扫描IP块
|
ID |
T1595.001 |
子技术 |
T1595 |
|||
|
战术 |
侦察 |
平台 |
PRE |
版本 |
1.0 |
|
|
创建时间 |
2020年10月2日 |
最后修改时间 |
2021年4月15日 |
|||
敌人可能会扫描受害者的IP块,以收集可在瞄准过程中使用的信息。公共IP地址可以按块或一系列顺序地址分配给组织。
敌人可以扫描IP块,以收集受害者网络信息,例如哪些IP地址正在积极使用,以及有关分配这些地址的主机的更详细信息。扫描范围可能从简单的ping(ICMP请求和响应)到更细微的扫描,这些扫描可能通过服务器横幅或其他网络工件揭示主机软件/版本。[1] 这些扫描的信息可能揭示其他形式的侦察(例如:搜索开放网站/域或搜索开放技术数据库)、建立操作资源(例如:开发能力或获得能力)和/或初始访问(例如:外部远程服务)的机会。
程序示例
|
ID |
名称 |
说明 |
|
G0139 |
TNT团队 |
TeamTNT已扫描目标IP地址的特定列表 |
缓解
|
ID |
名称 |
说明 |
|
M1056 |
暴露前 |
这种技术无法通过预防性控制轻易缓解,因为它是基于在企业防御和控制范围之外执行的行为。应将工作重点放在尽量减少可供外部各方使用的数据的数量和敏感性上。 |
检测
|
ID |
数据源 |
数据组件 |
检测 |
|
DS0029 |
网络流量 |
网络流量 |
监控网络数据中不常见的数据流。使用网络的进程通常不具有网络通信或以前从未见过,这些进程是可疑的。 |
TeamTNT
|
ID |
G0139 |
贡献者 |
Will Thomas,Cyjax;Darin Smith,思科 |
||
|
版本 |
1.2 |
创建时间 |
2021年10月1日 |
最后修改时间 |
2022年10月19日 |
TeamTNT是一个主要针对云和容器化环境的威胁组织。该组织至少自2019年10月以来一直活跃,主要致力于利用云和容器资源在受害者环境中部署加密货币矿工。
使用的技术
|
域 |
ID |
名称 |
应用 |
|
|
企业 |
T1098 |
.004 |
账户操作:SSH授权密钥 |
TeamTNT在authorized_keys中添加了RSA密钥。 |
|
企业 |
T1583 |
.001 |
获取基础设施:域 |
TeamTNT已经获得了托管其有效载荷的域名。 |
|
企业 |
T1595 |
.001 |
主动扫描:扫描IP块 |
TeamTNT已经扫描了目标IP地址的特定列表。 |
|
企业 |
.002 |
主动扫描:漏洞扫描 |
TeamTNT已经扫描了物联网设备和Docker API等其他相关资源中的漏洞。 |
|
|
企业 |
T1071 |
应用层协议 |
TeamTNT使用IRC机器人进行C2通信。 |
|
|
企业 |
.001 |
Web协议 |
TeamTNT使用curl命令通过HTTP发送凭据,使用curl和wget命令下载新软件。TeamTNT还在shell脚本中使用了自定义用户代理HTTP标头。 |
|
|
企业 |
T1547 |
.001 |
启动或登录自动启动执行:注册表运行密钥/启动文件夹 |
TeamTNT已将批处理脚本添加到启动文件夹中。 |
|
企业 |
T1059 |
.001 |
命令和脚本解释器:PowerShell |
TeamTNT已在批处理脚本中执行PowerShell命令。 |
|
企业 |
.003 |
命令和脚本解释器:Windows命令行解释器 |
TeamTNT使用批脚本下载工具并执行加密货币矿工。 |
|
|
企业 |
.004 |
命令和脚本解释器:Unix Shell |
TeamTNT使用了shell脚本执行。 |
|
|
企业 |
.009 |
命令和脚本解释器:Cloud API |
TeamTNT利用AWS CLI枚举凭据受损的云环境。 |
|
|
企业 |
T1609 |
容器管理命令 |
TeamTNT通过kubelet API运行命令和在运行容器上执行命令来执行Hildegard。 |
|
|
企业 |
T1613 |
容器和资源发现 |
TeamTNT已经用docker ps检查了正在运行的容器,并用docker inspect检查了特定的容器名称。TeamTNT还搜索了在本地网络中运行的Kubernetes pod。 |
|
|
企业 |
T1136 |
.001 |
创建账户:本地账户 |
TeamTNT在受害者机器上创建了本地特权用户。 |
|
企业 |
