公众号安全攻防渗透期待你的关注~
0x01 购买基础设施-域名
描述
攻击者可能会购买可在对目标进行攻击中使用的域名。域名是用于代表一个或多个IP地址的可读名称。它们可以被购买,或者在某些情况下,免费获得。
攻击者可以将购买的域名用于各种目的,包括网络钓鱼、非法入侵以及命令和控制。攻击者可以选择与合法域名相似的域名,包括通过使用同音字或使用不同的顶级域名(TLD)。攻击者还可以使用国际化域名(IDN)来创建视觉上相似的域名,以便在行动中使用。
域名注册商都有一个可公开查看的数据库,显示每个注册域名的联系信息。WHOIS服务显示私人其他信息,如他们自己的公司数据,而不是域名的所有者。攻击者可能利用这种私人WHOIS服务来掩盖关于谁拥有所购域名的信息。攻击者可能通过使用不同的注册信息、在不同的域名注册商处购买域名,进一步干扰追踪其基础设施。
测试案例
新闻简介:不法分子搭建了某知名外卖平台的钓鱼网站(www.meituam.cn),通过发送短信诈骗该平台入驻商户进行个人信息录入及缴费。该团伙自2020年以来,以木马短信链接的方式作案50余起,涉案资金80余万元,发案地涉及全国21个省份。
同样在某些电商平台,部分号称能够破解apple密码的商家,所谓的软解密,也是用的相同手法,伪造和apple相似域名,发送钓鱼链接给指定的用户,诱使用户点击进入伪造站点,输入账户及密码。从而实现软解密的效果。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
企业可能故意注册与他们自己的域名相似的域名,以阻止攻击者创建错别字域名。这种技术的其他方面不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
根据设计,域名注册信息会被记录在公共注册日志中。考虑使用可能有助于跟踪新获得的域名的服务,如WHOIS数据库或被动DNS。在某些情况下,有可能通过已知的域名注册信息来发现攻击者购买的其他基础设施。考虑监测与你自己的域名结构相似的域名,包括在不同的顶级域名下创建的域名。尽管存在各种工具和服务来跟踪、查询和监测域名注册信息,但跟踪多个DNS基础设施可能需要多种工具、服务或更高级的分析方法。
检测工作可能集中在攻击生命周期的相关阶段,如初始访问和指挥与控制期间。
0x02 购买基础设施-DNS服务
描述
攻击者可能会建立他们自己的域名系统(DNS)服务器,可以在攻击目标期间使用。在破坏后的活动中,攻击者可以利用DNS流量进行各种任务,包括指挥和控制(例如:应用层协议)。与其劫持现有的DNS服务器,攻击者可能会选择配置和运行自己的DNS服务器来支持渗透行动。
通过运行自己的DNS服务器,攻击者可以更多地控制他们如何管理服务器端的DNS C2流量。通过对DNS服务器的控制,攻击者可以配置DNS应用程序,为恶意软件提供有条件的响应,一般来说,在基于DNS的C2通道的结构上有更大的灵活性。
测试案例
DNS Tunneling
DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。
原理
DNS Tunneling可以分为直连和中继两种。
直连:client直接和指定的目标DNS Server(Authoritative NS Server)连接,通过将数据编码封装在DNS协议中进行通信。这种方式速度快,但是隐蔽性较弱,容易被探测到,且存在的限制比较多,很多场景不允许自己指定DNS Server。
中继:通过迭代DNS查询可以实现中继通道,更为隐蔽,但同时因为数据包到达目标DNS Server前需要经过多个节点,所以速度上较慢,但是可以突破防火墙等的限制。
DNS隧道工具
使用DNS over HTTPS(DoH)构建弹性C2基础架构:https://xz.aliyun.com/t/3068
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x03 购买基础设施-虚拟专用服务器
描述
攻击者可能会租用虚拟私人服务器(VPS),这些服务器可以在攻击目标期间使用。有各种云服务提供商将虚拟机或容器作为一种服务出售。通过利用VPS,攻击者可以使其(追踪)难以在物理上将行动与他们联系起来。使用云计算基础设施也可以使攻击者更容易快速提供、修改和关闭其基础设施。
获取VPS用于攻击生命周期的后期阶段,如指挥和控制,可以让攻击者受益于与较高声誉的云服务提供商相关的普遍性和信任。攻击者也可以从VPS服务提供商那里获得基础设施,这些服务提供商以出租VPS而闻名,其注册信息极少,从而可以更加匿名地获得基础设施。
测试案例
