「ATT&CK 框架」,由 MITRE 公司于 2013 年提出来的一个通用知识框架,中文名叫做「对抗战术、技术、常识 」 。MITRE公司前身是麻省理工学院的林肯实验室,是一家向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,其最引为人知的是它目前维护了全球最大的漏洞信息库CVE。而ATT&CK框架正是MITRE公司基于其在CVE漏洞库管理基础上,总结入侵者入侵实战和漏洞利用手法,从而形成详细的入侵知识库框架。
ATT&CK 框架是基于真实网络空间攻防案例及数据,采用军事战争中的 **TTPs (Tactics, Techniques & Procedures)**方法论,重新编排的网络安全知识体系,目的是建立一套网络安全的通用语言。
举例,大家经常听到的什么 APT 攻击、威胁情报、态势感知等等,无论个人还是企业,理解上不尽相同,总会有一些偏差的。有了 ATT&CK 框架,大家不会存在太大的偏差,红队具体怎么去攻击的,蓝队具体到怎么去防御的,使用 ATT&CK 矩阵可以将每个细节标记出来,攻击路线和防御过程都可以图形展现出来,攻防双方就有了一套通用语言了。
ATT&CK整体有三个部分,一个是 PRE ATT&CK,一个是 ATT&CK for Enterprise,一个是 ATT&CK for Mobile,我们学习和研究时,核心放在 ATT&CK for Enterprise 即可。
这张图里面,横轴代表是战术(Tactics),最新版本里横轴包括的战术有 12 个,纵轴代表的是技术(Techniques)有 156 个技术 272 个子技术。
ATT&CK框架的十四个战术:
ATT&CK框架脱胎于洛克希德-马丁的KillChain杀伤链模型,在此基础上构建了一套更加细粒度、更易达成共识的知识模型和框架。ATT&CK模型覆盖了Kill Chain模型的所有阶段,同时扩展了后渗透阶段的相关技术。ATT&CK框架的核心理念与要素是TTP(Tactics, Techniques and Procedures;战术, 技术与过程),ATT&CK框架中所有对入侵行动的分析以及知识库的提炼积累,都是围绕TTP而展开的。当前ATT&CK的版本号是V11版本,具体战术如下:
1. 侦查:收集信息以计划未来对手的行动,即有关目标组织的信息
2. 资源准备:建立资源以支持作战,即建立指挥和控制基础设施
3. 初始访问:尝试突破边界进入网络,包含常规入侵和社会工程学入侵。
4. 执行:尝试运行恶意代码,运行远程访问工具
5. 持久化:通过修改系统配置和策略,试图建立长期据点。
6. 权限提升:通过利用漏洞提升访问权限,试图获得更高级别的权限
7. 防御规避:使用受信任的进程来隐藏恶意软件,试图规避检测
8. 凭据窃取:窃取用户名和密码等凭据,例如利用键盘记录
9. 内部探测:探索内部环境中所有系统,试图弄清楚所在环境
10.横向移动:内网横向移动,即使用合法凭证在多个系统中移动
11.数据收集:收集目标中有价值的数据,例如访问云存储中的数据
12.命令和控制:与受感染的系统通信以控制它们,即模仿正常的网络流量与受害网络通信以进行远程控制
13.数据渗漏:窃取数据,例如通过隐蔽隧道转移数据到云账户
14.影响:操纵、中断或破坏系统和数据,即使用勒索软件加密数据
以上是ATT&CK框架的十四个战术,跟洛克希德-马丁的Kill Chain不一样的是这些战术不用遵循任何线性顺序,入侵者可以随意切换战术来实现最终目标。
渗透测试执行标准PTES,渗透测试的一种执行规范。渗透测试执行流程如下:
1.前期交互阶段
测试团队与客户组织进行交互讨论确定测试范围,目标,限制条件以及服务合同细节
收集客户需求,准备测试计划,定义测试范围与边界,定义业务目标,项目管理与规划
2.情报搜集阶段
确定范围后,可以利用各种信息来源与收集技术方法,获取更多关于目标组织网络拓扑,系统配置与安全防御措施的信息。公开来源的信息查询,google hacking,社会工程学,网络踩点,扫描探测,被动监听,服务检查等。
3.威胁建模阶段
搜集到充分的情报信息之后,共同讨论获取的信息进行威胁建模与攻击规划,从中进行梳理,找出最可行的攻击通道。
4.漏洞分析阶段
