2022HW溯源反制手冊

2022HW溯源反制手冊目錄TOC\o"1-3"\h\u31897一.戰(zhàn)略 448851.關于反殺傷鏈的思考 4164862.入侵殺傷鏈 7315753.實戰(zhàn)指南 135804.一文看懂框架以及使用場景實例 2512635.論溯源反制之思想 33149886.(五)：威懾反制能力建設 365383二.戰(zhàn)術 37140961.定向網絡攻擊追蹤溯源層次化模型研究 3746642.HW｜藍隊實戰(zhàn)溯源反制手冊分享 37317203.安全攻擊溯源思路及案例 44206264.紅藍對抗中的溯源反制實戰(zhàn) 47214585.攻防對抗+溯源反制，蜜罐實戰(zhàn)分享實錄 47253496.態(tài)勢感知與攻擊檢測溯源 62216407.基于攻擊溯源圖的威脅評估技術 6294388.藍隊視角下的朔源與反制 66324289.如何防止溯源以及反溯源 709342三.技術 8477481.APT攻擊檢測與反制技術體系的研究 8483072.HW防守｜溯源反制攻擊方的服務器 84306773.記一次反制追蹤溯本求源 8847544.溯源反制指北 100285775.溯源反制之MySQL蜜罐研究 101247856.反制中常見技術點 1179207.記一次反制追蹤溯本求源 124189218.記一次蜜罐溯源 141301979.記一次攻防演習中的溯源反制 146512710.攻擊機溯源技術 1531372811.反攻的一次溯源--項目實戰(zhàn)3 1543023412.藍隊溯源與反制 1681505213.安全技術|利用OpenVpn配置文件反制的武器化探索 1721446514.防溯源防水表——APT滲透攻擊紅隊行動保障 17937015.HW 18312319四.案例 193226671.紅藍對抗中的溯源反制實戰(zhàn) 19338742.米觀乘勝追擊，尋跡溯源反制 211133713.HW平安夜:一場心態(tài)和體力的較量 21384544.反黑逆向溯源追蹤之：某某某局入侵事件分析 21625171五.產業(yè)項目案例 235295871.總行2021年溯源反制服務項目 23515308六.工具 235155921、IP定位工具 2358082、威脅情報工具 2353802七.產品: 23624291蜜罐總結 23610783網絡蜜罐技術探討 2396227數世咨詢：蜜罐誘捕市場指南 2426190企業(yè)安全建設之蜜罐技術的應用 26219116攻防對抗+溯源反制，創(chuàng)宇蜜罐實戰(zhàn)分享實錄 27110420基于蜜罐技術的攻擊反制實現(xiàn)系統(tǒng)及方法與流程 27119204攻防對抗+溯源反制，蜜罐實戰(zhàn)分享實錄 271一.戰(zhàn)略關于反殺傷鏈的思考\h/reflections-on-anti-anti-chain/殺傷鏈（killchain）最初源于軍事中的C5KISR系統(tǒng)中的K（kill），后由洛克希德-馬丁公司提出網絡安全殺傷鏈七步模型（見下圖）。那么，有了殺傷鏈，自然就有反殺傷鏈^_^。反殺傷鏈，我更傾向用“發(fā)現(xiàn)-定位-跟蹤-瞄準-打擊-評估”的F2T2EA模型。整的檢測體系。對于大型企業(yè)而言，要實現(xiàn)反殺傷鏈的構建，發(fā)現(xiàn)能力是先決條件。定位則是判斷攻擊者所處的位置，包括在網絡內的入侵深度和廣度，可能的話還應該包括入侵入口位置。跟蹤：在完成定位后，防護者需要根據定位信息，判斷是否進行跟蹤。一般對大型企業(yè)而言，APT之間，仍有一定的“時間窗口”（大多數在內網發(fā)現(xiàn)的攻擊行為都處于這一階段），因此只要時間、條件允許，防護者是可以進行跟以讓對手前功盡棄，至此再也無從下手。瞄準：瞄準實際和殺傷鏈第二步的武器構建（Weaponization）擊，還有就是確定打擊點，以確保能“一擊致命”。只不過這個武器不再是攻擊性武器，而是防御性武器。鎖IP，或是采取訪問控制措施阻斷其進入敏感區(qū)域等等。當然，在跟蹤和瞄準階段所獲取的信息足夠多的情況下，還可以進行反制，進行反向溯源或借助法律等途徑進行“反向打擊”。評估：這個評估在軍事上是“戰(zhàn)損評估”的概念，在這里，我想應該是效果評估。在評估階段，我們要對打擊效果進行評估，一是要確進行分析建檔并納入相應的威脅情報庫中，找到整個反殺傷鏈運作中的不足之處加以優(yōu)化補正。第五、第六階段。而第三、第四階段的防御，也將成為之后的重點。反殺傷鏈和殺傷鏈的對抗關系大致用下圖來表述。