-
-
[原创]MITRE ATT&CK框架解析-企业方向:前期侦查与资源开发
-
发表于: 2021-7-29 11:27 1056
-
备注
记录自身的理解以及根据自身所学对官方框架内容进行翻译方便查看,若有不当之处,希望可以提出,共同完善、共同进步。
更新日期:2021年7月29日,未完待续
前期侦查
攻击方正试图收集他们可以用来规划未来行动的信息。
侦查包括一些技术,涉及攻击方主动或被动地收集可用于支持目标的信息。这种信息可能包括受害者组织、基础设施或工作人员/人员的细节。这种信息可以被攻击方利用来帮助攻击方生命周期的其他阶段,例如利用收集到的信息来计划和执行初始访问,确定破坏后目标的范围和优先次序,或者推动和领导进一步的侦查工作。
序号 | 名称 | 描述 | |
T1595 | 主动搜索 | 攻击方可能会执行主动侦查搜索,以收集可在目标选择中使用的信息。主动扫描是指攻击方通过网络流量探测受害者的基础设施,而不是其他不涉及直接互动的侦察形式。 | |
.001 | 扫描IP区段 | 攻击方可能会扫描受害者的IP区段,以收集可用于目标攻击的信息。公共IP地址可以按区段分配给目标组织,或按顺序地址的范围分配。 | |
.002 | 漏洞扫描 | 攻击方可能会扫描受害者的漏洞,以便在目标攻击中使用。漏洞扫描通常会检查目标主机/应用程序的配置(例如:软件和版本)是否可能与攻击方可能寻求使用的特定漏洞的目标相一致。 | |
T1592 | 收集目标主机信息 | 攻击方可能会收集有关受害者主机的信息,这些信息可以在目标攻击中使用。有关主机的信息可能包括各种细节,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的具体情况(例如:操作系统、语言等)。 | |
.001 | 硬件设备 | 攻击方可能会收集有关目标的主机硬件的信息,这些信息可以在目标攻击中使用。有关硬件基础设施的信息可能包括各种细节,如特定主机的类型和版本,以及可能表明增加了防御性保护的额外组件的存在(例如:识别卡/指纹、人脸识别系统,专用加密硬件等)。 | |
.002 | 软件 | 攻击方可能会收集有关目标的主机软件的信息,这些信息可以在目标攻击中使用。有关已安装软件的信息可能包括各种细节,如特定主机的类型和版本,以及可能表明增加了防御性保护的额外组件的存在(例如:防病毒、SIEM等)。 | |
.003 | 固件 | 攻击方可能会收集有关目标的主机固件的信息,这些信息可以在目标攻击中使用。关于主机固件的信息可能包括各种细节,如特定主机的类型和版本,这可能被用来推断环境中的主机的更多信息(例如:配置、目的、年限/补丁级别等) | |
.004 | 客户端配置 | 攻击方可能会收集有关目标的客户端配置的信息,这些信息可以在锁定目标时使用。关于客户端配置的信息可能包括各种细节和设置,包括操作系统/版本、虚拟化、架构(例如:32或64位)、语言和/或时区。 | |
T1589 | 收集目标身份信息 | 攻击方可能会收集有关目标身份的信息,这些信息可以在锁定目标时使用。有关身份的信息可能包括各种细节,包括个人数据(例如:员工姓名、电子邮件地址等)以及证书等敏感信息。 | |
.001 | 凭证 | 攻击方可以收集可在目标确定过程中使用的凭证。攻击方收集的帐户凭据可能与目标组织直接相关,或者试图利用用户在个人和企业帐户中使用相同密码。 | |
.002 | 电子邮件地址 | 攻击方可能会收集可在目标攻击中使用的电子邮件地址。即使存在内部实例,组织可能有面向公众的电子邮件基础设施和员工地址。 | |
.003 | 员工姓名 | 攻击方可能会收集员工的名字,以便在锁定目标时使用。员工姓名可用于推导电子邮件地址,以及帮助指导其他侦查工作和/或制作更可信的诱饵。 | |
