Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleNachdem der Gegner aufgrund eines anfänglichen Kompromisses Zugang zum System erhalten hat, sollte er sich „umschauen“ und verstehen, dass er nun kontrolliert, welche Möglichkeiten er hat und ob es derzeit genügend Zugang gibt, um ein taktisches oder endgültiges Ziel zu erreichen. Diese Phase des Angriffs wird als "Entdeckung" bezeichnet (engl.
Entdeckung - "wissenschaftliche Entdeckung", "Offenlegung", "Exposition").
Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für die möglichen Ungenauigkeiten, die in einigen Formulierungen und Begriffen gemacht wurden. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .Betriebssysteme verfügen über viele integrierte Tools, mit denen der Gegner den internen Umfang des angegriffenen Netzwerks untersuchen kann, nachdem es kompromittiert wurde. In Windows kann die direkte Interaktion mit den Funktionen Windows API, WMI und PowerShell zum Sammeln von Informationen verwendet werden.
Ein Angreifer verwendet Erkennungsmethoden, während er die angegriffene Umgebung untersucht. Daher sollte die Identifizierung solcher Aktivitäten als Teil der Angriffskette betrachtet werden, gefolgt von Versuchen, den Feind durch das Netzwerk zu befördern.
Als Maßnahme zur Identifizierung der oben beschriebenen Aktivität in geschützten Systemen wird empfohlen, Prozesse und Befehlszeilenargumente zu überwachen, die während der Erfassung von Informationen über ein System oder Netzwerk verwendet werden können. Eine allgemeine Empfehlung, um die Möglichkeit einer nicht autorisierten internen Untersuchung des geschützten Systems und Netzwerks zu verhindern, besteht darin, das Vorhandensein unnötiger Systemdienstprogramme und potenziell gefährlicher Software zu prüfen, mit denen die geschützte Umgebung untersucht werden kann, und Tools zu verwenden, um deren Start zu blockieren, z. B. AppLocker- oder Softwareeinschränkungsrichtlinien (Softwareeinschränkung) Richtlinien).
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Angreifer versuchen möglicherweise, eine Liste der Konten auf dem lokalen System oder in der Domäne abzurufen.
WindowsUm
Kontoinformationen zu erhalten, können die Dienstprogramme
Net oder
Dsquery verwendet werden:
net user
net group
net localgroup
dsquery user
dsquery groupEin Angreifer kann mithilfe der Systembesitzer-
/ Benutzererkennung nach dem Hauptbenutzer, dem aktuellen Benutzer eines Systems oder einer Gruppe von Benutzern suchen, die das System normalerweise verwenden.
MacAuf einem Mac können Benutzergruppen mit den Befehlen
groups und
id abgerufen werden. Benutzergruppen und Benutzer können auch mit den folgenden Befehlen aufgelistet werden:
dscl . list /Groups
dscacheutile -q groupLinuxUnter Linux können lokale Benutzer aus der
Datei / etc / passwd abgerufen
werden , die von allen Benutzern gelesen werden kann. Auf einem Mac wird dieselbe Datei zusätzlich zur Datei
/etc/master.passwd nur im Einzelbenutzermodus verwendet. Darüber hinaus sind
Gruppen- und
ID- Befehle auch unter Linux verfügbar.
Schutzempfehlungen: Verhindern Sie die Auflistung von Administratorkonten, wenn Sie die Berechtigungen über die Benutzerkontensteuerung erhöhen, da dies zur Offenlegung von Administratorkontonamen führt. Der entsprechende Registrierungsschlüssel kann über das Gruppenrichtlinienobjekt deaktiviert werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\
EnumerateAdministrators
GPO: Computer Configuration > [Policies] > Administrative Templates > Windows Components > Credential User Interface: Enumerate administrator accounts on elevation.System: Windows, MacOS
Rechte: Benutzer
Beschreibung: Angreifer versuchen möglicherweise, Listen von Fenstern abzurufen, die von Anwendungen geöffnet wurden. Solche Listen können angeben, wie das System dort verwendet wird, oder den Kontext der vom Keylogger gesammelten Informationen ermitteln. Auf einem Mac kann dies mit einem kleinen AppleScript-Skript erfolgen.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Um so viele Informationen wie möglich über ein kompromittiertes System zu erhalten, können Angreifer die Browser-Lesezeichen des Benutzers überprüfen. Lesezeichen können persönliche Informationen über Benutzer (z. B. Bankenseiten, persönliche Interessen, soziale Netzwerke usw.) sowie Informationen über interne Netzwerkressourcen des Netzwerks anzeigen - Server, Tools, Dashboards und andere Infrastrukturelemente. Ein Gegner kann in einem Browser zwischengespeicherte Anmeldeinformationen verwenden, um Zugriff auf Benutzerdienste zu erhalten, deren Adressen in Browser-Lesezeichen gespeichert sind. Die Speicherorte für Lesezeichen hängen von der Plattform und den Besonderheiten der Anwendungen und des Betriebssystems ab. Browser-Lesezeichen werden normalerweise als lokale Dateien oder Datenbanken gespeichert.
