揭秘兵工厂：探索攻击者工具集和战术

网络安全已成为数字时代的重要组成部分。网络攻击的扩散对个人、组织和政府都构成了重大威胁。当我们在这个数字环境中前行时，了解网络对手不断演变的战术对我们的整体安全至关重要。

随着时间的推移，网络犯罪分子变得越来越老练和足智多谋，他们使用各种工具和技术来入侵网络、窃取数据和破坏关键业务。为了抵御这些不断演变的威胁，了解攻击者的目标及其使用的武器至关重要。

攻击工具集及其目标

防御者仍在不断地与网络对手进行复杂的战斗。随着组织不断加强自身的防御，攻击者已经逐渐适应，并采用愈发复杂的工具集来逃避检测并实现其目标。了解这些工具集及其不同的目标对于防范网络威胁至关重要。攻击者有不同的目标和动机来驱动其行动。他们的目标多种多样，从通过勒索软件加密文件等手段获得经济利益，到以间谍活动或知识产权盗窃为目的窃取数据。一些人的目标是破坏关键的基础设施，而另一些人则从事黑客行动主义，以满足其成就感。了解此类攻击的工具集和策略在网络安全领域至关重要。为了更好地理解这种攻击策略，我们分解了导致数据渗漏（Data Exfiltration）的关键步骤。

数据渗漏步骤分解

数据渗漏已经成为威胁团伙——特别是勒索软件团伙——的一种有吸引力的策略，因为它具有极大经济利益优势。窃取的数据可以用于出售，从而对目标组织或个人产生长期影响。即使受害者可以解密他们的加密文件或从备份中恢复文件，如果他们的被盗数据暴露，他们仍然可能面临巨大的成本和声誉损害。

在本节中，我们将剖析攻击者精心策划的数据渗漏步骤，并揭露其用于窃取敏感数据的工具和策略。

阶段1：破墙而出——初始访问

大多数组织的宝藏——重要数据都位于其受保护的网络和系统中。而大多数攻击者的最终目标都是获取它们。为了做到这一点，他们会首先破坏目标环境，然后发动攻击，在组织的网络内横向移动，并最终实现其目标。最终目标可能包括数据窃取、系统操纵或其他恶意活动。

为了实现初始访问，攻击者会利用各种技术，而每种技术都旨在利用目标安全态势中的漏洞或弱点。目前，最普遍的方法之一是网络钓鱼，攻击者通过使用广泛访问的电子邮件服务发送欺骗性电子邮件或消息来窃取凭据。这些电子邮件经常包含托管在外部平台上的恶意链接。众所周知，攻击者会使用社会工程工具包（Social Engineer Toolkit，SET）等现成的开源工具来制作令人信服的网络钓鱼邮件。

作为一种更具针对性的变体，鱼叉式网络钓鱼和社会工程也在广泛应用中。威胁行为者会从LinkedIn等社交媒体平台、ZoomInfo等研究服务或公司网站收集信息，并针对特定目标个性化定制其钓鱼信息，以增强钓鱼邮件的可信度和成功率。

2023年8月，WithSecure报告称，越南威胁组织通过多个平台瞄准个人，以获取Meta Business账户的访问权限。

以附件形式发送恶意软件的电子邮件是网络犯罪分子用来危害个人和组织的一种非常有效的方法。恶意软件的传播趋势目前偏向于基于办公的文件，如Word和Excel。此类文档可能包含恶意链接、excel公式或宏。

【图1：2023年WithSecure检测到的恶意软件交付趋势】

与此同时，攻击者还在面向公众的应用程序和外部远程服务（包括虚拟专用网络）中寻找漏洞，以确保在组织网络中的初始立足点。他们利用互联网扫描工具（如Shodan）或漏洞扫描工具（如Nessus或Qualys）来识别公共设备和服务中的弱点。一旦识别出这些漏洞，他们就会使用Metasploit等知名工具或定制的漏洞利用代码来利用这些漏洞。

