ATT&CK的十四个战术
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段
下图是v12版本的14个战术阶段
通常来说,同一次攻击中,攻击者不会使用全部14项战术用于,因为这会增加被发现的几率,而且先后顺序可能打乱,甚至不断的重复其中的某几个或多个阶段,例如面对纵深部署和防御的网络目标。但不管怎样,14项战术阶段的划分存在一定的先后顺序逻辑,也就是说某种程度上攻击者的攻击行为是可以预测到的,现在我们一次讲解14项战术
1. 信息侦查(Reconnaissance)
信息侦查属于Pre-Attack阶段。表示攻击者正试图收集他们可以用来计划未来作战的信息
侦查技术包括对手主动或被动收集可用于支持目标定位的信息。此类信息可能包括受害者组织、基础设施或工作人员/人员的详细信息。对手可以利用这些信息来帮助对手生命周期的其他阶段,例如使用收集的信息来规划和执行初始访问,确定妥协后目标的范围和优先级,或推动和领导进一步的侦察工作
信息搜集常用的工具包括Shadon、zoomeye。ATT&CK提到的主要技术包括主动扫描、搜集受害者主机资产信息、收集网络拓扑信息、收集邮箱信息,总之是收集未来攻击目标的一切信息,尤其是暴露面等
2. 资源建立(Resource Development)
攻击者建立可用于支持作战的资源。资源开发包括对手创造、购买或破坏/窃取可用于支持目标定位的资源的技术。这些资源包括基础设施、帐户或功能。对手可以利用这些资源来帮助对手生命周期的其他阶段,例如使用购买的域来支持指挥和控制,将电子邮件帐户作为初始访问的一部分用于网络钓鱼,或者窃取代码签名证书来帮助防御规避
常见的资源,包括攻击工具、C2C域名、反追踪溯源的跳板机、编写钓鱼邮件的内容等等
3. 初始访问(Initial Access)
初始访问,尽管ATT&CK并不是按照任何线性顺序排列的,但初始访问是攻击者在目标网络中的初始立足点。对于通用网络来说,该战术是从PRE-ATT&CK到ATT&CK的过渡点。攻击者会使用不同技术来实现初始访问技术
常用的初始访问,包括2大类,一类是针对互联网暴露面的攻击,即对互联网开放服务或无意中暴露在互联网的服务,这种就是正面攻击,例如WEB服务,云服务,物联网设备等等;第二类是没有直接暴露在互联网,但是有互联网访问需求的对象,例如某个内部服务会请求互联网服务,某个内网人员有上网需求,有邮件访问需求,恶意攻击者通过在互联网上挂马,或者发送恶意邮件,等待请求者访问这些恶意资源,从而实现攻击目的
除此之外,安全人员也可以将ATT&CK和CIS(互联网安全中心)控制措施相结合,这将发挥更大作用。根据CIS发布的新版20大安全控制,能够有效针对“初始访问”战术的控制措施有控制措施4:控制管理员权限的使用;控制措施7:电子邮件和Web浏览器保护;控制措施16:账户监视和控制
4. 攻击执行(Execution)
攻击执行,表示在目标网络中获取了初始访问权限的某个节点上,执行攻击相关的代码。这些代码可能是基于漏洞,例如Office漏洞,Pdf漏洞等,也可能是基于软件的正常功能,例如CMD、PowerShell、WMI等命令行
举个例子,在初始访问后,常见的攻击执行,就是获取当前获取初始访问权限的节点的系统信息,会执行ipconfig /all,whoami,pwd,systeminfo等命令
“执行”战术是所有攻击者都必然会采用的一个战术,因为无论攻击者通过恶意软件、勒索软件还是APT攻击等手段,为了能成功攻入主机最终都会选择“执行”战术。这是逃不开、躲不掉的,但换个角度想,如果恶意软件必须运行,安全防御人员将有机会阻止或者检测他,无论是主动出击式还是守株待兔式,都有可能成功防住。但是值得注意的是,并非所有的恶软都是可以用杀毒软件轻松找到的可执行文件,成熟的恶软会被攻击者精心包装,做了免杀加壳甚至自动备份隐藏,在面对这种机器无法扫描到的情况就需要人来进行干预
说到针对此战术的控制措施可能目前比较有用的是应用白名单技术,虽然这并不是一个能根治此问题的灵丹妙药但也算是当前网络环境下的最优解了。同时,使用白名单技术不仅会降低攻击者的攻击效率使攻击成本增大,最重要的是利用白名单可能会打破攻击者的技术栈,进入到他们并不熟悉的领域以此来使用其他策略和技术,而此时攻击者就有可能因为考虑不周或不够熟练而犯错,我们也就能及时阻止
