数据源参考
https://attack.mitre.org/datasources/DS0029/
Network Traffic: Network Connection Creation
- 网络流量连接创建的时候
1595
检测数据源:网络流量和网络流量内容,根据官方给出的检测方式,如下:
1.已知的可疑网络流量
2.单一流量源含有大流量,特别是一些已知的僵尸网络或者威胁情报信息
3.检测Web应用层面指纹,例如用户代理特征等等
PS:官方还提到此类会存在一定的误报率,发生的频率也很高,所以从防御者的角度还是比较难检测的,检测的周期大多数是分布在初始访问期间
T1020
1.Automated Exfiltration
自动过滤技术,攻击者会在收集数据之后,通过自动处理的方式来窃取数据
检测方式:命令执行,文件访问,脚本执行,网络连接创建,会话和数据的检测
2.Traffic Duplication (.001)
翻译过来是流量复制,实际就是我们所说的交换机端口流量镜像,出现的场景就是恶意攻击者会通过修改配置更改流量镜像,流量重定向等方式达到目的;
检测方式:Network Traffic Content和Network Traffic Flow
T1197
1.BITS Jobs
BITS Jobs场景是在Windows环境下攻击者的视角是用来做文件传输的作用,再具体点就是通过上传一个攻击者准备好的后门,然后使用BITS Jobs上传到目标服务器并执行,来反弹shell相关场景案例文章可参考:https://www.cnblogs.com/xiaozi/p/11833583.html
检测方式:命令执行,网络连接创建,进程创建,服务数据
T1176
1.Browser Extensions
浏览器扩展的场景一般为恶意攻击者会伪装成合法的恶意扩展程序挂在应用程序商店下载,通过社会工程或已经有一定权限的系统上,隐秘安装到浏览器中,以达到持久控制访问的目的;
检测方式:命令执行,网络连接创建,文件创建,进程创建,Windows注册表键值创建
T1612
1.Build Image on Host
通过编译Docker环境自定义的镜像,达到提权的目的,可参考https://github.com/saghul/lxd-alpine-builder 得知提权案例场景;
检测方式:Image创建,网络连接创建,连接和数据的检测
T1602
1.Data from Configuration Repository
从配置仓库里面获取数据,这里主要说明的就是通过SNMP服务,进行获取目标的敏感信息,另外还包括网络设备的配置信息获取,也就是其分解为的两个子分支SNMP (MIB Dump)和Network Device Configuration Dump;
检测方式:网络连接创建和数据的检测
T1030
1.Data Transfer Size Limits
攻击者可能会以固定大小的块而不是整个文件的形式泄露数据,或者将数据包大小限制在特定阈值以下。此方法可用于避免触发网络数据传输阈值警报;
检测方式:网络连接创建和会话的检测
T1189
1.Drive-by Compromise
这个翻译过来很绕口,路过妥协,从字面意思根本无法理解,我们说说具体的场景就迎刃而解了,一般场景就是类似于通过水坑攻击,或者攻击目标用户访问的网站,在其访问的网站上挂马,或者使用浏览器漏洞等等,简单点理解总结下来,就是尝试攻击目标用户的浏览器,通过浏览器来获取更高的权限,其中包括但不限于,挂马,XSS,CSRF,浏览器0day漏洞等利用方式;
检测方式:应用日志,文件创建,网络连接创建和数据的检测,进程创建
T1568
1.Dynamic Resolution
动态解析,这个就下面有3个子技术章节,分别为Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 动态解析的由来就是在很早以前,攻击者使用远控的时代,因为要进行反弹权限,比如很早以前的木马上线,灰鸽子上线的远控木马,那个时代会使用动态域名解析,常见的就是3322.org,花生壳之类的,通过这种方式,达到反弹解析的ip即使变了,也能找到种植木马的主人机器,所以这是动态解析的由来,至于下面的3个技术章节,则是由于后来的安全对抗愈演愈烈,木马为了更好的生存,演变出来的技术章节,其中Fast Flux DNS的技术就是指不断改变域名和IP地址映射关系的一种技术,可理解为在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果;而Domain Generation Algorithms,目的效果也是一样,都是为了生成不同的域名,DNS Calculation也是其中用到的一个通过实现是采用DNS响应中IP地址的前三个八位字节,并使用这些值用来完成最终的目的C&C;
参考链接:
Fast-Flux
DGA
检测方式:网络链接创建,网络流量会话,网络流量数据
T1114
1.Email Collection
攻击者通过电子邮件的方式来收集目标的敏感信息,具体有3个章节,分别为:Local Email Collection,Remote Email Collection,Email Forwarding Rule 这个集中方式都很好理解;
检测方式:应用日志,文件访问,网络连接创建,登陆会话创建
T1048
1.Exfiltration Over Alternative Protocol
