T1006 - 直接卷访问、T1007-系统服务发现

admin
admin
admin
138858
文章
114
评论
2025年3月26日15:06:00评论4 views字数 2477阅读8分15秒阅读模式
Atomic Red Team™是一个映射到MITRE ATT&CK®框架的测试库。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的环境。

本文章为Atomic Red Team系列文章,本篇文章内容为T1006-直接卷访问、T1007-系统服务发现。本文的目的旨在帮助安全团队开展安全测试,发现安全问题,切勿将本文中提到的技术用作攻击行为,请切实遵守国家法律法规。

重要声明 本文档中的信息和工具仅用于授权的安全测试和研究目的。未经授权使用这些工具进行攻击或数据提取是非法的,并可能导致严重的法律后果。使用本文档中的任何内容时,请确保您遵守所有适用的法律法规,并获得适当的授权。

T1006 - 直接卷访问

  • 本页内容
    • 原子测试#1 - 通过DOS设备路径读取卷引导扇区(PowerShell)
    • 来自ATT&CK的描述
    • 原子测试

来自ATT&CK的描述

攻击者可能会直接访问卷,以绕过文件访问控制和文件系统监控。Windows允许程序直接访问逻辑卷。具有直接访问权限的程序可以通过分析文件系统数据结构,直接从驱动器读取和写入文件。这种技术可能会绕过Windows文件访问控制以及文件系统监控工具。(引用:Hakobyan 2009)

存在一些工具,如NinjaCopy,可在PowerShell中执行这些操作。(引用:Github PowerSploit Ninjacopy)攻击者也可能使用内置或第三方工具(如vssadmin、wbadmin和esentutl)从系统卷创建数据的卷影副本或备份。(引用:LOLBAS Esentutl)

原子测试

原子测试#1 - 通过DOS设备路径读取卷引导扇区(PowerShell)

此测试使用PowerShell通过\. DOS设备路径指定符打开驱动器卷的句柄,并对卷的前几个字节执行直接访问读取操作。如果成功,将显示卷的前11个字节的十六进制转储内容。

对于NTFS卷,它应与以下序列(NTFS分区引导扇区)相对应:

00 01 02 03 04 05 06 07 08 09 000000F00000000   EB 52 90 454 46 53 20 20 20 20                 ëR?NTFS
  • 支持的平台
    Windows
  • 自动生成的GUID
    88f6327e - 51ec - 4bbf - b2e8 - 3fea534eab8b
  • 输入参数
名称
描述
类型
默认值
volume
要访问的卷的驱动器号
字符串
C:
  • 攻击命令
    使用powershell运行!需要提升权限(例如root或管理员权限)
$buffer = New-Object byte[] 11$handle = New-Object IO.FileStream "\.#{volume}"'Open''Read''ReadWrite'$handle.Read($buffer0$buffer.Length)$handle.Close()Format-Hex -InputObject $buffer

T1007 - 系统服务发现

T1007 - 系统服务发现

来自ATT&CK的描述

攻击者可能会试图收集有关已注册的本地系统服务的信息。他们可能会使用工具以及操作系统实用命令来获取服务相关信息,例如sc querytasklist /svcsystemctl --type=servicenet start

攻击者在自动发现过程中,可能会利用系统服务发现获取的信息来规划后续行为,包括是否完全入侵目标系统以及是否尝试执行特定操作。

原子测试

  • 原子测试#1 - 系统服务发现
  • 原子测试#2 - 系统服务发现 - net.exe
  • 原子测试#3 - 系统服务发现 - systemctl/service
  • 原子测试#4 - 获取服务执行信息

原子测试#1 - 系统服务发现

识别系统服务。

执行成功后,cmd.exe将执行服务命令,并将预期结果输出到标准输出。

  • 支持的平台
    Windows
  • 自动生成的GUID
    89676ba1 - b1f8 - 47ee - b940 - 2e1a113ebc71
  • 攻击命令
    使用command_prompt运行!需要提升权限(例如root或管理员权限)
tasklist.exesc querysc query state= all

原子测试#2 - 系统服务发现 - net.exe

使用net.exe枚举已启动的系统服务,并将其写入文件。这种技术已被多个威胁行为者使用。

执行成功后,cmd.exe将运行net.exe来查询服务。预期输出会写入临时目录中名为service - list.txt的文本文件。

  • 支持的平台
    Windows
  • 自动生成的GUID
    5f864a3f - 8ce9 - 45c0 - 812c - bdf7d8aeacc3
  • 输入参数:
名称
描述
类型
默认值
output_file
用于保存net.exe输出的文件路径
路径
%temp%service-list.txt
  • 攻击命令
    使用command_prompt运行!
net.exe start >> #{output_file}
  • 清理命令
del /f /q /s #{output_file} >nul 2>&1

原子测试#3 - 系统服务发现 - systemctl/service

使用systemctl/service枚举系统服务。

  • 支持的平台
    Linux
  • 自动生成的GUID
    f4b26bce - 4c2c - 46c0 - bcc5 - fce062d38bef
  • 攻击命令
    使用bash运行!
if [ "$(uname)" = 'FreeBSD' ]; then service -e; else systemctl --type=service; fi;

原子测试#4 - 获取服务执行信息

执行Get - Service cmdlet来收集代表本地系统上所有服务的对象。

  • 支持的平台
    Windows
  • 自动生成的GUID
    51f17016 - d8fa - 4360 - 888a - df4bf92c4a04
  • 攻击命令
    使用command_prompt运行!
powershell.exe Get-Service

原文始发于微信公众号(网空安全手札):T1006 - 直接卷访问、T1007-系统服务发现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日15:06:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   T1006 - 直接卷访问、T1007-系统服务发现http://cn-sec.com/archives/3880976.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息