在撰写这一系列文章时,笔者也在思考如何避免假大空的更好地呈现这一框架的内容,如何输出对安全行业有用的具有实操价值的内容。而理解并掌握ATT&CK框架的关键就是学会使用ATT&CK这种通用性语言对我们平常所进行的各个攻击流程中的细节行为进行描述,同时通过这一完善的内容架构对组织安全防护缺失进行自查,尽量做到完整涵盖各个方面,理解机构自身在面对针对性攻击时所面临的到底是什么,需要完善的又是哪些方面,对安全工作进行量化。因此阅读并理解ATT&CK中的各个Matrices、Tactics、Techniques是很有必要的(如果对ATT&CK框架还不了解请查看这一系列的首篇文章),所以这篇文章也仅是一个基于框架的中文版学习指南,如果读者能够清晰完整并快速地浏览ATT&CK框架的原文则不建议浪费时间在此篇文章当中(但可以作为中文参考备用)。
一直以来信息搜集的文章和技巧都层出不穷,许多文章也已经从技术层面详细地涵盖了各个在实战过程中所应涉及到的信息收集点。但是对于一次APT攻击来说,这样的信息搜集过程是有所缺失的,其更多的还是聚焦于服务器或网站等具体技术组件的信息搜集,缺少其他层面的信息搜集视角。而这在ATT&CK中有了一个很好的完善,通过一种规范化的定义,对实际攻击流程中的信息搜集进行了完整覆盖。
ATT&CK中对各种Tactics和Techniques的描述是以一种假想攻击者在整个攻击流程中的行为的口吻,文章用了一种更易阅读的方式进行了翻译概括,可以作为企业安全检查基线或红队攻击指南使用。本来也想在Techniques层面进一步扩展映射一下平常在使用的一些具体的搜集工具及搜索技巧,但后来发现单单完成此篇文章的工作量已经远远超出预期,如果后续再进行添加实在太耗时间,因此决定还是不进行拓展了留给各位自行针对所需进行补充与完善。
文末附有中文完整版下载(包含所需搜集信息与搜集方式)
PRE-Matrix归属于ATT&CK for Enterprise下,其下分为TA0043 Reconnaissance和TA0042 Resource Development两个战术,此篇文章介绍的为TA0043 Reconnaissance 侦察战术的技术细节
在这一战术中,攻击者正试图收集情报以便计划未来的行动。侦察技术包括主动和被动地收集信息以便支持攻击目标。这些信息可以包含受害者组织、基础设施以及工作人员等的详细信息。攻击者可以利用这些信息来帮助完成对手攻击流程的其他阶段,例如使用这些信息来计划和执行初始访问,确定沦陷目标的范围和优先级,以及驱动和领导进一步的侦察行动。
此战术 *** 包含9个技术(在其官网并没有按数字顺序排序,这样排序方便梳理与理解)
T1589 Gather Victim Identity Information 收集受害者身份信息
T1590 Gather Victim Network Information 收集受害者 *** 信息
T1591 Gather Victim Org Information 收集受害者组织信息
T1592 Gather Victim Host Information 收集受害者主机信息
T1593 Search Open Websites/Domains 搜索开放网站/域
T1594 Search Victim-Owned Websites 搜索受害者所拥有 ***
T1595 Active Scanning 主动扫描
T1596 Search Open Technical Databases 搜索开放技术数据库
T1597 Search Closed Sources 搜索封闭来源
T1598 Phishing for Information 信息钓鱼
根据技术名称也可以比较清晰的了解T1589-T1594、T1596-T1597侧重于描述无需交互的信息搜集技巧,而T1595和T1598更侧重于需要主动交互的信息搜集技巧
收集信息:受害者身份信息,包括个人数据(例如员工姓名、电子邮件地址等)以及凭据等敏感信息
收集方式:T1598 Phishing for Information。通过在线或其他可访问的公开数据集暴露给攻击者(T1593.001 Social Media 或T1594 Search Victim-Owned Websites)
引申Techniques:收集到信息可能会揭示其他形式的侦察机会(T1593 Search Open Websites/Domains和T1598 Phishing for Information),建立操作资源(T1586 Compromise Accounts),以及初始访问(T1566 Phishing或T1078 Valid Accounts)
收集的信息:与目标受害组织直接相关的帐户凭据,在个人和企业帐户中使用相同密码的用户
收集方式:T1598 Phishing for Information、利用水坑攻击窃取用户cookie等认证信息、通过在线或其他可访问的公开数据集(例如T1593.002 Search Engines 搜索引擎、转储泄漏、代码仓库等)、从暗网或其他黑市中购买
引申Techniques:T1593 Search Open Websites/Domains、T1598 Phishing for Information、T1586 Compromise Accounts 、T1133 External Remote Services、T1078 Valid Accounts
