ATT&CK框架是一個(gè)網(wǎng)絡(luò)安全綜合性知識(shí)庫(kù),通過(guò)對(duì)攻擊生命周期各階段的實(shí)際觀察，從而對(duì)攻擊者行為進(jìn)行理解與分類(lèi)，已成為研究威脅模型和方法的基礎(chǔ)工具。隨著廠(chǎng)商及企業(yè)對(duì)該框架的廣泛采用，ATT&CK知識(shí)庫(kù)已公認(rèn)成為了解攻擊者的行為模型與技術(shù)權(quán)威。

Picus研究人員從各種來(lái)源收集了超過(guò)二十萬(wàn)真實(shí)世界威脅樣本，確定了樣本的戰(zhàn)術(shù)、技術(shù)和程序(TTP)，并對(duì)每個(gè)TTP進(jìn)行了分類(lèi)，所有樣本超過(guò)180萬(wàn)種ATT&CK技術(shù)。Picus Labs針對(duì)此研究發(fā)布了Red Report統(tǒng)計(jì)報(bào)告，包括最常見(jiàn)的十種ATT&CK攻擊技術(shù)。此研究發(fā)現(xiàn)有助于防御者發(fā)現(xiàn)網(wǎng)絡(luò)犯罪和攻擊的主流趨勢(shì)，并幫助安全團(tuán)隊(duì)提供防御策略，并有效預(yù)防、檢測(cè)和響應(yīng)威脅。

一、主要發(fā)現(xiàn)

與此前數(shù)據(jù)相比，今年最顯著的變化是增加了“T1486數(shù)據(jù)加密影響”技術(shù)的使用，該技術(shù)首次進(jìn)入前十名，排名第三。研究表明，所分析的惡意軟件樣本中有五分之一是為加密目標(biāo)系統(tǒng)中的文件而設(shè)計(jì)的。這一結(jié)果與勒索軟件攻擊的流行趨勢(shì)不斷上升一致，據(jù)報(bào)道勒索軟件攻擊在2020年7月至2021年6月期間增加了1,070%。

研究顯示，每個(gè)惡意軟件的平均惡意行為數(shù)量有所增加。在前一年的研究中分析的惡意軟件樣本顯示平均有9次惡意行為，但現(xiàn)在惡意行為的平均數(shù)量為11次。這一發(fā)現(xiàn)與惡意軟件復(fù)雜性以及攻擊者的技術(shù)能力正在增加的觀點(diǎn)一致。

另一個(gè)重要發(fā)現(xiàn)是，“T1059命令和腳本解釋器”是最流行的ATT&CK技術(shù)，分析的所有惡意軟件樣本中有四分之一使用。由于PowerShell等解釋器是合法的內(nèi)置實(shí)用程序，可以廣泛訪(fǎng)問(wèn)操作系統(tǒng)的內(nèi)部結(jié)構(gòu)，因此攻擊者經(jīng)常濫用它們來(lái)執(zhí)行命令。

十大ATT&CK技術(shù)中有五種被歸類(lèi)在“TA005防御規(guī)避”戰(zhàn)術(shù)下。分析發(fā)現(xiàn)，三分之二的惡意軟件至少展示了一種防御規(guī)避技術(shù)，這突顯了攻擊者想要躲避安全團(tuán)隊(duì)監(jiān)視的決心。

• 數(shù)據(jù)加密更為常見(jiàn)。今年，ATT&CK的TA0040影響戰(zhàn)術(shù)中的T1486數(shù)據(jù)加密影響技術(shù)首次進(jìn)入前十名，排名第三，19%分析的惡意軟件使用了該技術(shù)。這也解釋了為何2021年勒索軟件攻擊的大幅增加。

• 惡意軟件越來(lái)越復(fù)雜。今年惡意軟件平均表現(xiàn)出11次惡意行為(TTP)，高于2020年的9次，這突顯了攻擊及其背后攻擊者的復(fù)雜性增加。

• 防御規(guī)避是最常見(jiàn)的戰(zhàn)術(shù)。攻擊者使用的最常見(jiàn)的MITRE ATT&CK戰(zhàn)術(shù)是TA0005防御規(guī)避，分析發(fā)現(xiàn)，三分之二的惡意軟件至少展示了一種規(guī)避技術(shù)。T1218簽名二進(jìn)制代理執(zhí)行、T1027混淆文件或信息、T1497虛擬化/沙盒規(guī)避是首次出現(xiàn)在報(bào)告前十名的防御規(guī)避技術(shù)。

