战术目标
战术主要是利用各种技术,在目标网络中获得最初的立足点,并确保后续能够通过立足点持续访问目标网络。
水坑攻击 Drive-by Compromise
Drive-by Compromise通常不是直接对目标系统发起攻击,而是通过对用户访问的网站的控制,对网站注入恶意代码,当目标系统的用户访问网站加载运行恶意代码后,获取目标系统的访问或获取系统上的应用访问令牌,如OAuth令牌。典型的有跨站脚本攻击(XSS)。通过水坑攻击,控制内网用户系统,获得最初的立足点。
官方给出的典型Drive-by compromise攻击过程:
1) 目标用户访问攻击者控制的网站应用。
2) 网站应用中的恶意脚本自动执行,搜索目标系统浏览器及插件的版本匹配的漏洞。
(该过程中,可能需要用户启用脚本或启用网站组件,并忽略告警信息。)
3) 确定漏洞后,传递恶意代码至浏览器。
4)执行成功后,攻击者便能够在目标系统上执行命令。
(该过程中,可能会触发目标系统上的防护措施,如杀毒软件。)
与利用互联网应用(Exploit Public-Facing Application)不同,水坑攻击通常能够使攻击者直接切入到企业内网,而不是DMZ区。
缓解措施:
1)M1048:应用程序隔离和沙盒,将恶意代码的运行限制在沙盒中。利用虚拟化或微隔离措施进行防御。
2)M1050:漏洞利用防护,安装防护软件,监控可能发生的漏洞利用过程。如Windows Defender Exploit Guard。现在的杀毒软件应该都具备。
3)M1021:限制网站内容,如安装广告拦截插件,阻止广告中可能带有的恶意代码,阻止利用过程中JavaScript的执行。
4)M1051:更新软件版本,保持浏览器软件的版本为最新,并启用浏览器的安全防护功能。
检测措施:
1)DS0015:应用日志,通过防火墙等能够检查URL的设备日志,结合威胁情报等,分析请求的资源是否是恶意域名。
2)DS0022:文件监控,监控用户在访问网站时创建的文件,关注是否有进一步的获取系统访问的行为。
3)DS0029:网络流量,通过网络流量检测是否存在攻击行为。
4)DS0009:进程监控,监控用户访问网站期间新创建的进程,关注是否有进一步的获取系统访问的行为。
利用互联网应用
针对企业开放在互联网的应用系统发起攻击,利用应用可能存在的弱点获取目标系统的访问,获得最初的立足点。常见弱点包含应用漏洞、错误配置等。针对网站及数据库应用可以参考OWASP top 10和CWE top 25。
缓解措施:
1)M1048:应用隔离和沙盒,限制可访问的进程和功能。
2)M1050:漏洞利用防护,部署WEB防火墙,过滤攻击流量。
3)M1030:网络隔离,划分专门安全域部署互联网应用,如DMZ区。区域边界做好访问控制。
4)M1026:特权账号管理,基于最小化原则,限制服务账号权限。
5)M1051:更新软件版本,做好应用程序补丁管理,及时安装补丁或更新软件。
6)M1016:漏洞扫描,做好漏洞管理,定期进行漏洞扫描并修复漏洞。
检测措施:
1)DS0015:应用日志,查询WEB防火墙的安全日志查询是否存在攻击。
2)DS0029:流量检测,使用深度包检测设备,检测流量中可能存在的攻击payload。
外部远程服务
企业通常会有VPN等远程访问方式,允许外部用户访问到内部网络资源。可通过其他方式获取到用户认证信息,如网络钓鱼或内网横移阶段的信息收集。
缓解措施:
1)M1042:禁用或删除功能或程序,禁用所有不必要的远程服务。
2)M1035:限制网络资源的访问权限。
3)M1032:多因素认证,采用至少双因素认证,防止凭证盗用情况。
4)M1030:网络隔离,通过部署网络代理、网关或防火墙,拒绝对内部系统的直接访问。
检测措施:
1)DS0015:应用日志,监控API接口的异常外部访问等。
2)DS0028:登录会话,分析身份认证日志,寻找异地访问,工作时间外的访问等情况。
3)DS0029:流量检测,监控未知设备的网络流量。
添加硬件
通过给目标系统添加硬件,来获取对目标的系统的访问权限。个人理解可能需要额外的与系统接触的机会。将攻击主机连接到目标网络中,我理解也是属于向目标网络中添加了硬件(攻击主机)。
缓解措施:
1)M1035:限制网络资源访问,启用设备证书或802.1X认证,限制仅注册的设备可接入网络。
2)M1034:限制硬件添加,限制目标主机上添加硬件的权限。
网络钓鱼
攻击者可以通过网络钓鱼的方式,向目标发送钓鱼信息,诱导目标点击以获得目标系统的访问权限。当网络钓鱼有针对性的对特定目标发送强伪装的钓鱼信息,则称之为鱼叉式钓鱼攻击。钓鱼信息通过会有三种形式:
1)鱼叉式钓鱼附件
2)鱼叉式钓鱼连接
