十大罕见的ATT&CK战术及技能

欧冠赛程平台登录
你的位置:欧冠赛程平台登录 > 新闻动态 > 十大罕见的ATT&CK战术及技能
十大罕见的ATT&CK战术及技能
发布日期:2022-08-07 08:49    点击次数:177

ATT&CK框架是一个网络安好综合性知识库,经由过程对袭击生命周期各阶段的事实窥察,从而对袭击者措施举行理解与分类,已成为研究利诱模型和编制的底子器材。随着厂商及企业对该框架的普及采取,ATT&CK知识库已公认成为相识袭击者的措施模型与技能权势巨头。

Picus研究人员从种种起原采集了逾越二十万实活着界利诱样本,肯定了样本的战术、技能和顺序(TTP),并对每个TTP举行了分类,全体样本逾越180万种ATT&CK技能。Picus Labs针对此研究宣布了Red Report统计报告,蕴含至多见的十种ATT&CK袭击技能。此研究缔造有助于防御者缔造网络犯罪和袭击的主流趋势,并协助安好团队提供防御计策,并有用防范、检测和照顾利诱。

1、首要缔造

与此前数据比较,今年最较着的变换是增加了“T1486数据加密影响”技能的应用,该技能初度进入前十名,排名第三。研究评释,所阐发的恶意软件样本中有五分之一是为加密目标体系中的文件而策画的。这一终局与勒索软件袭击的流行趋势接续上升分歧,据报道勒索软件袭击在2020年7月至2021年6月时期增加了1,070%。

研究表现,每个恶意软件的匀称恶意措施数量有所增加。在前一年的研究中阐发的恶意软件样本表现匀称有9次恶意措施,但今朝恶意措施的匀称数量为11次。这一缔造与恶意软件宏壮性以及袭击者的技能才能正在增加的概念分歧。

另外一个首要缔造是,“T1059敕令和脚本说冥具”是最流行的ATT&CK技能,阐发的全体恶意软件样本中有四分之一应用。因为PowerShell等说冥具黑白法的内置适用顺序,可以或许普及拜访操作体系的外部构造,因而袭击者常常滥用它们来执行敕令。

十大ATT&CK技能中有五种被归类在“TA005防御回避”战术下。阐发缔造,三分之二的恶意软件起码展现了一种防御回避技能,这突显了袭击者想要回避安好团队照管的刻意。

数据加密加倍罕见。今年,ATT&CK的TA0040影响战术中的T1486数据加密影响技能初度进入前十名,排名第三,19%阐发的恶意软件应用了该技能。这也说明白为什么2021年勒索软件袭击的大幅增加。 恶意软件越来越宏壮。今年恶意软件匀称表现出11次恶意措施(TTP),高于2020年的9次,这突显了袭击及其迎面袭击者的宏壮性增加。 防御回避是至多见的战术。袭击者应用的至多见的MITRE ATT&CK战术是TA0005防御回避,阐发缔造,三分之二的恶意软件起码展现了一种回避技能。T1218签名二进制代理执行、T1027混淆文件或信息、T1497虚拟化/沙盒回避是初度出当初报告前十名的防御回避技能。 袭击者更爱好滥用内置器材。袭击者首要应用离地袭击(LoL)适用顺序来执行报告前十名中列出的全体技能,这评释袭击者更爱好滥用非法器材,而不是自定义器材。该报告中最流行的技能是T1059敕令和脚本说冥具,阐发的恶意软件样本中有26%应用过了该技能。这类技能奔忙及滥用内置或经常使用的敕令行界面(CLI)和脚本言语,譬如PowerShell、Apple脚本和Unix Shell,作为执行肆意敕令的伎俩。 2、研究编制

MITRE ATT&CK是一个基于事实世界窥察的袭击者战术、技能和顺序(TTP)的开源知识库。因为ATT&CK体系地定义和构造了TTP,已成为安好团队之间形貌TTP的通用言语。在2021年10月宣布的ATT&CK for Enterprise v10版本中,共包孕14个战术(Tactics)和188个技能(Techniques)。

