Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolSetelah memperoleh, sebagai hasil dari kompromi awal, akses ke sistem, musuh harus “melihat sekeliling”, memahami bahwa ia sekarang mengendalikan peluang apa yang ia miliki dan apakah ada akses saat ini yang cukup untuk mencapai tujuan taktis atau tujuan akhir. Tahap serangan ini disebut "Discovery" (Eng.
Discovery - "penemuan ilmiah", "pengungkapan", "paparan").
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin timbul dari penerapan informasi yang terkandung dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem operasi memiliki banyak alat bawaan yang dengannya musuh dapat menyelidiki perimeter internal jaringan yang diserang setelah kompromi. Di Windows, interaksi langsung dengan Windows API, fungsionalitas WMI dan PowerShell dapat digunakan untuk mengumpulkan informasi.
Seorang penyerang menggunakan metode deteksi saat mempelajari lingkungan yang diserang, oleh karena itu, identifikasi aktivitas tersebut harus dianggap sebagai bagian dari rantai serangan, diikuti oleh upaya untuk memajukan musuh melalui jaringan.
Sebagai tindakan yang bertujuan mengidentifikasi aktivitas yang dijelaskan di atas dalam sistem yang dilindungi, disarankan agar proses dan argumen baris perintah dipantau yang dapat digunakan dalam mengumpulkan informasi tentang sistem atau jaringan. Rekomendasi umum untuk mencegah kemungkinan investigasi internal yang tidak sah terhadap sistem dan jaringan yang dilindungi adalah untuk mengaudit keberadaan utilitas sistem yang tidak perlu dan perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk mempelajari lingkungan yang dilindungi dan untuk menggunakan alat untuk memblokir peluncuran mereka, misalnya AppLocker atau kebijakan pembatasan perangkat lunak (Pembatasan Perangkat Lunak) Kebijakan).
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat mencoba untuk mendapatkan daftar akun di sistem atau domain lokal.
WindowsUntuk mendapatkan informasi akun, utilitas
Net atau
Dsquery dapat digunakan:
net user
net group
net localgroup
dsquery user
dsquery groupPenyerang dapat menggunakan
System Owner / User Discovery untuk mencari pengguna utama, pengguna sistem saat ini, atau sekelompok pengguna yang biasanya menggunakan sistem.
MacDi Mac, grup pengguna dapat diperoleh dengan menggunakan perintah
grup dan
id . Grup pengguna dan pengguna juga dapat didaftar menggunakan perintah berikut:
dscl . list /Groups
dscacheutile -q groupLinuxDi Linux, pengguna lokal dapat diperoleh dari file
/ etc / passwd , yang dapat dibaca oleh semua pengguna. Di Mac, file yang sama hanya digunakan dalam mode pengguna-tunggal sebagai tambahan pada file
/etc/master.passwd . Selain itu,
grup dan perintah
id juga tersedia di Linux.
Rekomendasi perlindungan: Cegah kemungkinan mendaftarkan akun administrator saat meningkatkan hak istimewa melalui UAC, karena ini akan mengarah pada pengungkapan nama akun administrator. Kunci registri yang sesuai dapat dinonaktifkan menggunakan GPO:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\
EnumerateAdministrators
GPO: Computer Configuration > [Policies] > Administrative Templates > Windows Components > Credential User Interface: Enumerate administrator accounts on elevation.Sistem: Windows, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat mencoba membuat daftar windows dibuka oleh aplikasi. Daftar tersebut dapat menunjukkan bagaimana sistem digunakan di sana atau menemukan konteks informasi yang dikumpulkan oleh keylogger. Di Mac, ini bisa dilakukan dengan skrip AppleScript kecil.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Untuk mengetahui sebanyak mungkin informasi tentang sistem yang disusupi, penyerang dapat memeriksa bookmark browser pengguna. Bookmark dapat mengungkapkan informasi pribadi tentang pengguna (misalnya, situs perbankan, minat pribadi, jejaring sosial, dll.), Serta informasi tentang sumber daya jaringan internal jaringan - server, alat, dasbor, dan elemen infrastruktur lainnya. Musuh dapat menggunakan kredensial yang di-cache di browser untuk mendapatkan akses ke layanan pengguna yang alamatnya disimpan di bookmark browser. Lokasi penyimpanan untuk bookmark tergantung pada platform dan spesifikasi aplikasi serta OS. Bookmark browser biasanya disimpan sebagai file atau database lokal.
