战术代表着攻击者的技术目标,随着时间的推移,这些战术保持相对不变,因为攻击者的目标不太可能会发生变化。战术将攻击者试图完成任务的各方面内容与他们运行的平台和领域结合了起来。通常,不管是在哪个平台上,这些目标都是相似的,这就是为什么Enterprise ATT&CK战术在Windows、macOS和Linux系统中基本保持一致。但在某些情况下,也需要进一步改进战术,以便更好地反映用户的需求与心声。例如,2020年,ATT&CK框架将PRE ATT&CK整合到Enterprise矩阵中,新增了2个战术——侦察和资源开发,由原来的12个战术变为14个战术。下文分别对ATT&CK框架现有的14个战术进行了详细介绍。
1. 侦察
攻击者在入侵某一企业之前,会先收集一些有用的信息,用来规划以后的行动。侦察包括攻击者主动或被动收集一些用于锁定攻击目标的信息。此类信息可能包括受害组织、基础设施或员工的详细信息。攻击者也可以在攻击生命周期的其他阶段利用这些信息来协助进行攻击,例如使用收集的信息来计划和执行初始访问,确定入侵后的行动范围和目标优先级,或者推动进一步的侦察工作。
2. 资源开发
资源开发是指攻击者会建立一些用于未来作战的资源。资源开发包括攻击者创建、购买或窃取可用于锁定攻击目标的资源。此类资源包括基础设施、账户或功能。攻击者也可以将这些资源用于攻击生命周期的其他阶段,例如使用购买的域名来实现命令与控制,利用邮件账户进行网络钓鱼,以便实现“初始访问”,或窃取代码签名证书来实现防御绕过。
3. 初始访问
通常,“初始访问”是指攻击者在企业环境中建立立足点。对于企业来说,从这时起,攻击者会根据入侵前收集的各种信息,利用不同技术来实现初始访问。例如,攻击者使用鱼叉式钓鱼附件进行攻击。附件会利用某种类型的漏洞来实现该级别的访问,例如PowerShell或其他脚本技术。如果执行成功,攻击者就可以采用其他策略和技术来实现最终目标。
4. 执行
攻击者在进攻中采取的所有战术中,应用最广泛的战术莫过于“执行”。攻击者在考虑使用现成的恶意软件、勒索软件或APT攻击时,他们都会选择“执行”这个战术。要让恶意软件生效,必须运行恶意软件,因此防守方就有机会阻止或检测到它。但是,用杀毒软件并不能轻松查找到所有恶意软件的恶意可执行文件。此外,命令行界面或PowerShell对于攻击者而言非常有用。许多无文件恶意软件都利用了其中一种技术或综合使用这两种技术。这些类型的技术对攻击者的好处在于,终端上已经安装了上述功能,而且很少会删除这些功能。系统管理员和高级用户每天都会用到其中的一些内置工具。
5. 持久化
攻击者实现持久化访问之后,即便运维人员采取重启、更改凭证等措施,仍然可以让计算机再次感染病毒或维持其现有连接。例如,注册表运行键、启动文件夹是最常用的技术,它们在每次启动计算机时都会执行。因此,攻击者会在启动诸如Web浏览器或Microsoft Office等常用应用时实现持久化。在所有ATT&CK战术中,持久化是最应该被关注的战术之一。如果企业在终端上发现恶意软件并将其删除,它很有可能还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此处或网络上的其他地方建立了持久化。
6. 权限提升
ATT&CK提出“应重点防止攻击工具在活动链的早期阶段运行,并重点识别随后的恶意行为”。这意味着需要利用纵深防御来防止感染病毒,例如终端的外围防御体系或应用白名单。对于超出ATT&CK范围的权限提升,防止方式是在终端上使用加固基线。应对权限提升的另一个办法是审计日志记录。当攻击者采用权限提升中的某些技术时,他们通常会留下蛛丝马迹,暴露其目的。尤其是针对主机侧的日志,需要记录服务器的所有运维命令,以便于取证及实时审计。
