- 1JAVA开发(byte和string转换类型的坑)_java byte转string
- 2Docker概述
- 3java面试题:分布式和微服务的区别
- 4内核学习-系统调用上_反汇编 sysenter
- 5通过python实现企业微信公众号链接+图文推送_python 企业微信 get_token
- 6CrossOver2023虚拟机下载及如何安装软件教程_crossover下载安装教程
- 7Docker常用命令大全
- 8Python之pip命令指定安装源和版本_pip 指定版本
- 9从0到1,入门到进阶玩转AI——Stable Diffusion超详细教程(一)_stable diffusion 从入门到高端应用
- 10PyQt5教程:如何在PyCharm中添加Qt Designer、PyUIC、PyRcc外部工具?
NTCTF(技术性网络空间威胁框架, Technical Cyber Threat Framework)_ntctf详解
赞
踩
网络安全攻防缓解环节中通常需要描述和定义一种行为,但描述一个行为不同厂商又有各自不同的描述方式和方法。面对这种差异性,部分安全厂商提出了一些描述网络空间威胁的系统框架,希望能系统化地描述网络威胁。比较有影响力的威胁框架主要有洛克希德-马丁的杀伤链框架(Cyber Kill Chain Framework)、MITRE的ATT&CK框架(Common Knowledge base of Adversary Tactics and Techniques)、ODNI的CCTF框架(Common Cyber Threat Framework,公共网空威胁框架),以及NSA的TCTF框架(Technical Cyber Threat Framework,技术性网络空间威胁框架)。几个框架在不同的深度和广度上对网络威胁进行了定义和描述,不过相互之间因为攻防环节中涉及的实体不变,只是框架审视角度的差异,大部分的实体会有重叠交叉。
由于NTCTF出现比较晚,参考内容广泛,推行机构更加权威,目前单一使用威胁框架时可能是最佳选择。
NTCTF简介
NTCTF(NSA/CSS网络空间威胁框架,NSA/CSS Technical Cyber Threat Framework)全称“NSA/CSS网络威胁技术框架v2”(NTCTF v2),是一种参考了MITRE的 ATT&CK威胁模型框架的通用描述语言。CTF的好处是提供了一种通用语言,用于描述和交流有关网络威胁活动的信息,对之前网络威胁描述不一致的巨大改进。
这种抽象克服每个组织“使用自己的术语描述活动以满足其内部需求”时产生的机构偏见,其中许多术语甚至在使用相同的词汇时也有不同的含义。
NTCTF目标
NTCTF旨在提供标准化的方式,来刻画NSA如何使用一个通用技术词典(独立于操作系统且与业界定义保持一致),将对手活动进行表征和分类。同时支持跨情报社区的共享、产品开发、运行规划、知识驱动的运营,促进与整个社区的协作。
- 作为一个可行的通用翻译语言,一旦每个模型都映射到它并且映射被共享,就可以促进数据和洞察的高效和可能的自动化交换
- 为尚未采用威胁框架的组织,提供一个起点。围绕简单的模型和中立的概念,CTF可以根据组织的需要进行定制,便于映射和数据交换
- 该框架将具有可扩展性,并有助于以“机器速度”共享数据。
NTCTF可能带来的好处
- 建立一个共同的本体论并增强信息共享,因为将独特的模型映射到一个通用标准,比相互映射要容易;
- 对网络对手的网络攻击行动和关键短语进行了定义和规范,阐释了各个行动的细节和范围,以直截了当的方式描述和分类威胁活动,以支持从战略决策到分析和网络安全措施的任务;
- 实现跨组织的数据交换,便于达成共同态势感知,为采取相应的联合防御行动明确了目标对象和应对措施参考。
NTCTF内容
以下为多数为机器翻译内容,个别发现的已经修正。如果有歧义,请参考英文原文。
1 行动管理
1.1 规划
- 行动分析