Picus Labs研究人员阐发了2020年10月至2021年10月时期的231,507个文件,个中204,954个文件(89%)被归类为恶意文件,并从这些文件中提取了2,197,025个操作,每个恶意软件匀称有11个恶意操作(TTP)。因为多个操作兴许晖映到同一技能,2,197,025个措施被晖映到1,871,682项MITRE ATT&CK技能,匀称每个恶意软件有9项MITRE ATT&CK技能。

Picus Labs研究人员肯定了数据会合的恶意文件应用了哪种技能。尔后计算了应用每种技能的恶意软件的百分比。譬如,袭击者在204,954个恶意文件中的53,582个(26%)中应用了“T1059敕令和脚本说冥具”技能。

3、十大ATT&CK技能 1. T1059敕令和脚本说冥具

T1059敕令和脚本说冥具(Co妹妹and and Scripting Interpreter)技能属于TA0002执行(Execution)战术,有53,582个(26%)恶意软件样本应用了该技能。

敕令和脚本说冥具是袭击者用来在目标体系上执行敕令、脚本和二进制文件的一种执行技能。因而不出所料,这项技能在报告中排名第一。敕令和脚本说冥具是为非法用户开发的,但袭击者也常常应用它们来运行他们的代码、与外埠和近程体系交互以及在袭击流动时期执行其他软件。

说冥具(Interpreter)是一种计算机顺序,它间接执行用编程或脚本言语编写的指令,而无需事前编译。说冥具在顺序运行从前不需求编译进程,它间接一条一条的运行指令,这是袭击者更爱好敕令和脚本说冥具的启事之一。

这类技能蕴含敕令说冥具和脚本说冥具。敕令说冥具(Co妹妹and Interpreters)痛处用户以交互情势提交的敕令或通历顺序中存在的敕令执行说明。操作体系具有内置的本机敕令说冥具,譬如Windows中的Windows Co妹妹and Shell和PowerShell,以及类Unix体系中的 Unix Shell。顾名思义,敕令说冥具也被称为shell。除了内置的操作体系敕令Shell之外,一些编程言语如Python、Perl和Ruby也有敕令说冥具。

脚本说冥具(Scripting Interpreter)说明和执行脚本中出现的敕令,而无需编译。脚本是用脚本言语编写的一组有序敕令,脚本言语是一种说明性编程言语,无需编译即可执行脚本。一些知名的脚本言语是Windows中的PowerShell和VBScript、类Unix体系中的Unix Shell、macOS中的AppleScript、JavaScript、JScript、Python、Perl和Lua。敕令说冥具也包孕在一些脚本言语中,譬如PowerShell、Unix shell、Python和Perl。

体系打点员和顺序员等非法用户应用敕令说冥具来执行肆意思务。他们应用脚本说冥具经由过程在脚本中自动化来加速操作使命。

诚然敕令和脚本说冥具是为非法用户开发的,但在袭击流动时期,袭击者常常应用一个或多个说冥具来执行恶意代码,并与外埠和近程体系交互。譬如,袭击者应用脚本罗列正在运行的服务和过程,缔造体系和用户信息,并经由过程在用户每次登录时执行恶意负载来在受害者计算机中速决化。

其他,Windows体系中的PowerShell和VBScript、类Unix体系中的Unix shell、macOS中的AppleScript等一些脚本言语可以或许经由过程API间接与操作体系交互,因而袭击者可应用它们来绕过纤弱衰弱的过程监控机制。它们是操作体系中的内置器材,因而应用它们比应用自定义器材更隐秘。

T1059敕令和脚本说冥具技能有八个子技能(Sub-Techniques),划分为:T1059.001 PowerShell、T1059.002 AppleScript、T1059.003 Windows Co妹妹and Shell、T1059.004 Unix Shell、T1059.005 Visual Basic、T1059.006 Python、T1059.007 JavaScript和T1059.008网络设置配备摆设CLI。

2. T1055过程注入

T1055过程注入(Process Injection)技能属于TA0004权限提升(Privilege Escalation)和TA0005防御回避(Defense Evasion)战术,有43,639个(21%)恶意软件样本应用了该技能。