Schutzempfehlungen: Da das Speichern von Informationen in Dateien eine Standardfunktion des Betriebssystems ist, sind Versuche, diese Aktivität zu unterdrücken, unangemessen. Beispielsweise kann die Einschränkung des Zugriffs auf Browser-Lesezeichendateien zu unbeabsichtigten Nebenwirkungen führen und legitime Software stören. Die Verteidigungsbemühungen sollten darauf gerichtet sein, den Start der Werkzeuge und Werkzeuge eines Angreifers in den früheren Phasen eines Angriffs zu verhindern.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer können Dateien und Verzeichnisse auflisten oder an bestimmten Orten auf dem Host oder in gemeinsam genutzten Netzwerkressourcen nach bestimmten Informationen suchen.
WindowsBeispiele für Dienstprogramme zum Abrufen von Informationen zu Dateien und Verzeichnissen sind
dir und
tree . Benutzerdefinierte Tools können durch direkte Interaktion mit der Windows-API auch zum Sammeln von Informationen zu Dateien und Verzeichnissen verwendet werden.
Linux und MacOSUnter Linux und MacOS erfolgt das Durchsuchen von Dateien und Verzeichnissen mit den Befehlen
ls, find und
find .
Schutzempfehlungen: Da die Darstellung von Informationen in Form von Dateien und Verzeichnissen eine Standardfunktion des Betriebssystems ist, sind Versuche, diese Aktivität zu unterdrücken, unangemessen. Die Verteidigungsbemühungen sollten darauf gerichtet sein, den Start der Werkzeuge und Werkzeuge eines Angreifers in den früheren Phasen eines Angriffs zu verhindern.
System: Windows, Linux, MacOS
Rechte: Administrator, System
Beschreibung: Angreifer versuchen möglicherweise, eine Liste der Dienste abzurufen, die auf Remotehosts ausgeführt werden, einschließlich solcher, die möglicherweise für RAS-Tools anfällig sind. Zu den Methoden zum Abrufen solcher Informationen gehören das Scannen von Ports und Schwachstellen mithilfe von Tools, die auf das System heruntergeladen werden.
Sicherheitstipps: Verwenden Sie IDS / IPS-Systeme, um Remote-Scans zu erkennen und zu verhindern. Stellen Sie sicher, dass unnötige Ports geschlossen, nicht verwendete Dienste deaktiviert und die ordnungsgemäße Netzwerksegmentierung eingehalten wird, um kritische Server und Geräte zu schützen.
System: Windows, MacOS
Rechte: Benutzer
Beschreibung: In lokalen Netzwerken gibt es häufig gemeinsam genutzte Netzwerklaufwerke und -ordner, mit denen Benutzer auf Netzwerkverzeichnisse von Dateiverzeichnissen zugreifen können, die sich auf verschiedenen Systemen befinden. Angreifer können auf Remote-Systemen nach freigegebenen Netzwerkordnern und Laufwerken suchen, um nach Zieldatenquellen zu suchen und potenzielle Systeme für weitere Bewegungen im Netzwerk zu identifizieren.
WindowsDie Dateifreigabe in Windows-Netzwerken erfolgt über das SMB-Protokoll. Mit dem Dienstprogramm
Net können Sie von einem Remote-System Informationen über das Vorhandensein freigegebener Netzwerklaufwerke
net view \remotesystem :
net view \remotesystemOder rufen Sie Informationen zu freigegebenen Netzwerklaufwerken auf dem lokalen System ab:
net share .
MacAuf einem Mac können lokal gemountete Netzwerkfreigaben mit dem folgenden Befehl
df -aH :
df -aH .