如果企业当前正在应用CIS关键安全控制措施,该战术与控制措施2——已授权和未授权软件清单非常匹配。从缓解的角度来看,企业无法防护自己未知的东西,因此,第一步是要了解自己的财产。要正确利用ATT&CK,企业不仅需要深入了解已安装的应用程序,还要清楚内置工具或附加组件会给企业组织带来的额外风险
5. 持久化(Persistence)
“持久化”战术是所有攻击者最受追捧的技术之一,除勒索软件外,大部分攻击者的存活时间取决于攻击何时被检测系统发现。试想一下,攻击者花了很大的攻击成本在获取了初始访问权后,必然不愿意再花同样或更多的成本用于下次的访问权限获取过程中,所以最简便最能减少工作量的方法就是“持久化”或“留后门”。ATT&CK罗列的持久化技术包括账号操作、注册服务、修改注册表、DLL劫持等等
在攻击者成功执行完“持久化”之后,即便运维人员采取重启、更改凭据等措施后,持久化依然可以让计算机再次感染病毒或维护其现有连接。例如“更改注册表、启动文件夹、镜像劫持(IFEO)”等等
言归正传,在ATT&CK的所有战术中,持久化是最有战略意义的战术之一,也是我们最应该关注的战术之一。如果通用网络在网络资产上发现恶意软件并将其删除,很有可能它还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此或网络上的其它地方建立了持久化,因此我们在做安全检测时,绝不能只停留于表面、而要进行全面检查,有问题处理问题是应该的但更要的是要想办法杜绝此问题的再次发生
6. 权限提升(Privilege Escalation)
权限提升表示攻击者将初始访问获取的初级权限,提升为系统中的高级权限,例如从普通的user权限,提升至系统administrator权限,包括对手用来在系统或网络上获得更高级别权限的技术。敌人通常可以无特权访问的方式进入和探索网络,但需要提高权限才能实现其目标。常见的方法是利用系统弱点、错误配置和漏洞
持久化和权限提升不一定有先后的顺序,有时候为更好的持久化,需要先提升权限,有些时候提升权限是为了方便的做其他攻击战术,例如获取root/administrator账号口令HASH值,进入系统内核,或进入系统的某些固件等
ATT&CK列出的权限提升技术包括权限提升机制滥用(最早的UAC等)、AutoStart、域策略修改、进程注入、修改任务列表等
应对此类攻击战术另一个办法是审计日志记录。当攻击者采用其中某些技术时,它们将留下蛛丝马迹,暴露他们的目的。尤其是针对主机侧的日志,如果能够记录服务器的所有运维命令,进行存证以及实时审计。例如,实时审计运维人员在服务器上操作步骤,一旦发现不合规行为可以进行实时告警,也可以作为事后审计存证。也可以将数据信息对接给SOC、态势感知等产品,也可以对接给编排系统
ATT&CK提出“应重点防止对抗工具在活动链中的早期阶段运行,并重点识别随后的恶意行为。”这意味着需要利用纵深防御来防止感染病毒,例如终端的外围防御或应用白名单。对于超出ATT&CK建议范围之外的权限升级,一种良好的防止方式是在终端上使用加固基线。例如CIS基线提供了详细的分步指南,指导企业如何加固系统,抵御攻击
7. 防御规避(Defense Evasion)
防御规避包括对手在整个妥协过程中用来避免被发现的技术。用于规避防御的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。恶意攻击者还利用和滥用可信任的过程来隐藏和伪装他们的恶意软件。其他战术的技术在这里交叉列出,当这些技术包括颠覆防御的额外好处时
“防御绕过”战术直至目前最新版的ATT&CK框架,仍是拥有技术最多的战术,目前包含69项技术,免杀是最常见的一种防御绕过技术,让一些恶意软件骗过防病毒产品,让这些防病毒产品根本无法对其进行检查,又或者绕过白名单技术。例如,修改注册表键值、删除核心文件、禁用安全工具等等
防御并不仅仅指杀毒,例如沙箱、黑白名单监控机制、流量分析等都属于防御,杀毒只是防御中的一种手段。
当然作为防御者的我们,在应对此类战术时可以通过监视终端上的更改并收集关键系统的日志将会让入侵无处遁形。除此之外,对于勒索软件来说这又是另一番情况。不同于其他需要隐藏的恶意软件,勒索软件的唯一目标就是在设备上成功执行一次,使用加密函数把文件加密就可以了,然后就是希望能够被尽快发现与攻击者联系。因此勒索软件对防御绕过的需求不是很大,但也绝不是没有