袭击者总是试图在其低档网络袭击中完成更高水平的隐秘、速决性和特权。作为可以或许提供这些功用的机制,过程注入仍然位于报告列表顶部也就层见迭出了。

经由过程列出正在运行的过程并过滤掉作为操作体系或已按部就班软件的非法过程,可以或许轻松检测恶意软件过程。假定恶意软件可以或许将其恶意代码封装在非法过程之中,将潜匿在受净化的体系中。过程注入是一种迂腐但有用的技能,蕴含在另外一个过程的地点空间内运行肆意代码。因而,该技能可以或许拜访目标过程的内存、体系和网络资源。

过程注入为袭击者提供了三个较着益处:

在非法过程下执行代码兴许会回避安好掌握,到场白名单的非法过程会假装恶意代码以回避检测。 因为恶意代码是在非法过程的内存空间内执行的,也兴许回避磁盘取证。 假定目标过程具有提升的权限,则此技能将启用权限提升。譬如,假定目标过程可以或许拜访网络资源,则恶意代码可以或许经由过程互联网以及与同一网络上的其他计算机举行非法通信。

安好掌握可以或许倏地检测自定义过程。因而,利诱措施者应用罕见的Windows过程,譬如explorer.exe、svchost.exe、dllhost.exe、services.exe、cvtres.exe、msbuild.exe、RegAsm.exe、RegSvcs.exe、rundll32.exe、arp.exe 、PowerShell.exe、vbc.exe、csc.exe、AppLaunch.exe和cmd.exe等外置本机Windows过程,以及iexplore.exe、ieuser.exe、opera.exe、chrome.exe、firefox.exe、outlook.exe、msinm.exe等通用软件过程。

T1055过程注入有十一个子技能,划分为:T1055.001 DDL注入、T1055.002便携式可执行(PE)注入、T1055.003线程执行劫持注入、T1055.004异步进程调用(APC)注入、T1055.005线程外埠存储(TLS)注入、T1055.008 Ptrace体系调用注入、T1055.009 Proc内存注入、T1055.011额外窗口内存(EWM)注入、T1055.012 Process Hollowing、T1055.013 Process Doppelgänging以及T1055.014 VDSO劫持。

3. T1486数据加密影响

T1486数据加密影响(Data Encrypted for Impact)技能属于TA0040影响(Impact)战术,有37,987个(19%)恶意软件样本应用了该技能。

袭击者加密目标体系上的数据,以预防拜访体系和网络资源。这些袭击兴许以利润为导向,如勒索软件袭击,或许纯正是破坏性的。正若无数勒索软件袭击所评释的那样,当数据被加密时,构造的规画才能会受到较着影响。因为2021年勒索软件袭击的数量和影响接续增加,该技能麻利进入十大ATT&CK技能的第三名。

在比来的勒索软件样本中,袭击者应用多种加密算法来最大化加密性能和安好性。其他,这类编制在加密时不需求跟尾互联网,只要在解密时需求跟尾互联网。

在这类混淆加密编制中,勒索软件应用对称(密钥)加密算法对文件举行加密,尔后应用非对称(公钥)加密算法对对称加密中应用的密钥举行加密。

对称加密算法(也称为密钥加密)应用沟通的密钥来加密和解密数据。AES、DES、3DES、Salsa20、ChaCha20和Blowfish是一些流行的对称加密算法。因为对称加密比非对称加密快很多,因而它最得当大量数据的批量加密。因而对称加密极度得当在勒索软件哀告的短时光内加密数千个文件。其他,对称算法平日提供较小的文件大小,从而完成更快的传输和更少的存储空间。

尽管对称加密具有强盛的性能和高效劳,新闻动态但它有两个首要限定。第一个限定是密钥分派成就。对称加密首要基于加密密钥必须窃密的哀告。然而,安好地散发密钥具有寻衅性。关于勒索软件,此限定表现为将密钥生活生涯在受害古板中。研究人员可以或许找到密钥,并且因为它没有加密,因而可以或许创立一个应用密钥解密文件的器材。

第二个限定是密钥打点成就。因为每对发送方和领受方都需求一个仅有的密钥,因而所需的密钥数量随着用户的促成而增加。关于勒索软件,勒索软件操作者必须为每台受害古板创立差别的密钥,并将全体密钥窃密。否则,假定全体古板都应用沟通的密钥,假定在个中一台古板上泄露了密钥,则可应用泄露的密钥解密勒索软件加密的全体文件。