T1590 | 收集目标网络信息 | 攻击方可能会收集有关受害者网络的信息,这些信息可以在目标攻击中使用。有关网络的信息可能包括各种细节,包括管理数据(例如:IP范围、域名等)以及有关其拓扑结构和操作的细节。 | |
.001 | 域名属性 | 攻击方可能会收集有关受害者的网络域名的信息,这些信息可以在目标攻击中使用。有关域名及其属性的信息可能包括各种细节,包括受害者拥有什么域名以及管理数据(例如:名称、注册商等)和更直接的可操作信息,如联系人(电子邮件地址和电话号码)、商业地址和名称服务器。 | |
.002 | DNS | 攻击方可能会收集有关受害者DNS的信息,这些信息可以在目标攻击中使用。DNS信息可能包括各种细节,包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。 | |
.003 | 网络信任的依赖性 | 攻击方可能会收集有关目标的网络信任关系的信息,这些信息可以在目标攻击中使用。有关网络信任的信息可能包括各种细节,包括拥有连接(和潜在的高位)网络访问的第二或第三方组织/域(例如:管理服务提供商、承包商等)。 | |
.004 | 网络拓扑图 | 攻击方可能会收集有关目标的网络拓扑结构的信息,这些信息可以在锁定目标时使用。有关网络拓扑结构的信息可能包括各种细节,包括面向外部和内部的网络环境的物理和/或逻辑安排。这些信息还可能包括有关网络设备(网关、路由器等)和其他基础设施的细节。 | |
.005 | IP 地址 | 攻击方可能会收集目标的IP地址,这些地址可以在目标攻击中使用。公共IP地址可以按区块分配给组织,或按一系列的顺序地址分配。有关分配的IP地址的信息可能包括各种细节,如哪些IP地址正在使用。IP地址还可以使攻击方获得有关受害者的其他细节,如组织规模、物理位置、互联网服务提供商,以及他们面向公众的基础设施的托管地点/方式。 | |
.006 | 网络安全设备 | 攻击方可能会收集有关目标的网络安全设备的信息,这些信息可以在目标攻击中使用。有关网络安全设备的信息可能包括各种细节,如部署的防火墙、内容过滤器和代理/基站主机的存在和具体内容。攻击方也可以针对目标基于网络的入侵检测系统(NIDS)或其他与防御性网络安全操作有关的设备的信息。 | |
T1591 | 收集目标组织信息 | 攻击方可以收集有关目标组织的信息,这些信息可以在瞄准过程中使用。有关组织的信息可能包括各种细节,包括部门/部门的名称、业务运营的细节以及关键员工的职位和职责。 | |
.001 | 确定实际位置 | 攻击方可以收集目标锁定期间可以使用的目标的物理位置。关于目标组织的物理位置的信息可能包括各种细节,包括关键资源和基础设施所在的位置。实际地点也可能表明被害人在哪些法律管辖区和/或当局内活动。 | |
.002 | 业务关系 | 攻击方可能会收集关于目标务关系的信息,这些信息可以在目标锁定过程中使用。关于组织的业务关系的信息可能包括各种细节,包括第二或第三方组织/域(例如:托管服务提供商、承包商等)。)已经连接(并且可能提升)网络接入。这些信息还可能揭示目标硬件和软件资源的供应链和运输路径。 | |
.003 | 识别业务流程 | 攻击方可以收集有关目标的商业流程的信息,这些信息可以在瞄准过程中使用。有关组织业务节奏的信息可能包括各种细节,包括一周中的工作时间/天数。这些信息还可能显示受害者硬件和软件资源的购买和装运时间/日期。 | |
.004 | 识别职位 | 攻击方可能会收集有关目标组织内的身份和角色的信息,这些信息可以在目标攻击中使用。有关商业职位的信息可能会揭示各种可供攻击的细节,包括关键人员的可识别信息以及他们能够访问的数据/资源。 | |
