概览

在企业矩阵的19个新增技术中，涉及到以下几个方面：

• 滥用系统功能：攻击者会通过添加本地组或域组、资源劫持、云服务劫持等手段，这一些行为表现出攻击者对合法系统功能的滥用。“没有后门就是最好的后门”，通过滥用合法的系统功能特性，可以更为隐蔽的方式来实现权限的持久化。
• 数据安全：攻击者对敏感数据的窃取和销毁行为日益增多，特别是通过客户关系管理软件、消息传递应用程序，另外还发现了大量从云存储桶中获取压缩格式的敏感数据的情形。结合近几年“双重勒索”的兴起，这对企业安全也提出了巨大的挑战。
• 持久性和逃避检测：攻击者使用多种技术来维持对系统的访问，如伪装账户名、互斥锁和多态代码等。例如多态代码，随着软件的每次执行，代码都会变异成一个不同的版本，尝试规避传统的基于签名的防御措施，防病毒和反恶意软件工具。这些技术使得攻击者能够在不被发现的情况下长期存在于系统中，因此需要更高级的检测手段来应对。
• 云服务安全：随着云服务的普及，攻击者开始利用云资源进行攻击，如云服务劫持和修改云资源层次结构，比如：云服务劫持利用中，通过劫持在线AI会话，大量生成违法不良信息，也包括利用其生成钓鱼邮件、即时通讯软件钓鱼聊天文案等；修改云资源层次结构中，攻击者获取到公有云主账号之后，通过创建一个子账号进行消费的方式，从而减少对主账号的资源或账单提醒，以达到隐蔽。
• 社交工程和用户交互：ClickOnce技术的滥用和中间人攻击（如邪恶双胞胎）都依赖于用户的交互。突出了用户教育和意识提升在防御策略中的重要性。
• 互操作性：攻击者利用多种协议和工具（如Lua脚本、发布/订阅协议）来执行攻击表明攻击者正在利用系统的互操作性来绕过传统的安全措施。比如通过WebSocket协议，或者Iot相关的控制协议（MQTT、XMPP）等隐藏原有的远程控制指令。

（一）导读

导读部分介绍了我们认为值得关注的几种攻击技术。

随着网络安全防护的不断加强，企业对防护措施的升级也迫使攻击者寻找新的突破口。近年来，近源攻击成为攻击者新的手段。例如本文中的邪恶双胞胎技术（Adversary-in-the-Middle: Evil Twin），在某些大型攻防演练中，攻击者靠近目标公司，创建一个与公司名称相同的WiFi网络，诱导公司员工连接。一旦连接成功，攻击者便能监控员工的登录行为，窃取账户密码等敏感信息，从而为后续攻击奠定基础。

另一种新型的技术，利用Udev规则实现持久化，这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供反弹Shell功能和高级隐蔽策略。Udev是Linux内核的设备管理器，负责动态管理设备节点，并处理硬件事件，如外部设备（硬盘、键盘等）的插入和移除。通过规则文件，Udev定义了硬件事件的条件和后续操作。攻击者可能通过修改Udev规则文件，在每次硬件事件触发时执行恶意代码，这使得它非常适合用作持久性机制。一种尚未识别的恶意软件sedexp积极使用这种技术。尽管该恶意软件至少从 2022 年开始就一直在使用，但 Stroz Friedberg 在在线沙盒中利用该技术尝试了多种持久化手法，但发现检测率为零！

伪装账户名称是一种较为成熟的攻击技术，攻击者通过创建与合法账户相似或相同的账户名称来隐藏身份。这通常发生在创建账户时，攻击者可能会选择“admin”、“root”或“backup”等常见名称，使新账户看起来像是正常的系统账户。伪装技术有时也用于重命名现有账户或删除后重新创建账户，从而避免被检测。通过这种方式，攻击者可以潜伏在系统中，躲避安全监控，执行恶意操作,这种技术在一些高级持续性威胁（APT）攻击中非常常见。

从 ATT&CK 更新的多种技术来看，我们发现能够上榜的并不一定都属于高端或者复杂的手段。例如邪恶双胞胎技术，可能从前几年就开始有攻击者使用，但随着技术的丰富完善与攻击成本降低，其危害性显著增加，因此被ATT&CK收录。再比如伪装账户名称，有过实战经验的同行可能会经常使用这个手法来混淆防守方的视线，但它依然被ATT&CK在V16版本作为新增技术收录，这表明，只要某种技术具备实际利用价值，能够威胁到企业防御，ATT&CK就会关注并收录。

详细更新说明

2024 年 10 月 31日MITRE组织发布了ATT&CK V16版本，更新了企业的技术、团体、活动和软件。

正如ATT&CK 2024 Roadmap 中所述，2024 年，ATT&CK 的核心目标是提高不同领域从业者的可用性，并加强实际防御能力。在ATT&CK v16版本中：防守覆盖方面共计增加了231种分析方法，增加了一项缓解措施;重构了云平台，现有的云矩阵具有四个平台（Iaas、SaaS、Identity Provider 和 Office Suite）;增加了ICS子技术等等。

ATT&CK官方组织MITRE更新随附的博客表示：此次更新微调了覆盖云环境的方式，在深度和实用性之间找到平衡，以确保它对防御者来说仍然实用。作为平衡措施的一部分，MITRE正在扩展熟悉的威胁，同时引入一些新的行为和群体。此版本还具有优化的检测工程产品和增强的 ATT&CK 工具可用性，目标是为每个人提供平衡的资源。

ATT&CK v16 中最大的变化是重构了云平台，以更好地反映现实世界的对手活动，同时改进了平台描述，大幅扩展了带有检测说明和分析的技术数量，并继续改进了对犯罪威胁行为者的覆盖范围。由于云平台重构，Azure AD、Office 365 和 Google Workspace 平台已从 Enterprise ATT&CK 中删除，并添加了身份提供商和Office Suite平台来代替它们。随附的博客文章描述了这些变化以及 Enterprise ATT&CK 各个平台的其他改进。此次更新中，移动矩阵和工控矩阵的变化较小，更新重点主要集中在企业矩阵的优化。

（一）领域的变化

此版本（V16）的 ATT&CK 包含 844 个软件、186 个组和 42 个活动，按领域细分：

• 企业（for Enterprise）：14 种战术、203 个技术、453 个子技术、159 个组织、710 个软件、34 个攻击活动、44 种缓解措施和 37 个数据源
• 移动：12 种战术、73 个技术、46 个子技术、13 个组织、112 个软件、2 个攻击活动、13 个缓解措施和 6 个数据源
• 工控：12 种战术、83 个技术、14 个组织、22 种软件、6 个攻击活动、52 种缓解措施、14 种资产和 17 个数据源