• 攻擊者更喜歡濫用內(nèi)置工具。攻擊者主要使用離地攻擊(LoL)實(shí)用程序來(lái)執(zhí)行報(bào)告前十名中列出的所有技術(shù)，這表明攻擊者更喜歡濫用合法工具，而不是自定義工具。該報(bào)告中最流行的技術(shù)是T1059命令和腳本解釋器，分析的惡意軟件樣本中有26%使用過(guò)了該技術(shù)。這種技術(shù)涉及濫用內(nèi)置或常用的命令行界面(CLI)和腳本語(yǔ)言，例如PowerShell、Apple腳本和Unix Shell，作為執(zhí)行任意命令的手段。

二、研究方法

MITRE ATT&CK是一個(gè)基于現(xiàn)實(shí)世界觀察的攻擊者戰(zhàn)術(shù)、技術(shù)和程序(TTP)的開(kāi)源知識(shí)庫(kù)。由于ATT&CK系統(tǒng)地定義和組織了TTP，已成為安全團(tuán)隊(duì)之間描述TTP的通用語(yǔ)言。在2021年10月發(fā)布的ATT&CK for Enterprise v10版本中，共包含14個(gè)戰(zhàn)術(shù)(Tactics)和188個(gè)技術(shù)(Techniques)。

Picus Labs研究人員分析了2020年10月至2021年10月期間的231,507個(gè)文件，其中204,954個(gè)文件(89%)被歸類(lèi)為惡意文件，并從這些文件中提取了2,197,025個(gè)操作，每個(gè)惡意軟件平均有11個(gè)惡意操作(TTP)。由于多個(gè)操作可能映射到同一技術(shù)，2,197,025個(gè)動(dòng)作被映射到1,871,682項(xiàng)MITRE ATT&CK技術(shù)，平均每個(gè)惡意軟件有9項(xiàng)MITRE ATT&CK技術(shù)。

Picus Labs研究人員確定了數(shù)據(jù)集中的惡意文件使用了哪種技術(shù)。然后計(jì)算了使用每種技術(shù)的惡意軟件的百分比。例如，攻擊者在204,954個(gè)惡意文件中的53,582個(gè)(26%)中使用了“T1059命令和腳本解釋器”技術(shù)。

三、十大ATT&CK技術(shù)

1. T1059命令和腳本解釋器

T1059命令和腳本解釋器(Command and Scripting Interpreter)技術(shù)屬于TA0002執(zhí)行(Execution)戰(zhàn)術(shù)，有53,582個(gè)(26%)惡意軟件樣本使用了該技術(shù)。

命令和腳本解釋器是攻擊者用來(lái)在目標(biāo)系統(tǒng)上執(zhí)行命令、腳本和二進(jìn)制文件的一種執(zhí)行技術(shù)。因此不出所料，這項(xiàng)技術(shù)在報(bào)告中排名第一。命令和腳本解釋器是為合法用戶(hù)開(kāi)發(fā)的，但攻擊者也經(jīng)常使用它們來(lái)運(yùn)行他們的代碼、與本地和遠(yuǎn)程系統(tǒng)交互以及在攻擊活動(dòng)期間執(zhí)行其他軟件。

解釋器(Interpreter)是一種計(jì)算機(jī)程序，它直接執(zhí)行用編程或腳本語(yǔ)言編寫(xiě)的指令，而無(wú)需事先編譯。解釋器在程序運(yùn)行之前不需要編譯過(guò)程，它直接一條一條的運(yùn)行指令，這是攻擊者更喜歡命令和腳本解釋器的原因之一。

這種技術(shù)包括命令解釋器和腳本解釋器。命令解釋器(Command Interpreters)根據(jù)用戶(hù)以交互模式提交的命令或通過(guò)程序中存在的命令執(zhí)行解釋。操作系統(tǒng)具有內(nèi)置的本機(jī)命令解釋器，例如Windows中的Windows Command Shell和PowerShell，以及類(lèi)Unix系統(tǒng)中的 Unix Shell。顧名思義，命令解釋器也被稱(chēng)為shell。除了內(nèi)置的操作系統(tǒng)命令Shell之外，一些編程語(yǔ)言如Python、Perl和Ruby也有命令解釋器。

腳本解釋器(Scripting Interpreter)解釋和執(zhí)行腳本中出現(xiàn)的命令，而無(wú)需編譯。腳本是用腳本語(yǔ)言編寫(xiě)的一組有序命令，腳本語(yǔ)言是一種解釋性編程語(yǔ)言，無(wú)需編譯即可執(zhí)行腳本。一些著名的腳本語(yǔ)言是Windows中的PowerShell和VBScript、類(lèi)Unix系統(tǒng)中的Unix Shell、macOS中的AppleScript、JavaScript、JScript、Python、Perl和Lua。命令解釋器也包含在一些腳本語(yǔ)言中，例如PowerShell、Unix shell、Python和Perl。