T1598 | 钓鱼网站信息 | 攻击方可能会发送网络钓鱼信息,以获取可在目标锁定期间使用的敏感信息。网络钓鱼是一种试图诱使目标泄露信息,通常是证书或其他可操作的信息。针对信息的网络钓鱼与网络钓鱼不同,其目的是从目标那里收集数据,而不是执行恶意代码。 | |
.001 | 网络钓鱼服务 | 攻击方可以通过第三方服务发送网络钓鱼消息,以获取可在目标确定过程中使用的敏感信息。针对信息的网络钓鱼是一种试图诱使目标泄露信息,通常是凭据或其他可操作的信息。针对信息的网络钓鱼经常涉及社会工程技术,比如冒充一个有理由收集信息的来源(例如:建立账户或泄露账户)或发送多条看似紧急的消息。 | |
.002 | 网络钓鱼附件 | 攻击方可能会发送带有恶意附件的网络钓鱼消息,以获取可在目标确定过程中使用的敏感信息。针对信息的网络钓鱼是一种试图诱使目标泄露信息,通常是凭据或其他可操作的信息。针对信息的网络钓鱼经常涉及社会工程技术,比如冒充一个有理由收集信息的来源(例如:建立账户或泄露账户)和/或发送多条看似紧急的消息。 | |
.003 | 网络钓鱼链接 | 攻击方可能会发送带有恶意链接的网络钓鱼消息,以获取可在目标确定过程中使用的敏感信息。针对信息的网络钓鱼是一种试图诱使目标泄露信息,通常是凭据或其他可操作的信息。针对信息的网络钓鱼经常涉及社会工程技术,比如冒充一个有理由收集信息的来源(例如:建立账户或泄露账户)和/或发送多条看似紧急的消息。 | |
T1597 | 搜索非公开的资源 | 攻击方可能会从封闭的来源搜索和收集受害者的信息,这些信息可以在锁定目标时使用。关于受害者的信息可以从著名的私人来源和数据库购买,例如付费订阅技术/威胁情报数据。攻击方也可能从不太知名的来源购买信息。 | |
.001 | 威胁情报供应商 | 攻击方可能会从威胁情报供应商那里搜索私人数据,以获取可在锁定目标时使用的信息。威胁情报供应商可能会提供付费信息或门户网站,提供比公开报道更多的数据。虽然敏感的细节(如客户姓名和其他标识符)可能会被编辑,但这些信息可能包含有关违规行为的趋势,如目标行业、归属声明和成功的TTP/反制措施 | |
.002 | 采购技术数据 | 攻击方可能会购买有关受害者的技术信息,这些信息可以在锁定目标时使用。有关受害者的信息可以在有信誉的私人来源和数据库中购买,如付费订阅扫描数据库或其他数据聚合服务。攻击方也可以从声誉较差的来源购买信息。 | |
T1596 | 搜索公开的技术数据库 | 攻击方可能会搜索免费提供的技术数据库,以寻找可在目标攻击中使用的信息。有关目标的信息可以在在线数据库和资料库中找到,如域名/证书的注册,以及从流量和/或扫描中收集的网络数据。 | |
.001 | DNS/被动型DNS | 攻击方可能会搜索DNS数据,以寻找可在目标攻击中使用的受害者信息。DNS信息可能包括各种细节,包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。 | |
.002 | WHOIS | 攻击方可能会搜索公共的WHOIS数据,以寻找可在目标攻击中使用的受害者信息。WHOIS数据由负责分配和分派互联网资源(如域名)的区域互联网注册机构(RIR)存储。任何人都可以通过WHOIS服务器查询注册域名的信息,如分配的IP段、联系信息和DNS名称服务器。 | |
.003 | 数字证书 | 攻击方可能会在公共数字证书数据中搜索目标的信息,以便在锁定目标时使用。数字证书由证书颁发机构(CA)颁发,以加密方式验证签名内容的来源。这些证书,如用于加密网络流量(HTTPS SSL/TLS通信)的证书,包含注册组织的信息,如名称和位置。 | |