Rekomendasi perlindungan: Mengingat bahwa menyimpan informasi dalam file adalah fitur standar OS, upaya untuk menekan aktivitas ini tidak pantas. Misalnya, membatasi akses ke file bookmark browser cenderung menyebabkan efek samping yang tidak diinginkan dan mengganggu perangkat lunak yang sah. Upaya pertahanan harus diarahkan untuk mencegah peluncuran alat dan alat penyerang di tahap awal serangan.
Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat membuat daftar file dan direktori atau mencari informasi spesifik di lokasi tertentu pada host atau pada sumber daya jaringan bersama.
WindowsContoh utilitas untuk mendapatkan informasi tentang file dan direktori adalah
dir dan
tree . Alat kustom melalui interaksi langsung dengan Windows API juga dapat digunakan untuk mengumpulkan informasi tentang file dan direktori.
Linux dan macOSDi Linux dan macOS, menelusuri file dan direktori dilakukan dengan menggunakan
perintah ls, find, dan
cari .
Rekomendasi perlindungan: Mengingat bahwa penyajian informasi dalam bentuk file dan direktori adalah fitur standar OS, upaya untuk menekan aktivitas ini tidak pantas. Upaya pertahanan harus diarahkan untuk mencegah peluncuran alat dan alat penyerang di tahap awal serangan.
Sistem: Windows, Linux, macOS
Hak: Administrator, Sistem
Deskripsi: Penyerang dapat mencoba untuk mendapatkan daftar layanan yang berjalan di host jarak jauh, termasuk yang mungkin rentan terhadap alat akses jarak jauh. Metode untuk memperoleh informasi tersebut termasuk port pemindaian dan kerentanan menggunakan alat yang diunduh ke sistem.
Tip
Keamanan: Gunakan sistem IDS / IPS untuk mendeteksi dan mencegah pemindaian jarak jauh. Pastikan bahwa port yang tidak perlu ditutup, layanan yang tidak digunakan dimatikan, dan segmentasi jaringan yang tepat dihormati untuk melindungi server dan perangkat penting.
Sistem: Windows, macOS
Hak: Pengguna
Deskripsi: Di jaringan lokal, sering ada drive jaringan dan folder bersama yang memungkinkan pengguna untuk mengakses direktori jaringan direktori file yang terletak di sistem yang berbeda. Penyerang dapat mencari folder dan drive jaringan bersama pada sistem jarak jauh untuk mencari sumber data target dan mengidentifikasi sistem potensial untuk pergerakan lebih lanjut pada jaringan.
WindowsBerbagi file di jaringan Windows dilakukan menggunakan protokol SMB. Utilitas
Net dapat digunakan untuk memperoleh informasi dari sistem jarak jauh tentang keberadaan drive jaringan bersama di dalamnya:
net view \remotesystemAtau dapatkan informasi tentang drive jaringan bersama di sistem lokal:
net share .
MacPada Mac, berbagi jaringan yang dipasang secara lokal dapat dilihat dengan perintah:
df -aH .
Sistem: Windows, Linux, macOS
Deskripsi: Penyerang dapat menggunakan antarmuka jaringan dalam
mode promiscuos (
mode "tidak terdengar"), di mana kartu jaringan akan menerima semua paket terlepas dari siapa mereka ditujukan atau menggunakan port span (mirror port) untuk menangkap sejumlah besar data yang dikirimkan melalui kabel. atau jaringan nirkabel.