3)利用外部服务进行鱼叉式钓鱼攻击
缓解措施:
1)M1049:安装防病毒软件。
2)M1031:部署网络入侵防护设备,检测钓鱼附件和钓鱼链接。
3)M1021:限制基于web的内容,通过限制可访问的文件类型,来阻止钓鱼附件。
4)M1054:软件配置,启用反欺骗和电子邮件认证机制,防止钓鱼邮件的进入。
5)M1017:开展安全意识培训,提升用户识别钓鱼邮件类社会工程学攻击的了解。
检测措施:
1)DS0015:应用日志,分析安全日志,检测发件人是否可信、检测URL是否为恶意网站链接等。
2)DS0022:监控新创建的文件,是否在获取目标系统的访问权限。
3)DS0029:流量检测,监控是否存在异常流量。
利用移动介质进行复制
将恶意软件复制到U盘这类可移动存储设备上,然后利用AutoRun的特性自动运行恶意软件或通过对恶意软件的伪装诱导用户点击运行恶意软件,从而获得目标的控制。利用可移动存储复制的攻击方式,同时包含在初始访问和横向移动两个战术中,效果是相同的,只是目的不同。初始访问主要目的是获得最初的立足点。
缓解措施:
1)M1040:终端行为控制,在Windows10上可以启用ASR,阻止未签名或不受信任的可执行文件从USB移动存储上运行。
2)M1042:禁用或删除功能或程序,禁用移动存储的AutoRun特性,或组织政策层面禁用所有移动存储。
3)M1034:禁止使用USB存储设备。
检测措施:
1)DS0016:监控系统上新建的驱动器号或可移动存储挂载点。
2)DS0022:监控移动存储上的文件访问和创建。
3)DS0009:监控移动存储设备使用期间的新执行的进程,关注是否存在横向移动行为。
供应链攻击
攻击者对目标所用产品的供应商发起攻击,在用户收到供应商的产品前,操纵产品或产品交付机制,达到破坏数据或系统的目的。可能的一种场景:供应商开发的软件产品依赖外部的第三方库,该库是开源的,当攻击者掌握了第三方库的安全漏洞后,当企业开始使用供应商提供的软件后,攻击者便可以直接利用第三方库的漏洞进行攻击。
1)攻击软件依赖项或开发工具
2)软件产品供应链攻击
3)硬件产品供应链攻击
供应链攻击可能发生在供应链的任何阶段,包括:
1)对开发工具的操控
2)对开发环境的操控
3)对源代码库(公开或私人)的操控
4)对开源依赖库的源码的操控
5)对软件更新或发布机制的操控
6)对系统镜像的破坏或感染
7)用恶意修改的版本替换正式的版本
8)向合法经销商销售恶意修改或假冒的产品
9)拦截货物
缓解措施:
1)M1051:软件更新,建立补丁管理机制,检查未使用的依赖项、或易受攻击的依赖项等。
2)M1016:漏洞扫描,建立持续的漏洞监控和代码审计措施。
滥用信任关系
攻击者可能从受信任的第三方入手攻击目标,常见的有分支单位、IT供应商、安全供应商等。分支单位与集团之间可能建立有内部专线,当访问控制不严的情况下,控制分支单位的主机可以直接访问到集团内网。IT供应商、安全供应商等,由于业务需要,可能具有访问企业IT基础设施的权限。
缓解措施:
1)M1030:网络隔离,启用合适的安全域划分和访问控制策略,如供应商限制通过堡垒机运维基础设施。
2)M1052,:用户账号控制,做好供应商账号管理,分配合适的用户权限,限制账号共享等。
检测措施:
1)DS0015:应用日志,配置CMDB等资产管理系统,检测网络中不该存在的计算机系统或网络设备。
2)DS0028:登录会话,监控登录后是否存在违规行为,同时,结合其他安全设备共同分析。
滥用有效账户
攻击者可能滥用有效账号来访问目标网络,由于账号是合法有效的,往往能够规避安全设备的检测。由于IT环境的复杂性,会存在多种类型的账号,也提升了账号权限管理的难度。
1)默认账号
2)域账号
3)本地账号
4)云账号
缓解措施:
1)M1013:应用开发指南,确保应用不会明文存储密码等敏感信息。
2)M1027:密码策略,默认密码必须在完成产品实施部署后修改,定期更新SSH密钥。
3)M1026:特权账号管理,定期审计域账号和本地账号的权限,防止特权账号的滥用。同时,审计是否存在使用默认账号的情况,以及新建未授权账号的情况等。
4)M1018:用户账号管理,定期审计活动的用户账号,及时禁用或删除不使用的账号。
5)M1017:用户安全意识培训,网络钓鱼可能伪装成应用程序推送的通知,通过安全意识培训,让用户能够识别网络钓鱼信息。
检测措施:
1)DS0028:登录会话,监控新创建的登录会话,并监控共享账号的登录会话是否有异常行为。如非工作时间访问,利用特定账号执行二进制文件等。
2)DS0002:用户账号,监控用户账号尝试获取初始访问、持久性、权限提升、防御规避的战术相关技术手段。
