ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

2020年8月14日10:33:32评论335 views字数 4167阅读13分53秒阅读模式

近日，全球首场网络安全万人云峰会——第八届互联网安全大会ISC 2020在云端拉开了帷幕。青藤云安全COO程度以“ATT&CK高频攻击技术的分析与检测”为题，分享了ATT&CK高频攻击技术TOP5、以CARET为代表的攻击检测技术方法论等干货内容。

青藤云安全COO 程度

01/CrowdStrike、Red Canary、FireEye披露高频攻击技术

ATT&CK作为近几年炙手可热的攻击框架，对于安全行业的攻击检测具有实践指导。它覆盖的攻击技术庞杂而具体，含12种战术、数百余种技术，近日还新增了“子技术”。对于一般组织机构而言，很难面面俱到去研究分析每一项技术，因此需要结合自身情况有重点、有优先级的处理不同攻击技术。根据国外一些机构发布的报告可以统计出黑客最为高频使用的攻击技术，可以将之作为参考素材，具体内容如下：

据CrowdStrike 2020 Threat Report统计，混淆、命令行界面、凭据转储、机器学习恶意软件、Powershell 位列前五。

数据来源CrowdStrike 2020 Threat Report

据Red Canary 2020 Threat Detection Report统计，进程注入、计划任务、Windows Admin共享、 Powershell占比均在10%以上，总和超过50%。

数据来源Red Canary 2020 Threat Detection Report

FireEye M-Trends 2020统计的五大最常见攻击技术为：非授权访问（T1086、T1035、T1133），脚本技术（T1064）、混淆文件或信息（T027）。

数据来源FireEye M-Trends 2020

02丨ATT&CK攻击技术检测分析方法论

在利用ATT&CK攻击技术进行分析与检测落地方面，有一套成熟的方法论，Mitre提出“CARET模型”。如下图所示：从左到右分为五个部分：攻击组织、攻击技术、关联查询分析、数据模型建立、事件采集&数据存储。往往，APT组织从左到右，安全团队从右到左，在“分析”这一列进行交汇。APT组织使用攻击技术进行渗透，安全团队利用安全数据进行数据分类并进行分析，在“分析”环节进行碰撞。

以APT组织FIN5为例，它会采用16种攻击技术，攻击者在执行这些攻击技术时候，在受害组织的网络或者主机上回留下一些表象痕迹和特征。而作为防守方的检测人员，则可以通过事件采集完成一些数据收集，比如sysmon的数据、 Auto runs的数据。然后利用所收集到数据进行数据建模，在中间关联查询分析当中做碰撞完成相关检测。毕竟所有的异常行为，都会在某些维度上留下痕迹，比如在进程、文件等方面。

CARET分析模型

另外，从攻击检测和分析所需的数据源来看，使用最多就是文件监控、进程监控、进程命令。如果在ATT＆CK实现中集成上述三个数据源，就可以最大程度地增加可以创建的检测方案。

数据源类型分布

03丨ATT&CK击技术检测与分析

在本次分享中，青藤COO程度结合自身研究和实践经验，总结了ATT&CK框架中最高频和最具代表性五大攻击技术（Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task），通过对攻击技术概念、攻击技术复现和检测分析三个维度的讲解，使大家全面了解针对ATT&CK攻击研究的三大常规步骤。

Valid Account

有效账号是指攻击者会使用利用漏洞获取凭证访问的权限技术来窃取⼀个特定用户或服务账户的用户名密码或凭证，或者是通过社会工程学侦查获得特定用户或服务账户的用户名密码或证书，从而获得初始访问的权限。

攻击者可能使用的账户分为三类：默认账户、本地账户和域账户。

（1）Valid Account攻击过程复现实例

（2）Valid Account攻击的检测分析

通过收集“异常登录”、“账号变更”的数据源，是针对该攻击技术的检测手段的落地基础。例如，对账号变更和异常的登录时间进行监控和分析，尤其是针对那些在非正常时间、非正常地点进行登录行为进行重点监控。如下伪代码所示，将登陆时间在8点-21点且登陆ip在国外的那些行为筛选出来，判定为异常登录。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