分析操作指威胁执行者(个人、团队或政府赞助的机构)及其赞助者或领导者采取相应步骤,以确定进行预期恶意网络活动所需的总体战略、政策限制以及必要的资源和能力,以及评估活动最终成功与否的标准。
- 发布行动指令
个人网络威胁行为者、其赞助者或领导者决定按计划执行网络威胁操作的步骤。
- 获得执行批准
威胁行为者获得其领导层的批准,可针对已确定的目标执行操作。
- 确定战略和目标
威胁行为者、其赞助者或领导者采取相应步骤,确定受到预期网络活动支持的部分国家战略和/或利益,或证明该活动的合理性。这包括威胁行为者洞察感知计划或操作目标、环境变化或有助于威胁活动整体成功的结果。
- 制定行动计划
采取步骤,将目标、能力和预期结果的相关已知信息整合到如何最有效地进行预期网络活动的计划中。
- 选择目标受害者
生成预期受害者列表规划过程中的初始步骤,并定义恶意网络活动的意图和期望结果。
1.2 研究
- 收集信息
威胁行动者为汇编和分析有关潜在目标的所有可用信息而采取的行动。
- 明确能力差距
威胁行为者为提出能力培养和/或执行操作所需的工具(包括恶意软件)。
- 明确信息差距
威胁行为者确定潜在目标可用信息的实用性,并记录情报差距。
1.3 资源开发
- 获取运营基础设施
采取措施以获取在目标行动期间进行预期网络活动所需的设施和基础设施。
- 培养能力
定义、开发、获取和测试实施预期网络活动所需的技术、流程和工具所采取的步骤。
- 植入供应链
威胁行为者将受损软件、硬件和/或固件置于合作伙伴或基本供应链上。
- 建立联盟和伙伴关系
采取步骤与个人、团体或政府建立关系;获取或提供用于预期网络活动的技术、流程和/或工具的联合制作和/或合同开发;并为入侵受害者的供应链提供支持。
- 获得融资
采取措施确定和运用可行的财政支持来源,以支持在进行网络活动时涉及的人员、基础设施和其他费用。
- 人员和培训资源
采取措施选择并培训在网络活动、目标定位和数据分析等领域开展预期活动所需的人员。
- 创建僵尸网络
采取行动建立目标计算机或信息系统资源的虚拟网络,用于进行威胁行为者活动。
2 攻击前准备
2.1 侦察
- 实施社会工程
威胁行为者对人进行心理操纵,使其执行行动或泄露信息。
- 映射可访问网络
向网络的可能节点发送传输信号,检查接收的响应,以识别网络上存在的节点。结果或可为识别网络中的安全系统和规则提供见解。
- 选择潜在受害者
威胁行为者为从更广泛的潜在目标列表中识别特定目标而采取的行动。
- 收集凭证
为了未来的目标接触和进攻,获取未知用户凭证的行动。
- 扫描设备
对手为了确定目标当前使用的软件或固件类型、版本、目标的补丁状态和配置(例如,端口开启情况)而采取的主动或被动行为。
- 调查设备
威胁行为者通过收集、处理、分析和利用确认目标的相关数据和信息来收集情报的行动。
- 识别串扰
某一电路或通道上传输的信号对另一个非物理连接的电路或通道产生意外影响的现象。
- 网站信息抓取
通过开源信息收集潜在目标信息,例如搜索公共论坛、会议公告、公告栏或寻找受害者信息的分配列表(包括使用自动化工具来规避保护措施)。
- 使用社交媒体
通过搜索公共社交媒体网站收集有关潜在目标的信息。
2.2 部署
- 向应用程序数据文件添加漏洞
更改数据文件内容以利用解析该类型数据文件的应用程序中的弱点。此更改会导致应用程序执行意外操作,通常是执行代码或泄露敏感信息。
- 创建跳板
在源和目标之间配置、获取、入侵或开发一个或多个中间节点,以泄露数据,执行命令与控制。
- 感染或建立网站
由威胁行为者创建或修改的网站,包含恶意代码,随后可用于网络钓鱼攻、偷渡式攻击和水坑攻击。
- 分配运营基础设施
威胁行为者采取行动,建立威胁活动施行/威胁活动功能提升所需的设备和相关基础设施。
- 物理接近
威胁行为者采取行动,获得距确定目标的计算机或信息系统、网络和/或数据存储物理空间接近的设备和基础设施。
- 预设有效负载
在威胁行为者内部拥有/控制的存储位置上预先定位威胁行为者能力。
3 接触目标与进攻突防
3.1 传播
- 通过无线访问
无线访问网络通信或连接到网络的设备。
- 通过网站感染
攻击者将恶意代码嵌入用户访问的网站中,该网站会感染连接到它的计算机。