这个翻译过来也是觉得别扭,替代协议的渗透,从这个字面的意思上理解大概就知道是什么样子的场景了,其实就是攻击者在进行渗透初期,想要拿到目标权限,或者已经拿到目标权限,但是又担心被IDS,IPS,杀毒软件,防火墙等安全防护设备检测出来,所以通过替代明显的已知的而已特征和协议,来躲避检测和查杀,这就有了本技术章节的3个字章节,分别为:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分别意思作用就是,使用对称加密,使用非对称加密,使用混淆或者伪装;
参考链接:
Exfiltration
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1041
1.Exfiltration Over C2 Channel
攻击者拿到权限之后通过C2通道将窃取的数据进行传输;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解为通过其他网络介质进行渗透,子章节:Exfiltration Over Bluetooth,例如:WiFi连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道等方式;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1008
1.Fallback Channels
攻击者拿到权限为了防止丢失权限,通常会再留一个极其隐蔽的备用C&C;
检测方式:网络连接创建,网络流量会话
T1105
1.Ingress Tool Transfer
这个翻译过来是入口工具传输,其实意思就是攻击者拿到权限之后,需要再从外部传入恶意文件到目标主机上,那么就会使用各种的入口传输工具,其中包括,ftp,scp,rsync,sftp等等;
检测方式:文件创建,网络连接创建,网络流量会话,网络流量数据
T1104
1.Multi-Stage Channels
这个翻译过来叫多级通道,用到场景目的还是为了躲避检测,从而使用多种不同的阶段进行C&C,简单点理解,前期我就做写基础信息搜集和检测,跟正常行为一样,到后面循序渐进的深入操作,进行多阶段多级C&C;
检测方式:网络连接创建,网络流量会话
T1571
1.Non-Standard Port
很好理解,使用非标准端口,场景就是通过使用非标准端口来躲避一些常规的检测;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1542
1.Pre-OS Boot
翻译过来是预操作系统启动,很好理解,就是在启动操作系统之前启动攻击者的恶意软件,这类场景就是常说的BIOS和UEFI以及覆盖或修改相关引导程序的恶意操作,子章节:System Firmware,Component Firmware,Bootkit,ROMMONkit,TFTP Boot;
检测方式:命令执行,网络连接创建,操作系统API执行,固件修改,驱动代码修改,驱动数据修改
T1572
1.Protocol Tunneling
这个字面意思就看的出来,协议隧道,常见的场景有SSH隧道,DNS隧道,SSH端口转发等等还有其他各种工具的使用隧道场景;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1090
1.Proxy
很好理解,也是攻击者用的场景最多的一种,使用各种代理手段来绕过目标的检测和访问限制,其中包括子章节技术,内部代理,外部代理,多级代理,域前置,这些子章节中关于代理的都很好理解,但是域前置这个技术也算作是代理的范畴,其原理就是使用到了CDN技术,具体可参考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1219
1.Remote Access Software
远程访问软件,就是我们日常使用的类似TeamViewer这类合法的远程控制软件等等;
检测方式:网络连接创建,网络流量会话,网络流量数据,进程创建
T1021
1.Remote Services
远程服务,这里说的就是合法的为了方便正常的管理员使用的远程服务,而被恶意攻击者使用合法的身份使用的远程服务,常见的就是RDP,SSH,VNC,Telnet,Windows共享,DCOM组件,Windows远程管理,例如WinRM等等,本章节的子章节含有Remote Desktop Protocol,SMB/Windows Admin Shares,Distributed Component Object Model,Windows Remote Management,VNC,SSH,其中关于Distributed Component Object Model主要是用于内网渗透环境中进行横向移动操作,通过此方式可以远程执行命令,可在同网段或内部能互联互通的主机,此类的相关参考文章如下:
https://cloud.tencent.com/developer/article/1798998
https://www.freebuf.com/articles/web/293280.html;
检测方式:命令执行,登陆会话创建,模块加载,网络共享访问,网络连接创建,网络流量会话,进程创建
T1018
1.Remote System Discovery
远程系统发现,是我们日常使用的一些主机发现或者网络探测的命令,例如,ping,tracert,net,或者直接是在hosts文件上查看等操作的行为,这类场景是在刚刚进入到内网的时候进行C段探测,或者说就是内存渗透初期进行的信息搜集阶段;
检测方式:命令执行,文件访问,网络连接创建,进程创建
T1496
1.Resource Hijacking
资源劫持,看介绍这个是用在挖矿的场景,其中检查项提到主机状态,其场景就是类似被DDoS,主机资源被耗尽,CPU,进程等等都异常的情景;
