ATT&CK v12版本战术介绍——防御规避（三）_t1574侧加载,生成合法的文件

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术、防御规避部分理论知识及实战研究，本期我们为大家介绍ATT&CK 14项战术中防御规避战术技术第13-18种技术，后续会介绍防御规避其他子技术，敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图（红框为防御规避战术）

三、防御规避战术

3.1 概述

防御逃避包括攻击者在攻击过程中用来避免被发现的技术，包括禁用安全软件、加密数据和脚本、利用可信进程来隐藏或伪装恶意软件。

防御规避战术包括42种技术，本期介绍第13-18种技术，逐一介绍如下：

3.2 隐藏行为（T1564）

操作系统具有隐藏行为的功能，例如重要的系统文件和管理任务执行，以避免中断用户工作环境并防止用户更改系统上的文件或功能。攻击者利用这些功能来隐藏文件、目录、用户帐户或其他系统活动，以逃避检测。

攻击者还可能试图通过创建与常见安全检测相隔离的计算区域（例如通过使用虚拟化技术）来隐藏恶意行为。

隐藏行为技术包含10项子技术，介绍如下：

3.2.1 隐藏文件和目录（T1564.001）

攻击者可能会将文件和目录设置为隐藏，以逃避检测机制。为了防止普通用户意外更改系统上的特殊文件，大多数操作系统都有"隐藏"文件的概念。当用户使用GUI浏览文件系统或在命令行上使用正常命令时，这些文件不会显示。用户必须通过一系列图形用户界面提示或命令行开关（Windows的dir/a和linux和macOS的ls–a）明确要求显示隐藏文件。

攻击者可以利用这一点来隐藏系统上任何位置的文件和文件夹，并逃避调查分析。

3.2.2 隐藏用户（T1564.002）

攻击者可隐藏他们创建或修改的用户帐户。

隐藏Windows中的用户帐户：攻击者可以为特定用户将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList注册表项值设置为0，以防止该用户在登录屏幕上列出。

Linux系统上隐藏用户帐户：例如，在使用GNOME显示管理器（GDM）的Ubuntu系统上，可以使用gsettings命令（ex：sudo-u gdm gsettings set org）隐藏帐户。

3.2.3 隐藏窗口（T1564.003）

攻击者可能会使用隐藏的窗口来隐藏恶意活动。在应用程序执行操作时显示的窗口可以隐藏。系统管理员可以利用这一点来避免在执行管理任务时中断用户的工作环境。

在Windows上，例如PowerShell，Jscript和Visual Basic等可以隐藏窗口。

3.2.4 NTFS文件属性（T1564.004）

攻击者可以使用NTFS文件属性来隐藏其恶意数据以逃避检测。每个文件系统（NTFS）格式化的分区都包含一个主文件表（MFT），该表维护分区上每个文件或目录的记录。

攻击者可能会将恶意数据或二进制文件存储在文件属性元数据中，而不是直接存储在文件中，为了逃避一些防御措施，例如静态指标扫描工具和防病毒。

3.2.5 隐藏文件系统（T1564.005）

攻击者可能会使用隐藏的文件系统来隐藏恶意活动。标准文件系统包括FAT、NTFS、ext4和APFS。

攻击者可以使用他们自己的抽象文件系统，与受感染系统上存在的标准文件系统分开。隐藏文件系统，也称为虚拟文件系统，可以通过多种方式实现。一种实现是将文件系统存储在标准文件系统分区未使用的磁盘空间中。另一种实现方式是让攻击者将自己的可移植分区镜像作为文件放在标准文件系统之上。攻击者也可能以非标准方式在现有文件系统结构中分割文件。

3.2.6 运行虚拟实例（T1564.006）

攻击者可能使用虚拟实例进行恶意操作以避免被检测。通过在虚拟实例内部运行恶意代码，攻击者可以从无法监控虚拟实例内部活动的安全工具中隐藏与其行为。此外，虚拟实例生成的网络流量可能难以追溯到受损主机，因为IP地址和主机名可能与已知值不匹配。

运行虚拟实例后，攻击者创建一个共享文件夹，其权限使虚拟实例能够与主机文件系统交互。

3.2.7 VBA stomping（T1564.007）

VBA stomping 是指破坏 Microsoft Office 文档中的 VBA 源代码，只在文档文件中留下称为 p-code 的宏代码的编译版本。攻击者可以通过良性代码或随机字节，覆盖VBA源代码位置，同时通过保留先前编译的恶意p-code，隐藏恶意VBA代码。

3.2.8 邮件隐藏规则（T1564.008）

许多电子邮件客户端允许用户为各种电子邮件功能创建收件箱规则，包括将电子邮件移动到其他文件夹，将电子邮件标记为已读或删除电子邮件。

攻击者可能会利用受损用户邮箱中的电子邮件规则来删除或将电子邮件移动到不太明显的文件夹中。恶意规则通常会根据邮件正文和主题行中的关键词（如恶意软件、可疑、网络钓鱼和黑客）过滤电子邮件。

3.2.9 资源分支（T1564.009）

资源分支为应用程序提供了一种结构化的方式来存储资源，如缩略图图像、菜单定义、图标、对话框和代码。攻击者可能会利用资源分支来隐藏恶意代码或可执行文件，以逃避检测并绕过安全应用程序。攻击者可以在指定的偏移量处使用附加的资源分支执行内容，资源分支内容也可能被混淆或加密，移动到可执行位置，然后调用执行。

3.2.10 进程参数欺骗（T1564.010）

攻击者可能会尝试通过覆盖进程内存来隐藏进程命令行参数。进程命令行参数存储在进程环境块(PEB)中，该数据结构由Windows用于存储进程使用的各种信息。

攻击者可能会重写PEB以修改命令行参数，然后使用恶意参数恢复进程执行。

3.2.11 检测