.004 | CDN | 攻击方可以搜索内容交付网络(CDN)中有关受害者的数据,这些数据可以在目标确定过程中使用。CDN允许组织从分布式、负载平衡的服务器阵列托管内容。CDN还允许组织根据请求者的地理区域定制内容交付。 | |
.005 | 扫描数据库 | 攻击方可能会在公共扫描数据库中搜索有关目标的信息,这些信息可以在定位时使用。各种在线服务不断发布互联网扫描/调查的结果,经常收集诸如活跃的IP地址、主机名、开放的端口、证书,甚至是服务器的横幅等信息。 | |
T1593 | 搜索公开网站/域名 | 攻击方可能会搜索可自由使用的网站和/或域名,以寻找可在锁定目标时使用的目标信息。有关目标的信息可以在各种在线网站上找到,如社交媒体、新网站,或那些承载商业运作信息的网站,如招聘或要求/奖励合同。 | |
.001 | 社交媒体 | 攻击方可能会在社交媒体上搜索有关目标的信息,以便在锁定目标时使用。社交媒体网站可能包含有关受害者组织的各种信息,如业务公告以及有关工作人员的角色、地点和兴趣的信息。 | |
.002 | 搜索引擎 | 攻击方可能利用搜索引擎来收集受害者的信息,这些信息可以在目标攻击中使用。搜索引擎服务通常会抓取在线网站的索引内容,并可能为用户提供专门的语法来搜索特定的关键词或特定类型的内容(即文件类型)。 | |
T1594 | 搜索目标拥有的网站 | 攻击方可能会在目标拥有的网站上搜索可在锁定目标时使用的信息。目标拥有的网站可能包含各种详细信息,包括部门名称、物理位置以及关键员工的数据,如姓名、职位和联系信息(例如:电子邮件地址)。这些网站还可能有突出业务运营和关系的细节。 |
方法示例:
企业信息查询
国内:http://gsxt.gdgs.gov.cn/ 、 https://www.tianyancha.com/
whois反查
国内:https://www.cxw.com/rewhois 、 https://whois.west.cn/reverse/dom_org 、 https://www.myname.club/reverse
国外:https://www.reversewhois.io/ 、https://www.whoxy.com/reverse-whois/ 、https://domaineye.com/reverse-whois
amass命令:amass intel -src -whois -d 域名 whois命令:whois 域名
amass命令:amass intel -org 域名
资源开发
攻击方建立他们可以用来支持行动的资源。
资源开发包括涉及攻击方创建、购买或破坏/窃取可用于支持目标的资源的技术。这种资源包括基础设施、账户或武器。这些资源可以被攻击方利用来帮助攻击方生命周期的其他阶段,例如使用购买的域名来支持指挥和控制,使用电子邮件账户作为初始访问的一部分进行网络钓鱼,或偷窃代码签名证书来帮助规避防守方的防御机制。
序号 | 名称 | 描述 | |
T1583 | 购置基础设施 | 攻击方可能会购买、租赁或租用可在目标攻击期间使用的基础设施。存在各种各样的基础设施,用于托管和协调攻击方的行动。基础设施解决方案包括物理或云服务器、域名和第三方网络服务。此外,僵尸网络可供租用或购买。 | |
.001 | 域名 | 攻击方可能会购买可在目标攻击中使用的域名。域名是用于代表一个或多个IP地址的人类可读名称(方便记忆)。它们可以被购买,或者在某些情况下,免费获得。 | |