检测方式:命令执行,文件创建,网络连接创建,网络流量会话,进程创建,主机状态
T1029
1.Scheduled Transfer
这个我翻译为计划传输,就是在特定的时间点,或某一个间隔的时间段执行数据传输操作,一般场景是用在拿到权限然后要拿数据的情景;
检测方式:网络连接创建,网络流量会话
T1218
1.Signed Binary Proxy Execution
合法签名的二进制代理执行文件,简单点说就是用来躲避杀毒软件的查杀而使用到的免杀技术,其中子章节有列举较多免杀情景,这个就参考上面的T1218;
检测方式:命令执行,文件创建,模块加载,操作系统API执行,进程创建,网络连接创建,Windows注册表键值修改
T1221
1.Template Injection
模板注入,此场景通常会在钓鱼的时候,嵌入恶意代码到office相关组件中,让目标用户执行,以达到免杀的目的,从而执行恶意代码;
检测方式:网络连接创建,网络流量数据,进程创建
T1205
1.Traffic Signaling
我这翻译就是流量信号,其中子章节Port Knocking 从这个子章节来看就很好理解,一般在渗透测试场景,防御者那边会为了增强安全性,会使用一些特殊的信号传递给目标主机,让目标主机开放特定的端口信号,用完之后,一段时间后,会使用防火墙再次关闭特定的端口,这种行为就是上面子章节说到的端口敲门的一种说法,所以总结出来就是管理员管理自己的主机,他知道特殊的流量信号,那么发送特殊的流量信号目标就会开放特殊的端口,反之攻击者不知道特殊的信号,那么就无法开放特殊的端口,这就是上面所说的流量信号;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1204
1.User Execution
这个翻译过来就是用户执行,目的就是让目标用户执行我们的恶意代码,这期间用到的技术就我们之前说的通过社会工程学的方式进行网络钓鱼或者是鱼叉式网络钓鱼;
检测方式:应用日志内容,命令执行,容器创建,容器启动,文件创建,镜像创建,实例创建,实例启动,网络连接创建,网络流量数据,进程创建
T1102
1.Web Service
这里的Web Service和其子章节提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我们可以理解为是使用第三方大厂提供的应用层服务,用其作为介质,作为桥梁使得在进行渗透使用C&C的方式更为隐蔽,比如一些APT中提到的使用场景,就是使用Dropbox、Amazon S3 和 Google Drive 来托管恶意下载等等;
检测方式:网络连接创建,网络流量数据,网络流量会话
T1047
1.Windows Management Instrumentation
这个就很常见了,就是我们经常看到WMI,使用她可以本地或者远程执行命令,这类场景一般用来内网渗透过程中进行横向移动,信息收集等操作;
检测方式:命令执行,网络连接创建,进程创建
Network Traffic: Network Traffic Content
- 网络流量内容 -理解为网络传输过程中所承载的数据,形象点理解就是火车里面运输的东西
T1595
1.Active Scanning
主动扫描,其中包括扫描ip网段和漏洞扫描
检测方式:网络流量数据,网络流量会话
T1557
1.Adversary-in-the-Middle
中间人攻击,常用的手段是LLMNR/NBT-NS Poisoning and SMB Relay,ARP Cache Poisoning,理解为ARP投毒或者说是ARP欺骗,以及SMB中继和LLMNR/NBT-NS欺骗
检测方式:网络流量数据,网络流量会话,服务创建,Windows注册表键值修改
T1071
1.Application Layer Protocol
通过使用各种协议来躲避检测,常用的有Web协议,文件传输协议,邮件协议,DNS协议
检测方式:网络流量数据,网络流量会话
T1020
1.Automated Exfiltration
通过使用C&C的方式进行隐秘的自动窃取数据的方式,子章节是流量的镜像方式
检测方式:网络连接创建,网络流量会话
T1612
1.Build Image on Host
通过编译Docker环境自定义的镜像,达到提权的目的,可参考https://github.com/saghul/lxd-alpine-builder 得知提权案例场景;这个上面也提到过,有重复的
检测方式:Image创建,网络连接创建,连接和数据的检测
T1586
1.Compromise Accounts
通过社交账户,电子邮件账户收集目标敏感信息
检测方式:网络流量数据,社交媒体
T1132
1.Data Encoding
数据编码的方式来躲避检测,子章节提到标准编码和非标准编码,其中常用的有ASCII、Unicode、Base64、MIME 或其他二进制到文本和字符编码系统
检测方式:网络流量数据
T1602
1.Data from Configuration Repository
从配置仓库中获取数据,子章节有SNMP的MIB转储和网络设备配置转储
检测方式:网络连接创建,网络流量数据
T1565
1.Data Manipulation
通过在传输和存储的过程中操作数据,包括但不限于,插入,删除,修改,新建等操作
检测方式:文件创建,文件删除,文件上下文的元数据,文件修改,网络流量会话,网络流量数据,操作系统API执行
T1001
1.Data Obfuscation
数据混淆,子章节包括垃圾数据,隐写术,协议模拟
检测方式:网络流量数据
T1491
1.Defacement
