ATTACKcon4于2023年10月24日至25日在纽约举办,MITRE组织在2023年10月31日发布了ATT&CK v14版本。
正如2023 ATT&CK Roadmap中所提及的,2023年ATT&CK将会致力于扩展和完善云在企业矩阵中的实用性、将专注于解决工控与其他领域的重叠和集成问题,并改造工控资产、将努力提高ATT&CK网站和Navigator的可用性、可访问性和功能,ATT&CK v14版本在企业矩阵中添加了多个与云相关的技术类型、在工控矩阵中新增了十多个工控资产,同时对ATT&CK网站添加可用性操作。
![万字长文解读最新版ATT&CK V14(首发)]( "万字长文解读最新版ATT&CK V14(首发)")
此次版本更新了企业、移动和工控的技术、软件、攻击组织、攻击活动、资产和缓解措施。该版本扩展了检测注释和分析的范围,同时增强了检测、数据来源和缓解措施之间的关系。
在企业矩阵中,该版本已经扩展到包括社会工程学技术和欺骗性做法,这些技术可能没有直接的子技术组成,如冒充、金融盗窃和语音钓鱼。
在移动矩阵中,该版本也扩大了覆盖范围,包括了钓鱼,它包括了通过短信消息、二维码和电话呼叫等多种途径进行的钓鱼尝试,同时还引入了的结构化检测。
在工控矩阵中,新增了十多个资产,代表了工控环境的主要功能组件,如应用服务器、控制服务器、数据网关、历史记录仪、现场设备、人机界面(HMI)、可编程逻辑控制器(PLC)、远程终端单元(RTU)、安全控制器和工作站。
同时在ATT&CK矩阵展示方面,此次版本更新优化了网站的导航栏,简化了其结构和内容,以增强用户体验和整体导航的便利性。
此版本增加了一个新的人类可读的详细变更日志,更具体地描述了更新的ATT&CK对象发生的变化,同时还有一个新的机器可读的 JSON格式的变更日志,其格式在ATT&CK的Github中进行了详细的描述。这些发行说明中使用的术语也发生了更新,以更好地描述对各种 ATT&CK 对象的更改:
-
新对象:仅在新版本中出现的 ATT&CK 对象。
-
大版本更改:具有主要版本更改的 ATT&CK 对象。(例如,1.0 → 2.0)
-
小版本更改:具有次要版本更改的 ATT&CK 对象。(例如,1.0 → 1.1)
-
其他版本更改:具有任何其他类型的版本更改的ATT&CK对象。(例如1.0 → 1.2)
-
修正(Patch):ATT&CK对象做修正,版本不变。(例如,1.0 → 1.0 但拼写错误、URL 或某些元数据等内容已修复)
-
对象撤销:被不同对象撤销的 ATT&CK 对象。
-
对象弃用:已弃用且不再使用且未被替换的 ATT&CK 对象。
-
对象删除:不再在 STIX 数据中找到的 ATT&CK 对象。
详细更新说明
此版本(V14)的ATT&CK for Enterprise包含14个战术、201个技术、424个子技术、141 个组织、648个软件、23个攻击活动、43个缓解措施和109个数据源。
而在V13版本的ATT&CK for Enterprise 包含14个战术、196个技术、411个子技术、138 个组织、22个攻击活动和740个软件。
-
企业矩阵新增技术:18个(父技术5个,子技术13个)
-
企业矩阵小版本更新:116个
-
企业矩阵修正:15个
-
移动矩阵新增技术:7个(父技术6个,子技术1个)
-
移动矩阵小版本更新:20个
-
移动矩阵修正:5个
-
工控矩阵小版本更新:5个
-
工控矩阵修正:76个
-
新增软件:21个(企业:14个,移动:7个)
-
软件大版本更新:2个(企业:2个)
-
软件小版本更新:41个(企业:38个,工控:3个)
-
软件修正:9个(企业:9个)
-
软件撤销:1个(企业:1个)
-
新增组织:8个(企业:6个,移动:2个)
-
组织大版本更新:8个(企业:6个,工控:2个)
-
组织小版本更新:10个(企业:7个,移动:1个,工控:2个)
-
组织修正:4个(企业:4个)
-
新攻击活动:4个(企业:3个,工控:1个)
-
攻击活动小版本更新:1个(企业:1个)
-
新增资产:14个(工控:14个)
-
新增缓解措施:1个(移动:1个)
-
缓解措施小版本更新:4个(企业:1个,移动:1个,工控:2个)
-
企业矩阵18个新增技术解读
【T1548.005】临时提升云资源访问权限
英文名
Temporary Elevated Cloud Access
技术描述
攻击者可能会滥用允许他们获得临时提升的云资源访问权限的权限配置。许多云环境允许管理员授予用户或服务帐户权限,以请求对角色的实时访问、模拟其他帐户、将角色传递到资源和服务上,或者以其他方式获得对一组可能不同于他们自己的权限的短期访问权。
即时访问是一种以细粒度的临时方式向云帐户授予额外角色的机制。这允许帐户每天只使用所需的权限进行操作,并在必要时请求额外的权限。有时,即时访问请求被配置为需要手动批准,而其他时候则自动授予所需的权限。
"帐户冒充" 允许用户或服务帐户暂时以另一个帐户的权限进行操作。例如,在GCP中,拥有 iam.serviceAccountTokenCreator 角色的用户可以创建临时访问令牌或以服务帐户的权限签署任意有效负载。在Exchange Online中,"ApplicationImpersonation" 角色允许服务帐户使用与指定用户帐户相关联的权限。