非对称加密(也称为公钥加密)经管了密钥散发和密钥打点成就。非对称加密算法应用两种差别的密钥:私钥和公钥。发送方可应用领受方的公钥对音讯举行加密,但该加密音讯只能应用领受方的私钥解密。私钥必须对其全体者对立公有,而公钥可以或许经由过程目录果真拜访。因而,勒索软件操作者可以为每台受害古板创立差别的公钥,并让这些公钥在受害古板上可拜访。纵然有人找到了公钥,假定没有勒索软件规画商的私钥,他们也没法解密文件。

非对称加密的首要弱点是它比对称加密慢很多。这是因为非对称加密的数学宏壮性,需求更多的计算才能。

勒索软件开发人员将对称加密和非对称加密(一种混淆加密编制)联结起来,以解除这两种技能的弱点。他们应用对称密钥算法对受害体系中的文件举行批量加密,并应用非对称密钥算法对对称算法应用的神机要钥举行加密。因而,勒索软件开发人员行使对称算法的加密性能,同时行使非对称算法的强盛安好性。

勒索软件首要应用Windows API来行使对称和非对称算法,譬如DES、AES、RSA 和RC4加密。譬如,Nefilim滥用Microsoft的Enhanced Cryptographic Provider来导入加密密钥,并应用API函数对数据举行加密。勒索软件平日会查询每台主机的仅有信息,以生成主机的仅有标识符,用于加密/解密进程,譬如加密机GUID和卷信息(磁盘卷名和序列号)。

4. T1218签名二进制代理执行

T1218签名二进制代理执行(Signed Binary Proxy Execution)技能属于TA0005防御回避(Defense Evasion)战术,有32,133个(16%)恶意软件样本应用了该技能。

签名二进制文件,即应用可信数字证书签名的二进制文件,可以或许在受数字签名验证和应用顺序掌握呵护的Windows操作体系上执行。然而,袭击者常常滥用这些非法的二进制文件往返避安好掌握。这些二进制文件也称为离地袭击二进制文件(LOLBins)。

签名二进制代理执行是指经由过程应用另外一个用可信数字证书签名的可执行文件来执行敕令或可执行文件的进程。袭击者行使签名可执行文件的信任往返避防御机制。

T1218签名二进制代理执行有十三个子技能,划分为:T1218.001 CHM文件、T1218.002掌握面板、T1218.003 CMSTP、T1218.004 Installutil.、T1218.005 Mshta、T1218.007 Msiexec、T1218.008 Odbcconf、T1218.009 Regsvcs/Regasm、T1218.011 Rundll32、T1218.012 Verclsid、T1218.013 Mavinject、T1218.014 MMC。

5. T1003操作体系凭据转储

T1003操作体系凭据转储(OS Credential Dumping)技能属于TA0006凭据拜访(Credential Access)战术,有29,355个(14%)恶意软件样本应用了该技能。

一旦袭击者直立了对体系的初始拜访权限,他们的首要目标之一就是找到拜访情形中其他资源和体系的痛处。作为获取账户登录和密码信息的机制,痛处转储是十大最经常使用的MITRE ATT&CK技能的第五名。

在应用提升的权限毒害体系后,袭击者会查验测验转储尽管即便多的痛处。MITRE ATT&CK框架的凭据转储技能使袭击者兴许从操作体系和软件中获取账户登录和密码信息。这些痛处可以或许回收更低档其它拜访权限,譬如特权域账户,或许沟通的痛处可以或许用于其他资产。袭击者应用此技能采集的痛处来:

拜访受限信息和关键资产; 经由过程应用沟通痛处毒害其他体系,在网络中执行横向移动; 创立新账户、执行操作和删除账户以覆灭跟踪; 阐发密码情势和密码计策以表现其他痛处。

T1003操作体系凭据转储有八个子技能,划分为:T1003.001 LSASS内存、T1003.002安好账号打点器、T1003.003 NTDS、T1003.004 LSA密码、T1003.005缓存域痛处、T1003.006 DCSync、T1003.007 Proc文件体系、T1003.008 /etc/passwd和/etc/shadow。

6. T1027混淆文件或信息

T1027混淆文件或信息(Obfuscated Files or Information)技能属于TA0005防御回避(Defense Evasion)战术,有26,989个(13%)恶意软件样本应用了该技能。

