一、引言

在前幾期我們介紹了ATT&CK中偵察及資源開(kāi)發(fā)戰(zhàn)術(shù)理論知識(shí)及實(shí)戰(zhàn)研究，通過(guò)實(shí)戰(zhàn)場(chǎng)景驗(yàn)證行之有效的檢測(cè)規(guī)則、防御措施，本期我們?yōu)榇蠹医榻BATT&CK 14項(xiàng)戰(zhàn)術(shù)中初始訪(fǎng)問(wèn)戰(zhàn)術(shù)，后續(xù)會(huì)陸續(xù)介紹其他戰(zhàn)術(shù)內(nèi)容，敬請(qǐng)關(guān)注。

二、ATT&CK v10簡(jiǎn)介

MITRE ATT&CK 是一個(gè)全球可訪(fǎng)問(wèn)的基于現(xiàn)實(shí)世界觀察的對(duì)手戰(zhàn)術(shù)和技術(shù)知識(shí)庫(kù)。ATT&CK 知識(shí)庫(kù)被用作在私營(yíng)部門(mén)、政府以及網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)社區(qū)中開(kāi)發(fā)特定威脅模型和方法的基礎(chǔ)。

ATT&CK v10更新了適用于企業(yè)、移動(dòng)設(shè)備和 ICS(工業(yè)控制系統(tǒng))框架的技術(shù)、組和軟件。最大的變化是在企業(yè) ATT&CK 中增加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對(duì)象，這是對(duì) ATT&CK v9 中發(fā)布的 ATT&CK 數(shù)據(jù)源名稱(chēng)更改的補(bǔ)充。在 ATT&CK v10 中更新的內(nèi)容匯總了有關(guān)數(shù)據(jù)源的這些信息，同時(shí)將它們構(gòu)建為新的 ATT&CK 數(shù)據(jù)源對(duì)象。

ATT&CK v10 for Enterprise包含14個(gè)戰(zhàn)術(shù)、188個(gè)技術(shù)、379個(gè)子技術(shù)、129個(gè)組織、638個(gè)軟件，一共包括38類(lèi)數(shù)據(jù)源。數(shù)據(jù)源對(duì)象具有數(shù)據(jù)源的名稱(chēng)以及關(guān)鍵細(xì)節(jié)和元數(shù)據(jù)，包括 ID、定義、可以收集它的位置(收集層)、可以在什么平臺(tái)上找到它，突出顯示構(gòu)成數(shù)據(jù)源的相關(guān)值/屬性的組件。

ATT&CK v10 中的數(shù)據(jù)組件分析每個(gè)亮點(diǎn)映射到各種(子)技術(shù)，這些技術(shù)可以用該特定數(shù)據(jù)檢測(cè)到。在個(gè)別(子)技術(shù)上，數(shù)據(jù)源和組件已從頁(yè)面頂部的元數(shù)據(jù)框重新定位，以與檢測(cè)內(nèi)容并置。這些數(shù)據(jù)源可用于 Enterprise ATT&CK 的所有平臺(tái)，包括最新添加的涵蓋映射到 PRE 平臺(tái)技術(shù)的開(kāi)源情報(bào) (OSINT) 相關(guān)數(shù)據(jù)源。

ATT&CK戰(zhàn)術(shù)全景圖(紅框?yàn)槌跏荚L(fǎng)問(wèn)戰(zhàn)術(shù))

三、初始訪(fǎng)問(wèn)戰(zhàn)術(shù)

3.1 概述

初始訪(fǎng)問(wèn)是攻擊者使用各種方法在網(wǎng)絡(luò)中獲得攻擊入口的技術(shù)，包括網(wǎng)絡(luò)釣魚(yú)和利用公司對(duì)外的Web 網(wǎng)站的漏洞。通過(guò)初始訪(fǎng)問(wèn)獲得的攻擊入口可能允許攻擊者繼續(xù)進(jìn)行深入的滲透，例如獲取有效的帳戶(hù)信息和對(duì)外提供的遠(yuǎn)程服務(wù)，或者通過(guò)多次嘗試口令鎖住用戶(hù)賬戶(hù)限制用戶(hù)使用等。

初始訪(fǎng)問(wèn)包括9種技術(shù)，下面逐一介紹下這九種技術(shù)。

3.2 路過(guò)式攻擊(T1189)