8. 凭据访问(Credential Access)
凭据访问”,可以简单理解获取系统中的账号密码等,当然有些也可以是Cookie、Token或者Ticket,或者HASH、密钥、证书、指纹、网膜、手势等等,凭据根据认证方式的不同而不同
还记得最初的攻击模型吗,攻击者对目标的攻击,攻击手段的一大类获取凭据,从而获取目标的登录访问权限
任何攻击者在攻入企业后都希望能保持一定程度的隐身状态,毕竟如果不熟知内网环境的话贸然行动会增大暴露的风险。他们更希望窃取尽可能多的凭据,例如各种各样的密码或者口令。当然,攻击者最喜欢的毫无疑问的是明文密码了,明文密码可能存储于明文文件中、数据库中、注册表中、甚至是注释中。攻击者入侵系统、窃取本地管理员明文密码的案例多的是
应对此战术的办法最简单的是加强密码的健壮性,那么如何增强密码的健壮性呢,可能很多人觉得是采用更复杂的密码,特殊字符、数字、字母混搭的办法,其实不尽然。最有效增强密码健壮性的方法是提升密码长度,其具体理论与实验过程将在发表在美创安全实验室的论文中,所以这里就只说一个结论
除此之外最稳妥的办法就是启用多因素验证。即使存在针对双重验证的攻击,有双重验证(2FA)总比没有好。通过启用多因素验证,可以确保破解密码的攻击者在访问环境中的关键数据时,仍会遇到另一个障碍
9. 发现(Discovery)
攻击者分析目标网络的情况。发现包括攻击者可以用来获得有关系统和内部网络的知识的技术。这些技术有助于攻击者在决定如何行动之前观察环境并确定方向。它们还允许攻击者探索他们可以控制的东西以及他们的切入点周围的东西,以发现这如何有利于他们当前的目标。本机操作系统工具通常用于实现妥协后的信息收集目标。在某种程度上,可以理解为内网的信息侦查,只是为了做区别,所以称为发现,当然手段、工具也会不一样。ATT&CK提到的发现技术包括账号发现、地址空间发现、URL发现、系统发现等
“发现”战术可以说是整个ATT&CK框架中最难以防御的策略,可以说是“防不胜防啊”。其实“发现”战术与上一篇简单提到过的洛克希德·马丁网络Kill Chain的侦查阶段有很多相似之处。组织机构要正常运营业务,肯定会暴露某些特定方面的内容
那么针对此战术最常用的防御手段就是应用白名单技术,由于用户通常在日常工作中执行各种技术中所述的许多操作,因此,从各种干扰中筛选出恶意活动可能非常困难。理解哪些操作属于正常现象,并为预期行为设定基准时,会在尝试使用这一战术时有所帮助
10. 横向移动(Lateral Movement)
横向移动,表示攻击者从初始访问点,开始在网路内部移动,向网络内部的其他节点资产进行攻击和移动,从而扩大攻击成果。攻击者实现他们的主要目标通常需要探索网络以找到他们的目标,并随后获得访问权限。实现他们的目标通常需要通过多个系统和帐户来获得收益。对手可能会安装自己的远程访问工具来完成横向移动,或者使用本地网络和操作系统工具使用合法凭据,这可能更隐蔽
“横向移动”战术是攻击者常用战术之一,在攻击者利用某个漏洞进入系统后,无论是为了收集信息还是继续为了下一步攻击寻找突破点,通常都会尝试在网络内横向移动。哪怕是勒索软件,甚至是只针对单个系统的勒索软件,通常也会试图在网络中移动寻找其攻击目标。攻击者一般都会先寻找一个落脚点,然后开始在各个系统中移动,寻找更好的访问权限,最终控制整体网络
在缓解和检测对该特定技术的滥用方面,适当的网络分段可以在很大程度上缓解风险。将关键系统放置在一个子网中,将通用用户放置在另一个子网中,将系统管理员放置在第三个子网中,有助于快速隔离较小网络中的横向移动。在终端和交换机级别都设置防火墙也将有助于限制横向移动
根据CIS的20项控制措施,我们可以发现其中的第14项:基于需要了解受控访问是一个很好的切入点。除此之外,还应遵循控制措施第4项:控制管理员权限的使用。攻击者寻求的是管理员凭据,因此,严格控制管理员凭据的使用方式和位置,将会提高攻击者窃取管理员凭据的难度。此控制措施的另一部分是记录管理凭据的使用情况。即使管理员每天都在使用其凭据,但他们应该遵循其常规模式。发现异常行为可能表明攻击者正在滥用有效凭据
11. 收集(Collection)
收集,指攻击者收集有价值的信息,常见的目标源包括各种驱动器类型、浏览器、音频、视频和电子邮件。常见的采集方法包括捕捉屏幕截图和键盘输入,现阶段更大的收集,往往指具有货币变现价值的加密货币钱包、源代码、商业合同、交易数据等