袭击者经由过程加密、编码、压缩或以其他编制在体系上或传输中潜匿可执行文件或文件的内容,从而混淆可执行文件或文件的内容。这是一种罕见的袭击措施,可用于绕适量个平台和网络的防御。该技能在去年没有进入前十,但今年排名第六。

袭击者混淆恶意文件、代码、敕令、设置和其他信息,以防止被安好掌握检测到。至多见的混淆编制有:

改变数据情势:这类编制蕴含转换数据以防止检测的机制,譬如压缩、打包和归档。个中一些机制需求用户交互材干将数据光复为原始情势,譬如提交密码以关上受密码呵护的文件。 改观数据大小:此编制蕴含诸如二进制填充之类的机制,可在不影响其功用和措施的情形下增加恶意文件的大小。其目标是避开未设置为扫描大于特定大小的文件的安好器材。 潜匿恶意数据:这些机制将恶意数据潜匿在看似良性的文件中。在潜匿到文件中从前,可以或许拆分数据以升高其检测率。信息隐写和HTML走私是这类编制的一些例子。 混淆或删除指标:此编制蕴含用于从恶意文件中混淆或删除毒害指标以防止检测的机制。文件签名、情形变量、字符、部份名称和其他平台/言语/应用顺序特定语义是一些指标。 袭击者经由过程混淆/删除以绕过基于签名的检测。

T1027混淆文件或信息有六个子技能,划分为:T1027.001二进制填充、T1027.002软件打包、T1027.003信息隐写、T1027.004交付后编译、T1027.005从器材中移除指标、T1027.006 HTML走私。

7. T1053策画使命

T1053策画使命(Scheduled Task/Job)技能属于TA0002执行(Execution)、TA0003延续性(Persistence)和TA0004权限提升(Privilege Escalation)战术,有21,367个(11%)恶意软件样本应用了该技能。

策画使命是指在未来的特守时光、定期(如每周一的早晨1:00)或在定义的事宜发生时(如用户登录体系)执行的敕令、顺序或脚本。非法用户(如体系打点员)应用策画使命自动创立和运行操作使命。

袭击者还应用操作体系的使命调理适用顺序按定义的时光表或在体系启动时执行恶意负载,以完成速决性。研究缔造,策画使命是袭击者在其恶意软件中应用的第七大ATT&CK技能。

操作体系战役台提供的一些适用顺序,可以或许根据定义的时光表自动执旅顺序或脚本,譬如微软Windows的schtasks.exe和at.exe、Linux的at、类Unix操作体系的cron、macOS的launchd、systemd timers、以及Kubernetes的cronjobs。

T1053策画使命有七个子技能,划分为:T1053.001 at(Linux)、T1053.002 at(Windows)、T1053.003 cron、T1053.004 Launchd、T1053.005策画使命、T1053.006 Systemd Timers、T1053.007容器编排。

8. T1036假装

T1036假装(Masquerading)技能属于TA0005防御回避(Defense Evasion)战术,有18,702个(9%)恶意软件样本应用了该技能。

作为一种防御回避技能,袭击者将其恶意软件的个性改观为非法和可信的。代码签名、恶意软件文件的名称和职位地方、使命和服务的名称都是这些功用的示例。假装后,袭击者的恶意软件文件对用户和安好来说都黑白法的。用于防御回避的假装工具可以或许分为四类:

扩张名:T1036.002从右到左笼盖、T1036.006文件名后的空格以及T1036.007双文件扩张名奔忙及诈骗用户或应用顺序关上一个看起来像良性文件范例的文件,因为它分明的扩张名,但理论上是恶意软件。用户看到的扩张名事实上着实不回响反映文件着实的扩张名。 名称:袭击者兴许会将恶意文件名改观为非法且受信任的应用顺序的名称,譬如flash_en.exe(T1036.005匹共同法名称或职位地方)。然则,袭击者也会在应用非法体系适用顺序从前改观其名称,因为某些安好器材会监控这些内置体系适用顺序以检测其可疑应用情形(T1036.003重命名体系适用顺序)。除了文件名之外,袭击者还会用非法的使命或服务的名称来假装使命或服务的名称,使其看起来是良性的并防止检测(T1036.004假装使命或服务)。 职位地方:袭击者兴许会将恶意文件搁置在C:\Windows\System32等受信任目录中以回避防御。他们还兴许创立近似于已知软件应用的目录,譬如C:\Intel\。偶尔,袭击者会假装恶意软件的全副门路,蕴含目录和文件名,譬如C:\NVIDIA\NvDaemon.exe。这些编制归类在T1036.005匹共同法名称或职位地方。 签名:袭击者复制有用和签名顺序的元数据和代码签名信息,并在其恶意软件中应用这些信息往返避防御(T1036.001无效代码签名)。