攻擊者可能通過(guò)用戶(hù)在正常訪(fǎng)問(wèn)網(wǎng)站的過(guò)程中入侵他的系統(tǒng)，主要包括獲取瀏覽器的權(quán)限或者利用網(wǎng)站相關(guān)漏洞(比如認(rèn)證漏洞等)進(jìn)行攻擊。存在多種向?yàn)g覽器提供漏洞利用代碼的方法，包括：惡意代碼(如JavaScript、iFrame 和跨站點(diǎn)腳本等)、惡意廣告、用戶(hù)能操作的網(wǎng)站內(nèi)容(比如表單提交)。

典型的攻擊過(guò)程：

1) 用戶(hù)訪(fǎng)問(wèn)了一個(gè)被攻擊者控制的網(wǎng)站。

2) 腳本會(huì)自動(dòng)執(zhí)行，通常會(huì)在瀏覽器和插件中搜索可能存在漏洞的版本。

3) 用戶(hù)可能需要通過(guò)忽略啟用腳本或活動(dòng)網(wǎng)站組件的警告對(duì)話(huà)框來(lái)協(xié)助此過(guò)程。

4) 在找到易受攻擊的版本后，漏洞代碼將被傳遞到瀏覽器。

5) 如果利用成功，除非有其他保護(hù)措施，否則它將在用戶(hù)系統(tǒng)上執(zhí)行攻擊者代碼。

這種攻擊的對(duì)象是客戶(hù)端上的軟件，而用戶(hù)利用客戶(hù)端可能會(huì)訪(fǎng)問(wèn)公司內(nèi)網(wǎng)，攻擊者可以通過(guò)客戶(hù)端合法的認(rèn)證信息作為跳板合法的訪(fǎng)問(wèn)內(nèi)網(wǎng)資源。

3.2.1 緩解措施

3.2.1.1 應(yīng)用程序隔離和沙箱(M1048)

瀏覽器沙箱可用于減輕利用的一些影響，但沙箱逃逸可能仍然存在。其他類(lèi)型的虛擬化和應(yīng)用程序微分段也可以減輕客戶(hù)端利用的影響。

3.2.1.2 漏洞利用保護(hù)(M1050)

可以通過(guò)安全應(yīng)用程序(例如 Windows Defender Exploit Guard (WDEG) 和增強(qiáng)的一些專(zhuān)殺工具等(EMET))可用于緩解某些利用行為?？刂屏魍暾詸z查(Control flow integrity)是另一種可能識(shí)別和阻止軟件漏洞發(fā)生的方法。許多這些措施依賴(lài)于架構(gòu)和目標(biāo)應(yīng)用程序二進(jìn)制文件的兼容性。

3.2.1.3 限制基于 Web 的內(nèi)容(M1021)

對(duì)于通過(guò)廣告提供的惡意代碼，廣告攔截器可以幫助阻止該代碼首先執(zhí)行。

腳本阻止擴(kuò)展可以幫助阻止在利用過(guò)程中可能常用的 JavaScript 的執(zhí)行。

3.2.1.4 更新軟件(M1051)

確保所有瀏覽器和插件保持更新有助于防止該技術(shù)的利用。使用開(kāi)啟了安全功能的瀏覽器。

3.2.2 檢測(cè)

防火墻和代理軟件可以檢查 URL 中可能存在的已知惡意域或參數(shù)。他們還可以對(duì)網(wǎng)站及其請(qǐng)求的資源進(jìn)行基于威脅情報(bào)的分析，例如域的年齡、注冊(cè)的對(duì)象、是否在已知的惡意列表中，或者之前有多少其他用戶(hù)連接到它。(URL結(jié)合威脅情報(bào))

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，有時(shí)帶有 SSL/TLS 檢查，可用于查找已知的惡意腳本、常見(jiàn)的腳本混淆和漏洞利用代碼。

3.3 利用面向公眾的應(yīng)用程序(T1190)