子章节含所有外部数据污损和内部数据污损
检测方式:应用日志内容,文件创建,文件修改,网络流量数据
T1189
1.Drive-by Compromise
这个翻译叫绕口,意思就是攻击者通过攻击用户的浏览器来达到目的,常见的场景就是网页挂马,XSS,简单点理解就是通过一切方式让正常用户执行恶意的JS代码来达到目的,这个上面也提到过
检测方式:应用日志内容,进程创建,网络连接创建,网络流量数据
T1568
1.Dynamic Resolution
动态解析,这个就下面有3个子技术章节,分别为Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 动态解析的由来就是在很早以前,攻击者使用远控的时代,因为要进行反弹权限,比如很早以前的木马上线,灰鸽子上线的远控木马,那个时代会使用动态域名解析,常见的就是3322.org,花生壳之类的,通过这种方式,达到反弹解析的ip即使变了,也能找到种植木马的主人机器,所以这是动态解析的由来,至于下面的3个技术章节,则是由于后来的安全对抗愈演愈烈,木马为了更好的生存,演变出来的技术章节,其中Fast Flux DNS的技术就是指不断改变域名和IP地址映射关系的一种技术,可理解为在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果;而Domain Generation Algorithms,目的效果也是一样,都是为了生成不同的域名,DNS Calculation也是其中用到的一个通过实现是采用DNS响应中IP地址的前三个八位字节,并使用这些值用来完成最终的目的C&C;
参考链接:
Fast-Flux
DGA
检测方式:网络链接创建,网络流量会话,网络流量数据
T1573
1.Encrypted Channel
加密隧道技术,子章节含有对称密码技术和非对称密码技术,攻击者通过这种加密技术来达到隐藏的目的
检测方式:网络流量数据
T1499
1.Endpoint Denial of Service
终端拒绝服务,子章节有真的操作系统,服务,应用层和应用程序进行攻击目的就是耗尽其资源达到拒绝服务的目的
检测方式:应用日志内容,网络流量会话,网络流量数据,主机状态
T1585
1.Establish Accounts
通过建立社交账户和电子邮件账户使用网络钓鱼等形式来获取目标敏刚信息
检测方式:网络流量数据,社交媒体
T1048
1.Exfiltration Over Alternative Protocol
这个翻译过来也是觉得别扭,替代协议的渗透,从这个字面的意思上理解大概就知道是什么样子的场景了,其实就是攻击者在进行渗透初期,想要拿到目标权限,或者已经拿到目标权限,但是又担心被IDS,IPS,杀毒软件,防火墙等安全防护设备检测出来,所以通过替代明显的已知的而已特征和协议,来躲避检测和查杀,这就有了本技术章节的3个字章节,分别为:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分别意思作用就是,使用对称加密,使用非对称加密,使用混淆或者伪装;
参考链接:
Exfiltration
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1041
1.Exfiltration Over C2 Channel
攻击者拿到权限之后通过C2通道将窃取的数据进行传输;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解为通过其他网络介质进行渗透,子章节:Exfiltration Over Bluetooth,例如:WiFi连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道等方式;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1567
1.Exfiltration Over Web Service
理解为通过Web服务进行渗透,子章节:Exfiltration to Code Repository,例如:通过合法的代码库收集敏感信息进行渗透,这里的代码库常见的就是Github,Exfiltration to Cloud Storage,例如:通过合法的云存储进行渗透,这里的云存储就是各种云盘,国内的就百度云盘,阿里云盘,国外的就是谷歌云盘等等;
检测方式:命令执行,文件访问,网络流量会话,网络流量数据
T1190
1.Exploit Public-Facing Application
攻击者通过利用公共的应用设施进行渗透,这里指的就是各种Web应用服务,包括一些数据库,SSH,SMB等标准服务,他们的各种缺陷进行利用,最常见的就是OWASP TOP 10等等;
检测方式:应用日志内容,网络流量数据
T1210
1.Exploitation of Remote Services
攻击者通过利用远程服务进行渗透,包括但不限于RDP,SMB,SSH等服务进行攻击等等;
检测方式:应用日志内容,网络流量数据
T1187
1.Forced Authentication
攻击者通过利用强制认证的方式进行神,例如:SMB,WebDav的HTTP扩展等等;
检测方式:文件访问,文件创建,文件修改,网络流量会话,网络流量数据
T1615
1.Group Policy Discovery
攻击者通过Windows组策略的形式进行渗透;
检测方式:AD对象访问,命令执行,网络流量数据,进程创建,脚本执行
T1070
1.Indicator Removal on Host
