完美世界有声小说,管理书籍排行榜,长生界辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

ATT&CKv10版本戰(zhàn)術(shù)介紹執(zhí)行

一、引言

在上期文章中我們介紹了ATT&CK執(zhí)行戰(zhàn)術(shù)前6項(xiàng)技術(shù)內(nèi)容，本期我們?yōu)榇蠹医榻B執(zhí)行戰(zhàn)術(shù)后7項(xiàng)技術(shù)內(nèi)容，后續(xù)會(huì)陸續(xù)介紹ATT&CK其他戰(zhàn)術(shù)內(nèi)容，敬請(qǐng)關(guān)注。

二、ATT&CK v10簡(jiǎn)介

MITRE ATT&CK 是一個(gè)全球可訪問(wèn)的基于現(xiàn)實(shí)世界觀察的對(duì)手戰(zhàn)術(shù)和技術(shù)知識(shí)庫(kù)。ATT&CK 知識(shí)庫(kù)被用作在私營(yíng)部門(mén)、政府以及網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)社區(qū)中開(kāi)發(fā)特定威脅模型和方法的基礎(chǔ)。ATT&CK v10更新了適用于企業(yè)、移動(dòng)設(shè)備和 ICS（工業(yè)控制系統(tǒng)）框架的技術(shù)、組和軟件。最大的變化是在企業(yè) ATT&CK 中增加了一組新的數(shù)據(jù)源和數(shù)據(jù)組件對(duì)象，這是對(duì) ATT&CK v9 中發(fā)布的 ATT&CK 數(shù)據(jù)源名稱(chēng)更改的補(bǔ)充。在 ATT&CK v10 中更新的內(nèi)容匯總了有關(guān)數(shù)據(jù)源的這些信息，同時(shí)將它們構(gòu)建為新的 ATT&CK 數(shù)據(jù)源對(duì)象。ATT&CK v10 for Enterprise包含14個(gè)戰(zhàn)術(shù)、188個(gè)技術(shù)、379個(gè)子技術(shù)、129個(gè)組織、638個(gè)軟件，一共包括38類(lèi)數(shù)據(jù)源。數(shù)據(jù)源對(duì)象具有數(shù)據(jù)源的名稱(chēng)以及關(guān)鍵細(xì)節(jié)和元數(shù)據(jù)，包括 ID、定義、可以收集它的位置（收集層）、可以在什么平臺(tái)上找到它，突出顯示構(gòu)成數(shù)據(jù)源的相關(guān)值/屬性的組件。ATT&CK v10 中的數(shù)據(jù)組件分析每個(gè)亮點(diǎn)映射到各種（子）技術(shù)，這些技術(shù)可以用該特定數(shù)據(jù)檢測(cè)到。在個(gè)別（子）技術(shù)上，數(shù)據(jù)源和組件已從頁(yè)面頂部的元數(shù)據(jù)框重新定位，以與檢測(cè)內(nèi)容并置。這些數(shù)據(jù)源可用于 Enterprise ATT&CK 的所有平臺(tái)，包括最新添加的涵蓋映射到 PRE 平臺(tái)技術(shù)的開(kāi)源情報(bào) (OSINT) 相關(guān)數(shù)據(jù)源。

ATT&CK戰(zhàn)術(shù)全景圖（紅框?yàn)閳?zhí)行戰(zhàn)術(shù)）

三、執(zhí)行戰(zhàn)術(shù)

3.1 概述

執(zhí)行戰(zhàn)術(shù)是指攻擊者控制的惡意代碼在本地或遠(yuǎn)程系統(tǒng)上運(yùn)行的技術(shù)，通常與其他技術(shù)結(jié)合使用，例如掃描網(wǎng)絡(luò)或竊取數(shù)據(jù)，使用遠(yuǎn)程訪問(wèn)工具來(lái)運(yùn)行PowerShell 腳本等。

執(zhí)行包括13種技術(shù)，前一期我們已介紹了前6種技術(shù)，下面逐一介紹后7種技術(shù)。

3.2 利用計(jì)劃任務(wù)/工作（T1053）

攻擊者可利用任務(wù)調(diào)度功能來(lái)執(zhí)行惡意代碼。所有主要操作系統(tǒng)中都有程序或腳本在指定的日期和時(shí)間執(zhí)行。如果滿足適當(dāng)?shù)纳矸蒡?yàn)證（例如：RPC 以及 Windows 環(huán)境中的文件和打印機(jī)共享），也可以在遠(yuǎn)程系統(tǒng)上安排任務(wù)，需要成為遠(yuǎn)程系統(tǒng)上的管理員或其他特權(quán)組的成員。