攻擊者可能會(huì)試圖利用面向 Internet 的計(jì)算機(jī)或程序中的弱點(diǎn)，使用軟件、數(shù)據(jù)或命令來(lái)攻擊。系統(tǒng)中的弱點(diǎn)可能是錯(cuò)誤、故障或設(shè)計(jì)漏洞。這些應(yīng)用程序通常是網(wǎng)站，但可以包括數(shù)據(jù)庫(kù)(如 SQL)、標(biāo)準(zhǔn)服務(wù)(如 SMB 或 SSH)、網(wǎng)絡(luò)設(shè)備管理和管理協(xié)議(如 SNMP 和 Smart Install)、以及任何其他具有 Internet 可訪(fǎng)問(wèn)開(kāi)放套接字的應(yīng)用程序，例如 Web 服務(wù)器和相關(guān)服務(wù)。對(duì)于網(wǎng)站和數(shù)據(jù)庫(kù)，OWASP 前 10 名和 CWE 前 25 名是最常見(jiàn)的基于 Web 的漏洞。

3.3.1 緩解措施

3.3.1.1 應(yīng)用程序隔離和沙箱(M1048)

瀏覽器沙箱可用于減輕利用的一些影響，但沙箱逃逸可能仍然存在。其他類(lèi)型的虛擬化和應(yīng)用程序微分段也可以減輕客戶(hù)端利用的影響。

3.3.1.2 漏洞利用保護(hù)(M1050)

可以通過(guò)安全應(yīng)用程序(例如 Windows Defender Exploit Guard (WDEG) 和增強(qiáng)的一些專(zhuān)殺工具等(EMET))可用于緩解某些利用行為。控制流完整性檢查(Control flow integrity)是另一種可能識(shí)別和阻止軟件漏洞發(fā)生的方法。許多這些措施依賴(lài)于架構(gòu)和目標(biāo)應(yīng)用程序二進(jìn)制文件的兼容性。

3.3.1.3 網(wǎng)絡(luò)分段(M1030)

使用 DMZ 或單獨(dú)的托管基礎(chǔ)設(shè)施將面向外部的服務(wù)器/服務(wù)與網(wǎng)絡(luò)的其余部分隔離開(kāi)來(lái)。

3.3.1.4 特權(quán)賬戶(hù)管理(M1026)

對(duì)服務(wù)帳戶(hù)使用最低權(quán)限控制管理，符合安全最小化授權(quán)原則。

3.3.1.5 更新軟件(M1051)

確保所有瀏覽器和插件保持更新有助于防止該技術(shù)的利用。使用開(kāi)啟了安全功能的瀏覽器。

3.3.1.6 漏洞掃描(M1016)

定期掃描面向外部的系統(tǒng)的漏洞，并建立程序以在發(fā)現(xiàn)關(guān)鍵漏洞時(shí)快速修補(bǔ)系統(tǒng)。

3.3.2 檢測(cè)

監(jiān)控應(yīng)用程序日志中異常行為。

基于流量檢測(cè)或者WAF等設(shè)備檢測(cè)常見(jiàn)的漏洞利用事件，例如 SQL 注入。

3.4 利用外部遠(yuǎn)程服務(wù)(T1133)

攻擊者可能會(huì)利用面向外部的遠(yuǎn)程服務(wù)來(lái)初始訪(fǎng)問(wèn)。VPN、Citrix 和其他訪(fǎng)問(wèn)機(jī)制等遠(yuǎn)程服務(wù)允許用戶(hù)從外部位置連接到內(nèi)部企業(yè)網(wǎng)絡(luò)資源。通常有遠(yuǎn)程服務(wù)網(wǎng)關(guān)來(lái)管理這些服務(wù)的連接和憑據(jù)身份驗(yàn)證。

Windows 遠(yuǎn)程管理和 VNC 等服務(wù)也可以在外部使用。訪(fǎng)問(wèn)有效帳戶(hù)以使用該服務(wù)通常是一項(xiàng)要求，這可以通過(guò)憑據(jù)域名解析或在破壞企業(yè)網(wǎng)絡(luò)后從用戶(hù)那里獲取憑據(jù)來(lái)獲得。在操作期間，對(duì)遠(yuǎn)程服務(wù)的訪(fǎng)問(wèn)可以用作冗余或持久訪(fǎng)問(wèn)機(jī)制，也可以通過(guò)不需要身份驗(yàn)證的公開(kāi)服務(wù)獲得訪(fǎng)問(wèn)權(quán)限。在容器化環(huán)境中，這可能包括公開(kāi)的 Docker API、Kubernetes API 服務(wù)器、kubelet 或 Web 應(yīng)用程序。

3.4.1 緩解措施

3.4.1.1 禁用或刪除功能或程序(M1042)

