其他分享
首页 > 其他分享> > ATT&CK-Mitre-基于网络创建-过程-结束期间的检测方式概要

ATT&CK-Mitre-基于网络创建-过程-结束期间的检测方式概要

作者:互联网

数据源参考

https://attack.mitre.org/datasources/DS0029/

Network Traffic: Network Connection Creation

PS:官方还提到此类会存在一定的误报率,发生的频率也很高,所以从防御者的角度还是比较难检测的,检测的周期大多数是分布在初始访问期间
T1020
1.Automated Exfiltration
自动过滤技术,攻击者会在收集数据之后,通过自动处理的方式来窃取数据
检测方式:命令执行,文件访问,脚本执行,网络连接创建,会话和数据的检测
2.Traffic Duplication (.001)
翻译过来是流量复制,实际就是我们所说的交换机端口流量镜像,出现的场景就是恶意攻击者会通过修改配置更改流量镜像,流量重定向等方式达到目的;
检测方式:Network Traffic Content和Network Traffic Flow
T1197
1.BITS Jobs
BITS Jobs场景是在Windows环境下攻击者的视角是用来做文件传输的作用,再具体点就是通过上传一个攻击者准备好的后门,然后使用BITS Jobs上传到目标服务器并执行,来反弹shell相关场景案例文章可参考:https://www.cnblogs.com/xiaozi/p/11833583.html
检测方式:命令执行,网络连接创建,进程创建,服务数据
T1176
1.Browser Extensions
浏览器扩展的场景一般为恶意攻击者会伪装成合法的恶意扩展程序挂在应用程序商店下载,通过社会工程或已经有一定权限的系统上,隐秘安装到浏览器中,以达到持久控制访问的目的;
检测方式:命令执行,网络连接创建,文件创建,进程创建,Windows注册表键值创建
T1612
1.Build Image on Host
通过编译Docker环境自定义的镜像,达到提权的目的,可参考https://github.com/saghul/lxd-alpine-builder 得知提权案例场景;
检测方式:Image创建,网络连接创建,连接和数据的检测
T1602
1.Data from Configuration Repository
从配置仓库里面获取数据,这里主要说明的就是通过SNMP服务,进行获取目标的敏感信息,另外还包括网络设备的配置信息获取,也就是其分解为的两个子分支SNMP (MIB Dump)和Network Device Configuration Dump;
检测方式:网络连接创建和数据的检测
T1030
1.Data Transfer Size Limits
攻击者可能会以固定大小的块而不是整个文件的形式泄露数据,或者将数据包大小限制在特定阈值以下。此方法可用于避免触发网络数据传输阈值警报;
检测方式:网络连接创建和会话的检测
T1189
1.Drive-by Compromise
这个翻译过来很绕口,路过妥协,从字面意思根本无法理解,我们说说具体的场景就迎刃而解了,一般场景就是类似于通过水坑攻击,或者攻击目标用户访问的网站,在其访问的网站上挂马,或者使用浏览器漏洞等等,简单点理解总结下来,就是尝试攻击目标用户的浏览器,通过浏览器来获取更高的权限,其中包括但不限于,挂马,XSS,CSRF,浏览器0day漏洞等利用方式;
检测方式:应用日志,文件创建,网络连接创建和数据的检测,进程创建
T1568
1.Dynamic Resolution
动态解析,这个就下面有3个子技术章节,分别为Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 动态解析的由来就是在很早以前,攻击者使用远控的时代,因为要进行反弹权限,比如很早以前的木马上线,灰鸽子上线的远控木马,那个时代会使用动态域名解析,常见的就是3322.org,花生壳之类的,通过这种方式,达到反弹解析的ip即使变了,也能找到种植木马的主人机器,所以这是动态解析的由来,至于下面的3个技术章节,则是由于后来的安全对抗愈演愈烈,木马为了更好的生存,演变出来的技术章节,其中Fast Flux DNS的技术就是指不断改变域名和IP地址映射关系的一种技术,可理解为在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果;而Domain Generation Algorithms,目的效果也是一样,都是为了生成不同的域名,DNS Calculation也是其中用到的一个通过实现是采用DNS响应中IP地址的前三个八位字节,并使用这些值用来完成最终的目的C&C;
参考链接:
Fast-Flux
DGA
检测方式:网络链接创建,网络流量会话,网络流量数据
T1114
1.Email Collection