.002 | 域名解析(DNS)服务器 | 攻击方可能会设置自己的域名系统(DNS)服务器,以便在锁定目标时使用。在之后的活动中,攻击方可能会将DNS流量用于各种任务,包括命令和控制(例如:应用层协议)。攻击方可能会选择配置和运行自己的域名系统服务器来支持操作,而不是劫持现有的域名系统服务器。 | |
.003 | 虚拟私人服务器 | 攻击方可以租用虚拟专用服务器(VPS),以便在确定目标时使用。存在多种云服务提供商,它们将虚拟机/容器作为一种服务进行销售。通过使用VPS,攻击方很难在物理上将作战行动与自己联系起来。云基础设施的使用还可以使攻击方更容易快速调配、修改和关闭其基础设施。 | |
.004 | 服务器 | 攻击方可以购买、租赁或租用在目标确定期间可以使用的物理服务器。使用服务器可以让攻击方进行部署、启动和执行操作。在妥协后活动期间,攻击方可能会利用服务器执行各种任务,包括指挥和控制任务。攻击方可以选择配置和运行自己的服务器以支持操作,而不是破坏第三方服务器或租用虚拟专用服务器。 | |
.005 | 僵尸网络(肉鸡) | 攻击方可以购买、租赁或租用一个可在瞄准过程中使用的受损系统网络。僵尸网络是一个由受损系统组成的网络,可以指示这些系统执行协调的任务。攻击方可以从引导者/施压者服务购买订阅以使用现有僵尸网络。利用僵尸网络,攻击方可以执行后续活动,如大规模网络钓鱼或分布式拒绝服务(DDoS)。 | |
.006 | 网络服务 | 攻击方可以注册可在目标确定期间使用的web服务。存在各种流行的网站供攻击方注册基于web的服务,这些服务可能在攻击方生命周期的后期阶段被滥用,例如在命令和控制(web服务)或通过web服务过滤期间。使用通用服务,如谷歌或推特提供的服务,让攻击方更容易隐藏在预期的噪音中。通过利用web服务,攻击方很难在物理上将操作与他们联系起来。 | |
T1586 | 破坏账户系统 | 攻击方可能会利用目标期间可以使用的服务破坏帐户。对于包含社会工程的操作,在线角色的利用可能很重要。攻击方可能会破坏现有客户,而不是创建和培育客户(即建立客户)。如果潜在目标与受损角色有关系或了解受损角色,则利用现有角色可能会对其产生一定程度的信任。 | |
.001 | 社交媒体账户 | 攻击方可能会在锁定目标时使用社交媒体账户。对于包含社会工程的操作来说,在线角色的利用可能是重要的。攻击方可能会破坏现有的社交媒体账户,而不是创建和培养社交媒体档案(即社交媒体账户)。利用现有的角色可能会产生对潜在受害者的一定程度的信任,如果他们有关系,或知道,妥协的角色。 | |
.002 | 电子邮箱账户 | 攻击方可能会破坏目标期间可以使用的电子邮箱帐户。攻击方可以使用已被攻破的电子邮箱帐户来推进其操作,例如利用它们进行信息钓鱼或网络钓鱼。如果潜在受害者与受损的角色有关系或了解受损的角色,那么利用现有的角色和受损的电子邮件帐户可能会对潜在受害者产生一定程度的信任。受损的电子邮件帐户也可用于购买基础设施(例如:域)。 | |
T1584 | 攻破基础设施 | 攻击方可能会破坏目标确定期间可使用的第三方基础设施。基础架构解决方案包括物理或云服务器、域和第三方web服务。攻击方可能会破坏基础设施,并在攻击方生命周期的其他阶段使用它,而不是购买、租赁或租用基础设施。此外,攻击方可能会破坏许多机器,形成他们可以利用的僵尸网络。 | |
.001 | 域名 | 攻击方可能会劫持可在目标确定期间使用的域和/或子域。域名注册劫持是指未经原注册人许可,擅自更改域名注册的行为。一个攻击方可以访问一个被列为域名所有者的人的电子邮件帐户。然后,攻击方可以声称他们忘记了密码,以便对域注册进行更改。其他可能性包括社会工程、域名注册服务台,以获得对账户的访问权或利用续签流程缺口。 | |