- 遍历CDS或MLS
使用跨域解决方案(CDS)或多级解决方案(MLS)传输恶意内容,或允许网络间的对抗性移动,无论是通过人为还是自动方式(通过可信服务)。
- 改变通信路径
通过使用各种协议更改缓存条目或路由表来修改通信路径,以提供有效负载或将受害者重定向到欺诈性和恶意的网站和系统。
- 注入数据库命令
将恶意SQL命令注入未经检查的输入字段,允许数据被盗、修改或执行恶意命令。
- 使用聊天服务
采用聊天通信协议,允许在设备(移动设备、计算机、物联网)之间交换消息和/或文件,与目标通信。
- 感染供应链或可靠来源
在可信且非恶意的物件接入目标网络途中,将恶意软件、硬件或配置添加其中。
- 利用设备交换
特定网络中,无论是未经授权还是经认可的信息系统,从前述网络移动到其他网络的任何情况都是设备交换。无论设备交换出于偶然还是有目的,都是跨域违规。
- 使用受感染的主机
将恶意代码从先前感染的受害者主机传送给受害者所处网络内的其他目标,以获得进一步访问权。
- 连接可移动媒介
通过可移动媒介部署恶意代码。可移动媒介可以被编程为在插入设备时自动运行,从而使恶意软件自动执行。
- 发送恶意邮件
在电子邮件中嵌入恶意附件或链接并发送给目标。打开或执行附加文件,点击链接或仅加载电子邮件本身,用户的计算机可能会受到危害,从而可能为恶意行为者提供访问权限。
- 使用合法的远程访问
使用合法的远程访问功能而非利用漏洞,这通常涉及重新使用之前获取的合法凭证,以获取对内部网络资源的访问权限。
- 连接恶意网络设备
插入或使用现存的流氓接口,以授权网络设备。
- 通过通用网络基础设施传输
通过与目标网络相连/可传输并且先前受感染的网络基础设施,以传输恶意内容。
- 使用物理网桥
连接可从两个或多个通信网络/两个或多个网络段创建聚合网络的硬件。桥接(OSI第2层)与路由(OSI第3层)不同,后者允许多个不同的网络保持分离并且独立通信。
3.2 渗透
- 滥用协议
通过对协议的非预期使用,威胁行为者利用标准目标系统或网络协议获得未经授权的访问。
- 利用本地应用程序漏洞
通过在主机本地触发漏洞,利用应用程序中的软件漏洞。这通常需要用户交互来启动并且通常导致对主机的用户级别访问。当触发编程或逻辑错误导致软件以非预期和不安全的方式运行时,会发生这种情况。
- 冒充或欺骗用户
攻击者扮演授权用户的角色,以获得对目标计算机系统的访问权限。
- 访问虚拟内存
滥用单独/隔离虚拟空间(例如虚拟机、容器、进程)的物理配置以危害目标虚拟资源的完整性或机密性。
- 利用操作系统漏洞
利用默认操作系统服务或内核中的软件漏洞。当触发编程或逻辑错误导致操作系统以非预期和不安全的方式运行时,会发生这种情况。利用操作系统漏洞通常会直接导致主机上的特权访问。
- 发起零日漏洞攻击
零日漏洞是软件中未公开披露或供应商不知情的漏洞,其在供应商意识到和/或修复它之前被威胁行为者利用。
- 实施社会工程
威胁行为者对人进行心理操纵,使其执行行动或泄露信息。
- 利用远程应用程序漏洞
通过在网络上远程触发漏洞来利用应用程序中的软件漏洞,通常无需任何用户交互,并且通常会导致主机上的用户级别访问。当触发编程错误导致软件以非预期和不安全的方式运行时,会发生这种情况。
- 利用漏洞工具包
威胁行为者利用漏洞包(也称为漏洞工具包),可以自动利用客户端漏洞,通常针对浏览器和网站能够通过浏览器调用的程序。
- 破解加密
利用加密算法、执行加密的设备,或使用获取的加密密钥来访问或操纵底层未加密的内容。
- 利用弱访问控制
利用弱的、错误配置或缺失的访问控制来访问系统或数据。
- 利用可信赖的关系
利用受感染的互联对等网络或其他具有可信关系的网络。
- 利用固件漏洞
利用固件中的软件漏洞访问设备。当触发编程或逻辑错误导致软件以非预期和不安全的方式运行时,该情况发生。
- 劫持
劫持是一种网络安全攻击,威胁行为者掌控两个实体之间的通信。
- 重新执行
威胁行为者针对目标发起网络攻击,在此过程中有效数据传输被恶意或欺诈性重复或延迟。
4 长期驻留潜伏预置
4.1 安装和执行