攻擊者可能會(huì)使用任務(wù)調(diào)度在系統(tǒng)啟動(dòng)時(shí)或定時(shí)執(zhí)行程序以實(shí)現(xiàn)持久性。這些機(jī)制也可以被利用以在特權(quán)帳戶下運(yùn)行進(jìn)程。與系統(tǒng)二進(jìn)制代理執(zhí)行類(lèi)似，攻擊者也利用任務(wù)調(diào)度來(lái)掩蓋受信任系統(tǒng)進(jìn)程下的一次性執(zhí)行。

利用計(jì)劃任務(wù)/工作包含5個(gè)子技術(shù)，如下：

3.2.1 At程序（T1053.002）

攻擊者可能會(huì)利用at程序執(zhí)行惡意代碼的任務(wù)調(diào)度。at程序是Windows、Linux 和 macOS 中的可執(zhí)行文件，可執(zhí)行定時(shí)任務(wù)。盡管在 Windows 環(huán)境中已棄用計(jì)劃任務(wù)的 schtasks，但使用 at 需要運(yùn)行任務(wù)計(jì)劃程序服務(wù)，并且用戶必須作為本地管理員組的成員登錄。

在Linux和macOS 上，超級(jí)用戶以及添加到 at.allow 文件的任何用戶都可以調(diào)用 at。如果 at.allow 文件不存在，則允許不在 at.deny 中的用戶名調(diào)用at。如果at.deny存在且為空，則允許全局使用 at。如果兩個(gè)文件都不存在，則只允許超級(jí)用戶使用at。

攻擊者可使用at在系統(tǒng)啟動(dòng)時(shí)或定時(shí)執(zhí)行程序以實(shí)現(xiàn)持久化。at也可以被利用來(lái)作為橫向移動(dòng)的一部分進(jìn)行遠(yuǎn)程執(zhí)行或在指定帳戶下運(yùn)行進(jìn)程。

在 Linux 環(huán)境中，攻擊者還可能通過(guò)shell或系統(tǒng)命令來(lái)利用at程序突破受限環(huán)境。如果允許二進(jìn)制文件通過(guò)sudo以超級(jí)用戶身份運(yùn)行，at也可用于權(quán)限提升。

3.2.2 Cron程序（T1053.003）

攻擊者可能會(huì)利用cron程序定時(shí)執(zhí)行惡意代碼。cron程序是用于類(lèi)Unix 操作系統(tǒng)的定時(shí)任務(wù)調(diào)度程序。crontab文件包含要運(yùn)行的定時(shí)任務(wù)計(jì)劃和執(zhí)行時(shí)間，存儲(chǔ)在操作系統(tǒng)特定的文件路徑中。

攻擊者可在Linux或Unix 環(huán)境中使用cron在系統(tǒng)啟動(dòng)時(shí)或定時(shí)執(zhí)行程序以實(shí)現(xiàn)持久化。

3.2.3 計(jì)劃任務(wù)（T1053.005）

攻擊者可能會(huì)利用 Windows 任務(wù)計(jì)劃程序來(lái)實(shí)現(xiàn)惡意代碼的初始或重復(fù)執(zhí)行。有多種方法可以訪問(wèn) Windows 中的任務(wù)計(jì)劃程序。schtasks 程序可以直接在命令行上運(yùn)行，也可以通過(guò)控制面板的GUI打開(kāi)任務(wù)計(jì)劃程序。攻擊者也可使用 Windows 任務(wù)計(jì)劃程序的.NET包裝器，或Windows netapi32庫(kù)來(lái)創(chuàng)建計(jì)劃任務(wù)。

攻擊者可能會(huì)使用Windows任務(wù)計(jì)劃程序在系統(tǒng)啟動(dòng)時(shí)或定時(shí)執(zhí)行以實(shí)現(xiàn)持久化。Windows 任務(wù)計(jì)劃程序可被遠(yuǎn)程執(zhí)行作為橫向移動(dòng)的一部分或在指定帳戶下運(yùn)行進(jìn)程。與系統(tǒng)二進(jìn)制代理執(zhí)行類(lèi)似，攻擊者也利用Windows 任務(wù)計(jì)劃程序來(lái)掩蓋簽名/受信任系統(tǒng)進(jìn)程下的一次性執(zhí)行。

攻擊者還可以創(chuàng)建隱藏的計(jì)劃任務(wù)，用于列舉任務(wù)的工具和手動(dòng)查詢。攻擊者可以通過(guò)刪除關(guān)聯(lián)的安全描述符（SD）注冊(cè)表值來(lái)隱藏SCHTASKS 查詢和任務(wù)調(diào)度程序的任務(wù)。也可以采用替代方法隱藏任務(wù)，例如在關(guān)聯(lián)注冊(cè)表密鑰中更改元數(shù)據(jù)（例如索引值）。