T1543 |
.002 |
创建或修改系统流程:系统化服务 |
TeamTNT通过使用systemctl创建加密货币挖掘系统服务,建立了持久性。 |
|
企业 |
.003 |
创建或修改系统进程:Windows服务 |
TeamTNT使用了添加加密货币矿工作为服务的恶意软件。 |
|
|
企业 |
T1074 |
.001 |
数据暂存:本地数据暂存 |
TeamTNT在过滤前已将收集到的凭据聚合到文本文件中。 |
|
企业 |
T1140 |
对文件或信息进行解密/解码 |
TeamTNT使用了一个脚本来解码WeaveWorksScope的Base64编码版本。 |
|
|
企业 |
T1610 |
部署容器 |
TeamTNT在受害者环境中部署了不同类型的容器,以便于执行。TeamTNT还将加密货币挖矿软件转移到本地IP地址范围内发现的Kubernetes集群。 |
|
|
企业 |
T1587 |
.001 |
开发功能:恶意软件 |
TeamTNT开发了诸如Hildegard之类的自定义恶意软件。 |
|
企业 |
T1611 |
Escape to Host |
TeamTNT已经部署了特权容器来装载受害者机器的文件系统。 |
|
|
企业 |
T1048 |
通过替代协议进行外溢 |
TeamTNT已使用cURL将具有收集凭据的本地暂存文件发送到C2服务器。 |
|
|
企业 |
T1133 |
外部远程服务 |
TeamTNT使用Weave Scope等开源工具来瞄准暴露的Docker API端口,并获得对受害者环境的初始访问权限。TeamTNT还针对Kubernetes环境中暴露的kubelets。 |
|
|
企业 |
T1083 |
文件和目录发现 |
TeamTNT使用了一个脚本来检查/proc/*/environ中与AWS相关的环境变量。 |
|
|
企业 |
T1222 |
.002 |
文件和目录权限修改:Linux和Mac文件和目录的权限修改 |
TeamTNT已使用chattr修改了二进制文件的权限。 |
|
企业 |
T1562 |
.001 |
削弱防御:禁用或修改工具 |
TeamTNT在基于云的基础设施上禁用和卸载了阿里巴巴、腾讯和BMC云监控代理等安全工具。 |
|
企业 |
.004 |
破坏防御:禁用或修改系统防火墙 |
TeamTNT已禁用iptables。 |
|
|
企业 |
T1070 |
.002 |
指示器删除:清除Linux或Mac系统日志 |
TeamTNT已从/var/log/syslog中删除系统日志。 |
|
企业 |
.003 |
指示器移除:清除命令历史记录 |
TeamTNT已经用历史-c清除了指挥历史。 |
|
|
企业 |
.004 |
指示器删除:文件删除 |
TeamTNT使用了一种在运行后会自行移除的有效载荷。TeamTNT还删除了用于收集凭据的本地暂存文件,或在过滤后扫描本地IP地址的结果。 |
|
|
企业 |
T1105 |
入侵攻击传输 |
TeamTNT有curl和wget命令以及用于下载新工具的批处理脚本。 |
|
|
企业 |
T1036 |
伪装 |
TeamTNT用docker相关的文件名伪装了他们的脚本。 |
|
|
企业 |
.005 |
匹配合法名称或位置 |
TeamTNT已经用他们自己的脚本和加密货币挖掘软件取代了.dockerd和.docerenv。 |
|
|
企业 |
T1046 |
网络服务发现 |
TeamTNT使用masscan搜索开放的Docker API端口和Kubernetes集群。TeamTNT还使用了利用zmap和zgrab在云环境中搜索易受攻击服务的恶意软件。 |
|
|
企业 |
T1027 |
混淆的文件或信息 |
TeamTNT已通过AES加密其二进制文件,并使用Base64编码文件。 |
|
|
企业 |
.002 |
软件封装 |
TeamTNT使用了UPX和Ezuri打包器来打包其二进制文件。 |
|
|
企业 |
T1120 |
外围设备发现 |
TeamTNT已使用lspci搜索连接的VGA设备。 |
|
|
企业 |
T1057 |
流程发现 |
TeamTNT已经搜索了竞争对手的恶意软件,如果发现就会将其删除。TeamTNT还搜索了包含字符串aliyun或liyun的运行进程,以识别运行阿里云安全工具的机器。 |
|
|
企业 |
T1219 |
远程访问软件 |
TeamTNT已经为指挥与控制通信(C2)建立了远程会话。 |
|
|
企业 |
T1021 |
.004 |