禁用或阻止可能不必要的遠(yuǎn)程可用服務(wù)。

3.4.1.2 限制通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)資源(M1035)

通過(guò)集中管理限制對(duì)遠(yuǎn)程服務(wù)的訪(fǎng)問(wèn)。

3.4.1.3 多因素認(rèn)證(M1032)

對(duì)遠(yuǎn)程服務(wù)帳戶(hù)使用強(qiáng)大的雙因素或多因素身份驗(yàn)證以降低憑據(jù)被盜的概率。

3.4.1.4 網(wǎng)絡(luò)分段(M1030)

拒絕通過(guò)使用網(wǎng)絡(luò)代理、網(wǎng)關(guān)和防火墻直接遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)部系統(tǒng)。

3.4.2 檢測(cè)

收集身份驗(yàn)證日志并分析異常訪(fǎng)問(wèn)模式、活動(dòng)窗口和正常工作時(shí)間以外的訪(fǎng)問(wèn)。

當(dāng)訪(fǎng)問(wèn)公開(kāi)的遠(yuǎn)程服務(wù)不需要身份驗(yàn)證時(shí)，監(jiān)視后續(xù)活動(dòng)，例如公開(kāi)的 API 或應(yīng)用程序的異常外部使用。

3.5 添加硬件(T1200)

攻擊者可能會(huì)將計(jì)算機(jī)配件、計(jì)算機(jī)或網(wǎng)絡(luò)硬件引入系統(tǒng)或網(wǎng)絡(luò)中，這些系統(tǒng)或網(wǎng)絡(luò)可用作獲取訪(fǎng)問(wèn)權(quán)限的媒介。商業(yè)和開(kāi)源產(chǎn)品可以利用諸如被動(dòng)網(wǎng)絡(luò)竊聽(tīng)、網(wǎng)絡(luò)流量修改(即中間對(duì)手)、擊鍵注入、通過(guò) DMA 讀取內(nèi)核內(nèi)存等功能，增加對(duì)現(xiàn)有網(wǎng)絡(luò)的新無(wú)線(xiàn)接入等。

3.5.1 緩解措施

3.5.1.1 限制通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)資源(M1035)

建立網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略，例如使用設(shè)備證書(shū)和802.1x標(biāo)準(zhǔn)。將 DHCP 的使用限制在已注冊(cè)的設(shè)備上，以防止未注冊(cè)的設(shè)備與受信任的系統(tǒng)進(jìn)行通信。

3.5.1.2 限制硬件安裝(M1034)

通過(guò)端點(diǎn)安全配置和監(jiān)控代理阻止未知設(shè)備安裝。

3.5.2 檢測(cè)

資產(chǎn)管理系統(tǒng)有助于檢測(cè)網(wǎng)絡(luò)上不應(yīng)該存在的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備?；趧?dòng)態(tài)字典關(guān)聯(lián)分析模型，當(dāng)出現(xiàn)新增陌生IP時(shí)自動(dòng)觸發(fā)新增IP告警。

端點(diǎn)傳感器可能能夠通過(guò) USB、Thunderbolt 和其他外部設(shè)備通信端口檢測(cè)到硬件的添加。

3.6 網(wǎng)絡(luò)釣魚(yú)(T1566)

攻擊者可能會(huì)發(fā)送網(wǎng)絡(luò)釣魚(yú)消息以訪(fǎng)問(wèn)受害系統(tǒng)。所有形式的網(wǎng)絡(luò)釣魚(yú)都是以電子方式傳遞的社會(huì)工程。在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)中，特定的個(gè)人、公司或行業(yè)將成為攻擊者的目標(biāo)。

攻擊者可能會(huì)向受害者發(fā)送包含惡意附件或鏈接的電子郵件，通常是為了在受害者系統(tǒng)上執(zhí)行惡意代碼。網(wǎng)絡(luò)釣魚(yú)技術(shù)包含3個(gè)子技術(shù)：釣魚(yú)附件、釣魚(yú)鏈接、釣魚(yú)消息。

3.6.1 釣魚(yú)附件(T1566.001)