而在V15.1版本 的 ATT&CK 包含 794 个软件、152 个组和 30 个活动。按领域细分：

• 企业（for Enterprise）：14 种战术、202 个技术、435 个子技术、148 个组织、677 个软件、28 个攻击活动、43 个缓解措施和 37 个数据源
• 移动：12 种战术、73 个技术、46 个子技术、13 个组织、113 个软件、2 个攻击活动、13 个缓解措施和 6 个数据源
• 工控：12 种战术、83 个技术、14 个组织、21 个软件、6 个攻击活动、52 个缓解措施、14 种资产和 17 个数据源

（二）详细更新说明

2.1 企业矩阵

• 企业矩阵新增技术：19个（父技术1个，子技术18个）
• 企业矩阵大版本更新：4个
• 企业矩阵小版本更新：94个
• 企业矩阵修正：80个

2.2 移动矩阵

• 移动矩阵修正：3个

2.3 工控矩阵

• 工控矩阵修正：1个

2.4 软件

• 新增软件：34个（企业：33个，工控：1个）
• 软件大版本更新：6个（企业：5个，工控：1个）
• 软件小版本更新：26个（企业：26个）
• 软件修正：32个（企业：29个，移动：3个）
• 软件撤销：1个（移动：1个）

2.5 组织

• 新增组织：11个（企业：11个）
• 组织大版本更新：5个（企业：5个）
• 组织小版本更新：18个（企业：13个，移动：2个，工控：3个）
• 组织修正：11个（企业：9个，移动：1个，工控：1个）

2.6 攻击活动

• 新攻击活动：6个（企业：6个）
• 攻击活动小版本更新：1个（企业：1个）

2.7 缓解措施

• 新增缓解措施：1个（企业：1个）
• 缓解措施小版本更新：1个（企业：1个）
• 缓解措施修正：8个（企业：8个）

企业矩阵19个新增技术解读

（一）[T1098.007] 账户操作：额外本地或域组

1.1 英文名

Account Manipulation: Additional Local or Domain Groups

1.2 技术描述

攻击者可能会向对手控制的帐户添加额外的本地或域组，以维持对系统或域的持续访问。

在 Windows 上，帐户可使用net localgroup和net group命令将现有用户添加到本地组和域组。在 Linux 上，攻击者可能使用该usermod命令来达到相同目的。

例如，在 Windows 设备上，可以将帐户添加到本地管理员组以保持提升的权限。还可以将它们添加到远程桌面用户组，这允许它们在将来利用远程桌面协议登录端点。在 Linux 上，可以将帐户添加到 sudoers 组，允许它们持续利用Sudo 和 Sudo 缓存来提升权限。

在 Windows 环境中，计算机帐户也可以添加到域组。这允许本地 SYSTEM 帐户获得域的权限。

1. 3 过程示例

ID	Name	描述
G0022	APT3	众所周知，APT3会将创建的账户添加到本地管理员组，以维持较高的访问权限。
G0096	APT41	APT41已将用户账户添加到用户组和管理员组。
G1023	APT5	APT5创建了自己的具有本地管理员权限的账户，以通过短周期凭证轮换来保持对系统的访问。
S1111	DarkGate	DarkGate在执行过程中将通过恶意软件创建的账户提升到本地管理组。
G0035	Dragonfly	Dragonfly已将新创建的账户添加到管理员组以保持提升的访问权限。
G1016	FIN13	FIN13为新创建的账户分配了 sysadmin 角色，以保持持久性。
G0094	Kimsuky	Kimsuky已使用 将账户添加到特定群组net localgroup。
G0059	Magic Hound	Magic Hound已将名为 DefaultAccount 的用户添加到管理员和远程桌面用户组。
S0039	Net	Net中的net localgroup和命令可用于将现有用户添加到本地组和域组。net group
S0382	ServHelper	ServHelper已将名为“supportaccount”的用户添加到远程桌面用户和管理员组。
S0649	SMOKEDHAM	SMOKEDHAM已将用户账户添加到本地管理员组。
G0007	APT28	APT28 使用 Wi-Fi Pineapple 设置 Evil Twin Wi-Fi 中毒，以捕获受害者凭据或植入面向间谍活动的恶意软件。

1. 4 缓解措施

由于这种攻击技术是基于对系统功能的滥用，因此无法通过预防控制轻易缓解。

1.5 检测

ID	数据源	数据组件	检测
DS0002	User Account	User Account Modification	监控系统和域中帐户对象和/或权限的变更事件。监控与其他可疑活动相关的帐户权限修改。变更可能发生在异常时间或来自异常系统。监控异常权限变更，这些变更可能表明向受感染帐户授予了过宽的权限或意外添加到安全组中的机器帐户。监控分配给管理员角色（如 Windows 域管理员）的帐户，这些帐户的已知管理员数量超过一定阈值。

（二）[T1557.004] 中间人：邪恶双胞胎

2.1 英文名

Adversary-in-the-Middle: Evil Twin

2.2 技术描述

攻击者可能会托管看似真实的 Wi-Fi 接入点，以欺骗用户连接到恶意网络，以支持后续行为，例如网络嗅探、传输数据操作或输入捕获。

通过使用合法 Wi-Fi 网络的服务集标识符 （SSID），欺诈性 Wi-Fi 接入点可能会诱骗设备或用户连接到恶意 Wi-Fi 网络。攻击者可能会提供更强的信号强度或阻止对 Wi-Fi 接入点的访问，以胁迫或引诱受害者设备连接到恶意网络。Wi-Fi Pineapple – 一种网络安全审计和渗透测试工具 – 可以部署在 Evil Twin 攻击中，以方便使用和更广泛的范围。自定义证书可用于尝试拦截 HTTPS 流量。

同样，攻击者也可能侦听客户端设备向已知或以前连接的网络（首选网络列表或 PNL）发送探测请求。当恶意接入点收到探测请求时，攻击者可以使用相同的 SSID 进行响应，以模拟受信任的已知网络。受害者设备被引导相信响应的接入点来自他们的 PNL，并启动与欺诈网络的连接。

登录恶意 Wi-Fi 接入点后，用户可能会被定向到虚假登录页面或强制门户网页以捕获受害者的凭据。一旦用户登录欺诈性 Wi-Fi 网络，攻击者就可能能够监控网络活动、操纵数据或窃取其他凭据。公共 Wi-Fi 接入高度集中的地方，如机场、咖啡店或图书馆，可能成为攻击者设置非法 Wi-Fi 接入点的目标。

2.3 过程示例

ID	Name	描述
G0007	APT28	APT28 使用 Wi-Fi Pineapple 设置 Evil Twin Wi-Fi 中毒，以捕获受害者凭据或植入面向间谍活动的恶意软件。

2.4 缓解措施

ID	缓解	描述
M1031	网络入侵防护	无线入侵防御系统 （WIPS） 可以识别指示中间对手活动的流量模式，并扫描恶意双胞胎和流氓接入点。
M1017	用户培训	培训用户对标记为“打开”或“不安全”的接入点以及证书错误持怀疑态度。当应用程序的证书与主机所需的证书不匹配时，可能会出现证书错误。