System: Windows, Linux, MacOS
Beschreibung: Ein Angreifer kann die Netzwerkschnittstelle im
Promiscuos-Modus („unhörbarer“ Modus) verwenden, in dem die Netzwerkkarte alle Pakete unabhängig davon akzeptiert, an wen sie adressiert sind, oder Span-Ports (Spiegel-Ports) verwenden, um eine große Datenmenge zu erfassen, die über Kabel übertragen wird oder drahtlose Netzwerke.
Während des Sniffings erfasste Daten können Anmeldeinformationen enthalten, die über unsichere Verbindungen gesendet werden, ohne Verschlüsselungsprotokolle zu verwenden. Verschiedene Angriffe auf Netzwerknamensdienste wie LLMNR / NBT-NS-Vergiftungen durch Umleiten des Datenverkehrs können auch zum Sammeln von Anmeldeinformationen auf Websites, Proxys und internen Systemen verwendet werden. Während des Abhörens eines Netzwerks kann ein Gegner auch verschiedene Konfigurationsinformationen (ausgeführte Dienste, Versionsnummern, IP-Adressen, Hostnamen, VLAN-IDs usw.) anzeigen, die für die weitere Bewegung im Netzwerk und / oder die Umgehung von Sicherheitsfunktionen erforderlich sind.
Sicherheitstipps: Stellen Sie sicher, dass der drahtlose Datenverkehr ordnungsgemäß verschlüsselt ist. Verwenden Sie nach Möglichkeit Kerberos, SSL und Multi-Faktor-Authentifizierung. Überwachen Sie Netzwerk-Switches auf Span-Ports, ARP / DNS-Vergiftungen und nicht autorisierte Änderungen der Routerkonfiguration. Verwenden Sie Tools, um potenziell gefährliche Software zu identifizieren und zu blockieren, mit der der Netzwerkverkehr abgefangen und analysiert werden kann.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Eine Kennwortrichtlinie im Netzwerk bietet Benutzern die Möglichkeit, komplexe Kennwörter zu verwenden, die mit brutaler Gewalt nur schwer zu erraten oder zu knacken sind. Ein Angreifer versucht möglicherweise, auf Informationen zu den Kennwortrichtlinieneinstellungen des angegriffenen Netzwerks zuzugreifen, um eine Liste allgemein bekannter Kennwörter zu erstellen, die den Anforderungen der Richtlinie entsprechen. Wenn die Richtlinie beispielsweise eine Mindestkennwortlänge von 8 Zeichen hat, versuchen Sie nicht, Kennwörter wie pass123 zu verwenden, oder überprüfen Sie nicht mehr als 3 Kennwörter 4 Passwörter pro Konto, wenn die Anzahl der erfolglosen Versuche gleich 6 ist) und der anschließende Beginn der Wörterbuchauswahl von Passwörtern. Kennwortrichtlinien können sowohl unter Windows als auch unter Linux und MacOS angewendet und erkannt werden.
Windowsnet accounts
net accounts /domainLinuxchage -l
cat /etc/pam.d/comman-passwordmacOSpwpolicy getaccountpoliciesSchutzempfehlungen: Versuche, die Erkennung einer Kennwortrichtlinie direkt zu verhindern, werden nicht empfohlen, da die Einstellungen der Kennwortrichtlinie allen Systemen und Benutzern des Netzwerks bekannt sein sollten. Stellen Sie sicher, dass die von Ihnen verwendete Kennwortrichtlinie das Brute-Force-Erzwingen von Kennwörtern erschwert und die Verwendung von zu leichten Kennwörtern nicht zulässt. Die häufigste Methode zum Anwenden einer Kennwortrichtlinie in einem Unternehmensnetzwerk ist die Implementierung von Active Directory.
Wenn eine Aufgabe zum Erkennen böswilliger Aktivitäten vorhanden ist, überwachen Sie die Prozesse auf Tools und Befehlszeilenargumente, die auf Versuche hinweisen, eine Kennwortrichtlinie zu identifizieren. Ordnen Sie diese Aktivität anderen verdächtigen Aktivitäten des Quellsystems zu, um die Wahrscheinlichkeit eines falschen Ereignisses im Zusammenhang mit den Aktionen des Benutzers oder Administrators zu verringern. Der Gegner wird höchstwahrscheinlich versuchen, die Parameter der Kennwortrichtlinie in den frühen Phasen des Angriffs oder in Verbindung mit der Verwendung anderer Techniken der Identifizierungs- und Überprüfungsphase zu identifizieren.