许多云环境还包括允许用户将角色传递给资源的机制,以使它们能够执行任务并进行其他服务的身份验证。尽管创建资源的用户不会直接承担他们传递给资源的角色,但他们仍然可以利用该角色的访问权限,例如,通过配置资源以使用其被授予的权限执行特定操作。在AWS中,具有 PassRole 权限的用户可以允许他们创建的服务承担特定角色,而在GCP中,具有 iam.serviceAccountUser 角色的用户可以将服务帐户附加到资源上。
尽管用户需要特定的角色分配才能使用这些功能,但云管理员可能会错误配置权限。这可能导致升级路径,使攻击者能够访问超出最初意图的资源。
注意:这种技术与"附加云角色"不同,后者涉及将永久角色分配给帐户,而不是滥用现有权限结构以获取对资源的暂时提升访问权限。然而,入侵足够特权的帐户的攻击者可能会授予他们控制的另一个帐户"附加云角色",以使他们也能滥用这些功能。这可能比直接使用高度特权的帐户更具隐蔽性,特别是当日志无法明确指出角色冒充何时发生时。
缓解措施
|
|
|
|
|
|
|
限制云帐户假定、创建或冒充额外角色、策略和权限的特权,仅限于所需的操作。如果启用了即时访问,考虑要求手动批准特权的临时提升。
|
检测
|
|
|
|
|
|
|
|
User Account Modification
|
记录对于假定、创建或冒充额外角色、策略和权限的API调用。审核即时访问的使用,以确保提供的任何理由都是有效的,且只执行了预期的操作。
|
【T1098.006】额外的容器集群角色
英文名
Additional Container Cluster Roles
技术描述
攻击者可能会向攻击者控制的用户或服务帐户添加额外的角色或权限,以维护对容器编排系统的持久访问。例如,具有足够权限的攻击者可能会创建一个 RoleBinding 或 ClusterRoleBinding,将一个 Role 或 ClusterRole 绑定到一个 Kubernetes 帐户上。在使用基于属性的访问控制 (ABAC) 时,具有足够权限的攻击者可能会修改 Kubernetes ABAC 策略,以赋予目标帐户额外的权限。
这种帐户修改可能会紧随 "创建帐户" 或其他恶意帐户活动。攻击者还可能修改他们已经入侵的现有有效帐户。
需要注意的是,在云环境中部署容器编排系统(例如Google Kubernetes Engine、Amazon Elastic Kubernetes Service和Azure Kubernetes Service)时,通常可以使用基于云的基于角色的访问控制(RBAC)分配或ABAC策略,以代替或补充本地权限分配。在这些情况下,这种技术可能与附加的云角色一起使用。
缓解措施
|
|
|
|
|
|
Multi-factor Authentication
|
要求对通过云部署或通过认证协议(如LDAP或SAML)集成到容器集群的用户帐户使用多因素认证。
|
|
|
|
确保低特权帐户没有权限添加权限到其他帐户或更新容器集群角色。
|
检测
|
|
|
|
|
|
|
|
User Account Modification
|
收集帐户的使用日志以识别在为这些帐户分配角色时的异常活动。监视被分配到高特权集群角色的帐户,如果其数量超过已知管理员的某个阈值,则告警。
|
【T1659】内容注入
英文名
技术描述
攻击者可能通过向在线网络流量中注入恶意内容来获取访问权限并与受害者持续通信。与引诱受害者访问被入侵网站上托管的恶意有效载荷不同(即,先是"Drive-by Target",然后是"Drive-by Compromise"),攻击者可能首先通过被入侵的数据传输通道访问受害者,他们可以在其中操纵流量或注入自己的内容。这些被入侵的在线网络通道还可用于传送额外的有效载荷(即,"Ingress Tool Transfer")和其他数据到已被入侵的系统。
攻击者可能以多种方式向受害者系统中注入内容,包括:
-
从中间位置,即攻击者位于合法在线客户端-服务器通信之间(注意:这与"Adversary-in-the-Middle"类似但不同,后者仅在企业环境中进行AiTM活动)。
-
从侧面,即恶意内容被注入并以伪装成合法在线服务器请求的响应方式快速传递给客户端。
内容注入通常是由于上游通信通道被入侵,例如在互联网服务提供商(ISP)层次,这就是"合法拦截"的情况。
攻击过程示例
|
|
|
|
|
|
|
Disco 通过向目标主机的DNS、HTTP和SMB响应中注入内容来实现了初始访问和执行,从而将它们重定向到下载恶意文件。
|
|
|
|
MoustachedBouncer向DNS、HTTP和SMB的响应中注入内容,将特定目标的受害者重定向到一个虚假的Windows更新页面,以下载恶意软件。
|
缓解措施
|
|
|
|
|
|
Encrypt Sensitive Information
|
在可能的情况下,确保在线流量通过受信任的 VPN 等服务得到适当加密。
|
|
|
Restrict Web-Based Content
|