- 创建计划任务
计划任务程序用于按计划执行程序,以此持久化对手代码或获得SYSTEM权限。计划任务需要管理员权限,但任务可以配置为按SYSTEM权限(表示权限提升)运行。
- 替换现有二进制
威胁行为者采取行动,将合法或预先存在的二进制文件替换为恶意可执行文件,该文件通常位于受信任位置,来源合法,以通用名称命名,以此绕过视文件名或路径对可执行文件进行信任的工具。
- 使用OS API
攻击者工具直接使用操作系统(OS)应用程序编程接口(API)来执行二进制文件。
- 通过服务控制器执行
通过服务控制器或其他与服务器交互的方法执行二进制文件。
- 在shell中运行命令
从命令行中调用各个命令以运行可执行代码。这可以在本地或远程完成 ,也可以通过交互方式完成。执行的命令以命令行的当前权限级别运行。
- 使用远程服务
使用远程管理服务,或者攻击者可通过网络进行操纵、拥有默示信任或身份验证的其他运行服务进行远程操作。凭借有效凭证和远程访问能力,远程服务可用于读取或修改系统配置和数据,并且/或者使代码执行。
- 通过第三方软件执行
攻击者在目标环境中使用预先存在的第三方应用程序来执行代码。
- 使用可信应用程序执行不可信代码
攻击者通过可信应用程序间接执行代码,并避免触发安全工具。
- 注入运行的进程
将恶意代码注入现有的合法进程。在另一个进程中运行代码提供了许多好处,例如对进程内存、权限和身份的访问。代码注入能够在临时检查任务列表时掩盖恶意活动。
- 运行无文件有效负载
仅在内存中运行无文件有效负载,无需磁盘上的可执行文件或脚本。
- 写入磁盘
将二进制数据存储于磁盘或网络共享便于进一步操作。
- 利用授权用户
由授权用户启动的操作,用于安装和执行代码。
- 使用解释性脚本
利用脚本语言,攻击者可以使用脚本以多种不同的方式执行代码,比如使用脚本文件或直接提供给脚本解释器的脚本命令。
4.2 内部侦察
- 枚举账户和权限
攻击者尝试获取所有本地或域名帐户及其权限的列表,包括查看登录或文件修改时间以识别主要用户。攻击者获取所有本地小组及其权限和成员的列表。
- 枚举操作系统和软件
攻击者试图获取有关操作系统的详细信息,包括版本、补丁、修补程序、服务包和体系结构。攻击者试图获取系统上安装的软件或驱动程序及其配置的列表。
- 映射可访问网络
向网络的可能节点发送传输信号,检查接收的响应,以识别网络上存在的节点。结果或可为识别网络中的安全系统和规则提供见解。
- 枚举文件系统
攻击者枚举主机或远程共享中某些区域的所有文件和目录,或者为特定文件或目录执行有针对性搜索,这也称为目录漫步。
- 枚举进程
攻击者试图获取运行程序的相关信息。这还可以包括枚举已加载库(运行程序或已注册服务的一部分)。
- 扫描连接的设备
攻击者为确定目标当前使用的软件或固件类型、版本,目标的补丁状态和配置而采取的主动或被动操作。
- 枚举本地网络连接
攻击者试图获取所有网络连接的列表。
- 枚举本地网络设置
攻击者通常使用几个描述本地网络设置的实用程序来获取有关本地网络的信息。
- 枚举窗口
攻击者试图获取所有应用程序窗口的列表,包括不可见的窗口。
- 网络嗅探
网络嗅探是指监控网络以捕获凭证。攻击者可以将网络接口设置为混杂模式,使用实用程序捕获网络上传输的流量,或使用端口映射捕获更大量的数据。
4.3 权限提升
- 利用应用程序漏洞
通过触发漏洞,利用应用程序中的软件漏洞。这通常需要用户交互来启动,并且导致对主机的用户级别访问。当编程错误导致软件以非预期和不安全的方式运行时,会发生这种情况。
- 利用操作系统漏洞
利用操作系统服务或内核中的软件漏洞。当触发编程错误导致软件以非预期和不安全的方式运行时,会发生这种情况。利用操作系统漏洞通常会直接导致主机上的特权访问。
- 使用辅助功能
攻击者可以在用户登录前修改通过组合键启动的辅助功能。攻击者可以修改这些程序的启动方式,以获取命令提示符或后门而无需登录系统。
- 利用固件漏洞
利用固件中的软件漏洞对设备进行访问。当触发编程或逻辑错误导致软件以非预期和不安全的方式运行时,会发生这种情况。