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer versuchen möglicherweise, Informationen über Peripheriegeräte zu sammeln, die mit Computern im angegriffenen Netzwerk verbunden sind. Diese Informationen können verwendet werden, um das Bewusstsein für die angegriffene Umgebung zu schärfen, und können zur Planung weiterer böswilliger Aktionen verwendet werden.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Angreifer können versuchen, lokale oder Domänenzugriffsgruppen zu finden und ihre Berechtigungseinstellungen zu überprüfen.
WindowsSie können Zugriffsgruppen mit dem Dienstprogramm
Net auflisten:
net group /domain
ner localgroupLinuxUnter Linux können lokale Gruppen mit dem Befehl groups aufgelistet werden, Domänengruppen mit dem Befehl
ldapsearch .
macOSAuf einem Mac können Sie dasselbe mit den folgenden Befehlen tun:
dscacheutil -q - für Domänengruppen;
dscl . -list /Groups dscl . -list /Groups - für lokale Gruppen.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Gegner versuchen möglicherweise, Informationen über Prozesse abzurufen, die vom System ausgeführt werden, um Informationen über die Software abzurufen, die auf den Systemen des angegriffenen Netzwerks ausgeführt wird.
WindowsEin Beispiel für das Abrufen von Informationen zu Prozessen in Windows ist das
Tasklist- Systemdienstprogramm.
Mac und LinuxUnter Mac und Linux erfolgt dies mit dem Befehl
ps .
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer können mit der Windows-Registrierung interagieren, um Informationen über das System, die Konfiguration und die installierte Software zu sammeln. Die Registrierung enthält zahlreiche Informationen zu Betriebssystem, Konfiguration, Software und Sicherheit. Einige Informationen können dem Gegner helfen, weitere Operationen im angegriffenen Netzwerk auszuführen. Die Interaktion mit der Registrierung kann mithilfe verschiedener Dienstprogramme erfolgen, z. B.
Reg, oder mithilfe von Tools von Drittanbietern, die die Windows-API verwenden.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Der Gegner wird wahrscheinlich versuchen, eine Liste der Systeme im angegriffenen Netzwerk abzurufen. Remote-Systeme können anhand der IP-Adresse, des Hostnamens oder einer anderen Kennung erkannt werden, mit der später ein Angreifer vom aktuellen System über das Netzwerk weitergeleitet werden kann. Die entsprechenden Funktionen können in den RAT-Tools (Remote Access Tools) enthalten sein, und es können auch Dienstprogramme für eingebettete Systeme verwendet werden.
WindowsPing- oder
Net View- Befehle.
MacDas Bonjour- Protokoll wird verwendet, um Mac-Systeme innerhalb der Broadcast-Domäne zu erkennen. Dienstprogramme wie
Ping können auch zum Sammeln von Informationen über Remote-Systeme verwendet werden.
LinuxDienstprogramme wie Ping können auch zum Sammeln von Informationen über Remote-Systeme verwendet werden.
System: Windows, MacOS
Rechte: Benutzer, Administrator, System
Beschreibung: Angreifer versuchen möglicherweise, Listen mit Sicherheitssoftware, Konfigurationen und im System installierten Sensoren abzurufen. Das Ziel eines Gegners können lokale Firewall-Regeln, Antiviren- und Virtualisierungstools sein. Diese Überprüfungen können in RATs (Remote Access Tools) eingebettet werden, die in den frühen Phasen eines Angriffs verwendet werden.
WindowsBeispiele für Befehle, mit denen Informationen zu Sicherheitstools
abgerufen werden können, sind die
Dienstprogramme netsh, reg query, dir und
tasklist . Andere spezifischere Tools können jedoch verwendet werden, um bestimmte Sicherheitssysteme zu identifizieren, nach denen ein Gegner sucht.
MacEine übliche Methode zum Überprüfen auf Malware ist die Verwendung von
LittleSnitch und
KnockKnock .
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Ein Gegner kann versuchen, detaillierte Informationen über das Betriebssystem und die Hardware zu erhalten, einschließlich der Architektur, Version, Patches und installierten Service Packs.
WindowsBeispiele für Dienstprogramme zum Abrufen von Systeminformationen sind
ver, systeminfo und
dir zum Identifizieren von Systeminformationen basierend auf vorhandenen Dateien und Verzeichnissen.
MacDer Befehl
systemsetup enthält detaillierte Systeminformationen, erfordert jedoch Administratorrechte. Darüber hinaus
bietet system_profiler eine detaillierte Aufschlüsselung der Konfigurationen, Firewall-Regeln,
bereitgestellten Volumes, Hardware und vieler anderer Dinge, ohne dass eine Eskalation
von Berechtigungen erforderlich ist .