虚拟专用服务器(英语:Virtual private server,缩写为 VPS),是将一台服务器分割成多个虚拟专享服务器的服务。实现VPS的技术分为容器技术和虚拟机技术 。在容器或虚拟机中,每个VPS都可分配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS为用户提供了管理配置的自由,可用于企业虚拟化,也可以用于IDC资源租用。IDC资源租用,由VPS提供商提供。不同VPS提供商所使用的硬件VPS软件的差异,及销售策略的不同,VPS的使用体验也有较大差异。尤其是VPS提供商超卖,导致实体服务器超负荷时,VPS性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器VPS的价格都高于虚拟机VPS的价格。这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。每个VPS主机都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。VPS主机用户可在服务器上自行安装程序,单独重启主机。(ps:不做过多介绍,懂得都懂)
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x04 购买基础设施-服务器
描述
攻击者可能会购买、租赁或租用可在目标行动中使用的实体服务器。使用服务器可以让攻击者策划、发起和执行行动。在破坏后的活动中,攻击者可以利用服务器执行各种任务,包括用于指挥和控制。与破坏第三方服务器或租用虚拟专用服务器相比,攻击者也可能选择配置和运行自己的服务器来支持行动。
如果攻击者的大部分活动将使用在线基础设施进行,他们可能只需要一个轻量级的设置。或者,如果他们想在自己的系统上测试、通信和控制其活动的其他方面,他们可能需要建立广泛的基础设施。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x05 购买基础设施-僵尸网络
描述
攻击者可以购买、租赁或租用一个由被破坏的系统组成的网络,以便在目标攻击中使用。僵尸网络是一个由被攻击的系统组成的网络,可以指示执行下发的任务。攻击者可以从压力测试服务中购买一个现有的僵尸网络。有了僵尸网络,攻击者可以进行后续活动,如大规模网络钓鱼或分布式拒绝服务(DDoS)。
测试案例
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织(受害者)的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在网络钓鱼、端点拒绝服务或网络拒绝服务期间。
0x06 购买基础设施-web服务
描述
攻击者可以注册可在攻击目标期间使用的网络服务。有各种流行的网站供攻击者注册基于网络的服务,这些服务可以在攻击生命周期的后期阶段被滥用,例如在指挥和控制(网络服务)或通过网络服务渗透期间。使用常见的服务,如谷歌或Twitter提供的服务,使攻击者更容易隐藏在预期的噪音中。通过利用网络服务,攻击者可以使其(威胁追溯上)难以在物理上将行动与之联系起来。
测试案例
利用github web服务构建恶意下载链接等。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在指挥和控制(网络服务)或通过网络服务渗透期间。
0x07 盗取基础设施-域名
描述
攻击者可能会劫持域名或子域名,以便在目标攻击中使用。域名注册劫持是指未经原注册人允许而改变域名注册的行为。攻击者可能获得被列为域名所有者的电子邮件账户。然后,攻击者可以声称他们忘记了自己的密码,以便对域名注册进行更改。其他的可能性包括通过社会工程使域名注册服务台获得对账户的访问权,或者利用续费过程中的漏洞。
当组织的DNS条目指向不存在的或被取消的资源时,就会发生子域劫持。在这种情况下,攻击者可能会控制一个子域,利用与该域相关的信任来进行操作 。
测试案例
子域名劫持漏洞详解、挖掘和防护
https://blog.csdn.net/nini_boom/article/details/108308966
关于子域名劫持的一些总结
https://xz.aliyun.com/t/6683
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x08 盗取基础设施-DNS服务
描述
攻击者可能会盗取第三方DNS服务器,这些服务器可以在攻击目标期间使用。在破坏后的活动中,攻击者可能利用DNS流量进行各种任务,包括指挥和控制(例如:应用层协议)。攻击者可能不会建立自己的DNS服务器,而是利用第三方DNS服务器以支持行动。
