ATT&CK与基础术语
网络攻防标准/框架
渗透测试执行标准PTES
渗透测试执行标准,渗透测试的一种执行规范
1.前期交互阶段
测试团队与客户组织进行交互讨论确定测试范围,目标,限制条件以及服务合同细节
收集客户需求,准备测试计划,定义测试范围与边界,定义业务目标,项目管理与规划
2.情报搜集阶段
确定范围后,可以利用各种信息来源与收集技术方法,获取更多关于目标组织网络拓扑,系统配置与安全防御措施的信息。公开来源的信息查询,google hacking,社会工程学,网络踩点,扫描探测,被动监听,服务检查等。
3.威胁建模阶段
搜集到充分的情报信息之后,共同讨论获取的信息进行威胁建模与攻击规划,从中进行梳理,找出最可行的攻击通道。
4.漏洞分析阶段
确定出最可行的攻击通道之后,考虑如何取得目标系统的访问控制权。需要综合分析前几个阶段获取并汇总的情报信息,找出攻击点,并在环境中进行验证。找出可被利用的未知安全漏洞,并开发渗透代码,从而打开攻击通道。
5.渗透攻击阶段
利用找出的漏洞,真正入侵系统获得权限,黑盒测试中渗透测试者需要进行痕迹清理
6.后渗透测试阶段
需要渗透测试团队根据目标组织的业务经营模式,保护资产形式与安全防御计划的不同特点,自主设计出攻击目标,识别关键基础设施,并寻找客户组织最具有价值和尝试安全保护的信息资产,最终达到能够对客户组织造成最重要业务影响的攻击途径。
7.报告阶段
这份报告体现出渗透测试流程中所有的信息,包括渗透测试执行过程,还要站在防御者角度上,帮助他们分析安全防御体系中的薄弱环节,存在的问题,以及修补与升级技术方案
网络杀伤链 cyber kill chain
2011 年洛克希德马丁公司提出的网络攻击模型。跟真实世界的入侵者,对一个目标系统进行攻击的每个阶段都是一一映射的。
第 1 步,目标侦察,跟前面 PTES 情报收集阶段是差不多的;
第 2 步,武器研制,编写各种工具/后门/病毒 Exp / Weapon / Malware;
第 3 步,载荷投递,通过水坑鱼叉等攻击方式将武器散播出去(投毒);
第 4 步,渗透利用,通过漏洞利用获取对方控制器;
第 5 步,安装执行,在目标系统将后门木马跑起来;
第 6 步,命令控制,对目标来进行持久化控制;
第 7 步,任务执行,即开始执行窃取数据、破坏系统等。
MITRE ATT&CK 框架
「ATT&CK 框架」,由 MITRE 公司于 2013 年提出来的一个通用知识框架,中文名叫做「对抗战术、技术、常识 」 。
ATT&CK 框架是基于真实网络空间攻防案例及数据,采用军事战争中的 **TTPs (Tactics, Techniques & Procedures)**方法论,重新编排的网络安全知识体系,目的是建立一套网络安全的通用语言。
举例,大家经常听到的什么 APT 攻击、威胁情报、态势感知等等,无论个人还是企业,理解上不尽相同,总会有一些偏差的。有了 ATT&CK 框架,大家不会存在太大的偏差,红队具体怎么去攻击的,蓝队具体到怎么去防御的,使用 ATT&CK 矩阵可以将每个细节标记出来,攻击路线和防御过程都可以图形展现出来,攻防双方就有了一套通用语言了。
ATT&CK整体有三个部分,一个是 PRE ATT&CK,一个是 ATT&CK for Enterprise,一个是 ATT&CK for Mobile,我们学习和研究时,核心放在 ATT&CK for Enterprise 即可。
这张图里面,横轴代表是战术(Tactics),最新版本里横轴包括的战术有 12 个(原来是 10 个),纵轴代表的是技术(Techniques)有 156 个技术 272 个子技术。
ATT&CK
MITRE
MITRE是美国的一家非盈利组织,在美国国防部、国土安全部等政府组织的支持下,运营了多个技术研究中心,涉及网络安全等多方面国防高科技领域。MITRE发起或者运营了多个网络安全领域的标准如STIX/TAXII 1.0(STIX/TAXII 2.0目前已由OASIS运营),知识库如CAPEC,MAEC,CWE,CVE,ATT&CK等,针对网络安全领域的威胁建模、攻击分类、威胁情报等多方面研究构建了一个较为完整的安全生态。
ATT&CK
MITRE公司提出的【对抗战术、技术和常识】框架,提供网络空间安全领域下的一套通用语言。其作用有对抗模拟、红队渗透等,可以通过二维矩阵标识作战计划等。
MITRE ATT&CK的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。简单来说,ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的多种战术和企业技术组成的精选知识库。
战术tactics
技术techniques
横向战术下的多种技术
缓解措施mitigations
应对攻击的防御措施
术语
漏洞
漏洞
基于技术分类,有命令执行、权限绕过、注入、弱口令等;基于时间分类,有0 day ,1 day, N day等
cve
“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
美国MITRE公司创立,通过CNA机构分配漏洞编号,通过CVSS系统评估漏洞等级
poc
概念验证(Proof of concept,简称POC)是对某些想法的一个不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。通常指一段漏洞验证程序/攻击样例,仅能验证漏洞存在而不能实质性利用。
exploit
意思就是利用,漏洞利用。代表一段有漏洞价值的攻击代码或一个漏洞利用过程。常见的exploit有sql注入、缓冲区溢出、远程代码执行等
payload
攻击载荷,通常指exploit拿下目标后,攻击者在目标机器上执行的定制代码或程序,如会话建立、shellcode等
shellcode
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
恶意程序
malware
恶意软件或程序,泛指病毒、木马、勒索软件等
virus
病毒,通常依附于其他文件或程序上,不自我复制传播,当运行其他程序时启动,对目标系统进行破坏
worm
蠕虫病毒,能独立于其他文件或程序运行,能基于网络进行自我复制和传播,实施破坏
trojan horse
特洛伊木马,简称木马,潜伏于合法软件中运行,不复制传播且高度隐秘,运行时创建后门,通过后门对目标系统实施远程控制、监听等
ransomware
勒索软件,独立于其他文件运行,能基于网络进行自我复制和传播,通过对目标系统的加密劫持实施勒索
spyware
间谍软件,流氓/恶意软件,搜集用户个人信息实施网页劫持、网址导航等
rootkits
升级型的木马病毒、泛指能获取到root权限的恶意程序,绕过杀毒软件
基础设施
C2
command and control server,命令控制服务器,远程控制目标主机并发送指令,通常为了防止暴露使用云服务器
肉鸡
被恶意软件感染,能被黑客控制的电脑或设备
僵尸网络
成千上万肉鸡组成的大规模分布式网络,以此实现ddos攻击等
攻击方法
APT
Advanced Persistent Threat,高级持续性威胁。指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
0day
0day就是指一些没有公布补丁的漏洞,或者是还没有被漏洞发现者公布出来的漏洞利用工具,由于漏洞细节未被公开,厂商未发布补丁,理论上无法防御
鱼叉攻击
网络钓鱼攻击的一种,通常是指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。
水坑攻击
“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
ddos
分布式拒绝服务攻击原理分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
拖库
利用漏洞(如sql注入)入侵网站将数据库拖出的过程
撞库
通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
作者:LSLWind
链接:https://juejin.cn/post/7024046166010495013