此外，攻击者还会通过各种手段获取有效凭据，包括社会工程或其他网络攻击。这种方法使他们能够使用合法但被盗的用户信息访问服务，如Windows远程桌面协议（RDP），SSH（Secure Shell）或VPN解决方案（如Cisco AnyConnect）。

暴力攻击——包括反复尝试用户名和密码的组合——也在被广泛滥用。像Hydra或CrackMapExec这样的自动化工具经常用于这些情况。对于web应用程序，攻击者则依赖Burp Suite之类的工具来发现和利用薄弱的身份验证机制。

从本质上讲，初始访问的世界并不仅仅局限于恶意软件。它包含了广泛的技术，每一个都有自己独特的特点和策略。认识到这种多样性，对于组织在不断发展的网络威胁面前保持领先地位并有效保护其数字环境至关重要。

阶段2：确定宝藏——侦察和发现

威胁行为者在获取对目标环境的初始访问权限之后，可能还并不知道环境中有什么，也不知道如何遍历其网络和系统。但是，诸如Advanced Port Scanner、PINGCASTLE、Angry IP Scanner、Masscan和Nmap等工具通常可以提供帮助，以映射目标网络。

该阶段的目标是识别有价值的资产，如服务器、数据库和关键任务系统，发现漏洞，并定位其他潜在的入口点。枚举网络——特别是活动目录——是攻击者通常采取的一个步骤。像BloodHound这样的工具在这里发挥了关键作用，帮助攻击者在Active Directory环境中映射用户、组和设备之间的关系。这种对神经网络结构的理解对于后续的横向移动步骤至关重要。

阶段3：获得主密钥——特权升级

在获得立足点并在环境中搜索有价值的资产之后，攻击者便将目光投向获得足够的权限来访问这些资产。像Rubeus和Mimikatz这样的工具在该阶段扮演着关键的角色。它们允许攻击者操纵进程和系统内存，窃取或操纵Kerberos票据，并提升他们在网络中的权限。

阶段4：掩盖踪迹——防御躲避

如果威胁行为者在攻击之前、期间或之后被抓住，入侵就无法形成。为了逃避检测，攻击者开始转向各种技术和工具（包括HRSWORD和Defender Control）来掩盖他们的行动，操纵日志，消除数字足迹，绕过防御控制机制并阻碍调查工作。

阶段5：扩散影响——横向移动

有了适当的特权，攻击者就可以开始从一个受损系统横向移动到另一个系统。像PSEXEC和SHARPHOUND这样的工具促进了这种活动，支持远程命令执行，识别Active Directory信任关系，并可视化到数据存储库的潜在路径。

【图2：在2023年的Elements EDR遥测中看到的横向移动趋势】

Windows管理工具（WMI）是攻击者最常用的方法。WMI可以在被破坏的域中远程调用，也可以用于执行、持久化、发现和其他破坏后活动。WMI可以通过编程方式和内置实用程序（如wmic）进行交互。

【图3：通过WMI的横向移动】

攻击者采用的另一个值得注意的方法是使用PSExec。服务控制管理器（SCM）支持通过传输控制协议（RPC/TCP）和命名管道（RPC/NP）进行远程过程调用。PSExec可用于创建服务并在远程主机上启动PSEXESVC。图4展示了攻击者使用PSEXESVC启动修改后的openssl库来设置cobaltstrike信标，然后通过配置计划任务建立持久性。

【图4：通过PSExec的横向移动】

阶段6：保护访问——持久性

在这个阶段，攻击者试图在系统中保持立足点。他们会利用AnyConnect和Ngrok等工具来维护与受损系统的安全远程连接，确保他们可以随意返回。此外，攻击者还会利用注册表操作、计划任务和服务修改来创建机制，以便在受到损害的系统启动时自动执行恶意代码。

阶段7：大洗劫——凭证盗窃和数据渗漏

该阶段是推动整个行动的关键一步。此时，攻击者会使用LaZagne和NIRSOFTPASSVIEW等工具从受损系统中获取存储的密码和凭据。这些被盗的凭证可以授予其对网络中其他帐户和资源的访问权限，从而扩大攻击者的范围。最后，为了从被入侵的系统中窃取敏感信息和机密数据，攻击者会使用诸如WinSCP和RCLONE之类的工具。然后，被盗的数据经常被用于敲诈勒索或黑市交易。