系統(tǒng)管理員和程序員等合法用戶(hù)使用命令解釋器來(lái)執(zhí)行任意任務(wù)。他們使用腳本解釋器通過(guò)在腳本中自動(dòng)化來(lái)加速操作任務(wù)。

雖然命令和腳本解釋器是為合法用戶(hù)開(kāi)發(fā)的，但在攻擊活動(dòng)期間，攻擊者經(jīng)常使用一個(gè)或多個(gè)解釋器來(lái)執(zhí)行惡意代碼，并與本地和遠(yuǎn)程系統(tǒng)交互。例如，攻擊者使用腳本枚舉正在運(yùn)行的服務(wù)和進(jìn)程，發(fā)現(xiàn)系統(tǒng)和用戶(hù)信息，并通過(guò)在用戶(hù)每次登錄時(shí)執(zhí)行惡意負(fù)載來(lái)在受害者計(jì)算機(jī)中持久化。

此外，Windows系統(tǒng)中的PowerShell和VBScript、類(lèi)Unix系統(tǒng)中的Unix shell、macOS中的AppleScript等一些腳本語(yǔ)言可以通過(guò)API直接與操作系統(tǒng)交互，因此攻擊者可以使用它們來(lái)繞過(guò)薄弱的進(jìn)程監(jiān)控機(jī)制。它們是操作系統(tǒng)中的內(nèi)置工具，因此使用它們比使用自定義工具更隱蔽。

T1059命令和腳本解釋器技術(shù)有八個(gè)子技術(shù)(Sub-Techniques)，分別為：T1059.001 PowerShell、T1059.002 AppleScript、T1059.003 Windows Command Shell、T1059.004 Unix Shell、T1059.005 Visual Basic、T1059.006 Python、T1059.007 JavaScript和T1059.008網(wǎng)絡(luò)設(shè)備CLI。

2. T1055進(jìn)程注入

T1055進(jìn)程注入(Process Injection)技術(shù)屬于TA0004權(quán)限提升(Privilege Escalation)和TA0005防御規(guī)避(Defense Evasion)戰(zhàn)術(shù)，有43,639個(gè)(21%)惡意軟件樣本使用了該技術(shù)。

攻擊者總是試圖在其高級(jí)網(wǎng)絡(luò)攻擊中實(shí)現(xiàn)更高水平的隱蔽、持久性和特權(quán)。作為可以提供這些功能的機(jī)制，進(jìn)程注入仍然位于報(bào)告列表頂部也就不足為奇了。

通過(guò)列出正在運(yùn)行的進(jìn)程并過(guò)濾掉作為操作系統(tǒng)或已安裝軟件的合法進(jìn)程，可以輕松檢測(cè)惡意軟件進(jìn)程。如果惡意軟件可以將其惡意代碼封裝在合法進(jìn)程中，將隱藏在受感染的系統(tǒng)中。進(jìn)程注入是一種古老但有效的技術(shù)，包括在另一個(gè)進(jìn)程的地址空間內(nèi)運(yùn)行任意代碼。因此，該技術(shù)可以訪(fǎng)問(wèn)目標(biāo)進(jìn)程的內(nèi)存、系統(tǒng)和網(wǎng)絡(luò)資源。

進(jìn)程注入為攻擊者提供了三個(gè)顯著好處：

• 在合法進(jìn)程下執(zhí)行代碼可能會(huì)逃避安全控制，列入白名單的合法進(jìn)程會(huì)偽裝惡意代碼以逃避檢測(cè)。
• 由于惡意代碼是在合法進(jìn)程的內(nèi)存空間內(nèi)執(zhí)行的，也可能逃避磁盤(pán)取證。
• 如果目標(biāo)進(jìn)程具有提升的權(quán)限，則此技術(shù)將啟用權(quán)限提升。例如，如果目標(biāo)進(jìn)程可以訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，則惡意代碼可以通過(guò)互聯(lián)網(wǎng)以及與同一網(wǎng)絡(luò)上的其他計(jì)算機(jī)進(jìn)行合法通信。

安全控制可以快速檢測(cè)自定義進(jìn)程。因此，威脅行為者使用常見(jiàn)的Windows進(jìn)程，例如explorer.exe、svchost.exe、dllhost.exe、services.exe、cvtres.exe、msbuild.exe、RegAsm.exe、RegSvcs.exe、rundll32.exe、arp.exe 、PowerShell.exe、vbc.exe、csc.exe、AppLaunch.exe和cmd.exe等內(nèi)置本機(jī)Windows進(jìn)程，以及iexplore.exe、ieuser.exe、opera.exe、chrome.exe、firefox.exe、outlook.exe、msinm.exe等通用軟件進(jìn)程。

