链接到所有部分:第1部分。获得初始访问权限(Initial Access)第2部分。执行第3部分。紧固(持久性)第4部分。特权提升第5部分。逃避防御第6部分。获取凭据(凭据访问)第7部分。发现第8部分。横向运动第9部分。数据收集(Collection)第十部分渗透第11部分。命令和控制在受到破坏的环境中收集数据的技术包括用于识别,定位和直接收集目标信息(例如机密文件)的方法,以便为进一步渗透做好准备。 信息收集方法的描述还涵盖了系统或网络中对手可以在其中搜索和收集信息的信息存储位置的描述。
ATT&CK中介绍的大多数数据收集技术的实施指标是使用API,WMI,PowerShell,Cmd或Bash从输入/输出设备或打开文件中捕获目标信息以进行多次读取,然后将接收到的数据复制到文件系统或网络上特定位置的过程。 。 数据收集期间的信息可以加密并合并到存档文件中。
使用用于组织应用程序白名单的工具来识别和阻止潜在危险和恶意软件,例如Windows上的AppLocker和Sofware限制策略,对本地系统外部敏感信息的加密和存储,权限限制作为防止数据收集的一般建议。用户访问网络目录和公司信息存储;在受保护的环境中应用密码策略和两因素身份验证。
对于使用本文中阐述的信息可能造成的后果,作者概不负责,对于某些表述和术语可能存在的不准确性,我们深表歉意。 发布的信息是对MITER ATT&CK内容的免费转载。系统: Windows,Linux,macOS
权限:用户
描述:对手可以使用计算机外围设备(例如,麦克风或网络摄像头)或应用程序(例如,语音和视频呼叫服务)来捕获音频记录,以便进一步收听机密对话。 恶意软件或脚本可用于通过操作系统或应用程序提供的API函数与外围设备进行交互。 可以将收集的音频文件记录到本地光盘中,然后进行渗透。
安全提示:直接反对上述技术可能很困难,因为它需要对API的使用进行详细控制。 由于API函数的多样性,检测恶意活动也可能很困难。
根据被攻击系统的目的,使用API的数据可能完全无用,或者相反,提供的内容可以检测系统中发生的其他恶意活动。 敌方活动的指示可以是访问与麦克风相关的设备或软件,录音设备,录音程序相关的API的未知或异常过程,或者是将包含音频数据的文件定期写入磁盘的过程。
系统: Windows,Linux,macOS
权限:用户
描述:攻击者可以使用自动化工具来收集内部数据(例如脚本),以查找和复制符合某些条件的信息-文件类型,位置,名称,时间间隔。 此功能也可以集成到远程访问实用程序中。 在出于识别和移动文件的目的自动进行数据收集的过程中,可以额外应用检测文件和目录(
文件和目录发现 )以及远程文件复制(
Remote File Copy )的技术。
保护建议:在系统外部加密和存储机密信息是抵消文件收集的一种方法,但是,如果入侵持续时间很长,则攻击者可以其他方式检测并获得对数据的访问。 例如,安装在系统中的键盘记录器可以通过拦截输入来收集密码以解密受保护的文档。 为防止暴力破解脱机加密文档,您必须使用强密码。
系统: Windows,Linux,macOS
描述:对手可以从Windows剪贴板收集数据,并在应用程序内部或应用程序之间的用户复制信息期间将数据存储在其中。
窗户应用程序可以使用Windows API访问剪贴板数据。
MacOS的OSX具有内置的
pbpast命令来捕获剪贴板内容。
保护建议:不要基于识别与剪贴板内容捕获有关的行为来阻止软件,例如 访问剪贴板是许多Windows应用程序的标准功能。 如果组织决定跟踪应用程序的这种行为,则应将监视数据与其他可疑或非用户操作进行比较。
系统: Windows,Linux,macOS
描述:在渗透之前,收集的数据通常放置在特定目录中。 数据可以存储在单独的文件中,也可以使用压缩或加密组合成一个文件。 交互式命令外壳可用作工具,cmd和bash功能可用于将数据复制到中间位置。
系统: Windows,Linux,macOS
权限:用户
描述:对手可以从信息存储库中提取有价值的信息,这些工具通常使您可以存储信息以优化用户之间的协作或数据交换。 信息存储可以包含大量数据,这些数据可以帮助攻击者实现其他目标或提供对目标信息的访问。
以下是可以在信息存储库中找到的信息的简短列表,这些信息对攻击者有潜在价值:
- 政策,程序和标准;
- 物理/逻辑网络方案;
- 系统架构方案;
- 技术系统文件;
- 测试/开发证书;
- 工作/项目计划;
- 源代码片段;
- 链接到网络目录和其他内部资源。
常见的信息库:
Microsoft SharePoint它位于许多公司网络中,通常用于存储和交换大量文档。
阿特拉斯融合通常与Atlassian JIRA一起在开发环境中找到。 Confluence通常用于存储与开发相关的文档。
保护建议:防止从信息存储库收集数据的
建议措施:
- 制定和发布政策,以定义要记录在信息存储中的可接受信息;
- 实现访问控制机制,包括身份验证和相应的授权;
- 确保最低特权原则;
- 定期审查帐户特权;
- 禁止访问可用于访问信息存储库的有效有效帐户。
由于信息存储库通常具有相当大的用户基础,因此检测它们的恶意使用可能是一项艰巨的任务。 至少应仔细监视和阻止对特权用户(例如,Domain,Enterprise或Shema Admin)执行的信息存储的访问,因为这些类型的帐户不应用于访问存储中的数据。 如果可以进行监视和警报,则需要跟踪检索和查看大量文档和页面的用户。 此行为可能表明从存储中检索数据的软件的操作。 在高成熟度环境中,用户行为分析(UBA)系统可用于检测用户行为异常。
可以将Microsoft SharePoint配置为记录用户对特定页面和文档的访问。 在Confluence Atlassian中,可以通过AccessLogFilter配置类似的日志记录。 更有效的检测可能将需要用于存储和分析日志的其他基础结构。
系统: Windows,Linux,macOS
描述:机密数据可以从本地系统源(例如文件系统或数据库)获得,以进一步渗透。
攻击者经常在被黑客入侵的计算机上寻找文件。 他们可以使用命令行界面(cmd)进行此操作。 也可以使用使数据收集过程自动化的方法。
系统: Windows,Linux,macOS
描述:可以从远程系统收集敏感数据,该远程系统具有可用于对手的公开访问的网络驱动器(本地网络文件夹或文件服务器)。
为了检测目标文件,攻击者可以在受到感染的计算机上搜索网络资源。 为了收集信息,可以使用交互式命令外壳程序和通用命令行功能。
系统: Windows,Linux,macOS
描述:敏感数据可以从连接到受感染系统的任何可移动介质(光盘,USB驱动器等)中收集。
为了检测目标文件,攻击者可以在受感染的计算机上搜索可移动媒体。 为了收集信息,可以使用交互式命令外壳和通用命令行功能,以及用于数据收集的自动化工具。
系统: Windows
描述:为了收集机密信息,攻击者可以使用自定义电子邮箱。 电子邮件中包含的数据可以从Outlook数据文件(.pst)或缓存文件(.ost)获得。 拥有用户凭据的攻击者可以直接与Exhange服务器进行交互,并获得对外部电子邮件Web界面(例如Outlook Web Access)的访问权限。
安全建议:使用加密为通过电子邮件传输的机密信息提供额外的保护层。 使用非对称加密将要求对手获取带有加密密钥的私人证书。 在公共Web邮件系统中使用两因素身份验证是最佳方法,可最大程度地减少攻击者使用他人凭据的可能性。
攻击者可以通过多种方式获取目标电子邮件,每种方法都有其自己的检测机制。 恶意活动的指标可能包括:访问本地系统电子邮件数据文件以进行后续渗透,连接到网络上电子邮件服务器的异常进程以及公共电子邮件Web服务器上的非典型访问模式和身份验证尝试。 跟踪可用于收集电子邮件数据文件的进程和命令行参数。 远程访问工具可以直接与Windows API进行交互。 还可以使用各种Windows管理工具(例如WMI或PowerShell)来检索数据。
系统: Windows,Linux,macOS
权限:系统管理员
描述:攻击者可以使用捕获用户输入的方法来获取现有帐户的凭据。 键盘记录是用户输入捕获的最常见类型,包括许多不同的键盘输入拦截方法,但是还有其他方法可用于获取目标信息,例如调用UAC请求或为默认凭据提供程序(Windows凭据提供程序)编写外壳。 当凭证转储技术的使用效率低下并且攻击者被迫在一段时间内保持被动状态时,键盘记录是窃取凭证的最常见方法。