这个场景是攻击者干完事情之后,需要擦除痕迹,其中就包括Windows,Linux,Mac操作系统的事件日志清除,历史命令清除,文件删除,网络共享删除,时间戳修改擦除;
检测方式:命令执行,文件删除,文件上下文元数据,文件修改,网络流量数据,操作系统API执行,进程创建,用户账户认证,Windows注册表键值修改和删除
T1105
1.Ingress Tool Transfer
这个很好理解入口工具传输,常见的包括,ftp,scp,rsync,sftp等等;
检测方式:文件创建,网络连接创建,网络流量数据,网络流量会话
T1534
1.Internal Spearphishing
内部鱼叉式网络钓鱼,这个从字面意思就能理解,一般用于漫游到内网之后,进一步扩大战果进行横向移动操作;
检测方式:应用日志内容,网络流量数据,网络流量会话
T1570
1.Lateral Tool Transfer
在内网中进行横向移动传输的操作,就是相当于将用用到的渗透工具传输到另一台主机上,用到工具同样是scp,ftp,sftp,rsync等等;
检测方式:命令执行,文件创建,文件上下文元数据,网络共享访问,网络流量数据,网络流量会话,进程创建,命名管道
T1599
1.Network Boundary Bridging
网络边界桥接,子章节含有网络地址转换,这个场景往往是拿到边界的部分网络权限,然后通过桥接的方式绕过一些防火墙,路由器的限制,直接进入内网;
检测方式:网络流量数据,网络流量会话
T1095
1.Non-Application Layer Protocol
攻击者通过使用非应用层协议来躲避检测来达到C&C的目的,常见的有使用ICMP协议进行渗透,场景会是用到ICMP隧道进行C&C;
检测方式:网络流量数据,网络流量会话
T1571
1.Non-Standard Port
攻击者通过使用非标准端口来躲避检测;
检测方式:网络连接创建,网络流量数据,网络流量会话
T1003
1.OS Credential Dumping
字面意思就是操作系统凭据转储,简单点理解,就是通过各种方式读取,获取,窃取目标的登陆凭证,其中子章节提到很多姿势,详见上面的T1003;
检测方式:AD对象访问,命令执行,文件访问,网络流量数据,网络流量会话,操作系统API执行,进程访问,进程创建,Windows注册表键值访问
T1566
1.Phishing
攻击者通过钓鱼的方式拿目标权限,子章节还提到鱼叉式附件,鱼叉式钓鱼链接,通过服务进行鱼叉式网络钓鱼;
检测方式:应用层日志内容,文件创建,网络流量数据,网络流量会话
T1598
1.Phishing for Information
钓鱼信息,子章节还提到鱼叉式附件,鱼叉式网络钓鱼服务,鱼叉式钓鱼链接;
检测方式:应用层日志内容,网络流量数据,网络流量会话
T1572
1.Protocol Tunneling
这个字面意思就看的出来,协议隧道,常见的场景有SSH隧道,DNS隧道,SSH端口转发等等还有其他各种工具的使用隧道场景;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1090
1.Proxy
很好理解,也是攻击者用的场景最多的一种,使用各种代理手段来绕过目标的检测和访问限制,其中包括子章节技术,内部代理,外部代理,多级代理,域前置,这些子章节中关于代理的都很好理解,但是域前置这个技术也算作是代理的范畴,其原理就是使用到了CDN技术,具体可参考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1219
1.Remote Access Software
远程访问软件,就是我们日常使用的类似TeamViewer这类合法的远程控制软件等等;
检测方式:网络连接创建,网络流量会话,网络流量数据,进程创建
T1563
1.Remote Service Session Hijacking
远程服务的会话劫持,简单点理解就是获取类似RDP,SSH,Telnet等登陆的会话,拿到这个会话可以不要账户密码直接登陆目标,其中子章节提到了RDP会话劫持和SSH会话劫持;
检测方式:命令执行,登陆会话创建,网络流量会话,网络流量数据,进程创建
T1207
1.Rogue Domain Controller
这里翻译过来是流氓域控制器,可以理解为恶意注册与控制从而达到直接控制域控制器来获取域环境的登陆凭据等其他操作;
检测方式:AD对象创建,AD对象修改,网络流量数据,用户账户认证
T1505
1.Server Software Component
服务器软件组件,理解为服务器端提供服务的组件,常见有类似IIS之类的,子章节提到SQL存储过程,传输代理,Webshell,IIS组件等;
检测方式:应用日志内容,文件创建,文件修改,网络流量数据,网络流量会话,进程创建
T1221
1.Template Injection
模板注入,此场景通常会在钓鱼的时候,嵌入恶意代码到office相关组件中,让目标用户执行,以达到免杀的目的,从而执行恶意代码;
检测方式:网络连接创建,网络流量数据,进程创建
T1205
1.Traffic Signaling
我这翻译就是流量信号,其中子章节Port Knocking 从这个子章节来看就很好理解,一般在渗透测试场景,防御者那边会为了增强安全性,会使用一些特殊的信号传递给目标主机,让目标主机开放特定的端口信号,用完之后,一段时间后,会使用防火墙再次关闭特定的端口,这种行为就是上面子章节说到的端口敲门的一种说法,所以总结出来就是管理员管理自己的主机,他知道特殊的流量信号,那么发送特殊的流量信号目标就会开放特殊的端口,反之攻击者不知道特殊的信号,那么就无法开放特殊的端口,这就是上面所说的流量信号;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1204
