ATT&CK v10版本战术介绍-初始访问_att&ck初始访问-程序员宅基地

技术标签: 数据安全  系统安全  运维  网络安全  大数据  

一、引言

在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象,这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息,同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件,一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据,包括 ID、定义、可以收集它的位置(收集层)、可以在什么平台上找到它,突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种(子)技术,这些技术可以用该特定数据检测到。在个别(子)技术上,数据源和组件已从页面顶部的元数据框重新定位,以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台,包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

ATT&CK战术全景图(红框为初始访问战术)

三、初始访问战术

3.1 概述

初始访问是攻击者使用各种方法在网络中获得攻击入口的技术,包括网络钓鱼和利用公司对外的Web 网站的漏洞。通过初始访问获得的攻击入口可能允许攻击者继续进行深入的渗透,例如获取有效的帐户信息和对外提供的远程服务,或者通过多次尝试口令锁住用户账户限制用户使用等。

初始访问包括9种技术,下面逐一介绍下这九种技术。

3.2 路过式攻击(T1189)

攻击者可能通过用户在正常访问网站的过程中入侵他的系统,主要包括获取浏览器的权限或者利用网站相关漏洞(比如认证漏洞等)进行攻击。存在多种向浏览器提供漏洞利用代码的方法,包括:恶意代码(如JavaScript、iFrame 和跨站点脚本等)、恶意广告、用户能操作的网站内容(比如表单提交)。

典型的攻击过程:

1) 用户访问了一个被攻击者控制的网站。

2) 脚本会自动执行,通常会在浏览器和插件中搜索可能存在漏洞的版本。

3) 用户可能需要通过忽略启用脚本或活动网站组件的警告对话框来协助此过程。

4) 在找到易受攻击的版本后,漏洞代码将被传递到浏览器。

5) 如果利用成功,除非有其他保护措施,否则它将在用户系统上执行攻击者代码。

这种攻击的对象是客户端上的软件,而用户利用客户端可能会访问公司内网,攻击者可以通过客户端合法的认证信息作为跳板合法的访问内网资源。

3.2.1 缓解措施

3.2.1.1 应用程序隔离和沙箱(M1048)

浏览器沙箱可用于减轻利用的一些影响,但沙箱逃逸可能仍然存在。其他类型的虚拟化和应用程序微分段也可以减轻客户端利用的影响。

3.2.1.2 漏洞利用保护(M1050)

可以通过安全应用程序(例如 Windows Defender Exploit Guard (WDEG) 和增强的一些专杀工具等(EMET))可用于缓解某些利用行为。控制流完整性检查(Control flow integrity)是另一种可能识别和阻止软件漏洞发生的方法。许多这些措施依赖于架构和目标应用程序二进制文件的兼容性。

3.2.1.3 限制基于 Web 的内容(M1021)

对于通过广告提供的恶意代码,广告拦截器可以帮助阻止该代码首先执行。

脚本阻止扩展可以帮助阻止在利用过程中可能常用的 JavaScript 的执行。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/124376322

智能推荐

毕业设计:计算机专业毕业设计(1000套项目源码)免费-程序员宅基地

文章浏览阅读1k次,点赞28次,收藏13次。毕业设计:计算机专业毕业设计(1000套项目源码)免费

ajax返回值中文变成问号,用ajax传递json到前台中文出现问号乱码问题的解决办法...-程序员宅基地

文章浏览阅读3.2k次。用ajax传递json到前台中文出现问号乱码问题的解决办法我使用的Springmvc,在controller层传输一个json到前台,后台显示没问题,中文正常显示而到了前台中文就变成了问号。后来发现,因为在controller中返回json用了@ResponseBody,而spring源码中@ResponseBody 的实现类发现其默认的编码是 iso-8859-1,而项目用的编码为utf-8,所..._ajax返回值问号

编译内核时出现fatal error: linux/compiler-gcc7.h: No such file or directory(已解决)-程序员宅基地

文章浏览阅读7.8k次。编译内核时出现fatal error: linux/compiler-gcc7.h: No such file or directory(已解决)##linux内核编译时出错最近编译linux内核时出现了问题,网上找了好多办法都没解决,最后才找到一个比较好一点的方法。网上的方法大多数都是把/usr/src/… linux内核中的compile-gcc.h加入到需要编译的内核的位置。解...