远程服务:SSH |
TeamTNT已使用SSH连接回受害者机器。TeamTNT还使用SSH将工具和有效载荷传输到受害者主机上并执行它们。 |
|
企业 |
T1496 |
资源劫持 |
TeamTNT已部署XMRig Docker图像来挖掘加密货币。TeamTNT还用XMRig感染了Docker容器和Kubernetes集群,并使用RainbowMiner和lolMiner挖掘加密货币。 |
|
|
企业 |
T1014 |
Rootkit |
TeamTNT使用开源Diamorphine rootkit等rootkit及其自定义机器人在机器上隐藏加密货币挖矿活动。 |
|
|
企业 |
T1518 |
.001 |
软件发现:安全软件发现 |
TeamTNT已经在受感染的机器上搜索安全产品。 |
|
企业 |
T1608 |
.001 |
阶段功能:上传恶意软件 |
TeamTNT已将后门Docker镜像上传到DockerHub。 |
|
企业 |
T1082 |
系统信息发现 |
TeamTNT搜索了系统版本、体系结构、磁盘分区、逻辑卷和主机名信息。 |
|
|
企业 |
T1016 |
系统网络配置发现 |
TeamTNT已经列举了主机的IP地址。 |
|
|
企业 |
T1049 |
系统网络连接发现 |
TeamTNT已经运行netstat-anp来搜索竞争对手的恶意软件连接。TeamTNT还使用了libprocesshider来修改/etc/ld.so.preload。 |
|
|
企业 |
T1007 |
系统服务发现 |
TeamTNT搜索了阿里云安全的阿里云服务和BMC Helix云安全的BMC代理服务等服务,以禁用它们。 |
|
|
企业 |
T1569 |
系统服务 |
TeamTNT创建了执行加密货币挖矿软件的系统服务。 |
|
|
企业 |
T1552 |
.001 |
不安全的凭据:文件中的凭据 |
TeamTNT已搜索不安全的AWS凭据和Docker API凭据 |
|
企业 |
.004 |
不安全的凭据:私钥 |
TeamTNT已搜索不安全的SSH密钥。 |
|
|
企业 |
.005 |
不安全的凭据:云实例元数据API |
TeamTNT已向AWS实例元数据服务查询凭据。 |
|
|
企业 |
T1204 |
.003 |
用户执行:恶意图片 |
TeamTNT依赖用户下载和执行恶意Docker镜像。 |
|
企业 |
T1102 |
Web服务 |
TeamTNT利用iplogger.org将收集到的数据发送回C2。 |
|
软件
|
ID |
名称 |
技术 |
|
S0601 |
Hildegard |
应用层协议,命令和脚本解释程序:Unix Shell,容器管理命令,容器和资源发现,创建帐户:本地帐户,创建或修改系统进程:Systemd Service,Deobuscate/Decode Files or Information,Escape to Host,利用特权升级,外部远程服务,劫持执行流:动态链接劫持,不公平的防御:禁用或修改工具,指示器删除:文件删除,指示器移除:清除命令历史记录,进入工具传输,伪装:伪装任务或服务,网络服务发现,混淆文件或信息:软件打包,混淆文件和信息,远程访问软件,资源劫持,Rootkit,系统信息发现,不安全的凭据:私钥,不安全凭据:文件中的凭据,不安全证书:云实例元数据API,Web服务 |
|
S0349 |
LaZagne |
来自密码存储的凭据:Windows凭据管理器,来自密码存储中的凭据:来自Web浏览器的凭据,来自密码存储器的凭据,从密码存储中获得的凭据:钥匙链,OS凭据转储:LSA机密,OS凭据倾弃:/etc/passwd和/etc/shadow,OS凭据卸载:LSASS内存,OS凭据倾倒:缓存的域凭据,OS凭据倾卸:过程文件系统,不安全的凭据:文件中的凭据 |
|
S0179 |
MimiPenguin |
操作系统凭据转储:Proc文件系统 |
|
S0683 |
Peirates |
云存储对象发现,容器管理命令,容器和资源发现,来自云存储的数据,部署容器,转移到主机,网络服务发现,窃取应用程序访问令牌,不安全凭据:容器API,不安全证书:云实例元数据API,使用备用身份验证材料:应用程序访问代币,有效帐户:云帐户 |
原文始发于微信公众号(老烦的草根安全观):ATT&CK-侦察-主动扫描-扫描IP块
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论