T1055進(jìn)程注入有十一個(gè)子技術(shù)，分別為：T1055.001 DDL注入、T1055.002便攜式可執(zhí)行(PE)注入、T1055.003線(xiàn)程執(zhí)行劫持注入、T1055.004異步過(guò)程調(diào)用(APC)注入、T1055.005線(xiàn)程本地存儲(chǔ)(TLS)注入、T1055.008 Ptrace系統(tǒng)調(diào)用注入、T1055.009 Proc內(nèi)存注入、T1055.011額外窗口內(nèi)存(EWM)注入、T1055.012 Process Hollowing、T1055.013 Process Doppelgänging以及T1055.014 VDSO劫持。

3. T1486數(shù)據(jù)加密影響

T1486數(shù)據(jù)加密影響(Data Encrypted for Impact)技術(shù)屬于TA0040影響(Impact)戰(zhàn)術(shù)，有37,987個(gè)(19%)惡意軟件樣本使用了該技術(shù)。

攻擊者加密目標(biāo)系統(tǒng)上的數(shù)據(jù)，以防止訪(fǎng)問(wèn)系統(tǒng)和網(wǎng)絡(luò)資源。這些攻擊可能以利潤(rùn)為導(dǎo)向，如勒索軟件攻擊，或者純粹是破壞性的。正如無(wú)數(shù)勒索軟件攻擊所表明的那樣，當(dāng)數(shù)據(jù)被加密時(shí)，組織的運(yùn)營(yíng)能力會(huì)受到顯著影響。由于2021年勒索軟件攻擊的數(shù)量和影響不斷增加，該技術(shù)迅速進(jìn)入十大ATT&CK技術(shù)的第三名。

在最近的勒索軟件樣本中，攻擊者使用多種加密算法來(lái)最大化加密性能和安全性。此外，這種方法在加密時(shí)不需要連接互聯(lián)網(wǎng)，只有在解密時(shí)需要連接互聯(lián)網(wǎng)。

在這種混合加密方法中，勒索軟件使用對(duì)稱(chēng)(密鑰)加密算法對(duì)文件進(jìn)行加密，然后使用非對(duì)稱(chēng)(公鑰)加密算法對(duì)對(duì)稱(chēng)加密中使用的密鑰進(jìn)行加密。

對(duì)稱(chēng)加密算法(也稱(chēng)為密鑰加密)使用相同的密鑰來(lái)加密和解密數(shù)據(jù)。AES、DES、3DES、Salsa20、ChaCha20和Blowfish是一些流行的對(duì)稱(chēng)加密算法。由于對(duì)稱(chēng)加密比非對(duì)稱(chēng)加密快得多，因此它最適合大量數(shù)據(jù)的批量加密。因此對(duì)稱(chēng)加密非常適合在勒索軟件要求的短時(shí)間內(nèi)加密數(shù)千個(gè)文件。此外，對(duì)稱(chēng)算法通常提供較小的文件大小，從而實(shí)現(xiàn)更快的傳輸和更少的存儲(chǔ)空間。

盡管對(duì)稱(chēng)加密具有強(qiáng)大的性能和高效率，但它有兩個(gè)主要限制。第一個(gè)限制是密鑰分配問(wèn)題。對(duì)稱(chēng)加密主要基于加密密鑰必須保密的要求。然而，安全地分發(fā)密鑰具有挑戰(zhàn)性。對(duì)于勒索軟件，此限制表現(xiàn)為將密鑰保存在受害機(jī)器中。研究人員可以找到密鑰，并且由于它沒(méi)有加密，因此可以創(chuàng)建一個(gè)使用密鑰解密文件的工具。

第二個(gè)限制是密鑰管理問(wèn)題。由于每對(duì)發(fā)送方和接收方都需要一個(gè)唯一的密鑰，因此所需的密鑰數(shù)量隨著用戶(hù)的增長(zhǎng)而增加。對(duì)于勒索軟件，勒索軟件操作者必須為每臺(tái)受害機(jī)器創(chuàng)建不同的密鑰，并將所有密鑰保密。否則，如果所有機(jī)器都使用相同的密鑰，如果在其中一臺(tái)機(jī)器上泄露了密鑰，則可以使用泄露的密鑰解密勒索軟件加密的所有文件。

非對(duì)稱(chēng)加密(也稱(chēng)為公鑰加密)解決了密鑰分發(fā)和密鑰管理問(wèn)題。非對(duì)稱(chēng)加密算法使用兩種不同的密鑰：私鑰和公鑰。發(fā)送方可以使用接收方的公鑰對(duì)消息進(jìn)行加密，但該加密消息只能使用接收方的私鑰解密。私鑰必須對(duì)其所有者保持私有，而公鑰可以通過(guò)目錄公開(kāi)訪(fǎng)問(wèn)。因此，勒索軟件操作者可以為每臺(tái)受害機(jī)器創(chuàng)建不同的公鑰，并讓這些公鑰在受害機(jī)器上可訪(fǎng)問(wèn)。即使有人找到了公鑰，如果沒(méi)有勒索軟件運(yùn)營(yíng)商的私鑰，他們也無(wú)法解密文件。

