MITRE ATT&CK超详细学习笔记-01（背景，术语，案例）

文章目录

• 1. ATT&CK框架简介
• • 1.1 背景
  • 1.2 特点
  • 1.3 与Cyber Kill Chain的关系
• 2. ATT&CK相关术语
• • 2.1 Matrix
  • 2.2 TTPs
  • 2.3 痛苦金字塔
  • 2.4 五大对象
• 3. ATT&CK战术及场景实践
• • 3.1 侦察
  • • 3.1.1 主动扫描
    • 3.1.2 搜索公开网站/域名（被动）
  • 3.2 资源开发
  • • 3.2.1 建立账户
  • 3.3 初始访问
  • 3.4 执行
  • 3.5 持久化
  • • 3.5.1 使用schtasks计划任务完成“持久化”战术

1. ATT&CK框架简介

1.1 背景

????MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目，开展了大量的网络安全实践。例如，MITRE公司在1999年发起了常见披露漏洞项目（CVE，Common Vulnera-bilities and Exposures）并维护至今。其后，MITRE公司还维护了常见缺陷列表（CWE，Common Weakness Enumeration）这个安全漏洞词典。

1.3 与Cyber Kill Chain的关系

????这里就是一张旧版的的Enterprise矩阵，现在每一年都在更新，所以相较于最新的，前面少了侦察和资源开发，但是不影响我们讲他的结构。
????横轴就是战术，核心研究攻击目标，战术的整体阶段大概是怎样的，只是大的行动纲领，具体怎么做取决于纵轴也就是我们的技术以及子技术，也就是how和what。在每一项技术和子技术当中还存在着更细的子单位，就是p步骤，哪一个组织之前用到了哪一个工具，是怎么在用的。
????总结来说战术就是宏观的行动纲领，技术是具体解决和执行的东西，程序则是最小元的步骤，不能继续细分了，从大到小紧密关联

2.2 TTPs

????痛苦金字塔模型由IoC（Indicators of Compromise，失陷指标）组成，通过IoC进行组织分类并描述各类IoC在攻防对抗中的价值。
????痛苦金字塔就是一个黑客和防守方对这座金字塔不断地去攀升，如果攻防双方的对抗发生在金字塔的底部，那么对双方来说都没那么痛苦，对攻击者来说使用的工具、后门或者依赖哈希去做检测，攻击者去替换或者修改的成本都是比较低的，随时可以伪造特征或者替换，那么HASH就会随之发生改变，但是顶部的TTP，TTPs描述了攻击者从踩点侦察到获取数据这一过程中，每一步是如何完成任务的
????因此 TTPs 也是痛苦金字塔中对防守最有价值的一类 IOCs。但另一方面，这类 IOCs 更加难以识别和应用，由于大多数安全工具并不太适合利用它们，也意味着收集和应用 TTPs 到网络防御的难度系数是最高的。

对抗一定是由下至上的，最后发展到最高层面，代表本质的行为。比如说小偷使用的工具包括起子扳手，你没收了工具可能他随时可以替换。但是如果他是左撇子，这是他惯用的很难改变的习惯，你把他的左手用什么捆起来，他的攻击成功率就大大降低

2.4 五大对象

????ATT&CK框架中主要包含五大对象：攻击组织、软件、技术/子技术、战术、缓解措施，每个对象都在一定程度上与其他对象有关。

3. ATT&CK战术及场景实践

攻击者在入侵某一企业之前，会先收集一些有用的信息，这和渗透测试当中的信息搜集也是类似的。侦察包括攻击者收集一些用于锁定攻击目标的信息，可能包括受害组织、基础设施或员工的详细信息。简单来说就是包括了主动扫描侦察和被动扫描侦察，比如T1595就是主动，而收集、搜索等等都是被动。当然在其他阶段也可以利用这些信息进行辅助，例如使用收集的信息来计划和执行初始访问，确定入侵后的行动范围和目标优先级，或者推动进一步的侦察工作。

3.1.1 主动扫描

比如说主动扫描包括扫描IP块和漏扫：

• IP扫描确定在信息收集中所找到的主机是否在线
• 根据IP地址来猜测IP段，扩大所知主机地址信息
• 通过对TCP和UDP的扫描来发现所开放端口和运行的服务

第一种：Intense scan
(nmap -T4 -A -v)
一般来说，Intense scan可以满足一般扫描
-T4 加快执行速度
-A 操作系统及版本探测
-v 显示详细的输出

第二种：Intense scan plus UDP(nmap -sS -sU -T4 -A -v)
即UDP扫描，会发送空的UDP报头到目标的端口，如果返回ICMP端口不可到达错误就是关闭，返回响应UDP报文就是开放
-sS TCP SYN 扫描
-sU UDP 扫描

第三种：Intense scan,all TCP ports
(nmap -p 1-65536 -T4 -A -v)
扫描所有TCP端口，范围在1-65535，试图扫描所有端口的开放情况，速度比较慢。
-p 指定端口扫描范围

第四种：Intense scan,no ping
(nmap -T4 -A -v -Pn)
非ping扫描
-Pn 非ping扫描

第五种：Ping scan
(nmap -sn)
Ping 扫描
优点：速度快。
缺点：容易被防火墙屏蔽，导致无扫描结果
-sn ping扫描

第六种：Quick scan
(nmap -T4 -F)
快速的扫描
-F 快速模式。

第七种：Quick scan plus
(nmap -sV -T4 -O -F –version-light)
快速扫描加强模式
-sV 探测端口及版本服务信息。
-O 开启OS检测
–version-light 设定侦测等级为2。

第八种：Quick traceroute
(nmap -sn –traceroute)
路由跟踪
-sn Ping扫描，关闭端口扫描
-traceroute 显示本机到目标的路由跃点。

第九种：Regular scan
规则扫描

第十种：Slow comprehensive scan
(nmap -sS -sU -T4 -A -v -PE -PP -PS80,443,-PA3389,PU40125 -PY -g 53 –script all)
慢速全面扫描。

扫描结果如图

这个社会化媒体比如说之前有一款网站REG007，可以通过用户的手机号搜索到这个手机号所注册的所有网站和应用，包括微博、豆瓣、当当还有什么新东方等等，攻击者可以选择任意一个网站进行渗透。除此之外就是搜索引擎，比如说在浏览器使用特定的语法就可以搜出更精细化的结果,intitle,site什么的

FOFA工具功能介绍
FOFA是一款空间搜索引擎，它可以通过进行网络空间测绘快速进行网络资产匹配
搜索HTTP响应头中含有“php”关键词且国家为中国的网站和IP

搜索指定IP或IP段

3.2 资源开发

3.2.1 建立账户

3.4 执行

3.5 持久化

例如使用下面的命令就可以指定在每次系统登录时，操作系统会自动去下载并执行一个基于PowerShell的Payload。

首先create创建，/tn即taskname设置为PentestLab，指定唯一识别这个计划任务的名称
/tr即taskrun指定在这个计划时间运行的程序的路径和文件名。
/sc就是schedule，既定计划的频率，/ru就是username，指定任务在其下运行的“运行方式”就是系统账户。
bypass就是没有任何限制和提示的策略

来源：Zichel77