了解这一系列事件对于防御者和组织阻止攻击是非常重要的。攻击者可能会遵循许多事件序列，并且他们的策略可以根据他们的目标、目标和他们利用的漏洞而有很大的不同。这些序列被称为“攻击向量”或“攻击链”。每个攻击链都是攻击者用来实现其目标的战术、技术和过程（TTPs）的独特组合。

在接下来的部分中，我们将深入挖掘现实世界的案例，提供对其目标、战术和缓解策略的见解。

现实行动中的攻击工具集

虽然我们探索了网络攻击及其工具集的理论方面，但在实际案例中观察这些概念同样至关重要。在本节中，我们将介绍在WithSecure EDR遥测中看到的事件，这些事件说明了威胁参与者使用不同工具集的场景，以及它们对目标组织和个人的实际影响。

攻击武器库

在2023年4月，WithSecure检测和响应团队响应了一起事件，在此事件中，攻击者通过RDP访问系统，然后继续利用许多其他工具执行攻击。攻击者的武器库包含了非常多精心选择和部署的工具，以确保全面覆盖攻击生命周期。攻击者在此事件中部署的工具如下：

• ToggleDefender；

• Advanced Port Scanner；

• Rubeus；

• Anyconnect；

• Zerologon；

• ProxifierSetup；

• WinSCP；

• Secretsdump；

• PortStarter；

这些工具经由RDP会话通过驱动映射从攻击者的系统执行。一个示例命令行是：“%lan%ClientC$UsersAdministratorDesktopAdvanced_Port_Scanner_2.5.3869.exe”

ToggleDefender被用来通过禁用和更改安全工具来削弱防御。它的目的是阻碍安全产品的检测和有效响应的能力。

Advanced Port Scanner用于网络服务发现，允许攻击者识别开放的端口和服务，为潜在的横向移动入口点提供关键信息。

Rubeus被用于凭证访问，使攻击者能够窃取或伪造Kerberos票据，授予未经授权的访问并可能升级特权。

Anyconnect服务于双重目的——确保持久性和通过安全远程连接实现初始访问。

Zerologon是一种通常与横向移动相关的工具，它被用来利用远程服务漏洞（如Zerologon漏洞）来遍行网络。ProxifierSetup.exe帮助命令和控制，允许攻击者建立远程控制的代理连接，同时避免检测。

WinSCP用于窃取，将窃取的数据从受损系统传输到外部位置。

最后，Secretsdump用于操作系统凭证转储，从受损系统中提取登录凭证，进一步扩展攻击者在网络中的访问权限。

攻击者还部署了一个自定义后门，Portstarter，用Go语言编写。在执行时，它使用各种win API收集主机信息，以读取注册表值并查询用户、主机和进程信息。

该工具执行两个PowerShell命令。它首先启动了“powershell.exe -command‘get-wmiobject win32_computersystem | select-object -expandproperty domain’”。等待一段时间后，它启动了第二个PowerShell命令来检索受感染系统的公共IP地址“PowerShell .exe -command‘& nslookup myip.opendns.com resolver1.opendns.com’”。最后，经过几个sleep()周期后，它打开了一个网络连接，并打开了到命令和控制服务器的端口。

尽管Portstarter是一种商业工具，可以被任何威胁组织利用，但它通常与“VICE SOCIETY”组织联系在一起。根据WithSecure遥测，在2023年，Portstarter后门被发现在芬兰、挪威、丹麦的多起事件中使用，最近还在爱尔兰的一所教育机构中使用。早前有报道称VICE SOCIETY的目标正是教育部门。

最好的留在最后

攻击者通常坚持使用被证明有效的方法。当他们决定更改这些方法时，通常是为了响应当前方法被阻止或使他们的攻击更有效。在2023年3月，WithSecure遇到了一起这样的事件，在获得访问权限后，攻击者试图在数天的时间内部署包括勒索软件在内的多个工具。他们试图部署的所有文件（包括play勒索软件）都被WithSecure的端点产品阻止了。因此，攻击者试图部署自定义工具“GRB_NET.exe”作为最后的手段。但是，这个工具也被WithSecure端点产品阻止了。