- 注入运行程序
将恶意代码注入现有的合法程序中。
- 使用合法凭证
通过受感染的凭证,利用主机上和网络内的各种资源的合法访问控制,提升攻击者对特定系统或网络中受限区域的访问权限。
4.4 凭证访问
- 添加或修改凭证
创建和篡改账户可以帮助攻击者获取某一环境中的证书和某些权限级别的访问;攻击者必须已对域或系统拥有足够的权限。此操作包括创建凭证,修改权限,添加或更改权限组或修改账户设置。
- 转储凭证
凭证转储指攻击者利用操作系统或软件的弱点进行登录,从而获取信息。实际有多种不同方式执行此操作:提取凭证哈希用于脱机破、提取明文密码或查找Kerberos票证。
- 定位凭证
攻击者在网络上搜索本地文件系统、远程文件共享、网络流量和其他系统,以查找包含密码的文件或活动。
- 记录按键
使用记录按键和键盘输入的软件/硬件。
- 实施社会工程
威胁行为者对人进行心理操纵,使其执行行动或泄露信息。
- 劫持已激活凭证
恶意使用身份认证令牌,这些令牌由合法用户激活或在用户不知情的情况下使用。
- 破解密码
当密码未知或获得密码哈希值时,攻击者可以使用密码破解技术来尝试访问账户。
4.5 横向移动
- 利用对等连接
利用连接的、对等的或网状网络来操纵和扩展网络中持久的驻留潜伏。上述的网络可以位于单个组织内,也可以位于具有信任关系和身份验证协议的组织之间。
- 通过可移动媒介进行复制
攻击者可以通过以下方式在断开连接的网络或气隙网络上的主机之间移动:通过复制可执行文件到可移动媒介上并利用自动运行功能;修改存储在可移动媒体上的可执行文件;通过复制恶意软件并进行重命名,使其形似合法文件,欺骗用户在单独的系统上执行。
- 使用远程服务
使用远程管理服务,或者可由攻击者通过网络进行操纵,且拥有默示信任或身份验证的其他运行服务进行远程操作。凭借有效凭证和远程访问各功能的能力,远程服务可读取或修改数据和/或导致代码执行。
- 远程登录
攻击者可以使用有效凭证,通过图形用户界面(GUI)或发送回远程连接发起者的命令行界面,登录远程主机进行人为交互。然后,他们可以作为登录用户执行操作。
- 污染共享内容
存储在网络驱动器或其他共享位置的内容可能会被恶意程序、脚本或针对有效内容的漏洞污染。用户打开共享内容后,受污染的内容将执行。攻击者可能会污染共享内容并横向扩散。
- 写入远程文件共享
通过文件共享或文件托管将数据写入远程主机,从而形成改变导致代码执行——通过直接法,如覆盖文件、配置数据;或者通过间接法,如预置通过其他机制执行的代码。
- 传递哈希
传递哈希(PtH)是一种在不访问用户明文密码情况下,以用户身份进行验证的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用密码哈希的身份验证部分。威胁行为者使用有效的、捕获的密码哈希值为账户进行身份验证。
- 使用部署应用程序的软件
攻击者可以使用站点管理员已经使用的应用程序部署系统将新软件部署到系统。此操作所需的权限因系统而异;本地凭证对于直接访问部署服务器可能已经足够了。但是,系统可能需要管理者账户才能登录或执行软件部署。
- 写入共享的webroot
攻击者可以通过开放文件共享向网站添加恶意内容,若使用Web浏览器浏览到该内容,服务器将进行执行。恶意内容通常在Web服务器进程的环境和权限下运行,通常需要本地系统或管理权限,具体取决于Web服务器的配置方式。
- 票据传递攻击
票据传递攻击(PtT)是一种在无法访问用户明文密码的情况下,以用户身份进行验证的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用Kerberos票据进行身份验证的流程。威胁行为者针对账户使用有效的Kerberos票据,该账户或是通过凭证访问技术捕获,或是由具有适当访问权限,且可通过黄金票据攻击生成伪造票证的攻击者生成。Kerberos票证与PtH一起应用于以用户身份进行验证。经过身份验证后,PtT可用于登录远程或本地系统。
4.6 持久性
- 创建新服务
通过直接修改注册表(或类似结构)或使用有关工具来创建由操作系统启动的新服务。