2.5 检测

ID	数据源	数据组件	检测
DS0029	网络流量	网络流量内容	监控网络流量中是否存在涉及恶意孪生攻击的可疑/恶意行为。入侵防御系统 （WIDS） 可以识别指示与邪恶双胞胎、流氓接入点和中间对手活动相关的活动的流量模式。
		网络流量	监控来自未知/意外硬件设备的网络流量。本地网络流量元数据（例如源 MAC 寻址）以及网络管理协议的使用（例如启用 DHCP 侦听）可能有助于识别恶意硬件。此外，无线渗透测试硬件通常仅限于较旧的协议802.11，例如802.11g或802.11a

（三）[T1071.005] 应用层协议：发布/订阅协议

3.1 英文名

Application Layer Protocol: Publish/Subscribe Protocols

3.2 技术描述

攻击者可以使用发布/订阅 （pub/sub） 应用层协议进行通信，以融入现有流量，从而避免检测和网络过滤。发送到远程系统的指令以及这些指令的执行结果通常会嵌入在客户端和服务器之间的协议流量中。

MQTT、XMPP、AMQP和STOMP等协议使用发布/订阅设计，消息分发由集中式代理管理。发布者按主题对消息进行分类，而订阅者则根据订阅的主题接收消息。对手可能会滥用发布/订阅协议，从消息代理后面与他们控制下的系统进行通信，同时模仿正常的预期流量。

3.3 过程示例

ID	Name	描述
S0026	GLOOXMAIL	GLOOXMAIL 使用 C2 的 Jabber/XMPP 协议与 Google 运营的服务器进行通信。

3.4 缓解措施

ID	缓解	描述
M1037	过滤网络流量	考虑通过不规则端口（例如 MQTT 的标准端口为 1883 或 8883）过滤对不受信任或已知不良资源的发布/订阅协议请求。
M1031	网络入侵防护	使用网络签名来识别特定对手恶意软件流量的网络入侵检测和防护系统可用于缓解网络级别的活动。

3.5 检测

ID	数据源	数据组件	检测
DS0029	网络流量	网络流量内容	监控和分析与协议相关的流量模式和数据包检查，利用 SSL/TLS 检查来检测不符合预期协议标准和流量的加密流量（例如，不属于已建立流量的无关数据包、无端或异常流量模式、异常语法或结构）。考虑与进程监控和命令行的关联，以检测异常的进程执行和与流量模式相关的命令行参数（例如，监控使用通常不会启动相应协议连接的文件时的异常）。
		网络流量	监控利用常见的发布/订阅协议与已知恶意或可疑域之间的流量，并分析不符合预期协议标准和流量模式的流量（例如，不属于已建立流的多余数据包，或不必要的或异常的流量模式）。考虑与进程监控和命令行的关联，以检测与流量模式相关的异常进程执行和命令行参数（例如，监控那些通常不用于启动连接的文件的异常使用，尤其是对于相应协议的连接）

（四）[T1059.011] 命令和脚本解释器：Lua

4.1 英文名

Command and Scripting Interpreter: Lua

4.2 技术描述

攻击者可能滥用 Lua 命令和脚本来执行恶意操作。Lua 是一种跨平台的脚本和编程语言，主要用于嵌入式应用程序中。Lua 可以通过命令行（通过独立的 lua 解释器）、脚本文件（.lua）或嵌入 Lua 的程序（通过 lua_State 结构）来执行。

攻击者可能出于恶意目的执行 Lua 脚本。攻击者可能会合并、滥用或替换现有的 Lua 解释器，以便在运行时执行恶意的 Lua 命令。

4.3 过程示例

ID	Name	描述
S0396	EvilBunny	EvilBunny 使用 Lua 脚本来执行有效负载。
S0428	PoetRAT	PoetRAT 已通过 Windows 的 Lua 解释器执行了 Lua 脚本。
S0125	Remsec	Remsec 可以使用用 Lua 编写的模块来执行。

4.4 缓解措施

ID	缓解	描述
M1047	审计	为未经授权的 Lua 安装清点系统。
M1038	执行保护	在适当的情况下将 Lua 解释器列入黑名单。
M1033	限制软件安装	阻止用户在不需要的地方安装 Lua。

4.5 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	监视脚本执行和后续行为的命令行参数。操作可能与网络和系统信息发现、收集或其他可编写脚本的入侵后行为（例如用于os.execute执行操作系统命令）相关。
DS0012	脚本	脚本执行	监视是否有任何尝试启用在被视为可疑的系统上运行的脚本。如果脚本在系统上不常用，但已启用，则修补或其他管理员功能超出周期的脚本是可疑的。应尽可能从文件系统中捕获脚本，以确定其操作和意图。

（五）[T1485.001] 数据销毁：生命周期触发的删除

5.1 英文名

Data Destruction: Lifecycle-Triggered Deletion

5.2 技术描述

攻击者可能会修改云存储桶的生命周期策略以销毁存储在其中的所有对象。

云存储桶通常允许用户设置生命周期策略，以便在一段时间后自动迁移、存档或删除对象。如果威胁行为者有足够的权限来修改这些策略，他们可能能够一次删除所有对象。

例如，在 AWS 环境中，拥有 PutLifecycleConfiguration 权限的攻击者可能会使用 PutBucketLifecycle API 调用，向 S3 存储桶应用生命周期策略，该策略将在一天后删除存储桶中的所有对象。除了出于勒索和财务盗窃的目的摧毁数据外，攻击者还可能对存储云日志的存储桶执行此操作，以便删除指标。

5.3 缓解措施

ID	缓解	描述
M1053	数据备份	考虑实施 IT 灾难恢复计划，其中包含用于恢复组织数据的定期数据备份过程。确保备份存储在系统之外，并免受对手可能用来获取访问权限和销毁备份以防止恢复的常见方法的影响。
M1018	用户帐户管理	在云环境中，将修改云存储桶生命周期策略（例如，在 AWS 中的PutLifecycleConfiguration）的权限限制为仅需要它的账户。在 AWS 环境中，请考虑使用服务控制策略来限制 API PutBucketLifecycle调用的使用。

5.4 检测

ID	数据源	数据组件	检测
DS0010	云存储	云存储修改	监控生命周期策略的异常使用。对于已经在使用的生命周期策略，监控云存储配置和策略的变化，例如策略中配置的存储桶或异常短的保留期限。在 AWS 环境中，监控 PutBucketLifecycle 事件，检查 requestParameters.LifecycleConfiguration.Rule.Expiration.Days属性是否低于预期值。