通过盗取DNS服务器,攻击者可以改变DNS记录。这样的控制可以让一个组织的流量重新定向,为攻击者的收集和凭证访问工作提供便利。攻击者也可以悄悄地创建指向恶意服务器的子域,而不向DNS服务器的实际所有者通风报信。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x09 盗取基础设施-虚拟专用服务器
描述
攻击者可能会盗取第三方的虚拟专用服务器(VPS),这些服务器可以在攻击目标期间使用。有各种云服务提供商将虚拟机或容器作为一种服务出售。攻击者可以盗取由第三方实体购买的VPS,作为基础设施的VPS,攻击者可以使其难以在物理上将行动与自己联系起来。
盗取VPS用于攻击生命周期的后期阶段,如指挥和控制,可以让攻击者受益于与更高声誉的云服务提供商相关的普遍性和信任,以及受感染的第三方增加的信任。
测试案例
虚拟专用服务器(英语:Virtual private server,缩写为 VPS),是将一台服务器分割成多个虚拟专享服务器的服务。实现VPS的技术分为容器技术和虚拟机技术 。在容器或虚拟机中,每个VPS都可分配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离,为用户和应用程序模拟出“独占”使用计算资源的体验。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS为用户提供了管理配置的自由,可用于企业虚拟化,也可以用于IDC资源租用。IDC资源租用,由VPS提供商提供。不同VPS提供商所使用的硬件VPS软件的差异,及销售策略的不同,VPS的使用体验也有较大差异。尤其是VPS提供商超卖,导致实体服务器超负荷时,VPS性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器VPS的价格都高于虚拟机VPS的价格。这些VPS主机以最大化的效率共享硬件、软件许可证以及管理资源。每个VPS主机都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。VPS主机用户可在服务器上自行安装程序,单独重启主机。(ps:不做过多介绍,懂得都懂)
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x0A 盗取基础设施-服务器
描述
攻击则可能会攻击第三方服务器,这些服务器可以在瞄准目标时使用。使用服务器可以让攻击者策划、发动和执行行动。在攻击后的活动中,攻击者可以利用服务器执行各种任务,包括用于指挥和控制。攻击者可能不购买服务器或虚拟私人服务器,而是利用自己攻击获取的第三方服务器用以支持行动。
攻击者还可能攻击Web务器以支持水坑操作,如Drive-by Compromise。
测试案例
简单来说:就是通过攻击第三方服务器,作为跳板机,俗称“肉鸡”。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在防御团队(组织)的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
0x0B 盗取基础设施-僵尸网络
描述
攻击者可能会攻击许多第三方系统,以形成一个僵尸网络,在目标攻击中使用。僵尸网络是一个由被破坏的系统组成的网络,可以被指示执行下发的任务。攻击者可以通过攻陷许多第三方系统来建立自己的僵尸网络,而不是从压力测试服务商那里中购买或租用僵尸网络。攻击者也可以接管现有的僵尸网络,例如将僵尸重定向到攻击者控制的C2服务器。有了僵尸网络,攻击者可以进行后续活动,例如大规模网络钓鱼或分布式拒绝服务(DDoS)。
测试案例
简单的来讲:即攻击者自行组建属于自己的僵尸网络系统,通过攻击第三方系统的手段。
僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织(受害者)的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在网络钓鱼、端点拒绝服务或网络拒绝服务期间。
0x0C 盗取基础设施-web服务
描述
攻击者可能会破坏对第三方网络服务的访问,这些服务可以在攻击目标期间使用。有各种流行的网站供合法用户注册基于网络的服务,如GitHub、Twitter、Dropbox、谷歌等。攻击者可能会尝试取得合法用户对网络服务的访问权,并将该网络服务用作支持网络操作的基础设施。此类Web服务可能会在攻击生命周期的后期阶段被滥用,例如在命令和控制 (Web服务) 或通过 Web服务渗透。使用通用服务,例如Google或Twitter提供的服务,可以让攻击者更容易隐藏在预期的噪音(正常行为中)中。通过使用Web服务,特别是当合法用户的访问权限被盗时,可能很难将操作与他们(攻击者)联系起来。