考虑阻止下载、传输和执行已知用于攻击者活动的潜在不常见文件类型。
|
检测
|
|
|
|
|
|
|
|
|
监控不寻常和异常的文件创建,这可能表明通过在线网络通信注入了恶意内容。
|
|
|
|
|
监控其他异常的网络流量,这可能表明额外的恶意内容已传输到系统。使用网络入侵检测系统,有时进行SSL/TLS检查,以查找已知的恶意有效载荷、内容混淆和攻击代码。
|
|
|
|
|
寻找终端系统上可能表明成功被入侵的行为,如浏览器进程的异常行为。这可能包括写入磁盘的可疑文件、进程注入的证据以隐藏执行尝试,或发现的证据。
|
【T1555.006】云秘钥管理存储
英文名
Cloud Secrets Management Stores
技术描述
攻击者可能会从云原生的秘钥管理解决方案获取凭证,如AWS Secrets Manager、GCP Secret Manager、Azure Key Vault和Terraform Vault。
云秘钥管理器支持安全地集中管理秘钥、API秘钥和其他凭证材料。在使用秘钥管理器时,云服务可以通过API请求动态获取凭证,而不是访问以明文文件或环境变量不安全存储的秘钥。
如果攻击者能够在云环境中获得足够的特权,例如通过获取高特权云帐户的凭证或入侵具有检索秘钥权限的服务,他们可以从秘钥管理器请求秘钥。这可以通过AWS中的"get-secret-value"命令,GCP中的"gcloud secrets describe"命令以及Azure中的"az key vault secret show"命令等方式实现。
注意:这种技术与云实例元数据API不同,因为凭证是直接从云秘钥管理器请求的,而不是通过实例元数据API的媒介。
攻击过程示例
|
|
|
|
|
|
|
Pacu可以通过enum_secrets模块从AWS Secrets Manager检索秘钥。
|
缓解措施
|
|
|
|
|
|
Privileged Account Management
|
将具有查询秘钥管理器权限的云帐户和服务的数量限制为仅限于所需的那些。确保具有查询秘钥管理器权限的帐户和服务只能访问它们所需的秘钥。
|
检测
|
|
|
|
|
|
|
|
Cloud Service Enumeration
|
监视器尝试从秘钥管理器枚举和提取凭证信息的API调用和CLI命令,例如AWS中的"get-secret-value",GCP中的"gcloud secrets describe",以及Azure中的"az key vault secret show"。对于这些命令的任何可疑使用情况,例如某个帐户或服务生成异常数量的秘钥请求,应立即告警。
|
【T1567.004】通过 Webhook 泄露
英文名
Exfiltration Over Webhook
技术描述
攻击者可能会将数据导出到 Webhook 端点,而不是通过其主要的命令和控制通道。Webhook 是一种简单的机制,允许服务器通过HTTP/S将数据推送给客户端,而无需客户端不断轮询服务器。许多公共和商业服务,如Discord、Slack和webhook.site,支持创建可供其他服务使用的Webhook端点,如Github、Jira或Trello。当链接的服务发生变化(例如推送存储库更新或修改工单)时,这些服务将自动将数据发布到Webhook端点,以供消费应用程序使用。
攻击者可以将攻击者拥有的环境链接到受害者拥有的SaaS服务,以实现重复的自动化数据导出,包括电子邮件、聊天消息和其他数据。或者,攻击者可以将分阶段数据手动发布到URL以进行数据导出。
对Webhook端点的访问通常通过HTTPS进行,这为攻击者提供了额外的保护层。利用Webhook进行数据导出也可以与正常的网络流量混为一体,如果Webhook端点指向常用的SaaS应用程序或协作服务。
缓解措施
|
|
|
|
|
|
|
数据丢失防护可以检测并阻止通过Web浏览器上传敏感数据到网络服务。
|
检测
|
|
|
|
|
|
|
|
|
审查SaaS服务的日志,包括Office 365和Google Workspace,以检测新Webhook的配置。
|
|
|
|
|
监控执行的命令和参数,可能会将数据导出到 Webhook 作为恶意的命令和控制通道。此外,监视可能在SaaS服务中创建新Webhook配置的命令,例如Github中的"gh webhook forward"或Office 365中的"mgc subscriptions create"。
|
|
|
|
|
监视文件被访问以将数据导出到 Webhook 作为恶意命令和控制通道。
|
|
|
|
|
监视和分析与不符合预期协议标准和流量流动的协议相关的流量模式和包检查(例如,不属于已建立流的多余包、不正当或异常的流量模式、异常的语法或结构)。考虑与进程监控和命令行相关,以检测与流量模式相关的异常进程执行和命令行参数(例如,监视不正常使用文件的情况,这些文件通常不会为相应的协议启动连接)。
|
|
|
|
|
监视不寻常的数据流。那些通常不进行网络通信或以前从未被观察到进行网络通信的进程是可疑的。
|
【T1657】金融盗窃
英文名
技术描述