（六）[T1213.004] 来自信息存储库的数据：客户关系管理软件

6.1 英文名

Data from Information Repositories: Customer Relationship Management Software

6.2 技术描述

攻击者可能会利用客户关系管理 （CRM） 软件来挖掘有价值的信息。CRM 软件用于帮助组织跟踪和管理客户互动，以及存储客户数据。

一旦攻击者获得对受害组织的访问权限，他们就可以从 CRM 软件中挖掘客户数据。这可能包括个人身份信息 （PII），例如全名、电子邮件、电话号码和地址，以及其他详细信息，例如购买历史记录和 IT 支持互动。通过收集这些数据，攻击者可能能够发送个性化的网络钓鱼电子邮件、参与 SIM 卡交换或以其他方式以组织客户为目标，从而获得经济利益或损害其他组织。

CRM 软件可以托管在本地或云中。这些解决方案中存储的信息可能因特定实例或环境而异。CRM 软件的示例包括 Microsoft Dynamics 365、Salesforce、Zoho、Zendesk 和 HubSpot。

6.3 缓解措施

ID	缓解	描述
M1047	审计	考虑定期审查关键和敏感 CRM 数据的帐户和权限。
M1054	软件配置	考虑实施数据保留策略，以定期自动存档和/或删除不再需要的数据。
M1018	用户帐户管理	强制实施最小权限原则。考虑实施包括身份验证和授权的访问控制机制。
M1017	用户培训	制定和发布策略，定义要存储在 CRM 数据库中的可接受信息以及可接受的客户数据处理。仅存储业务运营所需的客户信息。

6.4 检测

ID	数据源	数据组件	检测
DS0015	应用程序日志	应用程序日志内容	监控第三方应用程序日志记录、消息传递和/或其他可能利用 CRM 数据库作为来源来挖掘有价值信息的项目。监控对 CRM 数据库的访问，尤其是由特权用户执行的访问，因为这些类型的帐户通常不应用于访问信息存储库。如果存在该功能，则对正在检索和查看大量记录的用户进行监视和提醒可能很有价值;此行为可能表示使用编程方式检索存储库中的所有数据。在高度成熟度的环境中，可以利用用户行为分析 （UBA） 平台来检测基于用户的异常并发出警报。
DS0028	登录会话	登录会话创建	监控 CRM 软件中新构建的登录行为，该软件可以配置为报告对某些信息的访问。由于信息存储库通常具有相当大的用户群，因此检测恶意使用可能并非易事。

（七）[T1213.005] 来自信息存储库的数据：消息传递应用程序

7.1 英文名

Data from Information Repositories: Messaging Applications

7.2 技术描述

攻击者可能会利用聊天和消息传递应用程序（例如 Microsoft Teams、Google Chat 和 Slack）来挖掘有价值的信息。

以下是可能对对手具有潜在价值的示例信息的简要列表，这些信息也可能在消息传递应用程序上找到：

• 测试/开发凭证（即聊天消息）)
• 源代码片段
• 指向网络共享和其他内部资源的链接
• 专有数据
• 关于正在进行的事件响应工作的讨论

除了从消息传递应用程序中窃取数据外，攻击者还可能利用聊天消息中的数据来改进其定位，例如，通过了解有关环境的更多信息或避开正在进行的事件响应工作。

7.3 过程示例

ID	Name	描述
G0117	Fox Kitten	Fox Kitten 访问了受害者安全和 IT 环境以及 Microsoft Teams 以挖掘有价值的信息。
G1004	LAPSUS	LAPSUS$ 已在受害者的网络中搜索 MS Teams 或 Slack 等组织协作渠道，以发现更多高权限帐户凭据。
G1015	Scattered Spider	Scattered Spider 威胁行为者搜索受害者的 Slack 和 Microsoft Teams，以获取有关入侵和事件响应的对话。

7.4 缓解措施

ID	缓解	描述
M1047	审计	先发制人地搜索通信服务以查找不当共享的数据，并在发现时采取措施减少暴露。
M1060	带外通信通道	实施安全的带外通信通道，在安全事件期间用作网络内聊天应用程序的替代方案。这可确保关键通信保持安全，即使主消息传递通道受到对手的威胁。
M1017	用户培训	制定和发布策略，定义要在聊天应用程序中发布的可接受信息。

7.5 检测

ID	数据源	数据组件	检测
DS0015	应用程序日志	应用程序日志内容	监控第三方应用程序日志记录、消息传递和/或其他可能利用代码存储库收集有价值信息的项目。监视对消息传递应用程序的访问，尤其是由特权用户（如 Active Directory 域管理员或企业管理员）执行的访问，因为这些类型的帐户通常不应用于访问消息传递应用程序。在高度成熟度的环境中，可以利用用户行为分析 （UBA） 平台来检测基于用户的异常并发出警报。

（八）[T1546.017] 事件触发执行：Udev 规则

8.1 英文名

Event Triggered Execution: Udev Rules

8.2 技术描述

攻击者可以通过执行由 udev 规则触发的恶意内容来保持持久性。Udev 是 Linux 内核设备管理器，可动态管理设备节点、处理对目录中伪设备文件的访问/dev以及响应硬件事件（例如插入或移除硬盘或键盘等外部设备时）。Udev 使用带有的规则文件match keys来指定硬件事件必须满足的条件并action keys定义应遵循的操作。创建、修改或删除位于/etc/udev/rules.d/、/run/udev/rules.d/、/usr/lib/udev/rule.d/、/usr/local/lib/udev/reules.d/和/lib/udev/lules.d/中的规则文件需要Root权限。规则优先级由目录和规则文件名中的数字前缀决定。

攻击者可能会滥用 Udev 子系统，通过在 Udev 规则文件中添加或修改规则来执行恶意内容。例如，攻击者可能会配置一条规则，每次/dev/random应用程序访问伪设备文件（例如）时执行其二进制文件。尽管 Udev 仅限于运行短任务，并且受到 systemd-udevd 沙盒（阻止网络和文件系统访问）的限制，但攻击者可能会使用 action 键下的脚本命令RUN+=在后台分离并运行恶意内容的进程，以绕过这些控制。

8.3 缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解，因为 它基于对系统功能的滥用。

8.4 检测

ID	数据源	数据组件	检测
DS0022	文件	文件修改	监视udev规则所在目录中文件的创建和修改：/etc/udev/rules.d/、/run/udev/rules.d/、/lib/udev/rule.d/、/usr/lib/udev-rules.d/和/usr/local/lib/udev/reules.d/。分析并监控RUN分配键的更改。
DS0009	进程	进程创建	监视在进程树中，作为 systemd-udevd.service 进程的子进程创建的新进程。

（九）[T1480.002] 执行护栏：相互排斥

9.1 英文名

Execution Guardrails: Mutual Exclusion

9.2 技术描述

攻击者可能会根据与恶意软件关联的互斥锁的存在来限制执行或操作。互斥锁是一种用于同步对资源的访问的锁定机制。在给定时间，只有一个线程或进程可以获取互斥锁。

虽然本地互斥锁仅存在于给定进程中，允许多个线程同步对资源的访问，但系统互斥锁可用于同步多个进程的活动。通过创建与特定恶意软件关联的唯一系统互斥锁，攻击者可以验证系统是否已经受到威胁。