.002 | 域名解析(DNS)服务器 | 攻击方可能会破坏目标确定期间可使用的第三方DNS服务器。在泄露后活动期间,攻击方可利用DNS流量执行各种任务,包括命令和控制(例如:应用层协议)。攻击方可能会破坏第三方DNS服务器以支持操作,而不是建立自己的DNS服务器。 | |
.003 | 虚拟私人服务器 | 攻击方可能会破坏目标确定期间可使用的第三方虚拟专用服务器(VPS)。存在多种云服务提供商,它们将虚拟机/容器作为一种服务进行销售。攻击方可能会破坏第三方实体购买的VPS。通过破坏VPS以用作基础设施,攻击方可以使物理上将操作与自己绑定起来变得困难。 | |
.004 | 服务器 | 攻击方可能会破坏目标确定期间可以使用的第三方服务器。使用服务器可以让攻击方进行部署、启动和执行操作。在妥协后活动期间,攻击方可能会利用服务器执行各种任务,包括指挥和控制任务。与购买服务器或虚拟专用服务器不同,攻击方可能会破坏第三方服务器以支持操作。 | |
.005 | 僵尸网络(肉鸡) | 攻击方可能会破坏许多第三方系统,形成一个僵尸网络,可以在瞄准过程中使用。僵尸网络是一个由受损系统组成的网络,可以指示这些系统执行协调的任务。与从引导者/施压者服务购买/租用僵尸网络不同,攻击方可以通过破坏大量第三方系统来构建自己的僵尸网络。攻击方还可能接管现有僵尸网络,例如将机器人重定向到攻击方控制的C2服务器。利用僵尸网络,攻击方可以执行后续活动,如大规模网络钓鱼或分布式拒绝服务(DDoS)。 | |
.006 | 网络服务 | 攻击方可能会破坏对目标确定期间可使用的第三方web服务的访问。存在各种流行的网站供合法用户注册基于web的服务,如GitHub、Twitter、Dropbox、Google等。攻击方可能试图获得合法用户访问web服务的所有权,并将该web服务用作支持网络运营的基础设施。这种web服务可能在攻击方生命周期的后期阶段被滥用,例如在命令和控制(web服务)或通过web服务进行过滤期间。使用通用服务,如谷歌或推特提供的服务,让攻击方更容易隐藏在预期的噪音中。通过利用web服务,尤其是当合法用户的访问被窃取时,攻击方可以使物理上的操作很难与他们联系起来。 | |
T1587 | 开发武器 | 攻击方可以建立在瞄准过程中可以使用的武器。与购买、免费下载或窃取武器不同,攻击方可以在内部开发自己的武器。这是识别开发需求和构建解决方案(如恶意软件、漏洞利用和自签名证书)的过程。攻击方可以开发武器,在攻击方生命周期的多个阶段为其作战提供支持。 | |
.001 | 恶意软件 | 攻击方可能会开发恶意软件和恶意软件组件,可以在瞄准过程中使用。构建恶意软件可能包括开发有效载荷、拖放器、后泄露工具、后门(包括后门图像)、打包器、C2协议,以及创建受感染的可移动媒体。攻击方可能会开发恶意软件来支持其操作,创造一种手段来维持对远程机器的控制,逃避防御,并执行妥协后行为。 | |
.002 | 代码签名证书 | 攻击方可以创建自签名代码签名证书,以便在目标确定期间使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码未被更改或损坏。代码签名为开发人员提供程序的真实性级别,并保证程序未被篡改。用户和/或安全工具可能更信任已签名的代码而不是未签名的代码,即使他们不知道是谁颁发了证书或谁是作者。 | |
.003 | 数字证书 | 攻击方可以创建自签名代码签名证书,以便在目标确定期间使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码未被更改或损坏。代码签名为开发人员提供程序的真实性级别,并保证程序未被篡改。用户和/或安全工具可能更信任已签名的代码而不是未签名的代码,即使他们不知道是谁颁发了证书或谁是作者。 | |