- 利用路径顺序执行
当可执行文件置于特制路径中时,会发生路径拦截,以便执行该文件而非预期目标。
- 修改服务配置
通过修改服务的配置信息,改变服务相关可执行文件和库的后续加载过程;不是服务管理器本身的配置,而是由它运行的服务。
- 创建计划任务
使用任务调度来定期执行程序,以此持续保持攻击者能力或获得较高的权限。
- 修改BIOS
可以修改BIOS(基本输入/输出系统)或统一可扩展固件接口(UEFI)等计算机或其他设备的固件,以执行或协助恶意活动。
- 替换服务二进制
如果服务可执行文件的文件系统位置可由用户修改,则可用另一个可执行文件替换它。攻击者可能利用该功能,通过将自己的可执行文件置于服务可执行文件的位置来获得较高的权限。
- 编辑引导记录
主引导记录(MBR)是BIOS完成硬件初始化之后首先加载的磁盘部分,也是引导加载程序的位置。如果攻击者对引导驱动器具有原始访问权限,则他们可以修改或覆盖此区域,在启动期间执行攻击者代码而非正常的引导加载程序。这也可以通过修改虚拟引导记录(VBR)或分区表来实现。
- 修改配置便于启动
攻击者基于配置更改使文件执行。
- 设置为启动时加载
攻击者使系统在操作系统启动后自动加载并执行代码。
- 编辑文件类型关联
打开文件时,通股检查其文件扩展名或标头,确定打开文件的程序。在Windows中,这些默认值存储在注册表中,可以由具有注册表访问权限的程序进行编辑。使用应用程序修改给定文件扩展名的文件句柄,以便在打开具有给定扩展名的文件时调用任意程序。
- 修改现有服务
通过使用修改注册表的工具或直接修改注册表来修改现有服务以运行攻击者软件。对现有服务的修改可能会对其造成破坏,或者可能启用已禁用/不常用的服务。
- 使用库搜索劫持
攻击者利用库的搜索顺序和模糊指定库的程序来提升权限。
- 使用登录脚本
无论特定用户何时登录系统,登录脚本都会运行。如果攻击者可以访问这些脚本,则可插入额外代码维持其持久性或在指定位址空间内进行横向移动——因为受影响的用户每次登录计算机时都会执行该操作。修改登录脚本可以有效地绕过工作站和安全防火墙。根据登录脚本的访问配置,可能需要本地凭证或远程管理账户。
- 修改链接
链接从某位置重新定向到另一位置。攻击者可以编辑或创建链接,以便数据或执行程序发生在另一位置,旨在维护持久性或提升权限。
5 实施影响
5.1 监视
- 主动记录
威胁行为者捕获/记录目标工作空间内的音频/视频活动。
- 促进其他操作
为后续针对目标数据、计算机和/或信息系统的行动提供指示、识别和/或建立基础的可衡量网络威胁活动。
- 保持访问权限
检查或维护对目标网络和主机访问的过程。可使用自动信标或交互方式来跟踪访问,以提供态势感知。
- 被动收集
威胁行为者采取不活跃并且目标对象难以意识到的方法来收集目标信息。
- 记录按键
使用记录按键和键盘输入的软件/硬件。
- 屏幕截取
威胁行为者采取行动,在目标操作期间捕获目标屏幕截图。
5.2 渗透
- 收集串扰
利用某电路或通道上传输信号会对另一个未物理连接的电路或通道产生意外影响来收集信息。
- 安置数据
从一个或多个来源收集的数据被放置在指定的位置,以便稍后进行渗透。该技术适用于文件聚合以备渗透。
- 通过其他网络媒介发送
渗透发生在与命令和控制通道完全不同的网络介质上。如果命令和控制网络是有线互联网连接,则可能通过WiFi连接、蜂窝数据连接或蓝牙进行泄漏。攻击者可以传播并连接到专用于数据渗透的无线网络。
- 从本地系统中收集
数据收集于当前系统可访问的主机上的本地源。
- 运行集合脚本
通过使用自动处理或脚本处理来识别和/或收集数据。这可以包括自动搜索匹配标准或整个目录结构的文件。
- 节流数据
由于数据包大小有限,数据被排列成定义的块而非保留整个文件。该方法可避免与传输协议相关的逻辑或物理传输约束。
- 从网络资源中收集
从当前系统可访问的网络资源收集数据。
- 压缩数据
在渗透之前压缩数据,最小化通过网络发送的数据量或弱化数据内容。压缩与渗出分开进行。可以使用定制程序或算法,或更常见的压缩库或程序来执行压缩。