3.2.4 系統(tǒng)定時(shí)器（T1053.006）

攻擊者可能會(huì)利用 systemd 計(jì)時(shí)器來(lái)執(zhí)行惡意代碼。Systemd 計(jì)時(shí)器是具有文件擴(kuò)展名 .timer 的單元文件，用于控制服務(wù)。計(jì)時(shí)器可以定時(shí)運(yùn)行。它們可以在Linux 環(huán)境中用作Cron 的替代方案。Systemd 計(jì)時(shí)器可以通過(guò) systemctl 命令行遠(yuǎn)程激活，通過(guò) SSH 運(yùn)行。

每個(gè).timer文件必須有一個(gè)對(duì)應(yīng)的同名.service文件，例如 example.timer 和 example.service。.service 文件是由 systemd 系統(tǒng)和服務(wù)管理器所管理的 Systemd 服務(wù)單元文件。特權(quán)計(jì)時(shí)器寫(xiě)入 /etc/systemd/system/ 和 /usr/lib/systemd/system，而用戶級(jí)別寫(xiě)入 ~/.config/systemd/user/。

攻擊者可能會(huì)使用 systemd 計(jì)時(shí)器在系統(tǒng)啟動(dòng)時(shí)或定時(shí)執(zhí)行惡意代碼以實(shí)現(xiàn)持久化。使用特權(quán)路徑安裝的計(jì)時(shí)器可用于維護(hù)根級(jí)持久化，安裝用戶級(jí)計(jì)時(shí)器以實(shí)現(xiàn)用戶級(jí)持久化。

3.2.5 容器編排任務(wù)（T1053.007）

攻擊者可能會(huì)利用容器編排工具（如 Kubernetes）提供的任務(wù)調(diào)度功能，來(lái)部署執(zhí)行惡意代碼的容器。容器編排任務(wù)定時(shí)執(zhí)行自動(dòng)化任務(wù)，類(lèi)似 Linux 系統(tǒng)上的 cron程序。該類(lèi)型部署也可以配置為彈性擴(kuò)容的容器，自動(dòng)化在集群內(nèi)保持持久化。

在Kubernetes中，CronJob可用于調(diào)度運(yùn)行一個(gè)或多個(gè)容器以執(zhí)行特定任務(wù)。因此，攻擊者可能會(huì)利用 CronJob 在集群內(nèi)的各個(gè)節(jié)點(diǎn)中執(zhí)行惡意代碼。

3.2.6 緩解措施

ID	緩解措施	描述
M1047	審計(jì)	PowerSploit框架等工具包含PowerUp模塊，可發(fā)現(xiàn)計(jì)劃任務(wù)中存在權(quán)限弱點(diǎn)可被權(quán)限提升的系統(tǒng)。
M1028	操作系統(tǒng)配置	配置計(jì)劃任務(wù)強(qiáng)制在經(jīng)過(guò)身份驗(yàn)證的帳戶下運(yùn)行，而不是允許它們以 SYSTEM 賬戶運(yùn)行。關(guān)聯(lián)的注冊(cè)表項(xiàng)位于 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl。該設(shè)置可以通過(guò) GPO 進(jìn)行配置：計(jì)算機(jī)配置 > [策略] > Windows 設(shè)置 > 安全設(shè)置 > 本地策略 > 安全選項(xiàng)：域控制器：允許服務(wù)器操作員安排任務(wù)，設(shè)置為禁用。
M1026	特權(quán)賬戶管理	配置“增加調(diào)度優(yōu)先級(jí)”選項(xiàng)僅允許管理員組有權(quán)調(diào)度優(yōu)先級(jí)。這可以通過(guò) GPO 進(jìn)行配置：計(jì)算機(jī)配置 > [策略] > Windows 設(shè)置 > 安全設(shè)置 > 本地策略 > 用戶權(quán)限分配：增加調(diào)度優(yōu)先級(jí)。
M1018	用戶賬戶管理	限制用戶帳戶的權(quán)限，只有授權(quán)管理員才能在遠(yuǎn)程系統(tǒng)上創(chuàng)建計(jì)劃任務(wù)。