为了收集用户凭据,攻击者还可以在外部公司门户上(例如,在VPN登录页面上)安装软件键盘记录程序。 在门户或服务通过获取合法的管理访问而受到损害之后,这是有可能的,而在获得初始访问并将其保护在系统中的阶段,可以通过组织合法的管理访问来提供备份访问。
保护建议:使用诸如AppLocker之类的工具或软件限制策略,确保检测和阻止潜在危险和恶意软件。 如果攻击者获得凭据,则采取措施减少损害。 请遵循
Microsoft的最佳做法来开发和管理公司网络 。
键盘记录程序可以修改注册表并安装驱动程序。 常用的API函数是SetWindowsHook,GetKeyState,GetAsyncKeyState。 单独调用API函数并不能指示是否进行键盘记录,但是与对注册表更改的分析,驱动程序安装的检测以及磁盘上新文件的出现一起,可以表明存在恶意行为。 跟踪注册表中自定义凭据提供程序的外观:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers系统: Windows
权限:系统管理员
描述:在各种MitB攻击方法中,攻击者可以利用受害者的浏览器漏洞,使用恶意程序修改Web内容,例如,在页面上添加输入字段,修改用户输入,拦截信息。 一个特定的例子是,攻击者将软件注入浏览器,该软件允许cookie,HTTP会话,客户端SSL客户端证书被继承,并使用浏览器作为身份验证和进入内部网的一种方式。
攻击需要SeDebugPrivilege特权和高度完整性的流程(了解保护模式)。 通过设置HTTP代理,HTTP和HTTPS,可以从攻击者的浏览器通过用户浏览器重定向流量。 同时,用户流量不会改变,浏览器关闭后,代理连接也将断开。 这允许攻击者,包括以受攻击的用户身份查看网页。
通常,对于每个新选项卡,浏览器都会使用单独的权限和证书创建一个新进程。 使用这些权限,攻击者可以访问Intranet上可以通过具有现有权限的浏览器(例如Sharepoint或Webmail)访问的任何资源。 浏览器枢转还消除了两因素身份验证保护。
保护建议
:建议保护向量旨在限制用户权限,防止特权升级和绕过UAC。 定期关闭所有浏览器会话,并在不再需要它们时关闭它们。 MitB检测非常困难,因为 敌方流量被伪装成普通用户流量,没有创建新进程,没有使用任何其他软件,并且不影响受攻击主机的本地驱动器。 身份验证日志可用于审核用户对特定Web应用程序的登录,但是,由于其中很难识别恶意活动,因此 活动将符合正常的用户行为。
系统:Windows,Linux,macOS
描述:在收集信息期间,对手可能会尝试拍摄桌面的屏幕截图。 妥协后,可以在使用的远程访问工具中包含相应的功能。
Mac电脑
OSX使用内置的screencapture命令捕获屏幕截图。
的Linux
在Linux上,有一个xwd命令。
保护建议:作为一种检测方法,建议监视使用API进行屏幕截图然后将文件写入磁盘的进程。 但是,根据特定系统中此类行为的合法性,很可能需要将收集到的数据与系统中其他事件进行其他关联才能检测到恶意活动。
系统: Windows,macOS
描述:对手可以使用计算机外围设备(例如,内置摄像头和网络摄像头)或应用程序(例如,视频通话服务)来捕获视频或图像。 与屏幕捕获方法不同,视频捕获涉及使用设备和应用程序录制视频,而不是从受害者的屏幕捕获图像。 代替视频文件,可以按一定间隔捕获图像。
恶意软件或脚本可用于通过操作系统或应用程序提供的API与设备进行交互,以捕获视频或图像。 可以将收集的文件写入磁盘,然后进行过滤。
macOS已知几种不同的恶意程序,例如Proton和FriutFly,它们可以记录来自用户网络摄像头的视频。
安全提示:直接反对上述技术可能很困难,因为它需要详细的API控制。 保护工作应旨在防止系统中不需要或未知的代码。
识别并阻止可用于使用AppLocker和软件限制策略记录声音的潜在危险和恶意软件。
由于各种API,检测恶意活动也可能很困难。 根据被攻击系统的使用方式,有关API的遥测数据可能无用,或者相反,它为系统中发生的其他恶意活动提供了内容。 敌方活动的指示可以是访问与麦克风相关的设备或软件,录音设备,录音程序相关的API的未知或异常过程,或者是将包含音频数据的文件定期写入磁盘的过程。