在 Linux 环境中，恶意软件可能会尝试获取互斥锁文件的锁。如果恶意软件能够获取锁，它会继续执行;如果失败，它将退出以避免创建自身的第二个实例。

互斥锁名称可以是硬编码的，也可以使用可预测的算法动态生成。

9.3 过程示例

ID	Name	描述
S1070	Black Basta	Black Basta 将在执行之前检查是否存在硬编码dsajdhas.0的互斥锁。
S0168	Gazer	Gazer 使用硬编码值{531511FA-190D-5D85-8A4A-279F2F592CC7}创建互斥锁，以确保只有一个自身实例正在运行。
S0632	GrimAgent	GrimAgent 使用二进制文件的最后64个字节来计算互斥体名称。如果生成的名称无效，它将默认为通用mymutex。
S0012	PoisonIvy	PoisonIvy 使用自定义值或默认值创建互斥锁。
S0496	REvil	REvil 尝试使用硬编码值创建互斥锁，以确保主机上没有其他实例正在运行。
S0562	SUNSPOT	SUNSPOT 使用硬编码值{12d61a41-4b74-7610-a4d8-3028d2f56395}创建互斥锁，以确保只有一个自身实例在运行。

9.4 缓解措施

ID	缓解	描述
M1055	不缓解	执行护栏可能不应使用预防性控制措施来缓解，因为它可以保护意外目标免受损害。如果成为目标，则应将工作重点放在防止对手工具在活动链的早期运行，并在遭到入侵时识别后续恶意行为。

9.5 检测

ID	数据源	数据组件	检测
DS0022	文件	文件创建	监视锁定文件的可疑创建 – 例如，在共享内存目录中，例如 /var/run。
DS0009	进程	OS API 执行	监控与系统互斥锁创建相关的可疑 API 调用，例如在 Windows 系统上的CreateMutex/CreateMutexA。例如，合法程序很少创建随机互斥锁名称。此外，监控与锁定文件相关的可疑系统调用，例如在 Linux 上的flock。

（十）[T1070.010] 指标删除：重新定位恶意软件

10.1 英文名

Indicator Removal: Relocate Malware

10.2 技术描述

一旦交付了有效负载，攻击者就可以在受害者系统上复制相同恶意软件的副本，以消除其存在的证据和规避防御措施。将恶意软件有效载荷复制到新的位置，也可能与文件删除操作结合，以清理旧的痕迹文件。

重新定位恶意软件可能是许多旨在逃避防御的操作的一部分。例如，攻击者可能会复制和重命名有效负载，以更好地融入本地环境（即 Match Legitimate Name or Location）。还可以重新定位有效负载以定位文件/路径排除项以及与建立持久性相关的特定位置。

重新定位恶意负载也可能阻碍防御分析，尤其是将这些负载与可能已生成警报或以其他方式引起防御者注意的早期事件（例如用户执行和网络钓鱼）区分开来。

10.3 缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解，因为它基于对系统功能的滥用。

10.4 检测

ID	数据源	数据组件	检测
DS0022	文件	文件修改	监控对文件的更改，这些更改可能会突出显示在主机上的不同文件/文件夹位置之间复制的恶意软件或其他潜在恶意负载。

（十一）[T1036.010] 伪装：伪装账户名

11.1 英文名

Masquerading: Masquerade Account Name

11.2 技术描述

攻击者可能会匹配或近似合法帐户的名称，以使新创建的帐户看起来是良性的。这通常发生在 Create Account 期间，但以后也可能重命名 accounts。如果攻击者先删除帐户，然后再重新创建具有相同名称的帐户，则这也可能与 Account Access Removal 同时发生。

通常，攻击者会尝试伪装成服务账户，例如与合法软件、数据备份或容器集群管理相关的账户。他们还可以为账户提供通用、可靠的名称，例如“admin”、“help”或“root”。有时，攻击者可能会模仿系统中已有的账户名称，这是账户发现后的进一步行为。

请注意，这与 Impersonation 不同，后者描述的是模拟特定的受信任个人或组织，而不是用户或服务账户名称。

11.3 过程示例

ID	Name	描述
C0025	2016 年乌克兰电力袭击	在 2016 年乌克兰电力攻击期间，Sandworm 团队创建了两个新帐户，“admin”和“система”（系统）。
G0022	APT3 系列	众所周知，APT3可以创建或启用帐户，例如support_388945a0。
G0035	Dragonfly	Dragonfly 创建了一些伪装成合法备份和服务账户以及电子邮件管理账户的账户。
S0143	Flame	如果有适当的权限，Flame 可以在域连接的系统上创建具有登录功能的后门帐户HelpAssistant。
G0059	Magic Hound	Magic Hound 已在受感染的计算机上创建了名为 help和DefaultAccount 的本地帐户。
S0382	ServHelper	ServHelper 创建了一个名为supportaccount 的新用户。

11.4 缓解措施

ID	缓解	描述
M1047	审计	审核用户帐户，确保每个帐户都有明确的用途。
M1018	用户帐户管理	考虑为用户帐户定义和强制实施命名约定，以便更轻松地发现不符合典型架构的通用帐户名称。

11.5 检测

ID	数据源	数据组件	检测
DS0002	用户帐户	用户帐户创建	监控名称异常通用或与最近删除的账户相同的新构建的账户。

（十二）[T1666] 修改云资源层次结构

12.1 英文名

Modify Cloud Resource Hierarchy

12.2 技术描述

攻击者可能会尝试修改基础设施即服务 （IaaS） 环境中的层次结构，以逃避防御。

IaaS 环境通常将资源分组到一个层次结构中，从而改进资源管理并将策略应用于相关组。云提供商的层次结构不同。例如，在 AWS 环境中，可以将多个帐户分组到单个组织下，而在 Azure 环境中，可以将多个订阅分组到单个管理组下。

攻击者可以添加、删除或以其他方式修改 IaaS 层次结构中的资源组。例如，在 Azure 环境中，已获得全局管理员帐户访问权限的攻击者可能会创建新的订阅来部署资源。他们还可能通过将现有的即用即付订阅从受害租户转移到对手控制的租户来参与订阅劫持。这将允许攻击者使用受害者的计算资源，而无需在受害者租户上生成日志。

在 AWS 环境中，在给定账户中具有适当权限的对手可能会调用LeaveOrganization API，从而导致该账户与它所绑定的 AWS 组织 分离，并删除其前组织对其施加的任何服务控制策略、防护机制或限制。或者，攻击者可以调用 CreateAccount API 以在 AWS Organization 中创建新账户。此账户将使用注册到支付账户的相同支付方式，但可能不受现有检测或服务控制策略的约束。