T1036假装有七个子技能,划分为:T1036.001无效代码签名、T1036.002从右到左笼盖、T1036.003重命名体系适用顺序、T1036.004假装使命或服务、T1036.005匹共同法名称或职位地方、T1036.006文件名后的空格、T1036.007双文件扩张名。

9. T1082体系信息缔造

T1082体系信息缔造(System Information Discovery)技能属于TA0007缔造(Discovery)战术,有17,024个(8%)恶意软件样本应用了该技能。

当袭击者获取对体系的初始拜访权限时,他们会窥察情形并获取有纠葛统的知识,尔后袭击者应用采集到的体系信息来肯定怎么样在后续措施中采取措施。

在对体系举行初始拜访后,袭击者需求采集有纠葛统的信息,来选择怎么样延续袭击。袭击者平日会采集的信息蕴含:主机/用户信息,如主机名、用户名、域名、注册全体者、注册构造、畸形运行时光等;操作体系信息,如操作体系名称、操作体系版本、体系地区设置、键盘计划、修补顺序等;硬件信息,如CPU架构、处理惩罚器、总物理内存、网卡、IP地点、CPUID/ProcessorID、卷序列号、磁盘大小、屏幕分辩率等。

袭击者常常应用内置的操作体系适用顺序来缔造体系信息,蕴含体系信息、体系设置和IaaS API调用。Systeminfo是一个Windows适用顺序,可表现无关计算机及其操作体系的详细配信任息。Systemsetup是一个macOS敕令,它应用户兴许采集和设置平日在体系首选项应用顺序中设置的特定每台古板设置。袭击者应用API来获取无关云底子设置配备摆设即服务(IaaS)提供商,譬如Amazon Web Services(AWS)、Microsoft Azure和Google Cloud Platform(GCP)中实例的信息。

10. T1497虚拟化/沙箱回避

T1497虚拟化/沙箱回避(Virtualization/Sandbox Evasion)技能属于TA0005防御回避(Defense Evasion)和TA0007缔造(Discovery)战术,有12,810个(6%)恶意软件样本应用了该技能。

袭击者兴许会向其恶意软件增加体系和用户信息缔造功用,以检测和防止虚拟化和阐发情形,譬如恶意软件阐发沙箱。假定恶意软件检测到虚拟机或沙箱情形,就会分隔受害者或不执行恶意功用,譬以下载额外负载。

恶意软件阐发人员常常评估断绝情形中的未知代码,譬如虚拟机(VM)或沙箱。一样,安好产品平日应用这些情形在准许恶意软件进入构造网络从前执行潜伏恶意代码以举行静态恶意软件阐发。作为恶意软件阐发的终局,肯定了恶意软件及其IOC(毒害指标)应用的TTP(战术、技能和顺序)。TTP和IOC用于检测恶意软件。

固然,恶意软件开发人员不停留在伶仃的情形中阐发他们的恶意软件,因而他们策画代码来检测虚拟机和沙箱情形,并防止在这些伶仃的情形中运行时表现出恶意措施。譬如,假定检测到沙箱情形,Agent Tesla近程拜访木马(RAT)就会敞开。

袭击者应用种种编制往返避虚拟机和沙箱情形,这些编制被称为Anti-Sandbox或Anti-VM编制。平日,这些编制奔忙及征采这些情形的典范个性。这些个性兴许是受害体系的某些属性或工具,譬如VM提供商的特定MAC地点,以及体系中通俗用户创立的通用工件的缺失,譬如空的阅读器历史记载。

T1497虚拟化/沙箱回避有三个子技能,划分为:T1497.001体系查抄、T1497.002用户流动查抄、T1497.003时光回避。