- 通过C2信道发送
数据泄漏是在对手命令和控制信道上执行的。数据传输的信道使用与命令和控制通信相同的协议。
- 通过物理方式传输
通过物理介质进行渗透。可以是丢失、被盗或移除整个设备、组成部分,甚至是非数字媒体,如印刷纸。物理介质可以用作最终的泄漏点或者作为断开设备之间的中继段。
- 披露数据或信息
发布数据/信息以允许未经授权的人阅读其未被授权访问的数据/信息,破坏完整性。
- 通过非C2信道发送
数据泄漏发生在与对手命令和控制信道相同的网络,或者其他直接连接的网络,但数据不通过现有的对手命令和控制信道,将通过备用数据连接进行数据传输。
- 遍历CDS或MLS
使用CDS或MLS恶意传输内容,或允许从一个网络到另一个网络的对抗性移动。此技术侧重于可信设备、其组件部件或软件中未知的或者设计的零日漏洞,系统管理员无法阻止这些漏洞。
5.3 修改
- 改变数据
信息系统内数据的修改。修改后的数据不会被删除,但更改会影响决策或导致混淆。
- 改变机器间通信
为改变单个目标计算机、网络和/或信息系统上运行的进程之间的通信而采取的措施。
- 破坏网站
用于更改网站或网页视觉外观的操作。
- 改变进程结果
为改变目标对象内部的目标计算机、网络和/或信息系统的进程结果而采取的措施。
- 造成物理影响
导致物理影响发生,例如设备故障或关闭电源。
- 更改系统进程的运行状态
改变目标计算机、网络和/或信息系统上操作进程的状态(例如,运行、暂停、停止)以实现期望结果的行为。
- 破解加密
利用弱配置或错误配置的加密算法;修改配置;使用获取的加密密钥来访问或操纵底层未加密的内容。
5.4 拒绝服务
- 损坏文件或应用程序
攻击者修改数据使文件或应用程序无法使用。
- 加密数据以使其无法使用
攻击者加密数据以使数据无法使用。
- 降级
在某种程度上和/或在一段时间内为降低目标计算机、信息系统或网络的能力所采取的措施。
- 中断或拒绝服务
针对受害者的正常系统活动,但其量级超过受害者计算机、网络和/或信息系统的正常操作,因此严重限制或妨碍正常访问。这包括使用多个系统来导致分布式拒绝服务(DDOS)。
5.5 破坏
- 磁盘或操作系统砖化(完全删除)
删除操作系统的关键组件,使目标/受害者无法使用它。
- 删除数据
从硬盘驱动器或计算机系统中删除数据,而不会损坏操作系统或硬件。
- 损坏磁盘或操作系统(部分删除)
删除操作系统的某些组件,使其无法被目标/受害者使用。系统可能有一些可恢复的信息。
- 销毁硬件
永久、完全和不可挽回地损坏目标对象的物理计算机或信息系统、网络和/或数据存储。
6 全程持续支撑作业
6.1 分析、评估和反馈
- 放弃基础设施
采取行动停止使用先前为目标行动分配的基础设施。
- 进行效果评估
为评估网络威胁活动/运营在实现预期目标方面的成功性而采取的循环行动。在正在进行的活动/操作期间,评估可能会多次发生,并作为验证/重置目标和行动方案的起点。
- 更新潜在的受害者
采取电子或物理行动,确保预期目标数据/信息的存在和有效性,和/或确定其他潜在目标(数据、计算机和/或信息系统)以及预期工具/流程的行动将实现预期的结果。
6.2 C2控制使用
- 通过信标指引至中点
将持久访问功能的位置、健康状态或其他运行状态传输到指定位置和/或传输给威胁行动者。
- 建立对等网络
建立代理、对等或网状网络来管理C2通信。该网络可以在单个组织内,也可以在具有信任关系的组织中。
- 使用对等连接
使用代理的、对等或网状网络来管理C2通信,以减少同时外传的网络连接数量,并在连接丢失时提供弹性。
- 发送命令
用于向受感染主机上安装的恶意软件或植入物发出命令的对手操作。
- 使用僵尸网络
向先前创建的僵尸网络发送命令和控制通信。
- 使用远程shell
威胁行为者使用应用程序、脚本或shell来创建未经授权的访问。
- 中继通信
攻击者通过网络在主机间传输恶意数据/代码,或者操纵路由基础设施的行为。
- 使用链式协议
一致使用各种协议,以与目标网络中受约于协议的系统进行通信,使C2最终能够通过多次跳跃到达C2服务器。这通常适用于网络内允许某些协议用于连接的时候,然后某些受感染设备允许其他协议离开网络。