3.2.7 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0017	命令	命令執(zhí)行	監(jiān)控已執(zhí)行命令和參數(shù)，這些命令和參數(shù)可能利用計(jì)劃任務(wù)執(zhí)行惡意代碼。
DS0032	容器	容器創(chuàng)建	監(jiān)控新建的容器，這些容器可能利用計(jì)劃任務(wù)執(zhí)行惡意代碼。
DS0022	文件	文件創(chuàng)建	監(jiān)控新建的文件，這些文件可能利用計(jì)劃任務(wù)執(zhí)行惡意代碼。
DS0022	文件	文件修改	監(jiān)控修改的文件，這些文件可能利用計(jì)劃任務(wù)執(zhí)行惡意代碼。
DS0009	進(jìn)程	進(jìn)程創(chuàng)建	監(jiān)控新建的進(jìn)程，這些進(jìn)程可能利用計(jì)劃任務(wù)執(zhí)行惡意代碼。
DS0003	計(jì)劃任務(wù)	計(jì)劃任務(wù)創(chuàng)建	監(jiān)控新建的計(jì)劃任務(wù)，這些計(jì)劃任務(wù)可能執(zhí)行惡意代碼。

3.3 無(wú)服務(wù)器執(zhí)行（T1648）

攻擊者可能會(huì)利用無(wú)服務(wù)器計(jì)算、集成和自動(dòng)化服務(wù)來(lái)在云環(huán)境中執(zhí)行任意代碼。許多云提供商提供各種無(wú)服務(wù)器資源，包括計(jì)算引擎、應(yīng)用程序集成服務(wù)和web服務(wù)器。

攻擊者利用這些資源作為執(zhí)行任意命令的手段。例如，攻擊者使用無(wú)服務(wù)器函數(shù)來(lái)執(zhí)行惡意代碼（例如加密挖掘惡意軟件）。攻擊者還可能創(chuàng)建特權(quán)賬號(hào)以執(zhí)行原始用戶無(wú)法執(zhí)行的操作。

攻擊者可以調(diào)用無(wú)服務(wù)器函數(shù)來(lái)執(zhí)行云事件，隨著時(shí)間的推移實(shí)現(xiàn)持久化。例如，在AWS環(huán)境中，攻擊者可能會(huì)創(chuàng)建一個(gè)Lambda函數(shù)，該函數(shù)會(huì)自動(dòng)向用戶添加其他云憑據(jù)，以及相應(yīng)的CloudWatch events規(guī)則，該規(guī)則會(huì)在創(chuàng)建新用戶時(shí)調(diào)用該函數(shù)。類(lèi)似地，攻擊者可以在Office365環(huán)境中創(chuàng)建Power Automate工作流，該工作流將轉(zhuǎn)發(fā)用戶收到的所有電子郵件，或在授予用戶訪問(wèn)SharePoint中的文檔的權(quán)限時(shí)創(chuàng)建匿名共享鏈接的所有電子郵件。

3.3.1 緩解措施

ID	緩解措施	描述
M1018	用戶賬戶管理	從未明確要求無(wú)服務(wù)器資源的用戶中刪除創(chuàng)建、修改或運(yùn)行無(wú)服務(wù)器資源的權(quán)限。

3.3.2 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0015	應(yīng)用程序日志	應(yīng)用程序日志內(nèi)容	監(jiān)視無(wú)服務(wù)器執(zhí)行生成的日志，以查看異?；顒?dòng)。例如，在Exchange環(huán)境中，Power Automate通過(guò)Outlook365連接器發(fā)送的電子郵件在SMTP標(biāo)題"x-ms-mail-application"中包含短語(yǔ)"Power App"或"Power Automate"。
DS0025	云服務(wù)	云服務(wù)修改	監(jiān)控?zé)o服務(wù)器資源的創(chuàng)建和修改。

3.4 利用共享模塊執(zhí)行（T1129）

攻擊者可能通過(guò)加載共享模塊來(lái)執(zhí)行惡意載荷，通過(guò)Windows 模塊加載器從任意本地路徑和網(wǎng)絡(luò)路徑加載 DLL。此功能在 NTDLL.dll 中，是 Windows本機(jī)API 的一部分，來(lái)自Win32 API 的 CreateProcess、LoadLibrary 等函數(shù)調(diào)用。

模塊加載程序可以通過(guò)如下幾種方式加載 DLL：

通過(guò)導(dǎo)入目錄中指定DLL 路徑名；
通過(guò)導(dǎo)出轉(zhuǎn)發(fā)到另一個(gè)DLL，指定路徑名；
通過(guò)NTFS或Symlink program.exe.Local，包含導(dǎo)入、導(dǎo)出中指定的DLL路徑名；
通過(guò)嵌入或外部應(yīng)用程序清單中的。文件名指的是導(dǎo)入或?qū)С瞿夸浿械臈l目。