收集信息:邮件地址、组织面向员工的电子邮件地址及相关基础设施
收集方式:通过在线或其他可访问的公开数据集(T1593.001 Social Media、T1594 Search Victim-Owned Websites)
引申Techniques:T1593 Search Open Websites/Domains、T1598 Phishing for Information、T1586.002 Email Accounts、T1566 Phishing
收集信息:员工姓名(可被用来获取电子邮件地址,并帮助指导以完成其他侦察工作和 *** 更可信诱饵)
收集方式:通过在线或其他可访问的公开数据集(T1593.001 Social Media、T1594 Search Victim-Owned Websites)
引申Techniques:T1593 Search Open Websites/Domains、T1598 Phishing for Information、T1586 Compromise Accounts 、T1566 Phishing、T1078 Valid Accounts
收集信息: *** 相关信息,包括管理数据(IP地址范围、域名等)以及关于其拓扑和操作的细节信息
收集方式:通过 T1595 Active Scanning 或 T1598 Phishing for Information 直接收集信息,通过在线或其他可访问的公开数据集暴露给攻击者(T1594 Search Victim-Owned Websites)
引申Techniques:收集到信息可能会揭示其他形式的侦察机会(T1595 Active Scanning或T1593 Search Open Websites/Domains),建立操作资源(T1583 Acquire Infrastructure和T1586 Compromise Accounts),以及初始访问(T1199 Trusted Relationship)
收集信息:受害者所拥有域名的相关管理信息(名称、注册商等)、邮件地址、 *** 号码、公司地址、域名服务器
收集方式:T1595 Active Scanning、T1598 Phishing for Information、通过在线或其他可访问的公开数据集(例如 T1596.002 WHOIS)
引申Techniques:T1596 Search Open Technical Databases、T1593 Search Open Websites/Domains、T1598 Phishing for Information、T1583 Acquire Infrastructure、T1584 Compromise Infrastructure、T1566 Phishing
收集信息:包括已注册的域名服务器、目标子域列表、邮件服务器和其他主机地址记录
收集方式:开源数据集 T1596.001 DNS/Passive DNS、通过在线或其他可访问的公开数据集(T1596 Search Open Technical Databases)
引申Techniques:T1596 Search Open Technical Databases、T1593 Search Open Websites/Domains、T1595 Active Scanning、T1583 Acquire Infrastructure、T1584 Compromise Infrastructure、 External Remote Services
收集信息:与组织有(潜在)联系的第二方或第三方组织/域(例如托管服务提供商、承包商等)
收集方式:T1598 Phishing for Information、通过在线或其他可访问的公开数据集(T1596 Search Open Technical Databases)
引申Techniques:T1595 Active Scanning、T1593 Search Open Websites/Domains、T1583 Acquire Infrastructure、T1584 Compromise Infrastructure、T1199 Trusted Relationship
收集信息:外部和内部 *** 环境的物理和逻辑拓扑,相关 *** 设备(网关、路由器等)和其他基础设施的细节信息
收集方式:通过T1595 Active Scanning、T1598 Phishing for Information直接收集信息,通过在线或其他可访问的公开数据集(T1594 Search Victim-Owned Websites)
引申Techniques:T1596 Search Open Technical Databases、T1593 Search Open Websites/Domains、T1583 Acquire Infrastructure、T1584 Compromise Infrastructure、T1133 External Remote Services ?