攻击者在此事件中使用的工具如下：

• Nekto/PriviCMD (clfs.exe)；

• CLFS CVE-2023-23376 (sys.dll)；

• SharpView (av_scan.exe)；

• Rubeus (imfa.exe)；

• Rubeus (brown_dot.dll)；

• SystemBC (host.sa)；

• PCHUNTER (PCHunter64ar.sys)；

• Grixba (GRB_NET.exe)；

这次事件中加载的工具似乎是一个功能有限（包括网络扫描和事件日志清理）的测试版工具。然而，该工具的更新、更高级的版本后来有了更多的功能。攻击者参与此次事件的动机是部署play勒索软件。根据WithSecure遥测技术，Grixba在瑞典事件中被用作Play勒索软件部署的前兆。

依赖合法工具

2023年8月，WithSecure识别并分析了意大利一家组织服务器上的可疑活动。为了不被发现，攻击者主要在办公时间之后进行活动，每天访问系统的时间不超过2到3小时。

在此事件中使用的工具包括：

• Gost（Golang简单隧道）

• NetScan

当端点产品阻止这些工具执行可疑活动时，攻击者就会转而使用合法的系统文件来实现他们的目标。攻击者开始使用内置的命令行工具（如netstat，而非netscan）。攻击者还利用PowerShell和PSExec进行横向移动。

后来发现，攻击者通过负责管理服务器的外部公司的VPN获得了访问权限。幸运的是，在攻击者造成更大影响之前，事件被阻止了。

最常用的工具集

在WithSecure的遥测数据中，最常见的工具集是Mimikatz、Lazagne和Nirsoft的密码恢复工具集的组合。该工具集可以通过编辑start.cmd轻松配置。它有时在渗透测试场景和初始访问代理（Initial Access broker，IAB）中用于促进恶意软件和勒索软件的部署。在最近的一起事件中，攻击者加载了几个旨在禁用安全产品的批处理文件，这似乎是部署Trigona勒索软件的前兆。

本文中描述的真实案例提供了对动态和不断发展的网络威胁的概览。除了理论概念之外，这些工具还会产生实际后果，包括数据泄露、财务损失甚至地缘政治紧张局势的等。

在接下来的章节中，我们将展示防御这些攻击工具集部署的实用策略和最佳实践，并讨论如何设计或实现支持防御。

预测分析

网络安全产品和服务在大多数情况下都能成功阻止攻击，使整个攻击链失效。这使得预测攻击者的动机和识别被挫败的攻击背后的威胁组织变得极具挑战性。由于攻击被挫败后，可用的数据点有限，这给防御者留下了重大的信息缺口，使其难以确定攻击者更广泛的背景和动机。

此外，攻击者并不局限于固定的战术；相反地，他们会动态地调整策略。这种适应性来自多种因素，包括不断变化的威胁形势、目标的防御机制以及它们自己不断变化的目标。而且，攻击者通常有多个目标。为了最大限度地提高他们成功的机会，他们经常采用并行的攻击路径，同时探索多种途径，利用大量漏洞，并使用一系列不同的技术。这种并行性可能导致战术的非线性发展，使网络攻击难以有效地预测和防御。

当观察到的事件类型与MITRE ATT&CK矩阵相关时，就有可能了解哪些策略经常在事件中一起出现。这些数据还可以用来预测威胁行为者最有可能使用的策略或技术。

【图5：常用的战术集群】

上图中较大的节点表示该策略的观察计数较高。结果显示，与其他策略相比，凭据访问、横向移动、发现和影响都不那么普遍。相反地，诸如收集-防御-逃避、收集-执行、收集-渗漏、防御-逃避、执行-命令和控制以及收集-命令和控制等对是最常见的。根据这些数据，我们可以推断，攻击者倾向于在大多数其他妥协后（post-compromise）策略之前执行防御逃避。这是攻击者使用的一种常见策略，目的是在执行入侵后活动时避免被检测到。此外，该图还描述了发现和收集通常会导致渗漏及命令和控制策略，这表明攻击者依赖从受害者的机器中收集和窃取的信息，并将其发送回攻击者控制的设备，以便在攻击生命周期中执行下一步。