测试案例
Turla经常将受感染的WordPress站点用于C2基础设施
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,例如在指挥和控制(网络服务)或通过网络服务渗透期间。
0x0D 创建账户-社交媒体账户
描述
攻击者可以创建和培养社交媒体账户,以便在攻击目标时使用。攻击者可以创建社交媒体账户,用来建立一个角色,以进一步开展行动。角色开发包括开发公共信息、存在感、历史和适当的附属关系。
对于包含社会工程的行动来说,在社交媒体上利用一个角色可能很重要。这些角色可能是虚构的,也可能冒充真实的人。角色可以存在于一个社交媒体网站或多个网站上(例如:Facebook、LinkedIn、Twitter等)。在社交媒体上建立一个角色可能需要开发额外的文件,以使他们看起来真实。这可能包括填写个人资料信息,发展社交网络,或加入照片。
一旦建立了一个角色,攻击者就可以利用它与感兴趣的目标建立联系。这些连接可能是直接的,也可能包括试图通过他人进行连接。这些账户可能会在攻击生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑监测与你的组织有关的社交媒体活动。可疑的活动可能包括声称为您的组织工作的角色,或最近修改过的账户向与您的组织相关的账户提出大量连接请求。
检测工作可以集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
0x0E 盗取账户-电子邮箱账户
描述
攻击者可能会创建可在攻击目标中使用的电子邮件账户。攻击者可以使用在电子邮件供应商处创建的账户来推进他们的行动,例如利用它们来进行 "信息钓鱼 "或 "网络钓鱼"。攻击者还可以采取措施,围绕电子邮件账户培养一个角色,例如通过使用社交媒体账户,以增加后续行为的成功机会。创建的电子邮件账户也可用于获取基础设施(例如:域名)。
为了减少将行动与自己联系起来的机会,攻击者可能会使用一次性的电子邮件服务。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。
0x0F 盗取账户-社交媒体账户
描述
攻击者可能会盗取社交媒体账户,这些账户可以在目标攻击中使用。对于包含社会工程的行动,利用在线角色可能很重要。与其创建和培养社交媒体档案(即社交媒体账户),攻击者可能会盗用现有的社交媒体账户。如果潜在的受害者与被攻击者有关系,或者知道被攻击者的情况,那么利用现有的角色可以使他们产生一定程度的信任。
破坏社交媒体账户的方法有很多,比如通过钓鱼网站收集信息,从第三方网站购买信息,或者通过暴力破解信息(例如:从泄露的信息转储中重复使用密码,简单理解:就是撞库)在盗用社交媒体账户之前,攻击者可能会进行侦察,以决定破坏哪些账户来推进其行动。
社交媒体账户(角色)可能存在于一个网站或多个网站上(例如:Facebook、LinkedIn、Twitter等)。被入侵的社交媒体账户可能需要额外的开发,这可能包括填写或修改个人资料信息,进一步开发社交网络,或加入照片。
攻击者可以利用被盗用的社交媒体资料创建新的,或劫持现有的,与感兴趣的目标的联系。这些连接可能是直接的,也可能包括试图通过他人进行连接。在攻击生命周期的其他阶段,例如在初始访问期间(例如:通过服务进行网络钓鱼),可以利用被盗用的账户。
测试案例
简单理解:盗用一些社交媒体账户,比如xxx公司的财务人员,然后通过该账户和其他员工沟通交流,或者直接利用该账户和目标进行沟通。比如最常见的定位攻击人员身份信息,通过QQ联系,将自己的QQ信息更改为和攻击人员具有一定的相似之处(同一所学校、同一个专业等),可以帮助你获取到一定程度的信任。这是溯源攻击人员身份的方式之一,同样也可以是攻击者对攻击目标进行社会工程行动的一部分。
具体案例可参考:
记一次艰难的溯源故事(对不起学长):https://xz.aliyun.com/t/9582
有这么一段描述:”用一个qq等级高点的小号,修改好资料,99年,18届,某某院校,计算机专业,空间搞了些在贴吧找的学校照片。写上18届的学弟想咨询就业信息,订~好友申请已发送。既然是做梦,肯定是半夜,应该是12点左右看到通过了请求,也就过了十来分钟吧。正准备发构思好的问候学长的话。好家伙,直接给我来了一大波内推。这里暗示的提了一下自己是做开发的不是网络安全降低警惕心。“
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑监测与你的组织有关的社交媒体活动。可疑的活动可能包括声称为您的组织工作的角色,或最近修改过的账户向与您的组织相关的账户提出大量连接请求。