12.3 缓解措施

ID	缓解	描述
M1047	审计	定期审核云管理控制台中的资源组，以确保仅存在预期的项目，尤其是靠近层次结构顶部的项目（例如，AWS 账户和 Azure 订阅）。通常，顶级账户 （如 AWS 管理账户） 不应包含任何工作负载或资源。
M1054	软件配置	在 Azure 环境中，请考虑设置策略来阻止订阅转移。在 AWS 环境中，请考虑使用服务控制策略来阻止使用 LeaveOrganizationAPI 调用。
M1018	用户帐户管理	将添加、删除或修改资源组的权限限制为仅所需的资源组。

12.4 检测

ID	数据源	数据组件	检测
DS0025	云服务	云服务修改	监视对资源组的更改，例如创建新的资源组或保留顶级管理组。在 Azure 环境中，监视订阅的更改。在 AWS 环境中，监控 API 调用，例如CreateAccount 或 LeaveOrganization。

（十三）[T1027.014] 混淆文件或信息：多态代码

13.1 英文名

Obfuscated Files or Information: Polymorphic Code

13.2 技术描述

攻击者可能会利用多态代码（也称为变形代码或突变代码）来逃避检测。多态代码是一种能够在代码执行期间更改其运行时占用空间的软件。随着软件的每次执行，代码都会变异成一个不同的版本，以实现与原始代码相同的目的或目标。此功能使恶意软件能够规避传统的基于签名的防御措施，例如防病毒和反恶意软件工具。其他模糊技术可以与多态代码结合使用以实现预期效果，包括使用突变引擎执行软件打包、命令模糊处理或加密/编码文件等操作。

13.3 过程示例

ID	Name	描述
S0574	BendyBear	BendyBear 在代码执行期间更改其运行时占用空间以规避基于签名的防御。

13.4 缓解措施

ID	缓解	描述
M1049	防病毒/防恶意软件	防病毒可用于自动检测和隔离可疑文件。采用先进的反恶意软件技术，利用机器学习和基于行为的机制等技术来执行无签名恶意软件检测，也将比传统的基于指标的检测方法更有效。
M1040	Endpoint 上的行为预防	在 Windows 10+ 上，启用攻击面减少 （ASR） 规则以防止执行可能混淆的有效负载

13.5 检测

ID	数据源	数据组件	检测
DS0015	应用程序日志	应用程序日志内容	最初检测到恶意工具或异常行为可能会触发防病毒或其他安全工具警报，并且可能是代码能够变异和逃避相同类型检测之前收到的唯一指示之一。在初始警报之后，应彻底调查警报系统，以查找可能未检测到的活动。
DS0022	文件	文件创建	监视具有较大熵的文件，这些文件与给定文件类型和位置的正常/预期不匹配。
		文件元数据	监控和分析包含大熵内容的文件，因为这可能表明潜在的恶意压缩或加密数据。

（十四）[T1496.002]资源劫持：带宽劫持

14.1 英文名

Resource Hijacking: Bandwidth Hijacking

14.2 技术描述

对手可能会利用合用系统的网络带宽资源来完成资源密集型任务，这可能会影响系统或托管服务的可用性。

攻击者还可能利用利用系统网络带宽的恶意软件作为僵尸网络的一部分，以促进网络拒绝服务活动和/或传播恶意种子。或者，他们可能通过将受害者的网络带宽和 IP 地址出售给代理软件服务来进行代理劫持。最后，他们可能会进行全互联网扫描，以确定其他目标进行攻击。

除了产生潜在的财务成本或可用性中断之外，如果受害者的带宽被用于非法活动，这种技术还可能造成声誉损害。

14.3 缓解措施

这种攻击技术基于对系统功能的滥用，因此无法通过预防控制轻易缓解。

14.4 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	监视可能指示常见代理软件功能的已执行命令和参数。
DS0022	文件	文件创建	监视本地系统上可能指示入侵和资源使用情况的常见代理软件文件。
DS0029	网络流量	创建网络连接	监视由不受信任的主机发送或接收的新建网络连接。查找往返于陌生端口的连接。
		网络流量内容	监控网络流量内容是否存在奇怪或不寻常的模式。
		网络流量	监控网络数据中是否存在异常数据流。利用网络但通常不进行网络通信或从未见过的进程都是可疑的。
DS0009	进程	进程创建	监控可能表示危害和资源使用情况的常见代理软件进程名称。

（十五）[T1496.004]资源劫持：云服务劫持

15.1 英文名

Resource Hijacking: Cloud Service Hijacking

15.2 技术描述

攻击者可能会利用遭到入侵的软件即服务 （SaaS） 应用程序来完成资源密集型任务，这可能会影响托管服务的可用性。

例如，攻击者可能会利用电子邮件和消息收发服务，例如 AWS Simple Email Service （SES）、AWS Simple Notification Service （SNS）、SendGrid 和 Twilio，以发送大量垃圾邮件和网络钓鱼电子邮件和 SMS 消息。此外，他们还可能通过利用反向代理来劫持云托管的 AI 模型的算力，从而进行所谓的“LLMJacking”攻击。

在某些情况下，攻击者可能会利用受害者已经在使用的服务。在其他情况下，特别是当服务是更大的云平台的一部分时，他们可能会首先启用该服务。利用 SaaS 应用程序可能会导致受害者产生巨大的财务成本、用完服务配额，并影响可用性。

15.3 缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解，因为它基于对系统功能的滥用。

15.4 检测

ID	数据源	数据组件	检测
DS0015	应用程序日志	应用程序日志内容	监控 SaaS 应用程序的过度使用，尤其是消息传递和 AI 相关服务。在 AWS SES 环境中，监控对 SendEmail或 SendRawEmailAPI 的调用峰值。特别注意使用组织通常不使用的服务。
DS0025	云服务	云服务修改	监控 SaaS 服务的更改，尤其是在提高配额或启用新服务时。在 AWS 环境中，注意对 Bedrock API（如 PutUseCaseForModelAccess、PutFoundationModelEntitlement 和 InvokeModel）和 SES API （如UpdateAccountSendingEnabled） 的调用。

（十六）[T1496.001] 资源劫持：计算劫持

16.1 英文名

Resource Hijacking: Compute Hijacking

16.2 技术描述

攻击者可能会利用增选系统的计算资源来完成资源密集型任务，这可能会影响系统或托管服务的可用性。

计算劫持的一个常见目的是验证加密货币网络的交易并赚取虚拟货币。攻击者可能会消耗足够的系统资源，从而对受影响的计算机产生负面影响和/或导致其无响应。由于可用资源的潜力很高，服务器和基于云的系统是常见的目标，但用户端点系统也可能受到损害并用于计算劫持和加密货币挖掘。容器化环境也可能成为目标，因为容器化环境很容易通过公开的 API 进行部署，并且有可能通过在环境或集群中部署或破坏多个容器来扩展采矿活动。