最后，这种可视化图表清楚地显示了攻击者在不同攻击链中使用的各种策略的相互联系，而不是在所有威胁中以顺序方式执行的线性链。

在实际攻击中经常观察到的MITRE策略的加权相关性确实可以为某些工具被一起使用的可能性提供有价值的见解。这些相关性可以在一定程度上帮助预测网络攻击中的工具共现（co-occurrence）。原因如下：

1. 识别工具模式

通过分析加权相关性，组织可以确定特定策略可能共现的模式。例如，如果发现与初始访问相关的策略通常与特权升级相关的策略相关联，则表明与这两种策略相关的工具可能在许多攻击中一起使用。

2. 工具部署建议

这些相关性可以帮助网络安全专业人员和组织在部署安全工具方面做出更明智的决定。如果某些策略经常共现，那么相应的安全工具很可能也应该一起使用以增强防御。

3. 加强威胁情报

加权相关性可以通过提供对网络对手行为的洞察，为威胁情报做出贡献。当特定的策略和工具始终相关联时，它表明攻击者倾向于遵循某些攻击模式。这些信息可用于预测和准备未来的类似攻击。

4. 建立预测模型

虽然相关性提供了有价值的见解，但它们本身可能无法预测。为了预测哪些工具最有可能共现，可以将收集的数据用来训练机器学习模型。基于历史数据训练的预测模型可用于识别在特定攻击场景中经常观察到的工具组合。预测模型与主机分析相结合，然后可以用来评估工具在系统上出现的可能性。其中一个例子是使用机器学习模型来监控可能被利用的工具的异常安装和使用。

5. 缓解新出现的威胁

认识到策略和工具之间的相关性可以帮助组织领先于新出现的威胁。如果在威胁环境中出现新的相关性，则可能表明需要主动解决的不断发展的攻击策略。

组织防护建议

• 维护更新的软件清单。创建并定期更新组织内使用的所有软件的综合列表，使其与特定业务和操作需求保持一致。持续监控该库存，定期评估并考虑删除不再需要的工具。

• 控制潜在可利用工具的使用。对可能会被攻击者滥用的工具实施严格控制，寻求使用此类工具的员工应经过批准程序。

• 建立基线和监控工作站活动。为组织内的典型工作站活动建立基线。偏离这一基线的行为应引起怀疑，并立即进行调查。

• 优先考虑定期修补和更新。确保组织内的所有工具和软件应用程序都与最新的补丁和安全更新保持同步，这种做法有助于减少恶意行为者可能利用的潜在漏洞。

• 实施强大的访问控制。关键工具和系统仅限经过特别授权的人员才能使用。执行最少特权原则，授予员工仅访问其特定角色所需的资源，并根据需要定期审查和调整这些访问级别。

• 投资员工教育。教育员工了解与某些可能被恶意使用的工具和软件应用程序相关的风险。鼓励网络安全意识文化，强调负责任地使用工具的重要性。

• 事件响应计划。制定并定期更新事件响应计划，以有效解决可能发生的任何安全事件，这些计划应包括针对恶意目的滥用工具或软件的事件的处理程序。

• 定期安全审计和评估。对组织的系统和软件工具进行定期的安全审计和评估，以识别漏洞和弱点。及时解决任何问题，以减少漏洞利用的可能性。

通过实施上述这些措施，组织可以加强对可能被恶意滥用的工具的防御，并增强其整体网络安全态势。

https://www.withsecure.com/en/expertise/research-and-innovation/research/unveiling-the-arsenal-exploring-attacker-toolsets-and-tactics

原文始发于微信公众号（FreeBuf）：揭秘兵工厂：探索攻击者工具集和战术