检测工作可以集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
0x10 盗取账户-电子邮箱账户
描述
攻击者可能会盗用可在目标攻击中使用的电子邮件账户。攻击者可以使用被盗用的电子邮件账户来推进他们的行动,例如利用它们来进行信息钓鱼或网络钓鱼。如果潜在的受害者与被攻击的角色有关系,或者知道被攻击的角色,那么利用现有的角色与被攻击的电子邮件账户可能会使他们产生一定程度的信任。被入侵的电子邮件账户也可用于获取基础设施(例如:域名)。
盗取电子邮件账户的方法有很多,例如通过钓鱼网站收集信息,从第三方网站购买证书,或通过暴力破解(例如:从违规凭据转储中重用密码,简单理解:撞库)。在盗取电子邮件账户之前,攻击者可能会进行侦察,以决定破坏哪些账户来推进其行动。
攻击者可以利用被入侵的电子邮件账户,来劫持与感兴趣的目标的现有电子邮件线程。
测试案例
很好理解,这里不做任何案例说明。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。
0x11 开发能力-恶意软件
描述
攻击者可能会开发恶意软件和恶意软件组件,可在攻击目标期间使用。构建恶意软件可以包括开发有效载荷、投放器、破坏后的工具、后门(包括后门程序)、打包程序、C2协议,以及创建受感染的可移动媒体。攻击者可能会开发恶意软件来支持他们的行动,从而创建一种方法来保持对远程机器的控制、逃避防御和执行权限后的行为。。
与合法的开发工作一样,开发恶意软件可能需要不同的技能组合。所需的技能可能位于内部,也可能需要外包。使用承包商可被视为该攻击者的恶意软件开发能力的延伸,前提是攻击者在塑造需求方面发挥作用并保持对恶意软件的一定程度的排他性。
恶意软件开发的某些方面,如C2协议开发,可能需要攻击者获得额外的基础设施。例如,为了C2与Twitter通信而开发的恶意软件可能需要使用Web服务。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期中的破坏后阶段。
0x12 开发能力-代码签名证书
描述
攻击者可能会创建自签名代码签名证书,这些证书可在攻击目标期间使用。代码签名是对可执行文件和脚本进行数字签名以确认软件作者并保证代码未被更改或损坏的过程。代码签名为开发人员的程序提供了一定程度的真实性,并保证程序未被篡改。用户或安全工具可能比未签名的代码更信任签名的代码,即使他们不知道谁颁发了证书或作者是谁。
在代码签名之前,攻击者可能会开发自签名代码签名证书以用于操作。
测试案例
暂无,仅提供辅助理解案例:
恶意软件团伙盗取大量证书用来绕过代码签名检查
https://www.anquanke.com/post/id/83654
恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿
https://www.landiannews.com/archives/47396.html
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在相关的后续行为上,例如代码签名或安装根证书。
0x13 开发能力-数字证书
描述
攻击者可能会创建自签名SSL/TLS证书,可在攻击目标期间使用。SSL/TLS证书旨在灌输信任。它们包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们知道他们可以使用该密钥与其所有者进行通信。在自签名的情况下,数字证书将缺乏与第三方证书颁发机构 (CA) 签名相关联的信任元素。
攻击者可能会创建自签名SSL/TLS证书,可用于进一步其操作,例如加密C2流量(例如:使用Web协议的非对称加密),或者如果添加到信任根,甚至启用中间人(即安装根证书)。
创建数字证书后,攻击者可以在其控制的基础设施上安装该证书。
测试案例
CS通过(CDN+证书)powershell上线详细版
https://blog.csdn.net/god_zzZ/article/details/109057803
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑使用可能有助于跟踪Internet站点上使用的证书的服务。在某些情况下,可能会以已知的证书信息为中心,以发现其他攻击者的基础设施。
检测工作可能集中在相关行为上,例如Web协议、非对称加密或安装根证书。
0x14 开发能力-漏洞利用
描述