此外，一些加密货币挖掘恶意软件会识别然后杀死竞争恶意软件的进程，以确保它不会争夺资源。

16.3 过程示例

ID	Name	描述
G0096	APT41	APT41 在受害者的环境中部署了门罗币加密货币挖矿工具。
G0108	Blue Mockingbird	Blue Mockingbird 已使用 XMRIG 在受害者系统上挖掘加密货币。
S0486	Bonadan	Bonadan 可以下载一个具有加密货币挖掘扩展的附加模块。
S0492	CookieMiner	CookieMiner 已将硬币挖矿软件加载到系统上以挖掘 Koto 加密货币。
S1111	DarkGate	DarkGate 可以部署后续的加密货币挖矿有效载荷。
S0601	Hildegard	Hildegard 使用 xmrig 来挖掘加密货币。
S0434	Imminent Monitor	Imminent Monitor 能够在受害者机器上运行加密货币矿工。
S0599	Kinsing	Kinsing 创建并运行了一个比特币加密货币矿工。
S0451	LoudMiner	LoudMiner 收集系统资源来挖掘加密货币，使用 XMRig 来挖掘门罗币。
S0532	Lucifer	Lucifer 可以使用系统资源来挖掘加密货币，放弃 XMRig 来挖掘门罗币。
G0106	Rocke	Rocke 分发了加密挖矿恶意软件。
S0468	Skidmap	Skidmap 是用于加密货币挖掘的内核模式 rootkit。
G0139	TeamTNT	TeamTNT 已经部署了 XMRig Docker 镜像来挖掘加密货币。TeamTNT 还用 XMRig 感染了 Docker 容器和 Kubernetes 集群，并使用 RainbowMiner 和 lolMiner 来挖掘加密货币。

16.4 缓解措施

这种类型的攻击技术无法通过预防性控制轻松缓解，因为它基于对系统功能的滥用。

16.5 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	监控可能指示常见加密挖矿功能的已执行命令和参数。
DS0022	文件	文件创建	监视本地系统上可能指示泄露和资源使用情况的常见加密挖掘文件。
DS0029	网络流量	网络连接创建	监控不受信任的主机发送或接收的新构建的网络连接。查找与陌生端口之间的连接，以及与加密货币主机相关的 IP 和 URL 的声誉。在 AWS 环境中，将 GuardDuty 配置为在 EC2 实例查询与已知加密货币活动相关的 IP 地址时发出警报。
		网络流量内容	监控网络流量内容以查找增选系统的资源，以完成资源密集型任务，这可能会影响系统和/或托管服务的可用性。
		网络流量	监控网络数据中是否存在不常见的数据流。使用网络的进程通常没有网络通信或以前从未见过，这是可疑的。
DS0009	进程	进程创建	监控可能表明泄露和资源使用情况的常见加密挖矿软件进程名称。
DS0013	传感器运行状况	主机状态	考虑监控进程资源使用情况，以确定与恶意劫持计算机资源（如 CPU、内存和图形处理资源）相关的异常活动。

（十七）[T1496.003] 资源劫持：短信推送

17.1 英文名

Resource Hijacking: SMS Pumping

17.2 技术描述

攻击者可能会利用消息服务进行 SMS 抽取，这可能会影响系统或托管服务的可用性。SMS 抽取是一种电信欺诈，威胁行为者首先从电信提供商处获取一组电话号码，然后利用受害者的消息传输基础设施向该组中的号码发送大量 SMS 消息。通过向他们的电话号码集生成 SMS 流量，威胁行为者可以从电信提供商那里获得报酬。

威胁行为者经常使用公开可用的 Web 表单，例如一次性密码 （OTP） 或帐户验证字段，以生成 SMS 流量。这些字段可以在后台利用 Twilio、AWS SNS 和 Amazon Cognito 等服务。面对大量的请求，短信费用可能会增加，沟通渠道可能会不堪重负。

17.3 缓解措施

ID	缓解	描述
M1013	应用程序开发人员指南	考虑在通过 SMS 发送消息的表单上实施 CAPTCHA 保护。

17.4 检测

ID	数据源	数据组件	检测
DS0015	应用程序日志	应用程序日志内容	监控 SMS 服务的过度使用，尤其是在公共注册表单上。例如，对发送到相邻号码的大量消息发出警报。在基于 SMS 的 OTP 流中，监控大量不完整的验证周期。在 Amazon Cognito 环境中，监控对 SignUp或ResendConfirmationCode API 的调用峰值。

（十八）[T1558.005] 窃取或伪造 Kerberos 票证：Ccache 文件

18.1 英文名

Steal or Forge Kerberos Tickets: Ccache Files

18.2 技术描述

攻击者可能会尝试窃取存储在凭证缓存文件 (如 Ccache) 中的 Kerberos 票证。这些文件用于短期存储用户的活动会话凭证。Ccache 文件是在用户身份验证后创建的，允许访问多项服务，而无需用户重新输入凭证。

/etc/krb5.conf 配置文件和 KRB5CCNAME 环境变量用于设置 Ccache 条目的存储位置。在 Linux 上，凭证通常存储在 /tmp 目录中，命名格式为 krb5cc_%UID% 或 krb5.ccache。在 macOS 上，Ccache 条目默认存储在内存中，使用 API:{uuid} 命名规则。通常，用户通过 kinit 与票据存储交互，kinit 为主体获取票证授予票据（TGT）；通过 klist 列出当前存储在凭证缓存中的票据；以及其他内置的二进制文件。

攻击者可以从存储在磁盘上的 ccache 文件中收集票证，并在没有密码的情况下以当前用户的身份进行身份验证，以执行传递票证攻击。攻击者还可以使用这些票证冒充具有提升权限的合法用户来执行特权升级。攻击者还可以使用 Kekeo 之类的工具将 ccache 文件转换为 Windows 格式，以进行进一步的横向移动。在 macOS 上，攻击者可以使用开源工具或 Kerberos 框架与 ccache 文件交互，并通过低级 API 提取 TGT 或服务票证。

18.3 过程示例

ID	Name	描述
S0357	Impacket	Impacket工具（例如getST.py或ticketer.py）可用于使用给定密码、哈希、aesKey 或 TGT 的 ccache 文件窃取或伪造 Kerberos 票证。

18.4 缓解措施

ID	缓解	描述
M1047	审计	启用并执行系统、权限、不安全软件、不安全配置等的审计或扫描，以识别潜在弱点。例如，使用auditd审计对哈希、机器票证或/tmp文件的访问。如果使用 sssd 和 Vintela，请确保在不使用时禁用 kerberos。
M1043	凭证访问保护	通过定义入口点、进程类型和文件标签，使用安全增强型 Linux (SELinux) 保护资源。