攻击者可能通过勒索、社会工程学、技术盗窃或其他旨在获取金钱资源而损害受害者可用资源的方法,来从目标那里窃取金融资源,以谋取自己的财务利益。金融盗窃是一些流行的攻击类型的最终目标,包括勒索软件的勒索、商业电子邮件欺诈和诈骗、"pig butchering(杀猪盘)"、银行黑客攻击以及利用加密货币网络。
攻击者可能通过妥协账户来进行未经授权的资金转移。在商业电子邮件欺诈或电子邮件诈骗的情况下,攻击者可能利用对受信任实体的冒充。一旦社会工程攻击成功,受害者可能被欺骗将钱汇入由攻击者控制的金融账户。这在涉及金融盗窃的事件中可能导致多个受害者(即,被入侵的账户以及最终的金钱损失)。
例如,勒索软件可能导致勒索,当攻击者要求受害者在数据被加密以及数据外泄后,支付赎金,否则威胁将公开曝光,除非向攻击者支付。
由于金融盗窃可能具有巨大的商业影响,攻击者可能滥用金融盗窃的可能性,以分散注意力,从而使人们忽略了他们真正的目标,如数据销毁和业务中断。
攻击过程示例
|
|
|
|
|
|
|
FIN13观察了受害者的软件和基础设施数月,以了解合法金融交易的技术流程,然后才尝试进行欺诈交易。
|
|
|
|
SilverTerrier 以金融盗窃为目标,针对高科技、高等教育和制造业的组织进行商业电子邮件欺诈 (BEC) 活动。
|
缓解措施
|
|
|
|
|
|
|
限制对执行敏感交易的访问权限,切换到专门设计用于在不安全的通信线路(如电子邮件)之外进行付款和采购请求的系统和流程,以进行身份验证和批准。
|
|
|
|
培训和测试用户,以识别用于实现金融盗窃的社会工程技巧。
|
检测
|
|
|
|
|
|
|
|
|
审查和监视财务应用程序日志,以寻找金融盗窃的迹象,例如异常的货币交易或资源余额。电子邮件日志还可能突出显示帐户接管、冒充或可能导致金融盗窃的其他活动。
|
【T1564.011】忽略进程中断
英文名
Ignore Process Interrupts
技术描述
攻击者可能通过执行命令来隐藏进程中断信号,从而规避防御机制。许多操作系统使用信号来向进程传递消息,以控制进程的行为。命令解释器通常包括特定的命令/标志,用于忽略错误和其他挂起情况,例如当活动会话的用户注销时。这些中断信号也可以被防御工具和/或分析人员用来暂停或终止指定的运行进程。
攻击者可能使用nohup、PowerShell -ErrorAction SilentlyContinue或类似的命令来启动进程,这些命令可能免疫于挂起。这可以使恶意命令和恶意软件在系统事件发生时继续执行,否则这些事件会终止其执行,比如用户注销或其C2网络连接的终止。
隐藏进程中断信号可能允许恶意软件继续执行,但与Trap不同,这不会建立持久性,因为一旦实际终止,进程将不会重新调用。
攻击过程示例
|
|
|
|
|
|
|
GoldMax Linux 变种已使用 nohup 命令执行,以忽略挂起信号,并在终端会话被终止时继续运行。
|
|
|
|
OSX/Shlayer 使用 nohup 命令来指示执行的有效载荷忽略挂起信号。
|
缓解措施
这种类型的攻击技巧很难通过预防性控制来有效缓解,因为它基于对系统功能的滥用。
检测
|
|
|
|
|
|
|
|
|
监视执行的命令和参数,比如 nohup,这些命令可能尝试隐藏进程,使其不受中断信号的影响。
|
|
|
|
|
监视执行的命令和参数,比如 nohup,这些命令可能尝试隐藏进程,使其不受中断信号的影响。
|
【T1562.012】禁用或修改Linux审计系统
英文名
Disable or Modify Linux Audit System
技术描述
攻击者可能会禁用或修改Linux审计系统,以隐藏恶意活动并避免被检测。Linux管理员使用Linux审计系统来跟踪系统上与安全相关的信息。Linux审计系统在内核级别运行,并根据预配置的规则维护有关应用程序和系统活动的事件日志,如进程、网络、文件和登录事件。
通常被称为auditd,这是用于将事件写入磁盘的守护程序的名称,由audit.conf配置文件中设置的参数管理。配置日志生成规则的两种主要方式是通过命令行的auditctl实用程序和文件/etc/audit/audit.rules,其中包含一系列在引导时加载的auditctl命令。
在具有root权限的情况下,攻击者可能能够通过禁用Audit系统服务、编辑配置/规则文件或通过挂钩Audit系统库函数来确保其活动不会被记录。使用命令行,攻击者可以通过终止与auditd守护程序相关的进程或使用systemctl停止Audit服务来禁用Audit系统服务。攻击者还可以挂钩Audit系统函数以禁用记录或修改/etc/audit/audit.rules或audit.conf文件中包含的规则,以忽略恶意活动。
缓解措施
|
|
|
|
|
|
|
定期检查帐户角色权限,确保只有预期的用户和角色具有修改日志设置的权限。为了确保审计规则无法在运行时被修改,将"auditctl -e 2"作为audit.rules文件中的最后一个命令。一旦启动,尝试在这种模式下更改配置将被审计并拒绝。只能通过重新启动计算机来更改配置。
|
|
|
|
攻击者必须已经在本地系统上具有根级别访问权限,才能充分利用这种技巧;确保将用户和帐户的权限限制在他们所需的最低权限级别。