非對(duì)稱(chēng)加密的主要缺點(diǎn)是它比對(duì)稱(chēng)加密慢得多。這是由于非對(duì)稱(chēng)加密的數(shù)學(xué)復(fù)雜性，需要更多的計(jì)算能力。

勒索軟件開(kāi)發(fā)人員將對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密(一種混合加密方法)結(jié)合起來(lái)，以消除這兩種技術(shù)的缺點(diǎn)。他們使用對(duì)稱(chēng)密鑰算法對(duì)受害系統(tǒng)中的文件進(jìn)行批量加密，并使用非對(duì)稱(chēng)密鑰算法對(duì)對(duì)稱(chēng)算法使用的秘密密鑰進(jìn)行加密。因此，勒索軟件開(kāi)發(fā)人員利用對(duì)稱(chēng)算法的加密性能，同時(shí)利用非對(duì)稱(chēng)算法的強(qiáng)大安全性。

勒索軟件主要使用Windows API來(lái)利用對(duì)稱(chēng)和非對(duì)稱(chēng)算法，例如DES、AES、RSA 和RC4加密。例如，Nefilim濫用Microsoft的Enhanced Cryptographic Provider來(lái)導(dǎo)入加密密鑰，并使用API函數(shù)對(duì)數(shù)據(jù)進(jìn)行加密。勒索軟件通常會(huì)查詢(xún)每臺(tái)主機(jī)的唯一信息，以生成主機(jī)的唯一標(biāo)識(shí)符，用于加密/解密過(guò)程，例如加密機(jī)GUID和卷信息(磁盤(pán)卷名和序列號(hào))。

4. T1218簽名二進(jìn)制代理執(zhí)行

T1218簽名二進(jìn)制代理執(zhí)行(Signed Binary Proxy Execution)技術(shù)屬于TA0005防御規(guī)避(Defense Evasion)戰(zhàn)術(shù)，有32,133個(gè)(16%)惡意軟件樣本使用了該技術(shù)。

簽名二進(jìn)制文件，即使用可信數(shù)字證書(shū)簽名的二進(jìn)制文件，可以在受數(shù)字簽名驗(yàn)證和應(yīng)用程序控制保護(hù)的Windows操作系統(tǒng)上執(zhí)行。然而，攻擊者經(jīng)常濫用這些合法的二進(jìn)制文件來(lái)逃避安全控制。這些二進(jìn)制文件也稱(chēng)為離地攻擊二進(jìn)制文件(LOLBins)。

簽名二進(jìn)制代理執(zhí)行是指通過(guò)使用另一個(gè)用可信數(shù)字證書(shū)簽名的可執(zhí)行文件來(lái)執(zhí)行命令或可執(zhí)行文件的過(guò)程。攻擊者利用簽名可執(zhí)行文件的信任來(lái)逃避防御機(jī)制。

T1218簽名二進(jìn)制代理執(zhí)行有十三個(gè)子技術(shù)，分別為：T1218.001 CHM文件、T1218.002控制面板、T1218.003 CMSTP、T1218.004 Installutil.、T1218.005 Mshta、T1218.007 Msiexec、T1218.008 Odbcconf、T1218.009 Regsvcs/Regasm、T1218.011 Rundll32、T1218.012 Verclsid、T1218.013 Mavinject、T1218.014 MMC。

5. T1003操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ)

T1003操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ)(OS Credential Dumping)技術(shù)屬于TA0006憑證訪(fǎng)問(wèn)(Credential Access)戰(zhàn)術(shù)，有29,355個(gè)(14%)惡意軟件樣本使用了該技術(shù)。

一旦攻擊者建立了對(duì)系統(tǒng)的初始訪(fǎng)問(wèn)權(quán)限，他們的主要目標(biāo)之一就是找到訪(fǎng)問(wèn)環(huán)境中其他資源和系統(tǒng)的憑據(jù)。作為獲取賬戶(hù)登錄和密碼信息的機(jī)制，憑據(jù)轉(zhuǎn)儲(chǔ)是十大最常用的MITRE ATT&CK技術(shù)的第五名。

在使用提升的權(quán)限危害系統(tǒng)后，攻擊者會(huì)嘗試轉(zhuǎn)儲(chǔ)盡可能多的憑據(jù)。MITRE ATT&CK框架的憑證轉(zhuǎn)儲(chǔ)技術(shù)使攻擊者能夠從操作系統(tǒng)和軟件中獲取賬戶(hù)登錄和密碼信息。這些憑據(jù)可以授予更高級(jí)別的訪(fǎng)問(wèn)權(quán)限，例如特權(quán)域賬戶(hù)，或者相同的憑據(jù)可以用于其他資產(chǎn)。攻擊者使用此技術(shù)收集的憑據(jù)來(lái)：

