常见 MITRE ATT&CK 攻击及防御对策

是什么：攻击者使用 PowerShell 和 Python 等流行语言编写脚本有两个主要目的。最常见的是，它们用于自动执行恶意任务，例如收集数据或下载和提取有效负载。它们对于逃避检测也很有用——绕过防病毒解决方案、扩展检测和响应 (XDR) 等。

这些脚本作为第一名在榜单上遥遥领先，这让 D3 的产品和服务副总裁 Adrianna Chen 感到惊讶。“由于命令和脚本解释器 (T1059) 属于执行策略，因此它处于 MITRE ATT&CK 杀伤链的中间阶段，”她说。“因此，可以公平地假设，早期阶段中的其他技术会更早被 EDR 工具检测到。鉴于这项技术在我们的数据集中如此突出，它强调了让流程追溯到事件起源的重要性。”

如何防御：由于恶意脚本是多种多样且多方面的，因此处理它们需要一个全面的事件响应计划，该计划将潜在恶意行为的检测与对权限和脚本执行策略的严格监视相结合。

是什么：网络钓鱼及其子类别鱼叉式网络钓鱼 (T1566.001-004) 是攻击者访问目标系统和网络的第一和第三种最常见方式。在一般活动中使用前者，在针对特定个人或组织时使用后者，其目标是强迫受害者泄露关键信息，从而进入敏感帐户和设备。

如何防范：即使是我们当中最聪明、受过最高教育的人也被复杂的社会工程学攻击所迷惑。频繁的安全意识教育和宣传活动可以在一定程度上保护员工和公司免受侵害。

是什么：通常，成功的网络钓鱼允许攻击者访问合法帐户。这些账户提供了打开门的钥匙，掩盖了他们的各种不当行为。

如何防御：当员工不可避免地点击恶意 PDF 或 URL 时，强大的多因素身份验证 (MFA)可能会成为攻击者的有效障碍。例如，如果陌生用户从遥远的 IP 地址进行连接，或者只是做了一些他们不希望做的事情，异常检测工具也可以提供帮助。

是什么：暴力破解是过去很流行的选择，由于弱密码、重用密码和未更改密码的普遍存在，暴力破解一直存在。在这里，攻击者使用用户名和密码组成的自动运行的脚本（例如字典攻击）来获取对所需帐户的访问权限。

如何防御：此列表中没有任何项目比暴力攻击更容易且完全可以预防。使用足够强的密码可以自行解决问题。其他一些机制，例如在重复登录尝试后锁定用户，也可以达到目的。

是什么：一旦攻击者使用网络钓鱼、暴力破解或其他方式访问特权帐户，他们就可以利用该帐户来巩固自己在目标系统中的地位。例如，他们可以更改帐户的凭据以锁定其原始所有者，或者可能调整权限以访问更多的特权资源。

如何防御：为了减轻帐户泄露造成的损害，D3 建议组织对敏感资源的访问实施严格的限制，并遵循最小特权访问原则：授予的访问权限不超过任何用户执行操作所需的最低级别权限。

除此之外，它还提供了一些适用于此技术和其他 MITRE 技术的建议，包括：

• 通过持续监控日志保持警惕，以检测和响应任何可疑帐户活动

• 在网络已受到损害的假设下推进安全运营，并采取积极措施来减轻潜在的损害

• 检测并确认安全漏洞后，自动采取对策简化响应工作，确保快速有效的缓解措施