Powershell

PowerShell是Windows环境下黑客较为喜爱的攻击工具。攻击者可以使用PowerShell执行许多操作，包括：信息发现和执行恶意代码。

（1）Powershell攻击过程复现实例

黑客可以利用Powershell工具绕过权限对本地发起攻击。例如绕过本地的权限完成执行动作，比如上传xxx.ps1到目标服务器，然后在cmd的环境下，在目标服务器本地执行该脚本。如下伪代码所示，通过ExecutionPolicy Bypass这样一个参数，就可以绕过本地权限执行脚本。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

当然还可以本地隐藏绕过权限执行脚本，如下所示的hidden及相关参数，证明它是隐藏自身的情况,来执行这样的一个脚本。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

还可以通过IEX下载远程的ps1脚本，绕过的一些动作执行这些脚本。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

（2）Powershell攻击的检测分析

如果攻击者获得管理员或系统访问权限，可能会通过注册表或命令行来定义自己的执行策略。我们可以通过收集PowerShell日志，加载的DLL，DLL监控，Windows注册表，文件监控，进程监控，进程命令行参数等数据源，追踪异常黑客的异常活动，发现潜在威胁。

如下所示伪代码实现查找基于powershell的攻击，具体含义是指从事件中查找那些以explorer.exe为父进程启动的powershell进程，这样可以初步判定这就是一个有问题的进程。因为正常情况之下，都是通过Windows主界面窗口去启动powershell，除非该应用是属于自研的运维工具等特殊情况。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

Masquerading

混淆是指为了逃避防御和监控，攻击者会利用伪装，来操纵或滥用合法或恶意的可执行文件的名称或位置。通过对合法应用程序重命名，之后将其放在另外一个受信任的目录，继而规避杀毒软件、EDR等工具检测。在linux环境下，攻击者经常攻击的Linux受信任⽬录是/bin，恶意的⼆进制可执⾏⽂件会重命名为rsyncd或dbus-inotifier。

（1）Masquerading攻击过程复现实例

在Windows环境下把恶意exe文件重命名成svchost，放到其他系统目录中运行。如下所示实例，首先完成反弹shell操作，然后将不同名字的恶意程序复制到其它盘中，这也是导致杀毒经常杀不尽的原因之一。

（2）Masquerading攻击的检测分析

针对此类攻击技术的检测，则需要进行数据收集，包括文件哈希、文件PE元数据、RTLO字符等，分析黑客的恶意活动。

例如下面伪代码，就是指从主机所有的事件中获取所有进程信息，然后将进程的所有哈希值按照进程名进行统计，如果同一个哈希值的进程数大于1，就判断为异常进行报警。具体来说，两个不同进程名的哈希值一样，这极有可能就是同一个恶意进程为了躲避查杀，在不同位置启动。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测

Credential Dumping

凭证转储是指从操作系统和软件中获取登录帐户和密码（通常以散列或明文密码的形式）信息的过程。然后攻击者就可以使用凭证执行横向移动并访问需要较高权限才能访问的信息。比如通过内存技术转储SAM数据库文件，常见工具包括Mimikatz、pwdumpx.exe等，也可以使用工具Reg从注册表中提权SAM文件。

（1）Credential Dumping攻击过程复现实例

例如，lsass.exe的内存经常会被转储，以进⾏离线凭证窃取攻击。可以使⽤Windows任务管理器和管理权限，系统⼯具ProcDump，或者mimikatz来实现。

如下实例所示，通过任务管理器选择lsass.exe，然后再转储内存，创建一个转储的文件，之后可以选择procdump或者说mimikatz这类工具把实际内存中凭证dump出来，获得认证信息。

（2）Credential Dumping攻击的检测分析

然后这个检测起来相对来说会复杂一些。例如，攻击者⼀般都会通过powershell执⾏恶意命令，⽽且在执⾏powershell时，必然需要使⽤参数 –exec bypass来绕过执⾏安全策略，这是⼀个很强的检测点。然后再用mimikatz等工具将凭证dump出来。

如下所示检测分析实例，是指进程访问了lsass.exe，访问的行为包含了GrantedAccess（Windows系统自带的进程访问编码）这几个字段。此外该进程还调用了一些DLL。在这个基础上，再查看父进程一些相关信息，就能判断肯定存在威胁。按照正常来说的一些程序，他不会去通过这些的访问方式来去访问lsass.exe的。

ISC干货-青藤COO程度：ATT&CK高频攻击技术的分析与检测