攻击者可能会开发可在攻击目标期间使用的漏洞。漏洞利用了一个错误或漏洞,以使计算机硬件或软件发生非预期或意料之外的行为。与其从网上寻找,修改漏洞或从漏洞供应商那里购买漏洞,攻击者可能会自行挖掘漏洞。攻击者可能会使用通过漏洞获得的信息来集中开发漏洞利用工具。作为漏洞利用开发过程的一部分,攻击者可能会通过模糊测试和补丁分析等方法发现可利用的漏洞。
与合法的开发工作一样,开发漏洞可能需要不同的技能。所需的技能可能位于内部,也可能需要外包。使用承包商可以被认为是该攻击者开发能力的扩展,只要攻击者在制定要求方面发挥作用,并保持对漏洞的独有性。
攻击者可能会在攻击生命周期的各个阶段使用漏洞利用(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭据访问、利用远程服务以及利用应用程序或系统利用)。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作大多集中在与使用漏洞有关的行为上(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。
0x15 获取能力-恶意软件
描述
攻击者可能会购买、窃取或下载可在攻击目标过程使用的恶意软件。恶意软件可能包括有效载荷、植入程序、后渗透工具、后门、加壳程序和C2协议。攻击者可能会获取恶意软件来支持他们的行动,获得一种维持对远程机器的控制、逃避防御和攻陷后行为的手段。
除了从互联网上下载免费的恶意软件外,攻击者还可能从第三方实体购买这些恶意软件。第三方实体可以包括专门从事恶意软件开发的技术公司、犯罪市场(包括恶意软件即服务,或称MaaS),或来自个人。除了购买恶意软件外,攻击者还可能从第三方实体(包括其他攻击者)窃取和重新使用恶意软件。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期中的破坏后阶段。
0x16 获取能力-工具
描述
攻击者可能会购买、窃取或下载可在攻击目标过程中使用的软件工具。工具可以是开放或闭源的,免费或商业的。一个工具可以被攻击者用于恶意目的,但工具(与恶意软件不同)并不是被用于这些目的(例如:PsExec)。工具的获取可能涉及商业软件许可证的采购,包括Cobalt Strike等红色团队工具。商业软件可以通过购买、盗取许可证(或软件的许可副本)或破解试用版来获得。
攻击者可以获得工具来支持他们的行动,包括支持执行破坏后的行为。除了自由下载或购买软件外,攻击者还可能从第三方实体(包括其他攻击者)窃取软件或软件许可证。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击者生命周期的妥协后阶段。
0x17 获取能力-代码签名证书
描述
攻击者可能会购买或窃取代码签名证书,以便在攻击目标中使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件的作者并保证代码没有被改变或破坏。代码签名为程序的开发者提供了一定程度的真实性,并保证程序没有被篡改。用户和安全工具可能比未签名的代码更信任已签名的代码,即使他们不知道谁颁发了证书或谁是作者。
在代码签名之前,攻击者可能会购买或窃取代码签名证书用于操作。购买代码签名证书可以使用一个幌子组织,或使用从以前被攻破的实体中窃取的信息,使攻击者能够以该实体的身份向证书提供商验证。攻击者也可以直接从被攻击的第三方那里窃取代码签名材料。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的可视范围之外,因此很难检测到这种行为。检测工作可能集中在相关的后续行为上,如代码签名或安装根证书。
0x18 获取能力-数字证书
描述
攻击者可能会购买和窃取SSL/TLS证书,以便在攻击目标中使用。SSL/TLS证书是为了灌输信任。它们包括关于密钥的信息,关于其所有者身份的信息,以及一个实体的数字签名,该实体已经验证了证书的内容是正确的。如果签名是有效的,并且检查证书的人信任签名者,那么他们就知道可以使用该钥匙与证书所有者进行通信。
攻击者可能会购买或窃取SSL/TLS证书,以推进他们的行动,如加密C2流量(例如:网络协议的非对称加密法),甚至启用中间人,如果证书被信任或以其他方式添加到信任根(即安装根证书)。数字证书的购买可以使用一个幌子组织,或使用从以前被攻破的实体中窃取的信息,使攻击者能够以该实体的身份向证书提供者验证。攻击者也可以直接从被攻击的第三方那里窃取证书材料,包括从证书颁发机构那里。攻击者可以注册或劫持他们以后要购买SSL/TLS证书的域名。
有一些证书颁发机构允许攻击者免费获得SSL/TLS证书,如域名验证证书。