3.6.1.1 戰(zhàn)術(shù)描述

攻擊者可能會(huì)發(fā)送帶有惡意附件的釣魚(yú)電子郵件，以試圖訪(fǎng)問(wèn)受害系統(tǒng)。攻擊者將文件附加到電子郵件中，并且通常依靠用戶(hù)執(zhí)行來(lái)獲得執(zhí)行。附件類(lèi)型包括Microsoft Office 文檔、可執(zhí)行文件、PDF等。用戶(hù)打開(kāi)附件后，攻擊者的惡意代碼會(huì)利用漏洞或直接在用戶(hù)系統(tǒng)上執(zhí)行。電子郵件還可能包含有關(guān)如何解密附件(例如 zip 文件密碼)的說(shuō)明，以規(guī)避電子郵件邊界防御。攻擊者經(jīng)常操縱文件擴(kuò)展名和圖標(biāo)，以使附加的可執(zhí)行文件看起來(lái)是正常的文件，或者利用一個(gè)應(yīng)用程序的文件看起來(lái)是另一個(gè)應(yīng)用程序的文件。

3.6.2 釣魚(yú)鏈接(T1566.002)

3.6.2.1 戰(zhàn)術(shù)描述

攻擊者可能會(huì)發(fā)送帶有惡意鏈接的釣魚(yú)電子郵件，使用鏈接下載電子郵件中包含的惡意軟件，而不是將惡意文件附加到電子郵件本身，以避免可能檢查電子郵件附件的防御措施。通常，鏈接將伴隨著社會(huì)工程內(nèi)容，并要求用戶(hù)主動(dòng)單擊或復(fù)制 URL 并將其粘貼到瀏覽器中，利用用戶(hù)執(zhí)行。被訪(fǎng)問(wèn)的網(wǎng)站可能會(huì)利用漏洞攻擊 Web 瀏覽器，或者會(huì)提示用戶(hù)首先下載應(yīng)用程序、文檔、zip 文件甚至可執(zhí)行文件。

3.6.3 釣魚(yú)消息(T1566.003)

3.6.3.1 戰(zhàn)術(shù)描述

攻擊者可能會(huì)通過(guò)第三方服務(wù)發(fā)送釣魚(yú)消息，而不是直接通過(guò)企業(yè)電子郵件渠道，以試圖訪(fǎng)問(wèn)受害系統(tǒng)。一個(gè)常見(jiàn)的例子是通過(guò)社交媒體與目標(biāo)建立融洽的關(guān)系，然后將內(nèi)容發(fā)送到目標(biāo)在其工作計(jì)算機(jī)上使用的個(gè)人網(wǎng)絡(luò)郵件服務(wù)。這允許攻擊者繞過(guò)對(duì)工作帳戶(hù)的一些電子郵件限制，并且目標(biāo)更有可能打開(kāi)文件。

3.6.4 緩解措施

3.6.4.1 防病毒/反惡意軟件(M1049)

殺毒軟件可以自動(dòng)隔離可疑文件。

3.6.4.2 網(wǎng)絡(luò)入侵防御(M1031)

網(wǎng)絡(luò)入侵防御系統(tǒng)可掃描和刪除惡意電子郵件附件。

3.6.4.3 限制基于Web的 內(nèi)容(M1021)

確定可用于網(wǎng)絡(luò)釣魚(yú)的某些網(wǎng)站或附件類(lèi)型(例如：.scr、.exe、.pif、.cpl 等)是否對(duì)業(yè)務(wù)運(yùn)營(yíng)是必要的。

3.6.4.4 軟件配置(M1054)

使用反欺騙和電子郵件身份驗(yàn)證機(jī)制檢查發(fā)件人域的有效性，并結(jié)合郵件的完整性過(guò)濾郵件。

3.6.4.5 用戶(hù)培訓(xùn)(M1017)

培訓(xùn)用戶(hù)安全意識(shí)，提升識(shí)別社會(huì)工程技術(shù)和網(wǎng)絡(luò)釣魚(yú)電子郵件的能力。

3.6.5 檢測(cè)

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和電子郵件網(wǎng)關(guān)可用于檢測(cè)傳輸中帶有惡意附件的網(wǎng)絡(luò)釣魚(yú)。

電子郵件中的 URL 檢查可以幫助檢測(cè)導(dǎo)致已知惡意站點(diǎn)的鏈接。

防病毒軟件可能會(huì)檢測(cè)到下載到用戶(hù)計(jì)算機(jī)上的惡意文檔和文件。

3.7 通過(guò)移動(dòng)介質(zhì)復(fù)制(T1091)