18.5 检测

ID	数据源	数据组件	检测
DS0022	文件	文件访问	监控非用户进程对系统目录/tmp中的 ccache 文件的异常读取访问。

（十九）[T1127.002] 受信任的开发人员实用程序代理执行：ClickOnce

19.1 英文名

Trusted Developer Utilities Proxy Execution: ClickOnce

19.2 技术描述

攻击者可能会使用 ClickOnce 应用程序（.appref-ms 和 .application 文件）通过受信任的 Windows 实用程序代理代码执行。ClickOnce 是一种部署方式，它使用户能够创建可自我更新的基于 Windows 的 .NET 应用程序（即 .XBAP、.EXE 或 .DLL），这些应用程序可以从文件共享或网页安装和运行，只需极少的用户交互。该应用程序作为 DFSVC.EXE 的子进程启动，后者负责安装、启动和更新应用程序。

由于 ClickOnce 应用程序仅获得有限的权限，因此它们不需要管理权限即可安装。因此，攻击者可以滥用 ClickOnce 来代理执行恶意代码，而无需提升权限。

ClickOnce 可能以多种方式被滥用。例如，攻击者可能依赖用户执行。当用户访问恶意网站时，.NET 恶意软件会伪装成合法软件，并显示 ClickOnce 弹出窗口供用户安装。

攻击者还可以滥用 ClickOnce，通过Rundll32脚本使用命令执行恶意软件，命令为rundll32.exe dfshim.dll,ShOpenVerbApplication1。

此外，攻击者可以将 ClickOnce 应用程序文件移动到远程用户的启动文件夹，以继续部署恶意代码（即注册表运行项/启动文件夹）。

19.3 缓解措施

ID	缓解	描述
M1045	代码签名	通过数字签名验证来确保二进制和应用程序的完整性，以防止执行不受信任的代码。
M1042	禁用或删除功能或程序	使用以下注册表项禁用来自互联网的 ClickOnce 安装: HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkSecurityTrustManagerPromptingLevel — Internet:Disabled ClickOnce 在环境中可能不是必需的，如果不使用则应禁用。
M1021	限制基于 Web 的内容	使用以下注册表项禁用来自互联网的 ClickOnce 安装: HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkSecurityTrustManagerPromptingLevel — Internet:Disabled

19.4 检测

ID	数据源	数据组件	检测
DS0017	命令	命令执行	从命令行执行时，rundll32 用于调用 ClickOnce API 函数（例如rundll32.exe dfshim.dll,ShOpenVerbApplication file.appref-ms）。
DS0011	模块	模块加载	监控 dfsvc.exe 子进程活动（包含未签名的模块加载）以及与 dfshim.dll 相关的活动。与 ClickOne 活动的基线进行比较，将具有有效业务用例的应用程序列入白名单。
DS0009	进程	进程创建	监视 dfsvc.exe 新执行的子进程，这些进程可能表明存在恶意 ClickOnce 应用程序。
		进程元数据	评估与 ClickOnce 部署执行相关的 Windows 事件跟踪 (ETW) 遥测。

新软件

• Apostle
• BFG Agonizer
• BPFDoor
• CHIMNEYSWEEP
• Covenant
• Cuckoo Stealer
• DEADWOOD
• DUSTPAN
• DUSTTRAP
• FRP
• Gootloader
• IMAPLoader
• INC Ransomware
• IPsec Helper
• Latrodectus
• LunarLoader
• LunarMail
• LunarWeb
• Manjusaka
• MgBot
• Moneybird
• MultiLayer Wiper
• NPPSPY
• Nightdoor
• Pikabot
• Playcrypt
• ROADSWEEP
• Raccoon Stealer
• Raspberry Robin
• Spica
• VPNFilter
• VersaMem
• ZeroCleare
• Fuxnet

新组织

• Agrius
• Daggerfly
• INC Ransom
• Moonstone Sleet
• Play
• RedCurl
• Saint Bear
• Star Blizzard
• TA577
• TA578
• Winter Vivern

新攻击活动

• APT41 DUST
• HomeLand Justice
• KV Botnet Activity
• Pikabot Distribution February 2024
• Versa Director Zero Day Exploitation
• Water Curupira Pikabot Distribution

实战案例

邪恶双胞胎

：2024年4月，澳大利亚联邦警察（AFP）接到航空公司员工举报，称有人在珀斯、墨尔本和阿德莱德等机场利用“邪恶双胞胎”WiFi攻击窃取他人电子邮件或社交媒体凭证。调查发现，嫌疑人利用与合法WiFi相同名称的虚假网络诱导受害者连接，并通过伪造的登录页面要求输入账户信息，收集登录信息，后续可能用于访问敏感数据、劫持社交媒体或出售给其他犯罪分子。

来自信息存储库的数据：客户关系管理软件

：2020年1月16日，P&N银行通知客户，黑客通过入侵其客户关系管理（CRM）系统，访问了存储的个人信息。受影响的数据包括姓名、地址、电子邮件、账户号码及余额，共影响约10万名客户。此次攻击发生在2019年12月，由第三方托管服务提供商在服务器升级过程中发生。P&N银行发现问题后，立即封锁了漏洞，并启动了调查。事件突显了CRM系统在信息安全中的潜在风险，黑客通过获取CRM中的客户信息，可以进行个性化的网络钓鱼等攻击。

总结

随着MITRE ATT&CK框架在2024年迈入V16版本，这一更新不仅体现了对现有威胁情报的深化理解，也反映了网络安全领域不断演进的技术趋势。

根据2024年的roadmap，MITRE团队致力于增强ATT&CK框架的可用性，扩大其涵盖范围，并优化防御策略。从V16的更新情况来看，这些目标在很大程度上得到了实现。

在扩大覆盖范围方面，V16版本新增了与企业直接互动之外的非技术性欺骗实践和社会工程技巧等内容，这标志着ATT&CK开始关注更广泛的攻击手段。此外，针对macOS和Linux系统的防御措施也得到了加强，特别是增加了关于特权提升和防御规避的新子技术，以更好地应对现实世界中的威胁行为。例如，新加入了“Account Manipulation: Additional Local or Domain Groups”（T1098.007）技术，描述了攻击者如何通过将用户添加到本地或域组来维持持久访问。

同时，值得注意的是，尽管V16版本在多个方面进行了更新，但仍有部分roadmap中提到的目标未能完全实现。例如，对某些特定行业（如金融和医疗）的定制化战术和技术的扩展，以及对自动化攻击工具的更详细描述。

参考链接

[1] https://attack.mitre.org/resources/updates/updates-october-2024/

[2] https://attack.mitre.org/docs/changelogs/v15.1-v16.0/changelog-detailed.html

[3] https://medium.com/mitre-attack/attack-v16-561c76af94cf

[4] https://github.com/mitre-attack/attack-stix-data/blob/master/USAGE.md#ids-in-attck

[5] https://medium.com/mitre-attack

[6] https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/

[7] https://infocerts.com/attck-2024-roadmap/

原文始发于微信公众号（安小圈）：万字长文解读最新版ATT&CK V16（首发）