• 訪(fǎng)問(wèn)受限信息和關(guān)鍵資產(chǎn);
• 通過(guò)使用相同憑據(jù)危害其他系統(tǒng)，在網(wǎng)絡(luò)中執(zhí)行橫向移動(dòng);
• 創(chuàng)建新賬戶(hù)、執(zhí)行操作和刪除賬戶(hù)以清除跟蹤;
• 分析密碼模式和密碼策略以顯示其他憑據(jù)。

T1003操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ)有八個(gè)子技術(shù)，分別為：T1003.001 LSASS內(nèi)存、T1003.002安全賬號(hào)管理器、T1003.003 NTDS、T1003.004 LSA密碼、T1003.005緩存域憑據(jù)、T1003.006 DCSync、T1003.007 Proc文件系統(tǒng)、T1003.008 /etc/passwd和/etc/shadow。

6. T1027混淆文件或信息

T1027混淆文件或信息(Obfuscated Files or Information)技術(shù)屬于TA0005防御規(guī)避(Defense Evasion)戰(zhàn)術(shù)，有26,989個(gè)(13%)惡意軟件樣本使用了該技術(shù)。

攻擊者通過(guò)加密、編碼、壓縮或以其他方式在系統(tǒng)上或傳輸中隱藏可執(zhí)行文件或文件的內(nèi)容，從而混淆可執(zhí)行文件或文件的內(nèi)容。這是一種常見(jiàn)的攻擊行為，可用于繞過(guò)多個(gè)平臺(tái)和網(wǎng)絡(luò)的防御。該技術(shù)在去年沒(méi)有進(jìn)入前十，但今年排名第六。

攻擊者混淆惡意文件、代碼、命令、配置和其他信息，以避免被安全控制檢測(cè)到。最常見(jiàn)的混淆方法有：

• 改變數(shù)據(jù)形式：這種方法包括轉(zhuǎn)換數(shù)據(jù)以避免檢測(cè)的機(jī)制，例如壓縮、打包和歸檔。其中一些機(jī)制需要用戶(hù)交互才能將數(shù)據(jù)恢復(fù)為原始形式，例如提交密碼以打開(kāi)受密碼保護(hù)的文件。

• 更改數(shù)據(jù)大?。捍朔椒òㄖT如二進(jìn)制填充之類(lèi)的機(jī)制，可在不影響其功能和行為的情況下增加惡意文件的大小。其目的是避開(kāi)未配置為掃描大于特定大小的文件的安全工具。

• 隱藏惡意數(shù)據(jù)：這些機(jī)制將惡意數(shù)據(jù)隱藏在看似良性的文件中。在隱藏到文件中之前，可以拆分?jǐn)?shù)據(jù)以降低其檢測(cè)率。信息隱寫(xiě)和HTML走私是這種方法的一些例子。

• 混淆或刪除指標(biāo)：此方法包括用于從惡意文件中混淆或刪除危害指標(biāo)以避免檢測(cè)的機(jī)制。文件簽名、環(huán)境變量、字符、部分名稱(chēng)和其他平臺(tái)/語(yǔ)言/應(yīng)用程序特定語(yǔ)義是一些指標(biāo)。

• 攻擊者通過(guò)混淆/刪除以繞過(guò)基于簽名的檢測(cè)。

T1027混淆文件或信息有六個(gè)子技術(shù)，分別為：T1027.001二進(jìn)制填充、T1027.002軟件打包、T1027.003信息隱寫(xiě)、T1027.004交付后編譯、T1027.005從工具中移除指標(biāo)、T1027.006 HTML走私。

7. T1053計(jì)劃任務(wù)

T1053計(jì)劃任務(wù)(Scheduled Task/Job)技術(shù)屬于TA0002執(zhí)行(Execution)、TA0003持續(xù)性(Persistence)和TA0004權(quán)限提升(Privilege Escalation)戰(zhàn)術(shù)，有21,367個(gè)(11%)惡意軟件樣本使用了該技術(shù)。

計(jì)劃任務(wù)是指在未來(lái)的特定時(shí)間、定期(如每周一的凌晨1:00)或在定義的事件發(fā)生時(shí)(如用戶(hù)登錄系統(tǒng))執(zhí)行的命令、程序或腳本。合法用戶(hù)(如系統(tǒng)管理員)使用計(jì)劃任務(wù)自動(dòng)創(chuàng)建和運(yùn)行操作任務(wù)。