ATT&CK的 “收集”战术是一种攻击者为了发现和收集实现目标所需的数据而采取的技术。但是该战术中列出的许多技术都没有关于如何减轻这些技术的实际指导
但是,企业可以使用该战术中的各种技术,了解更多有关恶意软件是如何处理组织机构中数据的信息。攻击者会尝试窃取有关当前用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容以及用户的外貌特征。除此之外,他们还会寻求本地系统上的敏感数据以及网络上其它地方的数据
了解企业存储敏感数据的位置,并采用适当的控制措施加以保护。这个过程遵循CIS控制措施14:基于需要了解受控访问,可以帮助防止数据落入敌手。对于极其敏感的数据,可查看更多的日志记录,了解哪些人正在访问该数据以及他们正在使用该数据做什么
12. 命令与控制(Command and Control)
命令与控制,也就是常说的远程控制,攻击者通过模仿正常的预期流量以避免被发现。根据受害者的网络结构和防御,对手可以通过多种方式建立不同级别的隐形指挥和控制
现在大多数恶意软件都有一定程度的命令和控制权。黑客可以通过命令和控制权来渗透数据、告诉恶意软件下一步执行什么指令。对于每种命令和控制,攻击者都是从远程位置访问网络。因此了解网络上发生的事情对于解决这些技术至关重要
在许多情况下,正确配置防火墙可以起到一定作用。一些恶意软件家族会试图在不常见的网络端口上隐藏流量,也有一些恶意软件会使用80和443等端口来尝试混入网络噪音中。在这种情况下,企业需要使用边界防火墙来提供威胁情报数据,识别恶意URL和IP地址。虽然这不会阻止所有攻击,但有助于过滤一些常见的恶意软件
如果边界防火墙无法提供威胁情报,则应将防火墙或边界日志发送到日志服务处理中心,安全引擎服务器可以对该级别数据进行深入分析。例如Splunk等工具为识别恶意命令和控制流量提供了良好的方案
13. 数据窃取(Exfiltration)
一旦攻击者收集到数据,攻击者通常会对其进行打包,以避免在删除数据时被检测到。这可能包括压缩和加密。从目标网络获取数据的技术通常包括通过其命令和控制信道或备用信道传输数据,并且还可以包括对传输进行大小限制。
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手数据窃取。但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对数据逐渐渗出没有兴趣。与“收集”战术一样,该战术对于如何缓解攻击者获取公司数据,几乎没有提供指导意见
在数据通过网络渗漏的情况下,建立网络入侵检测或预防系统有助于识别何时传输数据,尤其是在攻击者窃取大量数据(如****库)的情况下。此外,尽管DLP成本高昂,程序复杂,但可以确定敏感数据何时会泄露出去。IDS、IPS和DLP都不是100%准确的,所以部署一个纵深防御体系结构以确保机密数据保持机密
如果企业组织机构要处理高度敏感的数据,那么应重点关注限制外部驱动器的访问权限,例如USB接口,限制其对这些文件的访问权限,即可禁用他们装载外部驱动器的功能
要正确地解决这个战术,首先需要知道组织机构的关键数据所在的位置。如果这些数据还在,可以按照CIS 控制措施14:基于需要了解受控访问,来确保数据安全。之后,按照CIS控制措施13:数据保护中的说明了解如何监视试图访问数据的用户
14. 破坏(impact)
破坏,表示攻击者试图操纵、中断或破坏您的系统和数据。攻击者通过操纵业务和运营流程来破坏可用性或损害完整性的技术。用于冲击的技术可以包括销毁或篡改数据。在某些情况下,业务流程看起来不错,但可能已经进行了更改,以利于对手的目标。这些技术可能被对手用来实现他们的最终目标,或者为违反保密规定提供掩护
“破坏”是ATT&CK最后一项战术,攻击者试图操纵、中断或破坏企业的系统和数据。用于影响的技术包括破坏或篡改数据。在某些情况下,业务流程可能看起来很好,但可能已经更改为有利于对手的目标。这些技术可能被对手用来完成他们的最终目标,或者为机密泄露提供掩护
例如攻击者可能破坏特定系统数据和文件,从而中断系统服务和网络资源的可用性。数据销毁可能会通过覆盖本地或远程驱动器上的文件或数据使存储的数据无法恢复。针对这类破坏可以考虑实施IT灾难恢复计划,其中包含用于进行可用于还原组织数据的常规数据备份的过程