Data yang ditangkap saat mengendus dapat berisi kredensial yang dikirim melalui koneksi tidak aman tanpa menggunakan protokol enkripsi. Berbagai serangan pada layanan nama jaringan seperti keracunan LLMNR / NBT-NS dengan mengarahkan lalu lintas juga dapat digunakan untuk mengumpulkan kredensial di situs web, proksi, dan sistem internal. Saat mendengarkan jaringan, musuh juga dapat mengungkapkan berbagai informasi konfigurasi (menjalankan layanan, nomor versi, alamat IP, nama host, ID VLAN, dll.) Yang diperlukan untuk pergerakan lebih lanjut pada jaringan dan / atau memintas fitur keamanan.
Kiat Keamanan: Pastikan lalu lintas nirkabel dienkripsi dengan benar. Jika memungkinkan, gunakan otentikasi Kerberos, SSL, dan multi-faktor. Monitor switch jaringan untuk port span, keracunan ARP / DNS, dan perubahan konfigurasi router yang tidak sah. Gunakan alat untuk mengidentifikasi dan memblokir perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk mencegat dan menganalisis lalu lintas jaringan.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Kebijakan kata sandi pada jaringan adalah cara pengguna yang dijamin untuk menggunakan kata sandi yang rumit yang sulit ditebak atau dipecahkan oleh kekuatan kasar. Penyerang dapat mencoba mengakses informasi tentang pengaturan kebijakan kata sandi dari jaringan yang diserang untuk membuat daftar kata sandi umum terkenal yang memenuhi persyaratan kebijakan (misalnya, jika kebijakan tersebut memiliki panjang kata sandi minimal 8 karakter, maka jangan mencoba menggunakan kata sandi seperti pass123 atau tidak memeriksa lebih dari 3- 4 kata sandi per akun, jika jumlah percobaan yang gagal sama dengan 6) dan dimulainya pemilihan kata sandi kamus selanjutnya. Kebijakan kata sandi dapat diterapkan dan dideteksi pada Windows, Linux, dan macOS.
Windowsnet accounts
net accounts /domainLinuxchage -l
cat /etc/pam.d/comman-passwordmacOSpwpolicy getaccountpoliciesRekomendasi perlindungan: Upaya untuk secara langsung mencegah deteksi kebijakan kata sandi tidak disarankan, karena pengaturan kebijakan kata sandi harus diketahui oleh semua sistem dan pengguna jaringan. Pastikan bahwa kebijakan kata sandi yang Anda gunakan membuatnya sulit untuk memaksa kata sandi dan tidak memungkinkan penggunaan kata sandi yang terlalu ringan. Cara paling umum untuk menerapkan kebijakan kata sandi pada jaringan perusahaan adalah dengan mengimplementasikan Active Directory.
Jika ada tugas untuk mendeteksi aktivitas berbahaya, pantau proses untuk alat dan argumen baris perintah yang menunjukkan upaya untuk mengidentifikasi kebijakan kata sandi. Cocokkan kegiatan ini dengan kegiatan mencurigakan lainnya dari sistem sumber untuk mengurangi kemungkinan peristiwa palsu yang terkait dengan tindakan pengguna atau administrator. Musuh kemungkinan besar akan mencoba mengidentifikasi parameter kebijakan kata sandi pada tahap awal serangan atau dalam hubungannya dengan penggunaan teknik lain dari tahap identifikasi dan peninjauan.
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat mencoba mengumpulkan informasi tentang periferal yang terhubung ke komputer di jaringan yang diserang. Informasi ini dapat digunakan untuk meningkatkan kesadaran akan lingkungan yang diserang dan dapat digunakan dalam merencanakan tindakan jahat selanjutnya.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat mencoba menemukan grup akses lokal atau domain dan memeriksa pengaturan izin mereka.