1.User Execution
这个翻译过来就是用户执行,目的就是让目标用户执行我们的恶意代码,这期间用到的技术就我们之前说的通过社会工程学的方式进行网络钓鱼或者是鱼叉式网络钓鱼;
检测方式:应用日志内容,命令执行,容器创建,容器启动,文件创建,镜像创建,实例创建,实例启动,网络连接创建,网络流量数据,进程创建
T1102
1.Web Service
这里的Web Service和其子章节提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我们可以理解为是使用第三方大厂提供的应用层服务,用其作为介质,作为桥梁使得在进行渗透使用C&C的方式更为隐蔽,比如一些APT中提到的使用场景,就是使用Dropbox、Amazon S3 和 Google Drive 来托管恶意下载等等;
检测方式:网络连接创建,网络流量数据,网络流量会话
Network Traffic: Network Traffic Flow
- 网络流量流 - 理解为一个会话,再形象点理解为火车票,这个票就是Network Traffic Flow
T1595
1.Active Scanning
主动扫描,其中包括扫描ip网段和漏洞扫描
检测方式:网络流量数据,网络流量会话
T1557
1.Adversary-in-the-Middle
中间人攻击,常用的手段是LLMNR/NBT-NS Poisoning and SMB Relay,ARP Cache Poisoning,理解为ARP投毒或者说是ARP欺骗,以及SMB中继和LLMNR/NBT-NS欺骗
检测方式:网络流量数据,网络流量会话,服务创建,Windows注册表键值修改
T1071
1.Application Layer Protocol
通过使用各种协议来躲避检测,常用的有Web协议,文件传输协议,邮件协议,DNS协议
检测方式:网络流量数据,网络流量会话
T1020
1.Automated Exfiltration
自动过滤技术,攻击者会在收集数据之后,通过自动处理的方式来窃取数据
检测方式:命令执行,文件访问,脚本执行,网络连接创建,会话和数据的检测
2.Traffic Duplication (.001)
翻译过来是流量复制,实际就是我们所说的交换机端口流量镜像,出现的场景就是恶意攻击者会通过修改配置更改流量镜像,流量重定向等方式达到目的;
检测方式:Network Traffic Content和Network Traffic Flow
T1612
1.Build Image on Host
通过编译Docker环境自定义的镜像,达到提权的目的,可参考https://github.com/saghul/lxd-alpine-builder 得知提权案例场景;
检测方式:Image创建,网络连接创建,连接和数据的检测
T1565
1.Data Manipulation
通过在传输和存储的过程中操作数据,包括但不限于,插入,删除,修改,新建等操作
检测方式:文件创建,文件删除,文件上下文的元数据,文件修改,网络流量会话,网络流量数据,操作系统API执行
T1030
1.Data Transfer Size Limits
攻击者可能会以固定大小的块而不是整个文件的形式泄露数据,或者将数据包大小限制在特定阈值以下。此方法可用于避免触发网络数据传输阈值警报;
检测方式:网络连接创建和会话的检测
T1568
1.Dynamic Resolution
动态解析,这个就下面有3个子技术章节,分别为Fast Flux DNS,Domain Generation Algorithms,DNS Calculation, 动态解析的由来就是在很早以前,攻击者使用远控的时代,因为要进行反弹权限,比如很早以前的木马上线,灰鸽子上线的远控木马,那个时代会使用动态域名解析,常见的就是3322.org,花生壳之类的,通过这种方式,达到反弹解析的ip即使变了,也能找到种植木马的主人机器,所以这是动态解析的由来,至于下面的3个技术章节,则是由于后来的安全对抗愈演愈烈,木马为了更好的生存,演变出来的技术章节,其中Fast Flux DNS的技术就是指不断改变域名和IP地址映射关系的一种技术,可理解为在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果;而Domain Generation Algorithms,目的效果也是一样,都是为了生成不同的域名,DNS Calculation也是其中用到的一个通过实现是采用DNS响应中IP地址的前三个八位字节,并使用这些值用来完成最终的目的C&C;
参考链接:
Fast-Flux
DGA
检测方式:网络链接创建,网络流量会话,网络流量数据
T1499
1.Endpoint Denial of Service
终端拒绝服务,子章节有真的操作系统,服务,应用层和应用程序进行攻击目的就是耗尽其资源达到拒绝服务的目的
检测方式:应用日志内容,网络流量会话,网络流量数据,主机状态
T1048
1.Exfiltration Over Alternative Protocol
这个翻译过来也是觉得别扭,替代协议的渗透,从这个字面的意思上理解大概就知道是什么样子的场景了,其实就是攻击者在进行渗透初期,想要拿到目标权限,或者已经拿到目标权限,但是又担心被IDS,IPS,杀毒软件,防火墙等安全防护设备检测出来,所以通过替代明显的已知的而已特征和协议,来躲避检测和查杀,这就有了本技术章节的3个字章节,分别为:Exfiltration Over Symmetric Encrypted Non-C2 Protocol,Exfiltration Over Asymmetric Encrypted Non-C2 Protocol,Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol,分别意思作用就是,使用对称加密,使用非对称加密,使用混淆或者伪装;