获得数字证书后,攻击者可能会在其控制的基础设施上安装该证书。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑使用可能有助于跟踪新颁发的证书或互联网上的网站使用的证书的服务。在某些情况下,有可能通过已知的证书信息来发现其他攻击者的基础设施。攻击者工具的一些服务器端组件可能为SSL/TLS证书设置了默认值。
检测工作可能集中在相关行为上,如网络协议、非对称加密或安装根证书。
0x19 获取能力-漏洞利用
描述
攻击者可能会购买、窃取或下载可在攻击目标过程中使用的漏洞。漏洞利用了一个错误或漏洞,以使计算机硬件或软件发生非预期或意料之外的行为。与其开发自己的漏洞,攻击者可能从网上找到/修改漏洞,或从漏洞供应商那里购买漏洞。
除了从互联网上下载免费的漏洞外,攻击者还可能从第三方实体购买漏洞。第三方实体可以包括专门从事漏洞开发的技术公司、犯罪市场(包括漏洞工具包)或个人。除了购买漏洞,攻击者还可能从第三方实体(包括其他攻击者)窃取和重新利用漏洞。
攻击者可能会监控漏洞提供者的论坛,以了解现有的以及新发现的漏洞的状态。在发现漏洞和公开漏洞之间通常会有延迟。攻击者可能以那些已知进行漏洞研究和开发的系统为目标,以便获得知识,在后续行动中使用。
攻击可者能在攻击生命周期的各个阶段使用漏洞(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在与使用漏洞有关的行为上(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭证访问、利用远程服务、以及应用或系统漏洞)。
0x1A 获取能力-漏洞
描述
攻击者可能会获得有关漏洞的信息,这些信息可以在确定攻击目标的方法时使用。漏洞是计算机硬件或软件中的一个弱点,它有可能被攻击者利用,导致发生非预期或意料之外的行为。攻击者可以通过搜索开放的漏洞数据库或进入封闭的漏洞数据库来寻找漏洞信息。
攻击者可以监视漏洞披露数据库,以了解现有的以及新发现的漏洞的状况。在发现漏洞和公开漏洞之间通常会有延迟。攻击者可能会把那些已知进行漏洞研究的系统作为目标(包括商业供应商)。对漏洞的了解可能会使攻击者寻找现有的漏洞或试图自己挖掘出一个漏洞。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能侧重于与漏洞利用的潜在使用相关的行为(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭据访问、利用远程服务,以及应用程序或系统开发)
0x1B 阶段性能力-上传恶意软件
描述
攻击者可能会将恶意软件上传到第三方或攻击者控制的基础设施上,使其在攻击目标期间可以访问。恶意软件可以包括有效载荷、诱饵、后渗透工具、后门和其他各种恶意程序。攻击者可能会上传恶意软件以支持他们的行动,例如将有效载荷放在互联网可访问的网络服务器上,使受害者网络可以使用入侵工具传输。
恶意软件可能被放置在以前被攻击者购买或租用的基础设施上(购买基础设施)或被他们破坏的基础设施(盗取基础设施)。恶意软件也可以放在网络服务上,如GitHub或Pastebin。
攻击者可能会将备份文件,如应用程序二进制文件、虚拟机图像或容器图像,上传到第三方软件商店或存储库(例如:GitHub、CNET、AWS社区AMI、Docker Hub)。偶然的机会,受害者可能会通过用户执行直接下载或安装这些被反屏蔽的文件。巧妙的伪装可能会增加用户错误地执行这些文件的机会。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的破坏后阶段,如用户执行或入侵工具转移。
0x1C 阶段性能力-上传工具
描述
攻击者可能会将工具上传到第三方或攻击者控制的基础设施上,使其在目标攻击期间可以使用。工具可以是开放或闭源的,免费或商业的。工具可被攻击者用于恶意目的,但这些工具的设计初衷(与恶意软件不同)并不打算用于这些目的(例如:PsExec)。攻击者可能会上传工具以支持他们的行动,例如将工具放在互联网可访问的网络服务器上,让受害者网络可以使用,以实现入侵工具传输。
工具可能被放置在攻击者之前购买或租用的基础设施上(购买基础设施),或者被他们以其他方式破坏(盗取基础设施)。工具也可以被放置在网络服务上,例如攻击者控制的GitHub repo。
攻击者可以通过让被攻击的受害者机器直接从第三方托管位置(例如:非攻击者控制的GitHub repo)下载工具,包括工具的原始托管网站,来避免上传工具的需要。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得检测这种行为变得困难。检测工作可能集中在攻击生命周期的后渗透阶段,如入侵工具转移。