攻击者通过电子邮件的方式来收集目标的敏感信息,具体有3个章节,分别为:Local Email Collection,Remote Email Collection,Email Forwarding Rule 这个集中方式都很好理解;
检测方式:应用日志,文件访问,网络连接创建,登陆会话创建
T1048
1.Exfiltration Over Alternative Protocol
这个翻译过来也是觉得别扭,替代协议的渗透,从这个字面的意思上理解大概就知道是什么样子的场景了,其实就是攻击者在进行渗透初期,想要拿到目标权限,或者已经拿到目标权限,但是又担心被IDS,IPS,杀毒软件,防火墙等安全防护设备检测出来,所以通过替代明显的已知的而已特征和协议,来躲避检测和查杀,这就有了本技术章节的3个字章节,分别为:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分别意思作用就是,使用对称加密,使用非对称加密,使用混淆或者伪装;
参考链接:
Exfiltration
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1041
1.Exfiltration Over C2 Channel
攻击者拿到权限之后通过C2通道将窃取的数据进行传输;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解为通过其他网络介质进行渗透,子章节:Exfiltration Over Bluetooth,例如:WiFi连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道等方式;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1008
1.Fallback Channels
攻击者拿到权限为了防止丢失权限,通常会再留一个极其隐蔽的备用C&C;
检测方式:网络连接创建,网络流量会话
T1105
1.Ingress Tool Transfer
这个翻译过来是入口工具传输,其实意思就是攻击者拿到权限之后,需要再从外部传入恶意文件到目标主机上,那么就会使用各种的入口传输工具,其中包括,ftp,scp,rsync,sftp等等;
检测方式:文件创建,网络连接创建,网络流量会话,网络流量数据
T1104
1.Multi-Stage Channels
这个翻译过来叫多级通道,用到场景目的还是为了躲避检测,从而使用多种不同的阶段进行C&C,简单点理解,前期我就做写基础信息搜集和检测,跟正常行为一样,到后面循序渐进的深入操作,进行多阶段多级C&C;
检测方式:网络连接创建,网络流量会话
T1571
1.Non-Standard Port
很好理解,使用非标准端口,场景就是通过使用非标准端口来躲避一些常规的检测;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1542
1.Pre-OS Boot
翻译过来是预操作系统启动,很好理解,就是在启动操作系统之前启动攻击者的恶意软件,这类场景就是常说的BIOS和UEFI以及覆盖或修改相关引导程序的恶意操作,子章节:System Firmware,Component Firmware,Bootkit,ROMMONkit,TFTP Boot;
检测方式:命令执行,网络连接创建,操作系统API执行,固件修改,驱动代码修改,驱动数据修改
T1572
1.Protocol Tunneling
这个字面意思就看的出来,协议隧道,常见的场景有SSH隧道,DNS隧道,SSH端口转发等等还有其他各种工具的使用隧道场景;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1090
1.Proxy
很好理解,也是攻击者用的场景最多的一种,使用各种代理手段来绕过目标的检测和访问限制,其中包括子章节技术,内部代理,外部代理,多级代理,域前置,这些子章节中关于代理的都很好理解,但是域前置这个技术也算作是代理的范畴,其原理就是使用到了CDN技术,具体可参考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1219
1.Remote Access Software
远程访问软件,就是我们日常使用的类似TeamViewer这类合法的远程控制软件等等;
检测方式:网络连接创建,网络流量会话,网络流量数据,进程创建
T1021
1.Remote Services
远程服务,这里说的就是合法的为了方便正常的管理员使用的远程服务,而被恶意攻击者使用合法的身份使用的远程服务,常见的就是RDP,SSH,VNC,Telnet,Windows共享,DCOM组件,Windows远程管理,例如WinRM等等,本章节的子章节含有Remote Desktop Protocol,SMB/Windows Admin Shares,Distributed Component Object Model,Windows Remote Management,VNC,SSH,其中关于Distributed Component Object Model主要是用于内网渗透环境中进行横向移动操作,通过此方式可以远程执行命令,可在同网段或内部能互联互通的主机,此类的相关参考文章如下:
https://cloud.tencent.com/developer/article/1798998
https://www.freebuf.com/articles/web/293280.html;
检测方式:命令执行,登陆会话创建,模块加载,网络共享访问,网络连接创建,网络流量会话,进程创建
T1018
1.Remote System Discovery
远程系统发现,是我们日常使用的一些主机发现或者网络探测的命令,例如,ping,tracert,net,或者直接是在hosts文件上查看等操作的行为,这类场景是在刚刚进入到内网的时候进行C段探测,或者说就是内存渗透初期进行的信息搜集阶段;
检测方式:命令执行,文件访问,网络连接创建,进程创建
T1496
1.Resource Hijacking
资源劫持,看介绍这个是用在挖矿的场景,其中检查项提到主机状态,其场景就是类似被DDoS,主机资源被耗尽,CPU,进程等等都异常的情景;
检测方式:命令执行,文件创建,网络连接创建,网络流量会话,进程创建,主机状态
T1029
1.Scheduled Transfer
这个我翻译为计划传输,就是在特定的时间点,或某一个间隔的时间段执行数据传输操作,一般场景是用在拿到权限然后要拿数据的情景;
检测方式:网络连接创建,网络流量会话
T1218
1.Signed Binary Proxy Execution
合法签名的二进制代理执行文件,简单点说就是用来躲避杀毒软件的查杀而使用到的免杀技术,其中子章节有列举较多免杀情景,这个就参考上面的T1218;
检测方式:命令执行,文件创建,模块加载,操作系统API执行,进程创建,网络连接创建,Windows注册表键值修改
T1221
1.Template Injection
模板注入,此场景通常会在钓鱼的时候,嵌入恶意代码到office相关组件中,让目标用户执行,以达到免杀的目的,从而执行恶意代码;
检测方式:网络连接创建,网络流量数据,进程创建
T1205
1.Traffic Signaling
我这翻译就是流量信号,其中子章节Port Knocking 从这个子章节来看就很好理解,一般在渗透测试场景,防御者那边会为了增强安全性,会使用一些特殊的信号传递给目标主机,让目标主机开放特定的端口信号,用完之后,一段时间后,会使用防火墙再次关闭特定的端口,这种行为就是上面子章节说到的端口敲门的一种说法,所以总结出来就是管理员管理自己的主机,他知道特殊的流量信号,那么发送特殊的流量信号目标就会开放特殊的端口,反之攻击者不知道特殊的信号,那么就无法开放特殊的端口,这就是上面所说的流量信号;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1204
1.User Execution
这个翻译过来就是用户执行,目的就是让目标用户执行我们的恶意代码,这期间用到的技术就我们之前说的通过社会工程学的方式进行网络钓鱼或者是鱼叉式网络钓鱼;
检测方式:应用日志内容,命令执行,容器创建,容器启动,文件创建,镜像创建,实例创建,实例启动,网络连接创建,网络流量数据,进程创建
T1102
1.Web Service
这里的Web Service和其子章节提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我们可以理解为是使用第三方大厂提供的应用层服务,用其作为介质,作为桥梁使得在进行渗透使用C&C的方式更为隐蔽,比如一些APT中提到的使用场景,就是使用Dropbox、Amazon S3 和 Google Drive 来托管恶意下载等等;
检测方式:网络连接创建,网络流量数据,网络流量会话
T1047
1.Windows Management Instrumentation
这个就很常见了,就是我们经常看到WMI,使用她可以本地或者远程执行命令,这类场景一般用来内网渗透过程中进行横向移动,信息收集等操作;
检测方式:命令执行,网络连接创建,进程创建

Network Traffic: Network Traffic Content

Network Traffic: Network Traffic Flow

案例指纹

https://catalog.caida.org/details/paper/2015_analysis_slash_zero
https://wiki.owasp.org/index.php/OAT-004_Fingerprinting

标签:CK,方式,检测,网络连接,网络流量,会话,ATT,创建,Mitre
来源: https://www.cnblogs.com/autopwn/p/15700591.html