CK攻擊技術(shù)也正快速演進。