WindowsAnda dapat membuat daftar grup akses menggunakan utilitas
Net :
net group /domain
ner localgroupLinuxDi Linux, grup lokal dapat dicacah menggunakan perintah
grup , grup domain dapat dicacah menggunakan perintah
ldapsearch .
macOSDi Mac, Anda dapat melakukan hal yang sama dengan perintah berikut:
dscacheutil -q - untuk grup domain;
dscl . -list /Groups dscl . -list /Groups - untuk grup lokal.
Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penentang dapat mencoba untuk mendapatkan informasi tentang proses yang berjalan dari sistem untuk mendapatkan informasi tentang perangkat lunak yang berjalan pada sistem jaringan yang diserang.
WindowsContoh cara mendapatkan informasi tentang proses di Windows adalah utilitas sistem Daftar
Tugas .
Mac dan LinuxDi Mac dan Linux, ini dilakukan dengan menggunakan perintah
ps .
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat berinteraksi dengan registri Windows untuk mengumpulkan informasi tentang sistem, konfigurasi, dan perangkat lunak yang diinstal. Registri berisi sejumlah besar informasi tentang sistem operasi, konfigurasi, perangkat lunak, dan keamanan. Beberapa informasi dapat membantu musuh melakukan operasi lebih lanjut dalam jaringan yang diserang. Interaksi dengan registri dapat terjadi menggunakan berbagai utilitas, misalnya,
Reg, atau dengan menjalankan alat pihak ketiga yang menggunakan Windows API.
Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator, Sistem
Deskripsi: Musuh mungkin akan mencoba untuk mendapatkan daftar sistem di jaringan yang diserang. Sistem jarak jauh dapat dideteksi oleh alamat IP, nama host, atau pengidentifikasi lainnya, yang nantinya dapat digunakan untuk memajukan penyerang melalui jaringan dari sistem saat ini. Fungsi yang sesuai dapat dimasukkan dalam Alat Akses Jarak Jauh (RAT), dan utilitas sistem tertanam juga dapat digunakan.
WindowsPing atau perintah
tampilan net .
MacProtokol
Bonjour digunakan untuk mendeteksi sistem Mac dalam domain siaran. Utilitas seperti
ping juga dapat digunakan untuk mengumpulkan informasi tentang sistem jarak jauh.
LinuxUtilitas seperti ping juga dapat digunakan untuk mengumpulkan informasi tentang sistem jarak jauh.
Sistem: Windows, macOS
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat mencoba mendapatkan daftar perangkat lunak keamanan, konfigurasi, sensor yang dipasang di sistem. Sasaran musuh dapat berupa hal-hal seperti aturan firewall lokal, antivirus, dan alat virtualisasi. Pemeriksaan ini dapat tertanam dalam alat akses jarak jauh (RAT) yang digunakan pada tahap awal serangan.
WindowsContoh perintah yang dapat digunakan untuk memperoleh informasi tentang alat keamanan adalah utilitas
netsh, reg query, dir, dan daftar
tugas , tetapi alat lain yang lebih spesifik juga dapat digunakan untuk mengidentifikasi sistem keamanan spesifik yang dicari musuh.
MacCara umum untuk memeriksa malware adalah menggunakan
LittleSnitch dan
KnockKnock .
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Musuh dapat mencoba memperoleh informasi terperinci tentang sistem operasi dan perangkat keras, termasuk arsitektur, versi, tambalan, dan paket layanan yang diinstal.
WindowsContoh utilitas untuk mendapatkan informasi sistem adalah
ver, systeminfo dan
dir untuk mengidentifikasi informasi sistem berdasarkan file dan direktori yang ada.
MacPerintah
systemsetup memberikan informasi sistem yang terperinci, tetapi membutuhkan hak administratif. Selain itu, rincian perincian konfigurasi, aturan firewall, volume yang dipasang, perangkat keras, dan banyak hal lainnya tanpa perlu eskalasi hak istimewa
disediakan oleh system_profiler .