|
检测
|
|
|
|
|
|
|
|
|
命令行调用auditctl实用程序可能会视特定环境中系统通常的使用方式而变得不寻常。在运行时,要查找使用auditctl实用程序修改或创建规则的命令。
|
|
|
|
|
|
|
|
|
|
监视对包含在/etc/audit/audit.rules文件中的在启动时加载的auditctl命令序列所做的更改。
|
|
|
|
|
监视系统日志和与系统日志相关的其他功能的异常执行。
|
|
|
|
|
使用另一个进程或第三方工具,监视对auditd系统进程的潜在恶意修改或访问。
|
【T1656】冒充
英文名
技术描述
攻击者可能会冒充信任的个人或组织,以诱使目标执行某些代表其的操作。例如,攻击者可能会在冒充已知发件人(如高管、同事或第三方供应商)的情况下与受害者进行通信(通过信息钓鱼、钓鱼或内部鱼叉式钓鱼),与受害者互动。建立的信任可以被利用以实现攻击者的最终目标,可能针对多个受害者。
在许多业务电子邮件欺诈或电子邮件诈骗活动中,攻击者使用冒充来欺骗受害者,使其发送资金或透露信息,从而最终实现金融盗窃。
攻击者通常还会在电子邮件主题行和正文中使用操纵性和有说服力的语言,例如“支付”、“请求”或“紧急”,以促使受害者在恶意活动被检测到之前迅速采取行动。这些活动通常专门针对那些由于工作角色和/或访问权限可以执行攻击者目标的人员。
冒充通常在先前使用收集受害者身份信息和组织信息等侦察技术,以及获取基础设施,如电子邮件域(即域名)来证实其虚假身份之前进行。
涉及冒充的活动中存在多个受害者的潜力。例如,攻击者可能通过攻击一个组织来入侵账户,然后利用这些账户来支持对其他实体的冒充攻击。
攻击过程示例
|
|
|
|
|
|
|
在C0027中,Scattered Spider 冒充合法的IT人员通过电话和短信,引导受害者前往凭证收集站点或让受害者运行商业远程监控和管理(RMM)工具。
|
|
|
|
LAPSUS$ 曾经拨打受害者的帮助台电话,并冒充合法用户,利用先前收集到的信息来获得对特权帐户的访问权限。
|
|
|
|
在"Operation Dream Job" 中,Lazarus Group 通过LinkedIn消息冒充人力资源招聘人员,并与受害者进行面试,以欺骗他们下载恶意软件。
|
缓解措施
|
|
|
|
|
|
Threat Intelligence Program
|
威胁情报帮助防御者和用户了解和防范常见的诱饵和用于冒充的活动。
|
|
|
|
培训用户了解冒充的技巧以及如何应对,例如通过独立平台(如电话或面对面)确认传入请求,以降低风险。
|
检测
|
|
|
|
|
|
|
|
|
审核和监视电子邮件和其他用户通信日志,以寻找冒充的迹象,例如可疑的电子邮件(例如,来自已知的恶意或被入侵的帐户)或与攻击者在目标上的活动相关的内容(例如,异常的资金交易)。
|
【T1654】日志枚举
英文名
技术描述
攻击者可能会列举系统和服务日志以查找有用的数据。这些日志可能为攻击者提供各种有价值的见解,如用户身份验证记录(帐户发现)、安全或易受攻击的软件(软件发现)或受感染网络内的主机(远程系统发现)。
主机二进制文件可以用于收集系统日志。示例包括在Windows上使用wevtutil.exe或PowerShell来访问和/或导出安全事件信息。在云环境中,攻击者可能利用实用程序(如Azure VM代理的CollectGuestLogs.exe)从云托管的基础架构中收集安全日志。
攻击者还可能针对集中日志记录基础设施,如SIEM。日志也可以批量导出并发送到攻击者控制的基础设施进行离线分析。
攻击过程示例
|
|
|
|
|
|
|
Pacu 可以收集CloudTrail事件历史和CloudWatch日志。
|
|
|
|
Volt Typhoon 曾使用wevtutil.exe和PowerShell命令Get-EventLog security来列举Windows日志,以搜索成功的登录事件。
|
缓解措施
|
|
|
|
|
|
|
尽可能限制对敏感日志的访问和导出权限,仅授予特权帐户。
|
检测
|
|
|
|
|
|
|
|
|
监视用于访问和导出日志的实用工具和其他工具的命令和参数的使用。
|
|
|
|
|
监视对系统和服务日志文件的访问,特别是来自意外和异常用户的访问。
|
|
|
|
|
监视与能够访问和导出日志的实用工具相关的意外进程活动,例如在Windows上的wevtutil.exe和Azure托管的VM上的CollectGuestLogs.exe。
|
【T1036.009】中断进程树
英文名
技术描述
攻击者可能尝试通过修改执行的恶意软件的父进程ID(PPID)来规避基于进程树的分析。如果终端保护软件利用"父-子"关系进行检测,中断这种关系可能导致攻击者的行为不与先前的进程树活动相关联。在基于Unix的系统上,打破这种进程树关系是管理员使用脚本和程序来执行软件的常见做法。
在Linux系统上,攻击者可能执行一系列的本机API调用来改变恶意软件的进程树。例如,攻击者可以在不带任何参数的情况下执行其有效载荷,两次调用fork() API调用,然后让父进程退出。这会创建一个没有父进程的孙子进程,立即由init系统进程(PID 1)接管,成功地将攻击者有效载荷的执行与其先前的进程树断开。