- 使用可移动媒介
使用可移动媒介在计算机间,包括可能断开连接的网络间传播命令。
6.3 规避安全检测
- 访问原始磁盘
具有驱动器直接访问权限的程序可以通过分析文件系统数据结构,直接从驱动器中读取和写入文件。这样可以实现隐蔽存储并避免操作系统可见性。
- 使用rootkit
Rootkit通过拦截和修改提供系统信息的OS API调用,以此隐藏恶意软件存在的程序。Rootkit功能可以位于用户级别、OS中的内核级别(或更低),以包含管理程序、MBR或BIOS。攻击者使用rootkit来隐藏程序、文件、连接、服务和/或驱动程序的存在。
- 混杂数据
通过有选择地替换或隐藏内容,使数据(包括可执行文件和网络流量)更难分析。
- 避免数据大小限制
数据包大小有限,泄露的数据以定义的数据块发送,而非整个文件。该方法可用于避免触发网络阈值警报。
- 编码数据
将数据转换为另一种格式的过程。
- 删除日志数据
删除或修改主机系统上生成的日志/事件文件。这可能会损害安全解决方案的完整性,从而导致无法报告安全事件或阻碍事件响应。
- 阻止主机上的提示信息
阻止主机活动的指示信息。指示信息通过网络进行报告,攻击者可以阻止与报告相关联的流量以阻止中心站进行分析。这可以通过许多方式实现,例如停止本地进程以创建基于主机的防火墙规则,阻止流向特定服务器的流量。
- 加密数据
数据被加密以隐藏目标信息,增加检查难度。此操作针对静止或传输中的数据。攻击者加密数据以保护或隐藏特定活动。
- 删除工具包
攻击者在系统上放置或创建的恶意软件、工具或其他非本机文件可能会留下操作以及操作方式等相关痕迹。作为入侵后清理过程的一部分,攻击者可能会在入侵过程中删除这些文件以减少足迹或在最后删除它们。主机操作系统提供了可用于执行清理的工具,但攻击者也可以选择使用其他工具。
- 降级安全产品
禁用、破坏或以其他方式规避安全工具以避免检测。可以采取的形式包括中断进程,删除注册表项以便安全工具不在操作执行时启动,或其他方法来阻止预期的操作。
- 模仿合法文件
将文件置于通常受信任的位置(例如C:\Windows\System32)或将文件命名为通用名称(例如,“explorer.exe”或“svchost.exe”),通过文件名或路径来增强可执行文件的可信度。通过名称关联到已知合法的内容可以用来欺骗防御者和系统管理员认为文件是良性的。
- 签署恶意内容
鉴于签名内容是操作系统要求的,或者通常默认为可信的,可以使用被盗、自行生成或受损的私钥对恶意代码进行签名。
- 延迟活动
使用睡眠定时器、用户交互、计算密集型算法和其他手段来延迟恶意行为执行,以逃避定时行为检测技术的检测。
- 操纵可信进程
恶意软件可能会被注入可信的进程,以提升权限,但不会提示用户。
- 将文件存储在非常规位置
数据或可执行文件可以存储在文件系统元数据、松散空间、注册表、外部逻辑分区或一些其他非常规位置中,而不是直接存储在文件中,以此避开文件监视工具。这些操作利用标准磁盘进行读/写操作(与原始访问不同)。
- 采取反取证措施
威胁行为者破坏或混淆数据工件(不止于日志和文件)的行为——这些数据工件将表明威胁行为者潜伏在目标计算机、信息系统和/或网络上。目标发起的取证分析因此将变得困难或不可能。
- 模仿合法流量
通过与现有流量混合来避免检测的操作。这可能包括使用标准协议和端口,类似的卷,一天中相同时间、相同源和目的地,以及在指定位址空间内部发生的流量类型。C2命令和结果嵌入在客户端和服务器之间的流量中。
- 根据环境修正行为
检测执行代码或脚本的环境并调整执行行为以避免检测。
- 反逆向工程措施
使用各种活动来规避逆向工程。
- 修改恶意软件以避免检测
如果恶意软件被检测到并受到隔离,攻击者可能能够确定其被检测到的原因,进而修改恶意软件并发送安全工具不再检测到的更新版本。
- 使用签名内容
鉴于默认情况下签名内容是必需的或可信的,可以使用用于恶意目的的签名内容或代码,包括哈希碰撞,用于恶意目的的合法签名软件。