攻擊者可能會(huì)使用此功能作在受害系統(tǒng)上執(zhí)行任意有效負(fù)載。例如，惡意軟件可能會(huì)執(zhí)行共享模塊來(lái)加載其他組件或功能。

3.4.1 緩解措施

ID	緩解措施	描述
M1038	執(zhí)行預(yù)防	通過(guò)應(yīng)用程序控制工具防止加載未知 DLL，識(shí)別和阻止惡意軟件。

3.4.2 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0011	模塊	模塊負(fù)載	將 DLL 模塊加載限制到 %SystemRoot% 和 %ProgramFiles% 目錄將防止來(lái)自不安全路徑的模塊加載。
DS0009	進(jìn)程	操作系統(tǒng) API 執(zhí)行	監(jiān)控可能通過(guò)加載共享模塊來(lái)執(zhí)行惡意負(fù)載的 API 調(diào)用。

3.5 利用第三方軟件部署工具（T1072）

攻擊者可以訪問(wèn)和使用安裝在企業(yè)網(wǎng)絡(luò)中的第三方軟件，例如管理、監(jiān)控和部署系統(tǒng)，以在網(wǎng)絡(luò)中橫向移動(dòng)。

攻擊者可利用第三方軟件遠(yuǎn)程執(zhí)行代碼，可橫向移動(dòng)到其他系統(tǒng)、收集信息或產(chǎn)生特定效果，例如擦除所有端點(diǎn)上的硬盤(pán)驅(qū)動(dòng)器。

此操作所需的權(quán)限因系統(tǒng)配置而異，本地憑據(jù)可直接訪問(wèn)第三方系統(tǒng)，或者需要特定的域憑據(jù)，系統(tǒng)可能需要管理帳戶才能登錄或執(zhí)行。

3.5.1 緩解措施

ID	緩解措施	描述
M1015	活動(dòng)目錄配置	通過(guò)使用組策略確保關(guān)鍵網(wǎng)絡(luò)系統(tǒng)訪問(wèn)隔離。
M1032	多因素認(rèn)證	通過(guò)使用多因素身份驗(yàn)證，確保關(guān)鍵網(wǎng)絡(luò)系統(tǒng)訪問(wèn)隔離。
M1030	網(wǎng)絡(luò)分段	通過(guò)使用防火墻確保對(duì)關(guān)鍵網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)隔離。
M1027	密碼策略	驗(yàn)證可用于訪問(wèn)部署系統(tǒng)的帳戶憑據(jù)是否唯一且未在整個(gè)企業(yè)網(wǎng)絡(luò)中使用。
M1026	特權(quán)賬戶管理	僅向有限數(shù)量的管理員授予對(duì)應(yīng)用程序部署系統(tǒng)的訪問(wèn)權(quán)限。
M1029	遠(yuǎn)程數(shù)據(jù)存儲(chǔ)	如果應(yīng)用程序部署系統(tǒng)可以配置為僅部署簽名的二進(jìn)制文件，則確?？尚藕灻C書(shū)不與應(yīng)用程序部署系統(tǒng)位于同一位置，而是位于無(wú)法遠(yuǎn)程訪問(wèn)或者嚴(yán)格受控的系統(tǒng)上。
M1051	更新軟件	定期更新補(bǔ)丁，防止利用特權(quán)來(lái)遠(yuǎn)程訪問(wèn)。
M1018	用戶賬戶管理	確保第三方提供商訪問(wèn)系統(tǒng)的帳戶都可追溯，并且不會(huì)在整個(gè)網(wǎng)絡(luò)中使用或被共用。確保對(duì)提供給這些系統(tǒng)的帳戶進(jìn)行定期審查，并確保有訪問(wèn)權(quán)限的回收機(jī)制。通過(guò)使用帳戶權(quán)限分離，確保關(guān)鍵網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)隔離。
M1017	用戶培訓(xùn)	對(duì)部署系統(tǒng)的使用有嚴(yán)格的審批政策。

3.5.2 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0015	應(yīng)用日志	應(yīng)用日志內(nèi)容	通過(guò)審計(jì)第三方應(yīng)用程序的日志發(fā)現(xiàn)未經(jīng)授權(quán)的可疑行為，以及賬號(hào)異常登錄行為等。
DS0009	進(jìn)程	進(jìn)程創(chuàng)建	監(jiān)控新創(chuàng)建的進(jìn)程行為。

3.6 利用系統(tǒng)服務(wù)（T1569）

攻擊者可能利用系統(tǒng)服務(wù)或守護(hù)程序來(lái)執(zhí)行命令或程序。攻擊者可以通過(guò)在本地或遠(yuǎn)程與服務(wù)交互執(zhí)行惡意代碼。許多服務(wù)設(shè)置為在啟動(dòng)時(shí)運(yùn)行，這有助于實(shí)現(xiàn)持久化，但攻擊者也可以利用服務(wù)一次性執(zhí)行。