参考链接:
Exfiltration
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1041
1.Exfiltration Over C2 Channel
攻击者拿到权限之后通过C2通道将窃取的数据进行传输;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
什么是C&C
T1011
1.Exfiltration Over Other Network Medium
理解为通过其他网络介质进行渗透,子章节:Exfiltration Over Bluetooth,例如:WiFi连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(RF)信道等方式;
检测方式:命令执行,文件访问,网络连接创建,网络流量会话,网络流量数据
T1567
1.Exfiltration Over Web Service
理解为通过Web服务进行渗透,子章节:Exfiltration to Code Repository,例如:通过合法的代码库收集敏感信息进行渗透,这里的代码库常见的就是Github,Exfiltration to Cloud Storage,例如:通过合法的云存储进行渗透,这里的云存储就是各种云盘,国内的就百度云盘,阿里云盘,国外的就是谷歌云盘等等;
检测方式:命令执行,文件访问,网络流量会话,网络流量数据
T1133
1.External Remote Services
外部的远程服务,场景就是使用VNC,Windows远程管理工具或者Docker的API,Kubernetes API之类的远程服务进行渗透;
检测方式:应用日志内容,登陆会话元数据,网络流量会话
T1008
1.Fallback Channels
攻击者拿到权限为了防止丢失权限,通常会再留一个极其隐蔽的备用C&C;
检测方式:网络连接创建,网络流量会话
T1187
1.Forced Authentication
攻击者通过利用强制认证的方式进行神,例如:SMB,WebDav的HTTP扩展等等;
检测方式:文件访问,文件创建,文件修改,网络流量会话,网络流量数据
T1105
1.Ingress Tool Transfer
这个翻译过来是入口工具传输,其实意思就是攻击者拿到权限之后,需要再从外部传入恶意文件到目标主机上,那么就会使用各种的入口传输工具,其中包括,ftp,scp,rsync,sftp等等;
检测方式:文件创建,网络连接创建,网络流量会话,网络流量数据
T1534
1.Internal Spearphishing
内部鱼叉式网络钓鱼,这个从字面意思就能理解,一般用于漫游到内网之后,进一步扩大战果进行横向移动操作;
检测方式:应用日志内容,网络流量数据,网络流量会话
T1570
1.Lateral Tool Transfer
在内网中进行横向移动传输的操作,就是相当于将用用到的渗透工具传输到另一台主机上,用到工具同样是scp,ftp,sftp,rsync等等;
检测方式:命令执行,文件创建,文件上下文元数据,网络共享访问,网络流量数据,网络流量会话,进程创建,命名管道
T1104
1.Multi-Stage Channels
这个翻译过来叫多级通道,用到场景目的还是为了躲避检测,从而使用多种不同的阶段进行C&C,简单点理解,前期我就做写基础信息搜集和检测,跟正常行为一样,到后面循序渐进的深入操作,进行多阶段多级C&C;
检测方式:网络连接创建,网络流量会话
T1599
1.Network Boundary Bridging
网络边界桥接,子章节含有网络地址转换,这个场景往往是拿到边界的部分网络权限,然后通过桥接的方式绕过一些防火墙,路由器的限制,直接进入内网;
检测方式:网络流量数据,网络流量会话
T1498
1.Network Denial of Service
字面意思就能理解,网络拒绝服务,就是DoS攻击,子章节有直接洪水攻击和反射放大攻击;
检测方式:主机状态,网络流量会话
T1046
1.Network Service Scanning
字面意思就能理解,网络服务扫描,端口扫描,主机发现之类的;
检测方式:云服务枚举,命令执行,网络流量会话
T1095
1.Non-Application Layer Protocol
攻击者通过使用非应用层协议来躲避检测来达到C&C的目的,常见的有使用ICMP协议进行渗透,场景会是用到ICMP隧道进行C&C;
检测方式:网络流量数据,网络流量会话
T1571
1.Non-Standard Port
攻击者通过使用非标准端口来躲避检测;
检测方式:网络连接创建,网络流量数据,网络流量会话
T1003
1.OS Credential Dumping
字面意思就是操作系统凭据转储,简单点理解,就是通过各种方式读取,获取,窃取目标的登陆凭证,其中子章节提到很多姿势,详见上面的T1003;
检测方式:AD对象访问,命令执行,文件访问,网络流量数据,网络流量会话,操作系统API执行,进程访问,进程创建,Windows注册表键值访问
T1566
1.Phishing
攻击者通过钓鱼的方式拿目标权限,子章节还提到鱼叉式附件,鱼叉式钓鱼链接,通过服务进行鱼叉式网络钓鱼;