通過(guò)將惡意軟件復(fù)制到移動(dòng)介質(zhì)并自動(dòng)運(yùn)行功能，攻擊者可能會(huì)進(jìn)入系統(tǒng)，通過(guò)修改存儲(chǔ)在移動(dòng)介質(zhì)上的可執(zhí)行文件或通過(guò)復(fù)制惡意軟件并將其重命名為看起來(lái)像合法文件以誘騙用戶(hù)在單獨(dú)的系統(tǒng)上執(zhí)行它。

3.7.1 緩解措施

3.7.1.1 端點(diǎn)行為防御(M1040)

在 Windows 10 上，啟用攻擊面減少 (ASR) 規(guī)則以阻止未簽名/不受信任的可執(zhí)行文件(例如 .exe、.dll 或 .scr)在USB上運(yùn)行。

3.7.1.2 禁用或刪除功能或程序(M1042)

如果不需要，禁用自動(dòng)運(yùn)行。如果業(yè)務(wù)運(yùn)營(yíng)不需要移動(dòng)介質(zhì)，則在組織策略級(jí)別禁止或限制移動(dòng)介質(zhì)。

3.7.1.3 限制硬件安裝(M1034)

限制在網(wǎng)絡(luò)中使用 USB 設(shè)備或其他移動(dòng)介質(zhì)。

3.7.2 檢測(cè)

部署終端防御產(chǎn)品實(shí)現(xiàn)移動(dòng)設(shè)備的管控。

監(jiān)控移動(dòng)介質(zhì)的文件訪(fǎng)問(wèn)。檢測(cè)在移動(dòng)介質(zhì)安裝后或由用戶(hù)啟動(dòng)時(shí)從可移動(dòng)媒體執(zhí)行的進(jìn)程。如果以這種方式使用遠(yuǎn)程訪(fǎng)問(wèn)工具進(jìn)行橫向移動(dòng)，則執(zhí)行后可能會(huì)發(fā)生其他操作，例如打開(kāi)網(wǎng)絡(luò)連接以進(jìn)行命令和控制以及發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)信息。

3.8入侵供應(yīng)鏈(T1195)

入侵供應(yīng)鏈可以發(fā)生在供應(yīng)鏈的任何階段，包括：

• 開(kāi)發(fā)工具的操作
• 開(kāi)發(fā)環(huán)境的操作
• 源代碼存儲(chǔ)庫(kù)的操作
• 在開(kāi)源依賴(lài)項(xiàng)中操作源代碼
• 操縱軟件更新/分發(fā)機(jī)制
• 受損/受感染的系統(tǒng)映像
• 用修改版本替換合法軟件
• 向合法經(jīng)銷(xiāo)商銷(xiāo)售修改/假冒產(chǎn)品

入侵供應(yīng)鏈技術(shù)包含3個(gè)子技術(shù)：入侵軟件依賴(lài)和開(kāi)發(fā)工具、入侵軟件供應(yīng)鏈、入侵硬件供應(yīng)鏈。

3.8.1 入侵軟件依賴(lài)和開(kāi)發(fā)工具(T1195.001)

3.8.1.1 戰(zhàn)術(shù)描述

攻擊者可能會(huì)在最終消費(fèi)者收到之前操縱軟件依賴(lài)關(guān)系和開(kāi)發(fā)工具，以達(dá)到數(shù)據(jù)或系統(tǒng)危害的目的。應(yīng)用程序通常依賴(lài)外部軟件才能正常運(yùn)行。在許多應(yīng)用程序中用作依賴(lài)項(xiàng)的流行開(kāi)源項(xiàng)目可能會(huì)成為攻擊者添加惡意代碼的入口。

3.8.2 入侵軟件供應(yīng)鏈(T1195.002)

3.8.2.1 戰(zhàn)術(shù)描述

軟件供應(yīng)鏈的危害可以通過(guò)多種方式發(fā)生，包括操縱應(yīng)用程序源代碼、操縱該軟件的更新/分發(fā)機(jī)制，或用修改版本替換已編譯的版本。

3.8.3 入侵硬件供應(yīng)鏈(T1195.003)

3.8.3.1 戰(zhàn)術(shù)描述

通過(guò)修改供應(yīng)鏈中的硬件或固件，攻擊者可以將后門(mén)插入可能難以檢測(cè)到的消費(fèi)者網(wǎng)絡(luò)中，并使攻擊者對(duì)系統(tǒng)具有高度控制權(quán)。硬件后門(mén)可以插入到各種設(shè)備中，例如服務(wù)器、工作站、網(wǎng)絡(luò)基礎(chǔ)設(shè)施或外部設(shè)備。