Hive-SQL获取表中复杂结构数据_not valid on non-collection-程序员宅基地

文章浏览阅读3k次,点赞3次,收藏6次。数据格式基本如下:col1"{""couponSetting"":[{""amount"":""xxxxx"",""type"":""优惠券"",""boxxsrsarow"":""50万"",""_batchssId"":""4718"}"],""totalCount"":6,""couponExplain"":""优惠xxxxxxx选、U(服xxxxxxxx月),每xxxxxxx次。"..._not valid on non-collection

git stash常用场景_gti stash save-程序员宅基地

文章浏览阅读146次。gti stash 暂存当前分支的改动,然后git checkout 其他分支,git pull l拉取最新代码,然后git stash pop将本地的改动恢复到该分支,手动解决冲突,最后git push 提交代码。(1)git stashsave "save message" : 执行存储时,添加备注,方便查找,只有git stash 也要可以的,但查找时不方便识别。(2)git stash list:查看stash了哪些存储(3)git stash show:显示做了哪些改动,默认..._gti stash save

Python订阅Redis主题,实现前端通过Websocket实时获取订阅信息【消息推送】_python redis 转websocket-程序员宅基地

文章浏览阅读2.2k次,点赞4次,收藏13次。写在前面之前玩物联网的时候经常用到MQTT,感觉也很好用,最近要做一个类似实时大屏幕的的系统,屏幕终端可能用很多种平台(Android、Linux、Mac、Windows)正好之前用JS+HTML做过WS与服务器双向传输信息的东西【用的EMQX引擎】效果很不错,网页也可以适应各个平台。我就在想能不能不用MQTT用Redis,反正都是Pub/Sub模式没想到一钻研就是一两天,也学到了许多东西,项目也做得不错了,在这里分享一下所需知识Redis基本操作,这个没得说,不是很难建议都学下通过命令_python redis 转websocket

随便推点

公历转换中国农历的算法--ChineseCalendarGB.java_java chinesecalendar-程序员宅基地

文章浏览阅读2.1k次。之前在网上找,找到的大多都是不全的_java chinesecalendar

《敏捷迭代开发:管理者指南》目录—导读-程序员宅基地

文章浏览阅读210次。内 容 提 要敏捷迭代开发:管理者指南本书是敏捷和迭代开发方法的权威指南。著名软件方法大师Craig Larman在书中不但说明什么是敏捷/迭代方法,其运作机制、实施策略以及原因,而且通过具有统计意义的重要研究数据,以及大规模的项目案例分析,为读者呈现了最具有说服力的采用迭代开发的有力证据。本书主要内容包括:大量实用的敏捷和迭代技巧,面向敏捷/迭..._敏捷迭代开发 管理者指南

数据库课堂笔记2 关系数据模型_关系的交操作可以用差操作来表示,即r∩s=r-(r-s)-程序员宅基地

文章浏览阅读3.4k次。根据UESTC数据库课程整理而成数据模型概述数据模型的不同层次逻辑模型(外模式)面向用户建模概念模型(概念模式)面向现实世界建模物理模型(内模式)面向具体的DBMS,面向机器数据模型的三要素数据结构与数据类型、内容、性质有关的对象,如关系模型中的域、属性、关系等与数据之间联系有关的对象。数据结构是对系统静态特征的描述。数据操作数据操作是指对数据库中各种对象的..._关系的交操作可以用差操作来表示,即r∩s=r-(r-s)

LeetCode 24. 两两交换链表中的节点_交换链表中的相邻的节点-程序员宅基地

文章浏览阅读111次。给定一个链表,两两交换其中相邻的节点,并返回交换后的链表。你不能只是单纯的改变节点内部的值,而是需要实际的进行节点交换。示例:给定 1->2->3->4, 你应该返回 2->1->4->3.来源:力扣(LeetCode)链接:https://leetcode-cn.com/problems/swap-nodes-in-pairs解题思..._交换链表中的相邻的节点

C# CodinGame记录(4)--ASCII ART_coding games c语言ascii art-程序员宅基地

文章浏览阅读296次。C# CodinGame记录(4)--ASCII ART_coding games c语言ascii art

c++组态软件源码_组态王的常见问题解答-程序员宅基地

文章浏览阅读3.7k次。1.我注意到组态王软件是按软件点数来收费的,请问这个点数是如何计算的?组态王软件是按点数收费的,这里讲的点数不是用户在工程设计时设计的采样点的数目,而是组态王数据词典中定义的所有变量(不包括软件本身自带的21个变量),因为在组态王的数据词典中除了要定义采样点外,还需要定义一部分内存变量来实现软件的逻辑控制动画连接等,所以用户在软件选型时要留有一定的点数余量。2.我想删除一个指定的变..._组态王变量频率

推荐文章

热门文章

相关标签