0x1D 阶段性能力-安装数字证书
描述
攻击者可能会安装SSL/TLS证书,在攻击过程中可以使用。SSL/TLS证书是可以安装在服务器上的文件,以实现系统之间的安全通信。数字证书包括关于密钥的信息,关于其所有者身份的信息,以及一个实体的数字签名,该实体已经验证了证书的内容是正确的。如果签名是有效的,并且检查证书的人信任签名者,那么他们知道他们可以使用该钥匙与它的所有者进行安全通信。证书可以被上传到服务器上,然后服务器可以被配置为使用证书来实现与它的加密通信。
攻击者可能会安装SSL/TLS证书,用来推进他们的行动,如加密C2流量(例如:网络协议的非对称加密法),或将可信度借给证书采集网站。数字证书的安装可能发生在一些服务器类型上,包括网络服务器和电子邮件服务器。
攻击者可以获得数字证书或创建自签名的证书。然后,数字证书可以被安装在攻击者控制的基础设施上,这些基础设施可能是已经获得的(购买基础设施)或以前被破坏的(盗取基础设施)。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑使用可能有助于跟踪整个互联网上的网站所使用的证书的服务。在某些情况下,有可能以已知的证书信息为支点,发现其他攻击者的基础设施。
检测工作可以集中在相关行为上,如网络协议或非对称密码学。
0x1E 阶段性能力-Drive-by Target
描述
攻击者可能会准备一个操作环境来感染在正常浏览过程中访问网站的系统。端点系统可能通过浏览攻击者控制的网站而被入侵,就像Drive-by Compromise中的情况。在这种情况下,用户的网络浏览器通常是利用的目标(一旦登陆网站,通常不需要任何额外的用户互动),但攻击者也可能为非利用行为(如应用访问标记)设置网站。在进行“偷渡式”破坏之前,攻击者必须准备好必要的资源,以便向浏览到攻击者控制的网站的用户提供这种利用。偷渡内容可以在攻击者控制的基础设施上上演,这些基础设施已经获得(购买基础设施)或以前被破坏(盗取基础设施)。
攻击者可能会上传或注入恶意的网络内容,如JavaScript。这可以通过多种方式实现,包括将恶意脚本插入网页或其他用户可控制的网络内容,如论坛帖子。攻击者也可以制作恶意的网络广告,并通过合法的广告供应商购买网站上的广告空间。除了放置内容以利用用户的网络浏览器外,攻击者还可能放置脚本内容来描述用户的浏览器(如收集受害者主机信息),以确保其在尝试利用前是脆弱的。
被攻击者攻破并用于实施偷渡的网站可能是特定群体访问的网站,如政府、特定行业或地区,其目的是基于共同的兴趣,攻破特定用户或一组用户。这种有针对性的攻击被称为战略网络攻击或水坑攻击。
攻击者在获取基础设施(域名)的过程中,可能会购买与合法域名类似的域名(例如:同音字、错别字、不同的顶级域名等),以帮助促进偷渡式破坏。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动的大部分将发生在目标组织的可见性之外,因此很难检测到这种行为。检测工作可能会集中在攻击生命周期的其他阶段,例如通过妥协或利用客户端执行。
0x1F 阶段性能力-Link Target
描述
攻击者可能会将链接所引用的资源放在适当的位置,以便在针对特定目标时使用。攻击者可能依靠用户点击一个恶意链接来泄露信息(包括证书)或获得执行,如恶意链接。链接可用于鱼叉式网络钓鱼,如发送一封电子邮件,并伴有社会工程文本,以哄骗用户主动点击或在浏览器中复制和粘贴一个URL。在网络钓鱼获取信息(如鱼叉式链接)或网络钓鱼获得对系统的初始访问(如鱼叉式链接)之前,攻击者必须为鱼叉式链接的链接目标设置资源。
通常情况下,链接目标的资源将是一个HTML页面,可能包括一些客户端脚本,如JavaScript,以及决定向用户提供什么内容。攻击者可能会克隆合法网站作为链接目标,这可能包括克隆合法网络服务的登录页面或组织的登录页面,在鱼叉式网络钓鱼链接期间获取凭据。
在获取基础设施(域名)期间,攻击者可能会购买与合法域名相似的域名(例如:同音字、错别字、不同的顶级域名等),以帮助促进恶意链接。也可以使用短域名服务。
测试案例
暂无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动的大部分将发生在目标组织的可见性之外,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的其他阶段,例如在网络钓鱼链接或恶意链接期间。
end
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论