3.8.4 緩解措施

3.8.4.1 更新軟件(M1051)

實(shí)施補(bǔ)丁管理流程來(lái)檢查未使用的依賴(lài)項(xiàng)、未維護(hù)的或以前易受攻擊的依賴(lài)項(xiàng)、不必要的功能、組件、文件和文檔。

3.8.4.2 漏洞掃描(M1016)

實(shí)施對(duì)漏洞來(lái)源的持續(xù)監(jiān)控以及自動(dòng)和手動(dòng)代碼審查工具的使用。

3.8.5 檢測(cè)

通過(guò)散列檢查或其他完整性檢查機(jī)制對(duì)分布式二進(jìn)制文件進(jìn)行驗(yàn)證。掃描下載的惡意簽名并在部署之前嘗試測(cè)試軟件和更新，同時(shí)注意潛在的可疑活動(dòng)。對(duì)硬件進(jìn)行物理檢查以尋找潛在的篡改。

3.9 利用受信關(guān)系(T1199)

攻擊者可能會(huì)破壞或以其他方式利用可以接觸到目標(biāo)受害者的組織。通過(guò)受信任的第三方關(guān)系進(jìn)行訪(fǎng)問(wèn)會(huì)繞過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限的標(biāo)準(zhǔn)機(jī)制。

3.9.1 緩解措施

3.9.1.1 網(wǎng)絡(luò)分段(M1030)

網(wǎng)絡(luò)分段可用于隔離不需要廣泛網(wǎng)絡(luò)訪(fǎng)問(wèn)的基礎(chǔ)設(shè)施組件。

3.9.1.2 用戶(hù)賬戶(hù)控制(M1052)

正確管理受信任關(guān)系中各方使用的帳戶(hù)和權(quán)限，以盡量減少該方的潛在濫用以及該方被對(duì)手入侵的情況。

3.9.2 檢測(cè)

部署IAM身份識(shí)別與訪(fǎng)問(wèn)管理系統(tǒng)進(jìn)行權(quán)限、賬號(hào)、身份等多維度統(tǒng)一認(rèn)證管理。

3.10 利用有效賬戶(hù)(T1078)

攻擊者可能會(huì)獲取和濫用現(xiàn)有帳戶(hù)的憑據(jù)，受損憑據(jù)可用于繞過(guò)對(duì)網(wǎng)絡(luò)內(nèi)系統(tǒng)上各種資源的訪(fǎng)問(wèn)控制，甚至可用于對(duì)遠(yuǎn)程系統(tǒng)和外部可用服務(wù)的持久訪(fǎng)問(wèn)。被泄露的憑證還可能授予攻擊者增加特定系統(tǒng)的特權(quán)或訪(fǎng)問(wèn)網(wǎng)絡(luò)的受限區(qū)域。利用有效賬戶(hù)技術(shù)包含4個(gè)子技術(shù)：默認(rèn)賬戶(hù)、域賬戶(hù)、本地賬戶(hù)、云賬戶(hù)。

3.10.1 默認(rèn)賬戶(hù)(T1078.001)

默認(rèn)帳戶(hù)是操作系統(tǒng)內(nèi)置的帳戶(hù)，例如 Windows 系統(tǒng)上的訪(fǎng)客或管理員帳戶(hù)。

默認(rèn)賬戶(hù)不限于客戶(hù)端機(jī)器，還包括為網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)應(yīng)用程序等設(shè)備預(yù)設(shè)的賬戶(hù)，預(yù)設(shè)用戶(hù)名和密碼組合的設(shè)備對(duì)安裝后不更改的組織構(gòu)成嚴(yán)重威脅，因?yàn)樗鼈兒苋菀壮蔀楣粽叩哪繕?biāo)。同樣，攻擊者也可能利用公開(kāi)披露或被盜的私鑰通過(guò)遠(yuǎn)程服務(wù)合法地連接到遠(yuǎn)程環(huán)境。

3.10.2 域賬戶(hù)(T1078.002)

攻擊者可能會(huì)通過(guò)操作系統(tǒng)憑據(jù)轉(zhuǎn)儲(chǔ)或密碼重用等各種手段破壞域帳戶(hù)，其中一些帳戶(hù)具有高級(jí)別的權(quán)限，從而允許訪(fǎng)問(wèn)域的特權(quán)資源。