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Ein Angreifer sucht höchstwahrscheinlich nach detaillierten Informationen über die Netzwerkkonfiguration und die Systemparameter, auf die er Zugriff hat, oder durch das Studium entfernter Systeme. Einige Dienstprogramme zur Verwaltung des Betriebssystems können zum Sammeln der oben genannten Informationen verwendet werden. Beispiele für solche Dienstprogramme:
arp, ipconfig / ifconfig, nbtstat, route, tracert / tracerout usw.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator
Beschreibung: Angreifer versuchen möglicherweise, eine Liste der eingehenden und ausgehenden Netzwerkverbindungen eines gefährdeten Systems, auf das sie Zugriff haben, oder eines Remote-Systems abzurufen, um Informationen über das Netzwerk anzufordern.
WindowsDienstprogramme und Befehle zum Abrufen von Informationen zu Netzwerkverbindungen:
Netstat
net use
net sessionMac und LinuxNetstat und
lsof können verwendet werden, um aktuelle Verbindungen anzuzeigen. Ähnlich wie bei "
net session " können
who- und
w- Dienstprogramme die aktuellen Benutzer anzeigen, die angemeldet sind.
System: Windows, Linux, MacOS
Rechte: Benutzer, Administrator
Beschreibung: Angreifer können versuchen, den Hauptbenutzer des Systems, den aktuell angemeldeten Benutzer, die Gruppe von Benutzern, die normalerweise das System verwenden, zu identifizieren oder zu bestimmen, wie oft der Benutzer das System verwendet. Ein Gegner kann die oben genannten Informationen mithilfe von Kontoerkennungsmethoden (siehe „Kontoerkennung“) oder mithilfe von
Dumpingmethoden für Anmeldeinformationen erhalten . Informationen über den Benutzer und seinen Namen werden im gesamten System verteilt. Sie sind in Informationen über die Eigentümer von Prozessen, Dateien und Verzeichnissen sowie in Informationen zu Sitzungen und Systemprotokollen enthalten, sodass der Gegner verschiedene Erkennungsmethoden verwenden kann.
In Mac kann der aktuelle Benutzer anhand der Dienstprogramme
Benutzer w und
who identifiziert werden. Auf Linux-Systemen nur mit
w und
who .
System: Windows
Rechte: Benutzer, Administrator, System
Beschreibung: Ein Angreifer versucht möglicherweise, Informationen zu registrierten Diensten abzurufen. Zum Sammeln von Daten kann ein Gegner verschiedene Tools verwenden, einschließlich integrierter Dienstprogramme, die Informationen zu Diensten empfangen können:
sc
tasklist /svc
net startSystem: Windows
Rechte: Benutzer
Beschreibung: Die Systemzeit wird in der Domäne festgelegt und vom Windows Times Service gespeichert, um die Zeitsynchronisation zwischen Systemen und Diensten im Unternehmensnetzwerk sicherzustellen. Ein Angreifer kann die Systemzeit und / oder Zeitzone von einem lokalen oder Remote-System abrufen. Diese Informationen können auf verschiedene Arten gesammelt werden:
net time \\hostname - Ruft die Hostsystemzeit ab.
w32tm /tz -
w32tm /tz der Zeitzone.
Informationen über die Systemzeit können für den Feind nützlich sein, um verschiedene Angriffsmethoden zu verwenden, z. B. das Ausführen einer Datei mit einer geplanten Aufgabe oder basierend auf Informationen über die Zeitzone, um den Standort des Opfers anzuzeigen.
Schutzempfehlungen: Hochwertige Software verwendet legitime Prozesse, um die Systemzeit zu erfassen. Die Schutzbemühungen müssen darauf gerichtet sein, die Ausführung von unerwünschtem oder unbekanntem Code im System zu verhindern. Um das unbefugte Abrufen von Zeitinformationen von einem Remote-System zu verhindern, können Tools wie das Dienstprogramm
Net durch eine Sicherheitsrichtlinie blockiert werden. Die Befehlszeilenüberwachung kann nützlich sein, um Instanzen von Net.exe oder anderen Dienstprogrammen zu erkennen, die zum Erfassen von Systemzeit und Zeitzone verwendet werden. Das Überwachen von API-Aufrufen für diese Zwecke ist weniger nützlich, da die API häufig von legitimer Software verwendet wird.