另一个示例是使用"daemon"系统调用来从当前父进程中分离并在后台运行。
缓解措施
这种攻击技术不容易通过预防性控制来有效缓解,因为它是基于滥用系统功能的。
检测
|
|
|
|
|
|
|
|
|
监视API调用,如fork(),它可能被滥用来伪装或操纵进程元数据。
|
|
|
|
|
监视背景进程的异常创建以及从异常位置执行的进程,例如/dev/shm。
|
【T1578.005】修改云计算配置
英文名
Modify Cloud Compute Configurations
技术描述
攻击者可能修改直接影响云计算基础设施大小、位置和资源的设置,以规避防御措施。这些设置可能包括服务配额、订阅关联、全租户策略或影响可用计算资源的其他配置。这种修改可能允许攻击者滥用受害者的计算资源以实现其目标,可能不会影响正在运行的实例的执行,也不会向受害者暴露他们的活动。
例如,云服务提供商通常通过配额限制客户对计算资源的使用。客户可以请求调整这些配额以支持增加的计算需求,尽管这些调整可能需要云服务提供商的批准。入侵云环境的攻击者可能类似地请求调整配额,以支持其活动,例如启用附加资源劫持,而不会引起受害者的怀疑,因为不会使用受害者整个配额。攻击者还可以通过修改限制部署的虚拟机大小的任何全租户策略,来增加允许的资源使用。
攻击者还可以修改影响云资源部署位置的设置,例如启用未使用/不支持的云区域。在Azure环境中,已获得全局管理员帐户访问权限的攻击者可以创建新的订阅以部署资源,或通过将现有的按使用付费订阅从受害者租户转移到攻击者控制的租户来参与订阅劫持。这将允许攻击者使用受害者的计算资源,而不会在受害者租户上生成日志。
缓解措施
|
|
|
|
|
|
|
定期监视用户权限,确保只有预期的用户具有请求调整配额或修改全租户计算设置的能力。
|
|
|
|
将请求配额调整或修改全租户计算设置的权限限制为仅限于必需的用户。
|
检测
|
|
|
|
|
|
|
|
Cloud Service Modification
|
监视所有地区的配额增加情况,特别是在短时间内出现的多次配额增加或未使用地区的配额增加。监视全租户设置的更改,如订阅和启用的地区。
|
|
|
|
Cloud Service Modification
|
监视所有区域的配额增加,特别是在短时间内发生的多次配额增加或在未使用的区域中的配额增加。监视租户级别设置的更改,如订阅和启用的区域。
|
【T1027.012】LNK图标欺骗
英文名
技术描述
恶意软件可以将命令隐藏在看似无害的Windows快捷方式文件中,从而绕过内容过滤器,下载恶意载荷。Windows快捷方式文件(.LNK)包含许多元数据字段,包括一个用于指定要在主机目录中显示的LNK文件的图标文件路径的字段(也称为IconEnvironmentDataBlock)。
攻击者可以滥用这个LNK元数据来下载恶意载荷。例如,已经观察到攻击者使用LNK文件作为钓鱼载荷,以传递恶意软件。一旦被调用(例如,恶意文件),在LNK图标位置字段中引用外部URL的载荷可以被下载。这些文件也可以通过LNK的目标路径字段中的命令和脚本解释器/系统二进制代理执行参数来调用。
LNK图标欺骗也可以在妥协后使用,例如,恶意脚本在受感染的主机上执行LNK以下载其他恶意载荷。
缓解措施
|
|
|
|
|
|
|
使用签名或启发式方法来检测恶意LNK文件以及随后下载的文件。
|
|
|
Behavior Prevention on Endpoint
|
在Windows 10上,启用“攻击面降低(ASR)”规则以防止执行潜在混淆的脚本或载荷。
|
检测
|
|
|
|
|
|
|
|
|
监控已下载的恶意文件,尽管为不同的变种制定规则,结合不同的编码和/或加密方案,可能会非常具有挑战性。考虑监控从互联网下载的文件,可能是通过LNK图标欺骗方式,以寻找可疑活动。数据和事件不应孤立地看待,而应视为可能导致其他活动的一系列行为的一部分。
|
|
|
|
|
控可能突出显示嵌入的恶意内容的文件的上下文数据,这些数据可能包括名称、内容(例如签名、标头或数据/媒体)、文件大小等信息;与其他可疑行为进行关联,以减少误报。
|
【T1566.004】鱼叉式钓鱼声音
英文名
技术描述
攻击者可能会利用语音通信最终获取对受害者系统的访问权限。Spearphishing voice 是 spearphishing 的一种特定变体。它与其他形式的 spearphishing 不同,因为它利用了通过电话呼叫或其他形式的语音通信将用户操纵为提供对系统的访问权限。Spearphishing 经常涉及社交工程技术,比如冒充一个受信任的来源(例如:模仿)和/或为接收者创建紧急或警报感。
所有形式的钓鱼都是通过电子方式交付的社交工程。在这种情况下,攻击者不是直接向受害者发送恶意软件,而是依靠用户执行来进行传送和执行。例如,受害者可能会收到钓鱼消息,其中指示他们拨打一个电话号码,然后被引导访问恶意 URL,下载恶意软件,或在其计算机上安装攻击者可访问的远程管理工具(远程访问软件)。