利用系統(tǒng)服務(wù)技術(shù)包含2個(gè)子技術(shù)，如下：

3.6.1 Launchctl（T1569.001）

攻擊者可能會(huì)利用launchctl 來(lái)執(zhí)行命令或程序。Launchctl 與 macOS 的服務(wù)管理框架 launchd 交互。Launchctl 支持在命令行上以交互方式獲取子命令，甚至從標(biāo)準(zhǔn)輸入中重定向。

攻擊者使用launchctl執(zhí)行命令和程序作為啟動(dòng)代理或守護(hù)程序。常見(jiàn)的子命令包括：launchctl load、launchctl unload 和 launchctl start。攻擊者可以使用腳本或手動(dòng)運(yùn)行命令launchctl load -w "%s/Library/LaunchAgents/%s" 或 /bin/launchctl load 來(lái)執(zhí)行啟動(dòng)代理或啟動(dòng)守護(hù)進(jìn)程。

3.6.2 服務(wù)執(zhí)行（T1569.002）

攻擊者可能會(huì)利用 Windows 服務(wù)控制管理器來(lái)執(zhí)行惡意載荷。Windows 服務(wù)控制管理器是管理和操作服務(wù)的接口，用戶可以通過(guò) GUI 組件以及 sc.exe 和 Net 等系統(tǒng)程序訪問(wèn)服務(wù)控制管理器。

PsExec用于針對(duì)服務(wù)控制管理器API創(chuàng)建的臨時(shí)Windows服務(wù)執(zhí)行命令或有效負(fù)載。PsExec和sc.exe 等工具可用于遠(yuǎn)程執(zhí)行。

攻擊者可能會(huì)通過(guò)新的服務(wù)結(jié)合權(quán)限提升等技術(shù)來(lái)執(zhí)行惡意載荷。

3.6.3 緩解措施

ID	緩解措施	描述
M1040	端點(diǎn)行為防御	在Windows 10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止 PsExec 創(chuàng)建的進(jìn)程運(yùn)行。
M1026	特權(quán)賬戶管理	確保權(quán)限不允許具有較低權(quán)限級(jí)別的用戶創(chuàng)建或與之交互以較高權(quán)限級(jí)別運(yùn)行的服務(wù)。
M1022	限制文件和目錄權(quán)限	確保權(quán)限級(jí)別較低的用戶無(wú)法替換或修改高權(quán)限級(jí)別的服務(wù)二進(jìn)制文件。
M1018	用戶賬戶管理	防止用戶安裝自己的啟動(dòng)代理或啟動(dòng)守護(hù)程序。

3.6.4 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0017	命令	命令執(zhí)行	監(jiān)控異常的命令行調(diào)用，包括修改與正常使用模式不符合的軟件、補(bǔ)丁或服務(wù)。
DS0022	文件	文件修改	監(jiān)控針對(duì)文件所做的更改
DS0009	進(jìn)程	進(jìn)程創(chuàng)建	監(jiān)控新創(chuàng)建的進(jìn)程
DS0019	服務(wù)	服務(wù)創(chuàng)建	監(jiān)控新創(chuàng)建的服務(wù)
DS0024	Windows 注冊(cè)表	Windows 注冊(cè)表項(xiàng)修改	監(jiān)控針對(duì)windows注冊(cè)表所做的修改

3.7 誘導(dǎo)用戶執(zhí)行（T1204）

攻擊者可能會(huì)依賴(lài)用戶的特定操作來(lái)獲得執(zhí)行。用戶可能會(huì)受到社會(huì)工程的影響，例如打開(kāi)惡意文件或鏈接被執(zhí)行惡意代碼，這些用戶操作被視為網(wǎng)絡(luò)釣魚(yú)的后續(xù)行為。

攻擊者還可能欺騙用戶執(zhí)行操作，例如啟用遠(yuǎn)程訪問(wèn)軟件，允許攻擊者直接控制系統(tǒng)，或下載和執(zhí)行惡意軟件等。

誘導(dǎo)用戶執(zhí)行技術(shù)包含3個(gè)子技術(shù)，如下：

3.7.1 惡意鏈接（T1204.001）

攻擊者可能依賴(lài)用戶點(diǎn)擊惡意鏈接來(lái)獲得執(zhí)行。用戶可能會(huì)受到社會(huì)工程影響，讓用戶點(diǎn)擊一個(gè)鏈接，這將導(dǎo)致代碼執(zhí)行。單擊鏈接還可能導(dǎo)致其他執(zhí)行技術(shù)，例如通過(guò)利用瀏覽器或應(yīng)用程序漏洞執(zhí)行，鏈接還可能導(dǎo)致用戶下載惡意代碼執(zhí)行關(guān)聯(lián)的文件。