攻擊者還使用操作系統(tǒng)的任務(wù)調(diào)度實(shí)用程序按定義的時(shí)間表或在系統(tǒng)啟動(dòng)時(shí)執(zhí)行惡意負(fù)載，以實(shí)現(xiàn)持久性。研究發(fā)現(xiàn)，計(jì)劃任務(wù)是攻擊者在其惡意軟件中使用的第七大ATT&CK技術(shù)。

操作系統(tǒng)和平臺(tái)提供的一些實(shí)用程序，可以按照定義的時(shí)間表自動(dòng)執(zhí)行程序或腳本，例如微軟Windows的schtasks.exe和at.exe、Linux的at、類(lèi)Unix操作系統(tǒng)的cron、macOS的launchd、systemd timers、以及Kubernetes的cronjobs。

T1053計(jì)劃任務(wù)有七個(gè)子技術(shù)，分別為：T1053.001 at(Linux)、T1053.002 at(Windows)、T1053.003 cron、T1053.004 Launchd、T1053.005計(jì)劃任務(wù)、T1053.006 Systemd Timers、T1053.007容器編排。

8. T1036偽裝

T1036偽裝(Masquerading)技術(shù)屬于TA0005防御規(guī)避(Defense Evasion)戰(zhàn)術(shù)，有18,702個(gè)(9%)惡意軟件樣本使用了該技術(shù)。

作為一種防御規(guī)避技術(shù)，攻擊者將其惡意軟件的特征更改為合法和可信的。代碼簽名、惡意軟件文件的名稱(chēng)和位置、任務(wù)和服務(wù)的名稱(chēng)都是這些功能的示例。偽裝后，攻擊者的惡意軟件文件對(duì)用戶(hù)和安全來(lái)說(shuō)都是合法的。用于防御逃避的偽裝對(duì)象可以分為四類(lèi)：

• 擴(kuò)展名：T1036.002從右到左覆蓋、T1036.006文件名后的空格以及T1036.007雙文件擴(kuò)展名涉及欺騙用戶(hù)或應(yīng)用程序打開(kāi)一個(gè)看起來(lái)像良性文件類(lèi)型的文件，因?yàn)樗黠@的擴(kuò)展名，但其實(shí)是惡意軟件。用戶(hù)看到的擴(kuò)展名實(shí)際上并不反映文件真實(shí)的擴(kuò)展名。

• 名稱(chēng)：攻擊者可能會(huì)將惡意文件名更改為合法且受信任的應(yīng)用程序的名稱(chēng)，例如flash_en.exe(T1036.005匹配合法名稱(chēng)或位置)。但是，攻擊者也會(huì)在使用合法系統(tǒng)實(shí)用程序之前更改其名稱(chēng)，因?yàn)槟承┌踩ぞ邥?huì)監(jiān)控這些內(nèi)置系統(tǒng)實(shí)用程序以檢測(cè)其可疑使用情況(T1036.003重命名系統(tǒng)實(shí)用程序)。除了文件名之外，攻擊者還會(huì)用合法的任務(wù)或服務(wù)的名稱(chēng)來(lái)偽裝任務(wù)或服務(wù)的名稱(chēng)，使其看起來(lái)是良性的并避免檢測(cè)(T1036.004偽裝任務(wù)或服務(wù))。

• 位置：攻擊者可能會(huì)將惡意文件放置在C:\Windows\System32等受信任目錄中以逃避防御。他們還可能創(chuàng)建類(lèi)似于已知軟件使用的目錄，例如C:\Intel\。有時(shí)，攻擊者會(huì)偽裝惡意軟件的整個(gè)路徑，包括目錄和文件名，例如C:\NVIDIA\NvDaemon.exe。這些方法歸類(lèi)在T1036.005匹配合法名稱(chēng)或位置。

• 簽名：攻擊者復(fù)制有效和簽名程序的元數(shù)據(jù)和代碼簽名信息，并在其惡意軟件中使用這些信息來(lái)逃避防御(T1036.001無(wú)效代碼簽名)。

T1036偽裝有七個(gè)子技術(shù)，分別為：T1036.001無(wú)效代碼簽名、T1036.002從右到左覆蓋、T1036.003重命名系統(tǒng)實(shí)用程序、T1036.004偽裝任務(wù)或服務(wù)、T1036.005匹配合法名稱(chēng)或位置、T1036.006文件名后的空格、T1036.007雙文件擴(kuò)展名。

9. T1082系統(tǒng)信息發(fā)現(xiàn)

T1082系統(tǒng)信息發(fā)現(xiàn)(System Information Discovery)技術(shù)屬于TA0007發(fā)現(xiàn)(Discovery)戰(zhàn)術(shù)，有17,024個(gè)(8%)惡意軟件樣本使用了該技術(shù)。