攻击者还可以将语音钓鱼与多因素身份验证请求生成相结合,以欺骗用户透露多因素身份验证凭据或接受认证提示。
攻击过程示例
|
|
|
|
|
|
|
在 C0027 行动中,Scattered Spider 冒充合法的IT人员通过电话呼叫受害者,引导他们下载远程监控和管理(RMM)工具,允许攻击者远程控制他们的系统。
|
缓解措施
|
|
|
|
|
|
|
可以培训用户识别和报告社交工程技术和矛头钓鱼尝试,同时对来电者的身份保持怀疑,验证其真实性。
|
检测
|
|
|
|
|
|
|
|
|
监控公司设备的通话日志,以识别潜在的电话钓鱼模式,例如与已知恶意电话号码的通话。将这些记录与系统事件进行关联。
|
【T1598.004】鱼叉式钓鱼声音
英文名
技术描述
攻击者可能使用语音通信来获取敏感信息,这些信息可以在针对性攻击中使用。信息钓鱼是一种试图欺骗目标,诱使其泄露信息,通常是凭据或其他可操作信息的尝试。信息钓鱼通常涉及社交工程技术,例如假冒一个有理由收集信息的来源(例如:冒充)和/或为受信者制造紧急情况或警报。
所有形式的网络钓鱼都是通过电子手段进行的社交工程。在这种情况下,攻击者使用电话呼叫来从受害者那里获取敏感信息。这被称为语音钓鱼(或“vishing”),这些通信可以由攻击者手动执行,也可以通过外包的呼叫中心,甚至通过自动化的电话呼叫(robocalls)来执行。语音钓鱼者可能会伪装他们的电话号码,同时冒充一个可信的实体,如商业伙伴或技术支持人员。
受害者也可能会收到网络钓鱼消息,指示他们拨打一个电话号码(“回呼钓鱼”),在这里攻击者试图收集机密信息。
攻击者还可以使用之前的侦察工作(例如:搜索公开网站/域名或搜索受害者拥有的网站)中获得的信息,以制定更具说服力和可信度的借口,以欺骗受害者。
攻击过程示例
|
|
|
|
|
|
|
在 C0027 行动中,Scattered Spider 冒充合法的IT人员通过电话呼叫受害者,引导他们下载远程监控和管理(RMM)工具,允许攻击者远程控制他们的系统。
|
|
|
|
LAPSUS$曾多次致电受害者的技术支持服务台,以说服支持人员重置特权帐户的凭据。
|
缓解措施
|
|
|
|
|
|
|
可以培训用户识别和报告社交工程技术和矛头钓鱼尝试,同时对来电者的身份保持怀疑,验证其真实性。
|
检测
|
|
|
|
|
|
|
|
|
监控公司设备的通话日志,以识别潜在的电话钓鱼模式,例如与已知恶意电话号码的通话。将这些记录与系统事件进行关联。
|
【T1653】电源设置
英文名
技术描述
攻击者可能会破坏系统进入休眠、重启或关机的能力,以延长对受感染计算机的访问。当计算机进入休眠状态时,一些或所有的软件和硬件可能停止运行,这可能会中断恶意活动。
攻击者可能滥用系统工具和配置设置,以防止计算机进入可能终止恶意活动的休眠状态,如待机状态。
例如,powercfg 控制着Windows系统上的所有可配置电源系统设置,可以被滥用以阻止受感染主机锁定或关机。攻击者还可以延长系统锁屏超时设置。其他相关设置,如磁盘和休眠超时,也可以被滥用以使受感染的计算机保持运行,即使没有用户活动。
鉴于一些恶意软件无法在系统重新启动后存活,攻击者可能会完全删除用于触发系统关机或重启的文件。
缓解措施
|
|
|
|
|
|
|
定期检查系统中异常和意外的电源设置,可能表明恶意活动。
|
检测
【T1021.008】直接云虚拟机连接
英文名
Direct Cloud VM Connections
技术描述
攻击者可能会利用有效账户通过云本地方法直接登录到可访问的云托管计算基础设施。许多云提供商提供可通过云API访问的虚拟基础设施的交互式连接,例如Azure Serial Console、AWS EC2 Instance Connect和AWS System Manager。
这些连接的身份验证方法可以包括密码、应用程序访问令牌或SSH秘钥。这些云本地方法可能默认情况下允许在主机上拥有SYSTEM或root级别的特权访问。
攻击者可能会利用这些云本地方法直接访问虚拟基础设施并在环境中进行枢轴操作。这些连接通常提供了对虚拟机的直接控制台访问,而不是执行脚本(即云管理命令)。
缓解措施
|
|
|
|
|
|
Disable or Remove Feature or Program
|
如果不需要直接虚拟机连接用于管理,可以在可行的情况下禁用这些连接类型。
|
|
|
|
|
检测
|
|
|
|
|
|
|
|
|
监视云审计日志和主机日志,以查找登录会话事件。这些日志可以在CloudTrail、统一审计日志、Windows事件日志以及Linux系统的/var/log/auth.log或/var/log/secure中找到。
|
【T1016.002】Wi-Fi 发现
英文名
技术描述
攻击者可能在已被感染的系统上搜索关于Wi-Fi网络的信息,例如网络名称和密码。攻击者可能会将Wi-Fi信息用作账户发现、远程系统发现以及其他发现或凭证访问活动的一部分,以支持当前和将来的攻击活动。