3.7.2 惡意文件（T1204.002）

攻擊者可能依賴(lài)用戶打開(kāi)惡意文件以獲得執(zhí)行。用戶可能會(huì)受到社會(huì)工程的影響，使他們打開(kāi)將導(dǎo)致代碼執(zhí)行的文件。攻擊者可能使用需要用戶執(zhí)行的多種類(lèi)型的文件，包括 .doc、.pdf、.xls、.rtf、.scr、.exe、.lnk、.pif 和 .cpl。

攻擊者可能會(huì)使用各種形式的偽裝和混淆文件來(lái)增加用戶打開(kāi)并成功執(zhí)行惡意文件的可能性。這些方法可能包括使用熟悉的命名約定或密碼保護(hù)文件，并向用戶提供有關(guān)如何打開(kāi)文件的說(shuō)明。

3.7.3 惡意圖片（T1204.003）

攻擊者可能會(huì)依賴(lài)用戶運(yùn)行惡意圖片以獲得執(zhí)行。主流的云平臺(tái)、容器運(yùn)行時(shí)都可以被安裝后門(mén)。后門(mén)鏡像可以通過(guò)惡意軟件上傳到公共存儲(chǔ)庫(kù)，用戶可以從鏡像下載并部署實(shí)例或容器，而不會(huì)意識(shí)到鏡像是惡意的，這可能導(dǎo)致在實(shí)例或容器中執(zhí)行惡意代碼，例如執(zhí)行加密貨幣挖掘的代碼。

攻擊者還可能以某種方式命名鏡像（例如：匹配合法名稱(chēng)或位置）以混淆用戶，增加用戶錯(cuò)誤地從鏡像部署實(shí)例或容器的機(jī)會(huì)。

3.7.4 緩解措施

ID	緩解措施	描述
M1040	端點(diǎn)行為預(yù)防	在Windows10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止可執(zhí)行文件運(yùn)行，并通過(guò)阻止將惡意代碼寫(xiě)入磁盤(pán)來(lái)防止Office應(yīng)用程序創(chuàng)建惡意可執(zhí)行內(nèi)容。
M1038	執(zhí)行預(yù)防	通過(guò)應(yīng)用程序控制防止偽裝的可執(zhí)行文件的運(yùn)行。
M1031	網(wǎng)絡(luò)入侵防御	如果用戶正在訪問(wèn)鏈接，則可以使用網(wǎng)絡(luò)入侵防御系統(tǒng)。
M1021	限制基于 Web 的內(nèi)容	如果用戶正在訪問(wèn)鏈接，則默認(rèn)阻止傳輸中的未知或未使用文件，這些文件不應(yīng)下載，例如 .scr、.exe、.pif、 .cpl 等。一些下載掃描設(shè)備可以打開(kāi)和分析壓縮和加密的格式，例如可能用于隱藏惡意文件的 zip 和 rar。
M1017	用戶培訓(xùn)	通過(guò)用戶培訓(xùn)提高用戶對(duì)常見(jiàn)網(wǎng)絡(luò)釣魚(yú)技術(shù)的認(rèn)識(shí)，增強(qiáng)安全意識(shí)。

