链接到所有部分:第1部分。获得初始访问权限(Initial Access)第2部分。执行第3部分。紧固(持久性)第4部分。特权提升第5部分。逃避防御第6部分。获取凭据(凭据访问)第7部分。发现第8部分。横向运动第9部分。数据收集(Collection)第十部分渗透第11部分。命令和控制在此出版物的基础上,我开始发表一系列文章,以描述黑客在各个阶段的攻击者所使用的主要技术。
所展示的材料将免费重述The Mitre的矩阵对抗策略,技术和常识(ATT @ CK ) 的内容 :
作者对以上信息的应用可能造成的后果不承担任何责任,并对某些表述和术语可能存在的不准确性表示歉意。 顺便说一句,这是我第一次尝试在Habré上发表文章,因此我希望在我的演讲中提出公正的批评。沉浸在本主题中的将是
针对企业的最庞大的矩阵
ATT&CK矩阵 ,它描述了对企业网络的攻击的最活跃和最危险阶段:
-获得初始访问权限(Initial Access);
-执行代码(Execution);
-固定受攻击的系统(持久性);
-增加特权(特权升级);
-绕过保护(逃避防御);
-获取凭证(凭证访问权);
-概述(发现);
-横向前进(横向运动);
-数据收集(Collection);
-泄漏(渗透);
-管理和控制(命令和控制)。
攻击者在获得初始访问权时的目标是将一些恶意代码传递给受攻击的系统,并确保其进一步执行的可能性。
系统: Windows,Linux,macOS
权限:用户
描述:该技术的本质是受害者在浏览器中发现一个WEB资源,攻击者在该Web资源上预先准备了各种浏览器和插件漏洞,
在用户不知情的情况下,隐藏的框架或恶意Java文件将被加载到受攻击的系统中。
保护建议:使用最新的浏览器和插件,以及
杀毒软件的应用。 微软建议使用
Windows Defender Explloit Guard(WDEG)和
增强的缓解体验工具包(EMET) 。 考虑在JavaScript浏览器中阻止执行的适当性也是有意义的。
系统: Windows,Linux,macOS
描述:该技术涉及在具有开放网络端口(网络服务器,网络服务SSH,SMB2,DBMS等)的软件中使用已知的错误,故障和漏洞。 OWASP发布的
TOP 10 Web应用程序漏洞 。
保护建议:使用防火墙,使用DMZ分段网络,使用有关安全软件开发的建议,并避免OWASP和CWE记录的问题。 扫描外围以查找漏洞。 监视应用程序日志和流量中的异常行为。
系统: Windows,Linux,macOS
描述:可以将硬件附加组件内置到其他计算机附件,网络设备和计算机中,以向攻击者提供初始访问权限。 可以将隐蔽网络连接的机会,实施破坏加密系统的中间人攻击,执行击键注入,通过DMA读取内核内存,添加新的无线网络等机会集成到商业和开源产品中。
保护建议:实施网络访问控制策略,例如对设备使用证书和802.1.x标准,将DHCP仅限于已注册的设备使用,禁止与未注册的设备进行网络交互,使用主机保护工具(Endpoint Security代理)阻止安装外部设备。限制设备的连接)。
系统: Windows
说明:该技术涉及使用Windows中的自动运行功能执行恶意程序。 为了欺骗用户,可以对“合法”文件进行预先修改或替换,然后由攻击者将其复制到可移动设备中。 同样,有效负载可以嵌入到可移动设备的固件中,或者通过初始媒体格式化程序嵌入。
保护建议:在Windows中禁用自动运行功能。 在组织的安全策略级别限制可移动设备的使用。 应用防病毒软件。
说明:使用网络钓鱼电子邮件附带的恶意软件。 通常,这封信的文字包含一个合理的原因,即为什么收件人应该打开附件中的文件。
保护建议:使用网络入侵防御系统(IDS)和防病毒软件来扫描和删除电子邮件中的恶意附件。 配置策略以阻止未使用的附件格式。 教用户反网络钓鱼的规则。
说明:使用电子邮件中的恶意软件下载链接。
安全提示:检查电子邮件URL可以帮助您找到到已知恶意网站的链接。 使用网络入侵防御系统(IDS)和防病毒软件。 教用户反网络钓鱼的规则。
描述:在这种情况下,攻击者通过各种社交网络服务,个人邮件以及不受企业控制的其他服务发送消息。
攻击者可以在社交网络中使用伪造的个人资料。 网络,例如发送潜在的工作机会。 这使您可以向受害员工询问有关公司中的策略和软件的问题,从而迫使受害者打开恶意链接和附件。 通常,攻击者建立初始联系,然后将恶意内容发送到被攻击公司的员工在工作场所使用的邮件。 如果受害者无法启动恶意文件,则他们可以为他提供进一步操作的说明。
保护建议:禁止访问社交网络,个人电子邮件服务等。 使用应用程序,网络入侵防御系统(IDS)和防病毒白名单。 教用户反网络钓鱼的规则。
描述:该场景涉及在向受攻击的公司提供软件和计算机设备的阶段,将各种漏洞利用,后门程序和其他黑客工具引入软件和计算机设备。 可能的攻击媒介:
-使用工具和软件开发环境进行操作;
-使用源代码存储库;
-操纵软件更新和分发机制;
-损害和感染操作系统映像;
-修改法律软件;
-合法分销商销售修改/假冒产品;
-在装运阶段进行拦截。
通常,攻击者将重点放在将恶意组件引入分发渠道和软件更新中。
保护建议:风险管理系统在供应链(SCRM)和软件开发生命周期管理系统(SDLC)中的应用。 使用二进制二进制文件完整性控制程序,对分发进行防病毒扫描,在部署之前进行软件和更新的测试,对所购设备的物理检查,带有软件分发的介质以及随附的文档,以检测欺诈。
描述:攻击者可以使用有权访问所谓受害者的基础结构的组织。 与从外部对公司的标准访问相比,公司通常使用不太安全的网络连接与受信任的第三方进行通信。 受信任的第三方的示例:IT服务承包商,安全服务提供商,基础结构承包商。 此外,受信任方用于访问公司网络的帐户可能会被盗用并用于初始访问。
保护建议:不需要从外部进行广泛访问的关键基础结构组件的网络分段和隔离。 账户管理
信任关系各方使用的记录和权限。 查看需要特权访问的签约组织的安全策略和过程。 监视第三方供应商和代理进行的活动。
描述:攻击者可以使用
访问凭据来窃取特定用户或服务帐户的
凭据 ,并使用社会工程学在情报过程中捕获凭据。 受损的凭证可用于绕过访问控制系统并获得对远程系统和外部服务(例如VPN,OWA,远程桌面)的访问,或在特定系统和网络区域上获得提升的特权。 如果方案成功,攻击者可以拒绝
恶意软件,使其难以检测。 此外,在尝试使用其他方式失败的情况下,攻击者可以使用预定义的名称和密码创建帐户以维护备份访问权限。
保护建议:应用密码策略,遵循有关设计和管理公司网络的建议,以限制在所有管理级别上使用特权帐户。 定期检查域和本地帐户及其权限,以识别可能使攻击者获得广泛访问权限的帐户。 使用SIEM系统监视帐户活动。
下一部分讨论了执行阶段中使用的策略。