黑客web脚本攻击与防御技术核心剖析 青藤细述ATT&CK框架:攻击者最常用的TOP7攻击技术及其检测策略
之前,青藤云安全已经对ATT&CK进行了一系列的介绍,相信大家都已了解,Mitre ATT&CK通过详细分析公开可获得的威胁情报报告,形成了一个巨大的ATT&CK技术矩阵。诚然,这对于提高防御者的防御能力、增加攻击者的攻击成本都有巨大作用。但或许是出于猎奇心理,很多威胁情报报告更多地是在报道攻击者使用的比较新颖有趣的技术方法,而却忽视了攻击者反复使用的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上,推出了ATT&CK Sightings项目,以期借助社区力量收集更多直接观察数据的原因所在。
对此,一些安全公司通过在真实环境中所收集的直接观察数据来检测攻击技术,这种方法直观性更强,也更具说服力。Red Canary是美国一家从事信息安全的网络安全公司,负责对客户环境中的终端数据进行大规模检索,来寻找攻击者。Red Canary分析了过去五年里,其客户环境中发生的一万多起恶意事件,并将恶意事件中使用的技术与ATT&CK框架进行了映射。
本文将通过对比Mitre ATT&CK的Top 20攻击技术及Red Canary基于ATT&CK的Top 20攻击技术,确定了攻击者最常用的七项ATT&CK技术,并对其进行了详细分析。
Mitre公司 VS Red Canary Top 20攻击技术
Mitre ATT&CK 通过整合、分析400多份公开的威胁情报报告,将技术报告中的内容与ATT&CK技术进行了映射,MITRE ATT&CK整理得出的Top 20攻击技术为:
Red Canary通过对过去五年里,其客户环境中发生的一万多起恶意事件进行分析,得出了威胁事件利用每种ATT&CK技术的频率,如下图所示:
从图中我们看到,Red Canary 分析得出的Top 20攻击技术为:
对Mitre ATT&CK和Red Canary分别整理得出的Top 20技术进行对比分析,我们可以发现有7项技术是重合的,分别为PowerShell、脚本执行、命令行界面、注册表Run Key/ 启动文件夹、伪装、混淆文件或信息、凭据转储。或许,这应该是防御者建立防御方案的着手点。
下表展示了这七项技术在Red Canary 和Mitre ATT&CK Top 20攻击技术中的排名次序和出现次数。
希望读者能够通过上表中的数据,进一步了解攻击者对这七种技术的使用频率和在攻击者中的流行程度。下面,我们详细分析这七种技术。
攻击者最常用的TOP7攻击技术
1. “Powershell”备受攻击者青睐
PowerShell是Windows操作系统中包含的功能强大的交互式命令行界面和脚本环境。攻击者可以使用PowerShell执行许多操作,包括发现信息和执行代码,例如,用于运行可执行文件的Start-Process cmdlet和在本地或在远程计算机上运行命令的Invoke-Command cmdlet。
默认情况下,PowerShell基本上已包含在每个Windows操作系统中黑客web脚本攻击与防御技术核心剖析,提供了对Windows API的完全访问权限,包括数百个供开发人员和系统管理员使用的功能,但同样也遭到攻击者的大肆利用。像许多核心平台实用程序一样,PowerShell库很容易获得,因此也很容易实现,能够暴露任意进程中的完整PowerShell功能。
那么该如何进行检测呢?进程监控是最普遍有效的技术。进程监控可以让防御者确定在其环境中使用PowerShell的基准。进程命令行监控则更有效,可以洞悉哪些PowerShell实例试图通过编码命令传递有效负载并以其他方式混淆其最初意图。除了PowerShell脚本的默认主机之外,脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为,观察模块负载以及进行分析以提供其他上下文,从而为检测提供支持。