3.7.5 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0015	應(yīng)用日志	應(yīng)用日志內(nèi)容	監(jiān)控第三方應(yīng)用程序日志記錄以發(fā)現(xiàn)用戶異常執(zhí)行行為。
DS0017	命令	命令執(zhí)行	監(jiān)控應(yīng)用程序的執(zhí)行和命令行參數(shù)。
DS0032	容器	容器創(chuàng)建	監(jiān)控新建的容器，這些容器可能使用現(xiàn)有合法的外部 Web 服務(wù)而不是它們的主要命令和控制通道來(lái)泄露數(shù)據(jù)。
DS0032	容器	容器啟動(dòng)	監(jiān)控容器的激活或調(diào)用。
DS0022	文件	文件創(chuàng)建	防病毒軟件可能會(huì)檢測(cè)到在用戶計(jì)算機(jī)上下載和執(zhí)行的惡意文檔和文件。端點(diǎn)防御系統(tǒng)可能會(huì)在文件打開(kāi)后檢測(cè)到惡意事件。
DS0007	圖像	圖像創(chuàng)建	監(jiān)控新建的圖像，可能使用現(xiàn)有的合法外部 Web 服務(wù)而不是其主要命令和控制通道來(lái)泄露數(shù)據(jù)。
DS0030	實(shí)例	創(chuàng)建實(shí)例	監(jiān)控新建的實(shí)例，可能使用現(xiàn)有的合法外部 Web 服務(wù)而不是其主要命令和控制通道來(lái)泄露數(shù)據(jù)。
DS0030	實(shí)例	實(shí)例啟動(dòng)	監(jiān)控實(shí)例的激活或調(diào)用。
DS0029	網(wǎng)絡(luò)流量	網(wǎng)絡(luò)連接創(chuàng)建	監(jiān)控新建的基于web的網(wǎng)絡(luò)連接，這些網(wǎng)絡(luò)連接被發(fā)送到惡意或可疑目的地。檢測(cè)異常進(jìn)程執(zhí)行和命令行參數(shù)（例如，監(jiān)控不正常啟動(dòng)網(wǎng)絡(luò)連接或由 regsvr32.exe、rundll.exe、.SCF、HTA、 MSI、DLL 或 msiexec.exe）。。
DS0029	網(wǎng)絡(luò)流量	網(wǎng)絡(luò)流量?jī)?nèi)容	監(jiān)控和分析與基于 Web 的網(wǎng)絡(luò)連接相關(guān)的流量數(shù)據(jù)包，檢測(cè)異常進(jìn)程執(zhí)行和命令行參數(shù)。
DS0009	進(jìn)程	進(jìn)程創(chuàng)建	監(jiān)控新執(zhí)行的進(jìn)程，攻擊者可能會(huì)使用這些進(jìn)程來(lái)獲得需要用戶交互的初始訪問(wèn)權(quán)限。

3.8 利用windows管理規(guī)范（WMI）（T1047）

攻擊者可能會(huì)利用Windows Management Instrumentation (WMI) 來(lái)執(zhí)行惡意載荷。WMI 是一項(xiàng)管理功能，可提供統(tǒng)一的環(huán)境來(lái)訪問(wèn)Windows系統(tǒng)組件。WMI 服務(wù)支持本地和遠(yuǎn)程訪問(wèn)，常用端口：135和5985。

攻擊者可以使用 WMI 與本地和遠(yuǎn)程系統(tǒng)交互，遠(yuǎn)程執(zhí)行文件可用于信息收集、橫向移動(dòng)等環(huán)節(jié)。

3.8.1 緩解措施

ID	緩解措施	描述
M1040	端點(diǎn)行為預(yù)防	在Windows 10上，啟用攻擊面減少 (ASR) 規(guī)則以阻止由WMI 命令創(chuàng)建的進(jìn)程運(yùn)行。注意：許多合法工具和應(yīng)用程序使用 WMI 來(lái)執(zhí)行命令。
M1038	執(zhí)行預(yù)防	如果給定系統(tǒng)或網(wǎng)絡(luò)不需要執(zhí)行 wmic.exe，請(qǐng)使用配置為阻止執(zhí)行 wmic.exe 的應(yīng)用程序控制，以防止對(duì)手潛在的利用。例如，在 Windows 10 和 Windows Server 2016 及更高版本中，可能會(huì)應(yīng)用 Windows Defender 應(yīng)用程序控制 (WDAC) 策略規(guī)則來(lái)阻止 wmic.exe 應(yīng)用程序并防止被利用。
M1026	特權(quán)賬戶管理	防止管理員和特權(quán)帳戶系統(tǒng)之間的憑據(jù)重疊。
M1018	用戶賬戶管理	默認(rèn)情況下，僅允許管理員使用 WMI 進(jìn)行遠(yuǎn)程連接。限制允許連接的其他用戶，或禁止所有用戶遠(yuǎn)程連接到 WMI。

3.8.2 檢測(cè)

ID	數(shù)據(jù)源	數(shù)據(jù)組件	檢測(cè)
DS0017	命令	命令執(zhí)行	監(jiān)控用于執(zhí)行遠(yuǎn)程行為操作的命令和參數(shù)。
DS0029	網(wǎng)絡(luò)流量	網(wǎng)絡(luò)連接創(chuàng)建	監(jiān)控 WMI 連接的網(wǎng)絡(luò)流量，在通常不使用 WMI 的環(huán)境中使用 WMI 視為異常。
DS0009	進(jìn)程	進(jìn)程創(chuàng)建	監(jiān)控新建的wmic進(jìn)程或命令行

當(dāng)前名稱(chēng)：ATT&CKv10版本戰(zhàn)術(shù)介紹執(zhí)行
文章地址：http://m.fisionsoft.com.cn/article/cdgpjdh.html