.004 | 漏洞利用 | 攻击方可能会开发出可以在瞄准过程中使用的漏洞。利用漏洞攻击利用漏洞或漏洞在计算机硬件或软件上造成意外行为。攻击方可以开发自己的漏洞,而不是从网上查找/修改漏洞或从漏洞供应商处购买。攻击方可能会使用通过漏洞获取的信息来集中开发工作。作为漏洞开发过程的一部分,攻击方可以通过模糊化和补丁分析等方法发现可利用的漏洞。 | |
T1585 | 建立帐户 | 攻击方可能会创建和培育具有可在目标确定期间使用的服务的客户。攻击方可以创建帐户,用于构建角色以进一步操作。人物角色的发展包括公共信息的发展、存在、历史和适当的联系。这一发展可以应用于社交媒体、网站或其他公开信息,这些信息可以在使用该角色或身份的操作过程中被引用和审查其合法性。 | |
.001 | 社交媒体账户 | 攻击方可以创建和培育社交媒体帐户,以便在瞄准目标时使用。攻击方可以创建社交媒体帐户,用于构建角色以进一步开展业务。人物角色的发展包括公共信息的发展、存在、历史和适当的联系。 | |
.002 | 电子邮箱账号 | 攻击方可以创建电子邮件帐户,以便在锁定目标时使用。攻击方可以使用与电子邮件提供商创建的帐户来推进其操作,例如利用他们进行信息网络钓鱼或网络钓鱼。攻击方还可能采取措施,围绕电子邮件帐户培养一个角色,例如通过使用社交媒体帐户,以增加后续行为的成功几率。创建的电子邮件帐户也可用于购买基础设施(例如:域)。 | |
T1588 | 获取武器 | 攻击方可以购买和/或窃取可以在瞄准过程中使用的武器。攻击方可能购买、免费下载或窃取它们,而不是在内部开发自己的武器。活动可能包括获取恶意软件、软件(包括许可证)、漏洞利用、证书以及与漏洞相关的信息。攻击方可以在其生命周期的多个阶段获得支持其作战的武器。 | |
.001 | 恶意软件 | 攻击方可以购买、窃取或下载恶意软件,这些恶意软件可以在瞄准目标时使用。恶意软件可能包括有效载荷、滴管、泄露后工具、后门、打包机和C2协议。攻击方可能会获取恶意软件以支持其操作,获得维持远程机器控制的手段,逃避防御,并执行妥协后行为。 | |
.002 | 工具 | 攻击方可能购买、窃取或下载可在瞄准过程中使用的软件工具。工具可以是开源的,也可以是开源的,免费的,也可以是商业的。一个工具可以被攻击方用于恶意目的,但(与恶意软件不同)并非有意用于这些目的(例如:PsExec)。工具采购可能涉及商业软件许可证的采购,包括红队工具,如Cobalt Strike。商业软件可以通过购买、窃取许可证(或软件的许可副本)或破解试用版获得。 | |
.003 | 代码签名证书 | 攻击方可以购买和/或窃取可以在目标确定期间使用的代码签名证书。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码未被更改或损坏。代码签名为开发人员提供程序的真实性级别,并保证程序未被篡改。用户和/或安全工具可能更信任已签名的代码而不是未签名的代码,即使他们不知道是谁颁发了证书或谁是作者。 | |
.004 | 数字证书 | 攻击方可能购买和/或窃取可在目标锁定期间使用的SSL/TLS证书。SSL/TLS证书旨在灌输信任。它们包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名是有效的,并且检查证书的人信任签名者,那么他们知道可以使用该密钥与其所有者通信。 | |
.005 | 漏洞利用 | 攻击方可能购买、窃取或下载可在瞄准过程中使用的漏洞。利用漏洞攻击利用漏洞或漏洞在计算机硬件或软件上造成意外行为。攻击方可能会从网上发现/修改漏洞,或从漏洞供应商处购买漏洞,而不是开发自己的漏洞。 | |