收集信息:正被使用的IP地址(通过IP地址还可以使攻击者获得有关受害者的其他详细信息,如组织规模、物理位置、Internet服务提供商,以及在何处/如何托管其面向公众的基础设施)
收集方式:T1595 Active Scanning 、T1598 Phishing for Information、通过在线或其他可访问的公开数据集(T1596 Search Open Technical Databases)
引申Techniques:T1595 Active Scanning、T1596 Search Open Technical Databases、T1583 Acquire Infrastructure、T1584 Compromise Infrastructure、T1133 External Remote Services
收集信息:受害者 *** 中安全相关的应用、部署的防火墙、内容过滤器、 *** /堡垒主机、NIDS、其他安全防御相关运营信息
收集方式:T1595 Active Scanning 、T1598 Phishing for Information、通过在线或其他可访问的公开数据集(T1594 Search Victim-Owned Websites)
引申Techniques:T1596 Search Open Technical Databases、T1593 Search Open Websites/Domains、T1587 Develop Capabilities、T1588 Obtain Capabilities、T1133 External Remote Services
收集信息:分部/部门的名称、业务流程的详细信息以及关键员工的角色和职责。
收集方式:通过T1598 Phishing for Information直接获取。通过在线或其他可访问的公开数据集(T1593.001 Social Media或T1594 Search Victim-Owned Websites)。
引申Techniques:收集到信息可能会揭示其他形式的侦察机会(T1598 Phishing for Information和T1596 Search Open Technical Databases),建立操作资源(T1585 Establish Accounts和T1586 Compromise Accounts),以及初始访问(T1566 Phishing或T1199 Trusted Relationship)。
收集信息:业务关系信息包括与该组织存在 *** 访问(和潜在相关的)的第二或第三方(例如托管服务提供者、承包商等)的组织/域信息,这些信息可能揭示受害者硬件和软件资源的供应链和运输路径
收集方式:T1598 Phishing for Information、通过在线或其他可访问的公开数据集(T1593.001 Social Media、T1594 Search Victim-Owned Websites)
引申Techniques:T1598 Phishing for Information、T1593 Search Open Websites/Domains、T1585 Establish Accounts、 T1586 Compromise Accounts、T1195 Supply Chain Compromise、T1189 Drive-by Compromise、T1199 Trusted Relationship
./index.php日志整理:因为其打包的exe操控程序并没有包括默许的powershell载荷代码,所以无法进一步得知。 图4:歹意文件“flashplayer_install.exe "从hxx...
经济观察网 新闻记者 种昂近年来,红粉佳荣红酒庄庄主马九虎心存退意,正方案售卖这一甘肃红寺堡种植区较大 的葡萄酒庄。 “酒卖不掉,钱回不去,库存量持续提升,每一年红酒庄园亏本都是在上百万元,现如今是...
“女娲娘娘故居”平利南依巴山、北靠汉江,风景秀丽,风景秀丽,有“巴山药乡”和“微生物基因库”的美名。被医疗界称为东方神草、世间福利草的绞股蓝茶出产在此。 我国硒谷 绿色生态健康,平利绞股蓝富硒茶生长发...
每日要闻随着互联网时代的到来,我们身边越来越多的人使用微信。微信的出现极大地改变了人们的生活。有人用微信和家人朋友聊天,也有人把微信当成生活之中不可或缺的工具。但正是由于微信的使用越来越多,微信密码在...
韩剧《李尸朝鲜》(王国)由Netflix出品,第一季于去年初首播。 《李尸朝鲜》播出后大受好评,IMDB评分8.3,豆瓣评分8.5。 本剧凭据漫画《神的国家》拍摄。时间和地址设定在16世纪的朝鲜。...
屠夫这个词如今早已变成了修饰词,仿佛离大家很漫长,撇开害怕而言屠夫也只是是古时候的一个独特的岗位罢了,今日就给大伙儿讲一讲真正的屠夫是哪些的。 古时候屠夫是一个技术人员,大伙儿很有可能感觉怪异...