检测方式:应用层日志内容,文件创建,网络流量数据,网络流量会话
T1598
1.Phishing for Information
钓鱼信息,子章节还提到鱼叉式附件,鱼叉式网络钓鱼服务,鱼叉式钓鱼链接;
检测方式:应用层日志内容,网络流量数据,网络流量会话
T1572
1.Protocol Tunneling
这个字面意思就看的出来,协议隧道,常见的场景有SSH隧道,DNS隧道,SSH端口转发等等还有其他各种工具的使用隧道场景;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1090
1.Proxy
很好理解,也是攻击者用的场景最多的一种,使用各种代理手段来绕过目标的检测和访问限制,其中包括子章节技术,内部代理,外部代理,多级代理,域前置,这些子章节中关于代理的都很好理解,但是域前置这个技术也算作是代理的范畴,其原理就是使用到了CDN技术,具体可参考如下文章:
https://www.anquanke.com/post/id/195011
https://evi1cg.me/archives/Domain_Fronting.html
https://zh.wikipedia.org/wiki/域前置 ;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1219
1.Remote Access Software
远程访问软件,就是我们日常使用的类似TeamViewer这类合法的远程控制软件等等;
检测方式:网络连接创建,网络流量会话,网络流量数据,进程创建
T1563
1.Remote Service Session Hijacking
远程服务的会话劫持,简单点理解就是获取类似RDP,SSH,Telnet等登陆的会话,拿到这个会话可以不要账户密码直接登陆目标,其中子章节提到了RDP会话劫持和SSH会话劫持;
检测方式:命令执行,登陆会话创建,网络流量会话,网络流量数据,进程创建
T1021
1.Remote Services
远程服务,这里说的就是合法的为了方便正常的管理员使用的远程服务,而被恶意攻击者使用合法的身份使用的远程服务,常见的就是RDP,SSH,VNC,Telnet,Windows共享,DCOM组件,Windows远程管理,例如WinRM等等,本章节的子章节含有Remote Desktop Protocol,SMB/Windows Admin Shares,Distributed Component Object Model,Windows Remote Management,VNC,SSH,其中关于Distributed Component Object Model主要是用于内网渗透环境中进行横向移动操作,通过此方式可以远程执行命令,可在同网段或内部能互联互通的主机,此类的相关参考文章如下:
https://cloud.tencent.com/developer/article/1798998
https://www.freebuf.com/articles/web/293280.html;
检测方式:命令执行,登陆会话创建,模块加载,网络共享访问,网络连接创建,网络流量会话,进程创建
T1496
1.Resource Hijacking
资源劫持,看介绍这个是用在挖矿的场景,其中检查项提到主机状态,其场景就是类似被DDoS,主机资源被耗尽,CPU,进程等等都异常的情景;
检测方式:命令执行,文件创建,网络连接创建,网络流量会话,进程创建,主机状态
T1029
1.Scheduled Transfer
这个我翻译为计划传输,就是在特定的时间点,或某一个间隔的时间段执行数据传输操作,一般场景是用在拿到权限然后要拿数据的情景;
检测方式:网络连接创建,网络流量会话
T1505
1.Server Software Component
服务器软件组件,理解为服务器端提供服务的组件,常见有类似IIS之类的,子章节提到SQL存储过程,传输代理,Webshell,IIS组件等;
检测方式:应用日志内容,文件创建,文件修改,网络流量数据,网络流量会话,进程创建
T1205
1.Traffic Signaling
我这翻译就是流量信号,其中子章节Port Knocking 从这个子章节来看就很好理解,一般在渗透测试场景,防御者那边会为了增强安全性,会使用一些特殊的信号传递给目标主机,让目标主机开放特定的端口信号,用完之后,一段时间后,会使用防火墙再次关闭特定的端口,这种行为就是上面子章节说到的端口敲门的一种说法,所以总结出来就是管理员管理自己的主机,他知道特殊的流量信号,那么发送特殊的流量信号目标就会开放特殊的端口,反之攻击者不知道特殊的信号,那么就无法开放特殊的端口,这就是上面所说的流量信号;
检测方式:网络连接创建,网络流量会话,网络流量数据
T1102
1.Web Service
这里的Web Service和其子章节提到的Dead Drop Resolver,Bidirectional Communication,One-Way Communication我们可以理解为是使用第三方大厂提供的应用层服务,用其作为介质,作为桥梁使得在进行渗透使用C&C的方式更为隐蔽,比如一些APT中提到的使用场景,就是使用Dropbox、Amazon S3 和 Google Drive 来托管恶意下载等等;
检测方式:网络连接创建,网络流量数据,网络流量会话
案例指纹
https://catalog.caida.org/details/paper/2015_analysis_slash_zero
https://wiki.owasp.org/index.php/OAT-004_Fingerprinting