攻击者可能会从主机收集关于Wi-Fi网络的各种信息。例如,在Windows上,通过使用netsh wlan show profiles枚举Wi-Fi名称,然后使用netsh wlan show profile "Wi-Fi名称" key=clear显示Wi-Fi网络相应的密码,可以获得设备以前连接到的所有Wi-Fi网络的名称和密码。此外,可以使用对wlanAPI.dll Native API函数的调用来发现可本地到达的Wi-Fi网络的名称和其他详细信息。
在Linux上,设备以前连接到的所有Wi-Fi网络的名称和密码可能位于/etc/NetworkManager/system-connections/目录下的文件中。在macOS上,已知Wi-Fi的密码可以通过使用security find-generic-password -wa wifiname(需要管理员用户名/密码)来识别。
攻击过程示例
|
|
|
|
|
|
|
Agent Tesla可以收集设备先前连接过的所有Wi-Fi网络的名称和密码。
|
|
|
|
Emotet可以提取所有本地可达的Wi-Fi网络的名称,然后执行暴力破解攻击以传播到新的网络。
|
|
|
|
Magic Hound收集了设备以前连接过的所有Wi-Fi网络的名称和密码。
|
缓解措施
这种类型的攻击技术很难通过预防控制来有效缓解,因为它是基于滥用系统功能的。
检测
|
|
|
|
|
|
|
|
|
监控在受感染的系统上执行的可能用于收集Wi-Fi信息的命令和参数。
|
|
|
|
|
监控可能用于获取关于本地可达Wi-Fi网络详细信息的API调用(例如来自wlanAPI.dll的调用)。
|
新软件
新组织
新攻击活动
总结
此次ATT&CK版本更新,仍然是有两种类型的日志变更,分别是人类可读的更新日志和机器可读的更新日志,可以看出MITRE组织在对于其框架使用的便利性上一直在做不断的投入,该日志记录对于基于ATT&CK进行安全运营的组织或企业带来了极大的便利,可以通过访问和解析变更日志,快速识别和集成ATT&CK的更新。
在企业矩阵更新的18个技术类型中,与云相关的技术类型占了5个,涉及云资源的访问权限、云秘钥管理存储、云计算机配置等,可以看出ATT&CK正在不断扩展以涵盖云安全领域的威胁和攻击技术,云计算和云服务在现代信息安全中变得越来越重要,需要更多关于云环境中的威胁和攻击手法的了解和分析。同时新增了5个与社会工程学相关的技术类型,包括金融盗窃、鱼叉式钓鱼声音、冒充等技术,看出ATT&CK正在不断扩展以更全面地覆盖各种社会工程学攻击和技术,同时也提供了更多关于这些攻击技术和策略的深入洞察。
参考链接
-
https://www.securityweek.com/mitre-releases-attck-v14-with-improvements-to-detections-ics-mobile/
-
https://medium.com/mitre-attack/attack-v14-fa473603f86b
-
https://mitre-attack.github.io/attack-navigator/
-
https://attack.mitre.org/resources/updates/updates-october-2023/
-
https://attack.mitre.org/matrices/enterprise/
-
https://github.com/mitre/cti/releases/tag/ATT%26CK-v14.0
-
https://medium.com/mitre-attack/2023-attack-roadmap-452fab541673
北京知其安科技有限公司创立于2021年8月,是一家致力于技术和产品创新驱动的新一代网络安全企业。创始人聂君是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”。创始团队具备丰富的甲方安全运营实践经验,拥有二十余项网络安全技术专利,具备优秀的自主创新和研发能力。旗下的“离朱-安全验证”平台,率先在国内提出并推广“安全验证”理念,是国内首个自主创新大规模商业化落地的网络安全能力验证平台,产品已服务逾60家金融、央企、智能制造、互联网等客户,累计PoC测试用户超500家,在行业中获得较好的用户反馈和评价。
今年4月份Gartner发布了最新的网络安全趋势,其中安全验证首次作为安全趋势出现,可预见的接下来几年,安全验证这个方向会非常火热。
知其安对安全验证领域的关注与实践由来已久,是首个在国内推广和应用落地的安全验证的厂商。
2017年Gartner在报告中首次提出了BAS(入侵与攻击模拟)技术并将其定位为“一种正在崛起的技术”;
2019年聂君推出个人著作《企业安全建设指南:金融行业安全架构与技术实践》中进一步完善了安全验证理念;
直到2023年4月Gartner发布的最新网络安全趋势,其中“安全验证”首次作为安全趋势出现,进一步明确和强化了安全验证的价值和意义。从BAS技术框架的提出,到网络安全验证,真正落地实现了攻击模拟的落地化应用。
《中国数字安全百强报告2023》年度创新力十强企业
嘶吼自动化攻击模拟(BAS)领域唯一国产化替代厂商
原文始发于微信公众号(知其安科技):万字长文解读最新版ATT&CK V14(首发)
评论