确定出最可行的攻击通道之后,考虑如何取得目标系统的访问控制权。需要综合分析前几个阶段获取并汇总的情报信息,找出攻击点,并在环境中进行验证。找出可被利用的未知安全漏洞,并开发渗透代码,从而打开攻击通道。
5.渗透攻击阶段
利用找出的漏洞,真正入侵系统获得权限,黑盒测试中渗透测试者需要进行痕迹清理
6.后渗透测试阶段
需要渗透测试团队根据目标组织的业务经营模式,保护资产形式与安全防御计划的不同特点,自主设计出攻击目标,识别关键基础设施,并寻找客户组织最具有价值和尝试安全保护的信息资产,最终达到能够对客户组织造成最重要业务影响的攻击途径。
7.报告阶段
这份报告体现出渗透测试流程中所有的信息,包括渗透测试执行过程,还要站在防御者角度上,帮助他们分析安全防御体系中的薄弱环节,存在的问题,以及修补与升级技术方案
附录:相关术语
漏洞类
l漏洞:
基于技术分类,有命令执行、权限绕过、注入、弱口令等;基于时间分类,有0 day ,1 day, N day等。
lCve:
“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
美国MITRE公司创立,通过CNA机构分配漏洞编号,通过CVSS系统评估漏洞等级
lPoc:
概念验证(Proof of concept,简称POC)是对某些想法的一个不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。通常指一段漏洞验证程序/攻击样例,仅能验证漏洞存在而不能实质性利用。
lExploit:
意思就是利用,漏洞利用。代表一段有漏洞价值的攻击代码或一个漏洞利用过程。常见的exploit有sql注入、缓冲区溢出、远程代码执行等。
lPayload:
攻击载荷,通常指exploit拿下目标后,攻击者在目标机器上执行的定制代码或程序,如会话建立、shellcode等。
lShellcode:
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
恶意程序类
lMalware:
恶意软件或程序,泛指病毒、木马、勒索软件等。
lVirus:
病毒,通常依附于其他文件或程序上,不自我复制传播,当运行其他程序时启动,对目标系统进行破坏。
lWorm:
蠕虫病毒,能独立于其他文件或程序运行,能基于网络进行自我复制和传播,实施破坏。
ltrojan horse:
特洛伊木马,简称木马,潜伏于合法软件中运行,不复制传播且高度隐秘,运行时创建后门,通过后门对目标系统实施远程控制、监听等。
lRansomware:
勒索软件,独立于其他文件运行,能基于网络进行自我复制和传播,通过对目标系统的加密劫持实施勒索。
lSpyware:
间谍软件,流氓/恶意软件,搜集用户个人信息实施网页劫持、网址导航等。
lRootkits:
升级型的木马病毒、泛指能获取到root权限的恶意程序,绕过杀毒软件。
基础设施类
lC2:
command and control server,命令控制服务器,远程控制目标主机并发送指令,通常为了防止暴露使用云服务器。
l肉鸡:
被恶意软件感染,能被黑客控制的电脑或设备。
l僵尸网络:
成千上万肉鸡组成的大规模分布式网络,以此实现ddos攻击等。
攻击方法类
lAPT:
Advanced Persistent Threat,高级持续性威胁。指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
l0day:
0day就是指一些没有公布补丁的漏洞,或者是还没有被漏洞发现者公布出来的漏洞利用工具,由于漏洞细节未被公开,厂商未发布补丁,理论上无法防御。
l鱼叉攻击:
网络钓鱼攻击的一种,通常是指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。
l水坑攻击:
“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
lDdos:
分布式拒绝服务攻击原理分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
l拖库:
利用漏洞(如sql注入)入侵网站将数据库拖出的过程。
l撞库:
通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
Copyright © 2005-2021 网信安全世界版权所有