.006 | 漏洞 | 攻击方可能会获取有关目标确定过程中可使用的漏洞的信息。漏洞是计算机硬件或软件中的一个弱点,可能被攻击方利用,从而导致发生意外行为。攻击方可以通过搜索开放数据库或访问封闭的漏洞数据库来查找漏洞信息。 | |
T1608 | 阶段性武器 | 攻击方可能会上传、安装或以其他方式设置可在锁定目标时使用的武器。为了支持他们的行动,攻击方可能需要利用他们开发或获得的武器,并将其放置在他们控制的基础设施上。这些武器可能被放置在以前被攻击方购买/租用的基础设施上或被他们攻破的基础设施。武器也可以放在网络服务上,如GitHub或Pastebin。 | |
.001 | 上传恶意软件 | 攻击方可能会将恶意软件上传到第三方或攻击方控制的基础设施,以便在目标锁定期间可以访问。恶意软件可能包括有效载荷、Dropper、泄露后工具、后门和各种其他恶意内容。攻击方可能上传恶意软件以支持其操作,例如使有效负载可供受害者网络使用,以便通过将其放置在可访问Internet的web服务器上来启用入侵工具传输。 | |
.002 | 上传工具 | 攻击方可将工具上传至第三方或攻击方控制的基础设施,以使其在瞄准过程中可访问。工具可以是开源的,也可以是开源的,免费的,也可以是商业的。攻击方可以将工具用于恶意目的,但(与恶意软件不同)不打算用于这些目的(例如:PsExec)。攻击方可以上传工具以支持其操作,例如使工具可供受害者网络使用,以便通过将其放置在可访问Internet的web服务器上实现入口工具传输。 | |
.003 | 安装数字证书 | 攻击方可以安装SSL/TLS证书,这些证书可以在目标锁定期间使用。SSL/TLS证书是可以安装在服务器上的文件,用于实现系统之间的安全通信。数字证书包括有关密钥的信息、有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名是有效的,并且检查证书的人信任签名者,那么他们知道他们可以使用该密钥安全地与其所有者通信。可以将证书上载到服务器,然后将服务器配置为使用证书来启用与它的加密通信。 | |
.004 | 驱赶目标 | 攻击方可能会准备一个操作环境来感染在正常浏览过程中访问网站的系统。终端系统可能会通过浏览攻击方控制的站点而被攻击。在这种情况下,用户的Web浏览器通常以攻击为目标(通常在登陆站点后不需要任何额外的用户交互),但攻击方也可能为非攻击行为(如应用程序访问令牌)建立网站。在进行驱赶漏洞攻击之前,攻击者必须准备所需的资源,以便向浏览到攻击方控制的站点的用户提供利用漏洞所需的资源。路过内容可以存放在攻击者控制的基础设施上,这些基础设施已被收购(获取基础设施)或以前被攻破(危害基础设施)。 | |
.005 | 链接目标 | 攻击方可能会将链接引用的资源放置到位,以便在目标确定过程中使用。攻击方可能依赖用户单击恶意链接来泄露信息(包括凭据)或获得执行,如恶意链接。链接可以用于网络钓鱼,比如发送一封附有社会工程文本的电子邮件,诱使用户主动单击或复制URL并将其粘贴到浏览器中。在网络钓鱼获取信息(如在网络钓鱼链接中)或网络钓鱼获取对系统的初始访问(如在网络钓鱼链接中)之前,攻击方必须为网络钓鱼链接的链接目标设置资源。 |
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [原创]物联网安全:基础篇 4215
- 威胁情报小课堂:阻止活跃勒索软件的感染 2218
- [翻译]发现利用 Facebook 和 MS 管理控制台实施的 Kimsuky APT 攻击 7121
- 威胁情报小课堂:LockBit Black 2112
- 威胁情报小课堂:Nitrogen 2102