3.10.3 本地賬戶(hù)(T1078.003)

本地帳戶(hù)是由組織配置供用戶(hù)、遠(yuǎn)程支持、服務(wù)使用或用于管理單個(gè)系統(tǒng)或服務(wù)的帳戶(hù)。本地帳戶(hù)也可能被濫用以通過(guò)操作系統(tǒng)憑據(jù)轉(zhuǎn)儲(chǔ)來(lái)提升權(quán)限和獲取憑據(jù)。

3.10.4 云賬戶(hù)(T1078.004)

云帳戶(hù)是由組織創(chuàng)建和配置的帳戶(hù)，供用戶(hù)遠(yuǎn)程支持或服務(wù)使用，或用于管理云服務(wù)提供商或 SaaS 應(yīng)用程序中的資源。云帳戶(hù)的受損憑據(jù)可用于從在線(xiàn)存儲(chǔ)帳戶(hù)和數(shù)據(jù)庫(kù)中收集敏感數(shù)據(jù)。還可以濫用對(duì)云帳戶(hù)的訪(fǎng)問(wèn)權(quán)限，通過(guò)濫用信任關(guān)系獲得對(duì)網(wǎng)絡(luò)的初始訪(fǎng)問(wèn)權(quán)限。與域帳戶(hù)類(lèi)似，聯(lián)合云帳戶(hù)的入侵可能使攻擊者更容易在環(huán)境中橫向移動(dòng)。

3.10.5 緩解措施

3.10.5.1 應(yīng)用程序開(kāi)發(fā)人員指南(M1013)

確保應(yīng)用程序安全地存儲(chǔ)敏感數(shù)據(jù)或憑據(jù)。

3.10.5.2 密碼策略(M1027)

使用默認(rèn)用戶(hù)名和密碼的應(yīng)用程序和設(shè)備應(yīng)在安裝后和部署到生產(chǎn)環(huán)境之前立即更改。

3.10.5.3 特權(quán)賬戶(hù)管理(M1026)

定期審核域和本地帳戶(hù)及其權(quán)限級(jí)別，以查找可能允許攻擊者通過(guò)獲取特權(quán)帳戶(hù)的憑據(jù)來(lái)獲得廣泛訪(fǎng)問(wèn)權(quán)限的情況。這些審核還應(yīng)包括是否啟用了默認(rèn)帳戶(hù)，或者是否創(chuàng)建了未經(jīng)授權(quán)的新本地帳戶(hù)等以限制跨管理層的特權(quán)帳戶(hù)使用。

3.10.5.4 用戶(hù)培訓(xùn)(M1017)

應(yīng)用程序可能會(huì)發(fā)送推送通知以驗(yàn)證登錄作為多因素身份驗(yàn)證的一種形式。培訓(xùn)用戶(hù)只接受有效的推送通知并報(bào)告可疑的推送通知。

3.10.6 檢測(cè)

基于安全管理平臺(tái)智能關(guān)聯(lián)分析引擎，檢測(cè)可疑帳戶(hù)行為，包括：

• 一個(gè)賬號(hào)同時(shí)登錄多個(gè)系統(tǒng)
• 多個(gè)賬號(hào)同時(shí)登錄同一臺(tái)機(jī)器
• 工作時(shí)間以外登錄的帳戶(hù)
• 單賬號(hào)多IP登錄
• 沉默賬號(hào)、失效賬號(hào)登錄
• 登錄成功后短時(shí)間內(nèi)注銷(xiāo)的賬號(hào)
• 賬號(hào)繞堡壘機(jī)登錄
• SSH跳板登錄

也可以定期審計(jì)登錄行為，比如登錄會(huì)話(huà)創(chuàng)建，登錄后的上下文行為等發(fā)現(xiàn)異常行為。

四、總結(jié)

本期主要介紹了初始訪(fǎng)問(wèn)戰(zhàn)術(shù)及技術(shù)/子技術(shù)原理，下期將給大家介紹初始訪(fǎng)問(wèn)戰(zhàn)術(shù)覆蓋的實(shí)戰(zhàn)型場(chǎng)景驗(yàn)證過(guò)程及行之有效的檢測(cè)規(guī)則、防御措施等。