7. 防御绕过
防御绕过是指攻击者用来避免在整个攻击过程中被防御措施发现的技术。防御绕过使用的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。攻击者还可利用并滥用可信进程隐藏和伪装恶意软件。该战术的一个有趣之处是某些恶意软件(例如勒索软件)对防御绕过毫不在乎。它们的唯一目标是在设备上执行一次,然后尽快被发现。一些技术可以骗过防病毒(AV)产品,让这些防病毒产品根本无法对其进行检测,或者绕过应用白名单技术。
8. 凭证访问
任何攻击者入侵企业都希望保持一定程度的隐秘性。攻击者希望窃取尽可能多的凭证。当然,他们可以暴力破解,但这种攻击方式动静太大了。还有许多窃取哈希密码及哈希传递或离线破解哈希密码的示例。在所有要窃取的信息中,攻击者最喜欢的是窃取明文密码。明文密码可能存储在明文文件、数据库甚至注册表中。很常见的一种行为是,攻击者入侵一个系统窃取本地哈希密码,并破解本地管理员密码。应对凭证访问最简单的办法就是采用复杂密码。建议使用大小写、数字和特殊字符组合,目的是让攻击者难以破解密码。最后需要监控有效账户的使用情况,因为在很多情况下,数据泄露是通过有效凭证发生的。
9. 发现
发现包括攻击者用于获取有关系统和内部网络信息的技术。这些技术可帮助攻击者在决定如何采取行动之前先观察环境并确定方向。攻击者可以使用这些技术探索他们可以控制的内容以及切入点附近的情况,并根据这些已获得信息帮助他们实现攻击目的。攻击者还可以使用本机操作系统工具实现入侵后的信息收集目的。
10. 横向移动
攻击者在利用单个系统漏洞后,通常会尝试在网络内进行横向移动。甚至,针对单个系统的勒索软件也试图在网络中进行横向移动以寻找其他攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。在缓解和检测横向移动时,适当的网络分段可以在很大程度上缓解横向移动带来的风险。
11. 收集
收集是指攻击者用于收集信息的技术,并且从中收集与贯彻攻击者目的相关的信息来源。通常,收集数据后的下一步目的是窃取数据。常见的攻击源包括各种驱动器类型、浏览器、音频、视频和电子邮件。常见的收集方法包括捕获屏幕截图和键盘输入。企业可以使用该战术中的各种技术,了解更多有关恶意软件是如何处理组织机构中数据的信息。攻击者会尝试窃取用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容及用户的外貌特征。
12. 命令与控制(C2)
命令与控制由攻击者用于在受害者网络内与已入侵系统进行通信的技术组成。攻击者通常通过模仿正常的预期流量,避免自身被发现。根据受害者的网络结构和防御能力,攻击者可以通过多种方式建立不同隐身级别的命令与控制。现在大多数恶意软件都有一定程度使用命令与控制战术。攻击者可以通过命令与控制服务器来接收数据,并告诉恶意软件下一步执行什么指令。对于每一种命令与控制,攻击者都是从远程位置访问网络。因此,了解网络上发生的事情对于有效应对这些技术至关重要。
13. 数据窃取
数据窃取包含攻击者用于从用户网络窃取数据的技术。攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手进行数据窃取,但并不是所有恶意软件都能到达这个阶段。在攻击者通过网络窃取数据的情况下,尤其是窃取大量数据(如客户数据库)时,建立网络入侵检测或防预系统有助于识别数据何时被传输。
14. 危害
攻击者试图操纵、中断或破坏企业的系统和数据。用于“危害”的技术包括破坏或篡改数据。在某些情况下,业务流程看起来很好,但可能数据已经被攻击者篡改了。这些技术可能被攻击者用来完成他们的最终目标,或者为其窃取机密提供掩护。