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang kemungkinan besar akan mencari informasi terperinci tentang konfigurasi jaringan dan parameter sistem yang ia akses atau melalui studi sistem jarak jauh. Beberapa utilitas yang dirancang untuk mengelola sistem operasi dapat digunakan untuk mengumpulkan informasi di atas. Contoh utilitas tersebut:
arp, ipconfig / ifconfig, nbtstat, rute, tracert / tracerout , dll.
Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator
Deskripsi: Penyerang dapat mencoba untuk mendapatkan daftar koneksi jaringan yang masuk dan keluar dari sistem yang dikompromikan yang mereka akses, atau sistem jarak jauh, yang meminta informasi melalui jaringan.
WindowsUtilitas dan perintah untuk mendapatkan informasi tentang koneksi jaringan:
Netstat
net use
net sessionMac dan LinuxNetstat dan
lsof dapat digunakan untuk menampilkan koneksi saat ini. Mirip dengan "
sesi bersih ",
siapa dan utilitas dapat menampilkan pengguna saat ini yang login.
Sistem: Windows, Linux, macOS
Hak: Pengguna, Administrator
Deskripsi: Penyerang dapat mencoba mengidentifikasi pengguna utama sistem, pengguna saat ini yang sedang masuk, sekelompok pengguna yang biasanya menggunakan sistem atau menentukan seberapa banyak pengguna menggunakan sistem. Musuh dapat memperoleh informasi di atas dengan menggunakan metode penemuan akun (lihat teknik “Penemuan Akun”) atau menggunakan metode
pembuangan kredensial . Informasi tentang pengguna dan namanya didistribusikan di seluruh sistem - mereka termasuk dalam informasi tentang pemilik proses, file dan direktori, dalam informasi tentang sesi dan log sistem, sehingga musuh dapat menggunakan berbagai metode deteksi.
Di Mac, pengguna saat ini dapat diidentifikasi menggunakan utilitas
pengguna, dan
siapa . Pada sistem linux, hanya dengan
w dan
siapa .
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Penyerang dapat mencoba mendapatkan informasi tentang layanan terdaftar. Untuk mengumpulkan data, musuh dapat menggunakan berbagai alat, termasuk utilitas bawaan yang dapat menerima informasi tentang layanan:
sc
tasklist /svc
net startSistem: Windows
Hak: Pengguna
Deskripsi: Waktu sistem diatur dalam domain dan disimpan oleh Layanan Windows Times untuk memastikan sinkronisasi waktu antara sistem dan layanan pada jaringan perusahaan. Seorang penyerang dapat memperoleh waktu sistem dan / atau zona waktu dari sistem lokal atau jarak jauh. Informasi ini dapat dikumpulkan dengan beberapa cara:
net time \\hostname - dapatkan waktu sistem host;
w32tm /tz - mendapatkan zona waktu.
Informasi tentang waktu sistem dapat berguna bagi musuh untuk menggunakan berbagai metode serangan, seperti mengeksekusi file dengan tugas yang dijadwalkan atau, berdasarkan informasi tentang zona waktu, untuk mengungkapkan lokasi korban.
Rekomendasi perlindungan: Perangkat lunak berkualitas tinggi menggunakan proses yang sah untuk mengumpulkan waktu sistem. Upaya perlindungan harus diarahkan untuk mencegah eksekusi kode yang tidak diinginkan atau tidak dikenal dalam sistem. Untuk mencegah pengambilan informasi waktu secara tidak sah dari sistem jarak jauh, alat-alat seperti utilitas
Net dapat diblokir oleh kebijakan keamanan. Pemantauan baris perintah dapat berguna untuk mendeteksi instance Net.exe atau utilitas lain yang digunakan untuk mengumpulkan waktu sistem dan zona waktu. Pemantauan panggilan API untuk tujuan ini kurang bermanfaat karena fakta bahwa API sering digunakan oleh perangkat lunak yang sah.