當(dāng)攻擊者獲得對(duì)系統(tǒng)的初始訪(fǎng)問(wèn)權(quán)限時(shí)，他們會(huì)觀察環(huán)境并獲得有關(guān)系統(tǒng)的知識(shí)，然后攻擊者使用收集到的系統(tǒng)信息來(lái)確定如何在后續(xù)行為中采取行動(dòng)。

在對(duì)系統(tǒng)進(jìn)行初始訪(fǎng)問(wèn)后，攻擊者需要收集有關(guān)系統(tǒng)的信息，來(lái)決定如何繼續(xù)攻擊。攻擊者通常會(huì)收集的信息包括：主機(jī)/用戶(hù)信息，如主機(jī)名、用戶(hù)名、域名、注冊(cè)所有者、注冊(cè)組織、正常運(yùn)行時(shí)間等;操作系統(tǒng)信息，如操作系統(tǒng)名稱(chēng)、操作系統(tǒng)版本、系統(tǒng)區(qū)域設(shè)置、鍵盤(pán)布局、修補(bǔ)程序等;硬件信息，如CPU架構(gòu)、處理器、總物理內(nèi)存、網(wǎng)卡、IP地址、CPUID/ProcessorID、卷序列號(hào)、磁盤(pán)大小、屏幕分辨率等。

攻擊者經(jīng)常使用內(nèi)置的操作系統(tǒng)實(shí)用程序來(lái)發(fā)現(xiàn)系統(tǒng)信息，包括系統(tǒng)信息、系統(tǒng)設(shè)置和IaaS API調(diào)用。Systeminfo是一個(gè)Windows實(shí)用程序，可顯示有關(guān)計(jì)算機(jī)及其操作系統(tǒng)的詳細(xì)配置信息。Systemsetup是一個(gè)macOS命令，它使用戶(hù)能夠收集和配置通常在系統(tǒng)首選項(xiàng)應(yīng)用程序中配置的特定每臺(tái)機(jī)器設(shè)置。攻擊者使用API來(lái)獲取有關(guān)云基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商，例如Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP)中實(shí)例的信息。

10. T1497虛擬化/沙箱規(guī)避

T1497虛擬化/沙箱規(guī)避(Virtualization/Sandbox Evasion)技術(shù)屬于TA0005防御規(guī)避(Defense Evasion)和TA0007發(fā)現(xiàn)(Discovery)戰(zhàn)術(shù)，有12,810個(gè)(6%)惡意軟件樣本使用了該技術(shù)。

攻擊者可能會(huì)向其惡意軟件添加系統(tǒng)和用戶(hù)信息發(fā)現(xiàn)功能，以檢測(cè)和避免虛擬化和分析環(huán)境，例如惡意軟件分析沙箱。如果惡意軟件檢測(cè)到虛擬機(jī)或沙箱環(huán)境，就會(huì)脫離受害者或不執(zhí)行惡意功能，例如下載額外負(fù)載。

惡意軟件分析人員經(jīng)常評(píng)估隔離環(huán)境中的未知代碼，例如虛擬機(jī)(VM)或沙箱。同樣，安全產(chǎn)品通常使用這些環(huán)境在允許惡意軟件進(jìn)入組織網(wǎng)絡(luò)之前執(zhí)行潛在惡意代碼以進(jìn)行動(dòng)態(tài)惡意軟件分析。作為惡意軟件分析的結(jié)果，確定了惡意軟件及其IOC(危害指標(biāo))使用的TTP(戰(zhàn)術(shù)、技術(shù)和程序)。TTP和IOC用于檢測(cè)惡意軟件。

當(dāng)然，惡意軟件開(kāi)發(fā)人員不希望在孤立的環(huán)境中分析他們的惡意軟件，因此他們?cè)O(shè)計(jì)代碼來(lái)檢測(cè)虛擬機(jī)和沙箱環(huán)境，并避免在這些孤立的環(huán)境中運(yùn)行時(shí)表現(xiàn)出惡意行為。例如，如果檢測(cè)到沙箱環(huán)境，Agent Tesla遠(yuǎn)程訪(fǎng)問(wèn)木馬(RAT)就會(huì)關(guān)閉。

攻擊者使用各種方法來(lái)逃避虛擬機(jī)和沙箱環(huán)境，這些方法被稱(chēng)為Anti-Sandbox或Anti-VM方法。通常，這些方法涉及搜索這些環(huán)境的典型特征。這些特征可能是受害系統(tǒng)的某些屬性或?qū)ο?，例如VM供應(yīng)商的特定MAC地址，以及系統(tǒng)中普通用戶(hù)創(chuàng)建的通用工件的缺失，例如空的瀏覽器歷史記錄。

T1497虛擬化/沙箱規(guī)避有三個(gè)子技術(shù)，分別為：T1497.001系統(tǒng)檢查、T1497.002用戶(hù)活動(dòng)檢查、T1497.003時(shí)間規(guī)避。