要實現(xiàn)這個反殺傷鏈，還需要以下幾個關鍵支持：1、情報（Intelligence）關于情報，NUKE同學等大牛已經講過很多，我就不班門弄斧太多。這里需要補充的是，在反殺傷鏈中，情報可以分為戰(zhàn)略、戰(zhàn)區(qū)、戰(zhàn)術三個層次。戰(zhàn)略威脅情報。實際是一種威脅態(tài)勢情報。我并不想把戰(zhàn)略威脅情報上升到JP1-02企業(yè)或一個行業(yè)而言的威脅態(tài)勢情報。這類情報包括兩個層面，一個是企業(yè)或行業(yè)對自己的認知和評估，包括“我們有什么是別人想要的”，“它到底有多重要”，“多達的損失”，以及“我們該投入多少資源去保護它”等等，這方面的情報來源包括風險評估、業(yè)務評估及企業(yè)高層決策。二是帶對威脅環(huán)境的評估，包括“盯著我們的對手有哪些人”，“他們對哪些目標感興趣”，“他們擁有哪些可利用的手段”，“本的接受程度如何”等等。這些情報源于大量的案例分析、威脅動態(tài)跟蹤，以及對攻擊者行為模式、攻擊成本的分析研究等等。威脅情報是高度濃縮的情報精華，肯定是高水平的專家進行綜合性人工分析的結果。當然，擴展來看，商業(yè)競爭情報也算是此類情報的一種。戰(zhàn)區(qū)威脅情報。如果我們將一個公司或行業(yè)看作一個戰(zhàn)略主體，那各個戰(zhàn)區(qū)實際就是按業(yè)務、系統(tǒng)的細分。在戰(zhàn)區(qū)威脅情報層以形成一個趨向全集的攻擊生成樹。當然，機器學習等最近很熱的威脅情報概念，大多在這一層面開始有了用武之地。估、代碼審計等安全服務和安全眾測廠商帶來機會。單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標、威脅影響等的特征。戰(zhàn)術威脅情報可以認為是戰(zhàn)區(qū)威脅情報的基礎?？梢哉f，在戰(zhàn)術層面構建的殺傷鏈條數越多，整個威脅情報體系起的作用就越大。2、監(jiān)視（Surveillance）必殺一擊（也就是狙擊）的，再在殺傷鏈的關鍵節(jié)點進行狙擊（阻斷），切斷整個殺傷鏈條，重創(chuàng)對手。這就是監(jiān)視的作用。當然，提到監(jiān)視，就必須考慮反殺傷鏈的“時間窗口”效應。對于小型企業(yè)或系統(tǒng)而言，殺傷鏈的時效性很短，此時的監(jiān)視幾乎等同于檢測，強調一經發(fā)現(xiàn)立即阻斷。而對大型復雜網絡而言，殺傷鏈普遍更長，監(jiān)視的“時間窗口”也可以隨著拉長。所以，監(jiān)視的“口”受威脅場景的時敏性影響。同時，監(jiān)視的“時間窗口”還需要依托對殺傷鏈場景的構建，和狙擊點（或者阻斷點）的定義。防護者需要依靠經驗，對發(fā)現(xiàn)的入侵行景，為高效率、致命的狙擊做準備。但切忌因為監(jiān)視，錯失狙擊的時機，中間的度需要仔細衡量。3、指揮、控制與協(xié)同（CommandandControlandCombat，3C）3C是整個反殺傷鏈最重要，也最難構建的組成部分，也是確保反殺傷鏈打擊效果的前提。目前，大型企業(yè)都有了自己的安全運營團隊，例如各類SRC、SOC。但是，能具備真正有效的3C下幾點：系統(tǒng)。國外軍方已經有相應的理論研究基礎，并在逐步發(fā)展此方面的能力，值得借鑒?？刂茖嶋H可以算是指揮系統(tǒng)中的一個模塊，是確保指揮指令得到有效的具體執(zhí)行的集中管控后臺。這方面的問題存在于兩點：一業(yè)就必須以大量的人力來補缺，且往往吃力不討好。以上這些只是根據個人的興趣寫的，肯定還有問題，歡迎拍磚。入侵殺傷鏈\h/p/174b5a081b51原文鏈接：\h洛克希德-馬丁公司的七步網絡殺傷鏈白皮書智能驅動的計算機網絡防御-通過對敵對方的運動與入侵的殺傷鏈分析Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChainsEricM.Hutchins?,MichaelJ.Cloppert?,RohanM.Amin,Ph.D.?LockheedMartinCorporationHutchins,Eric&Cloppert,Michael&Amin,Rohan.(2011).Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains.LeadingIssuesinInformationWarfare&SecurityResearch.1.CyberKillChain\h圖片來源：/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png摘要常規(guī)的網絡防御工具（如入侵檢測系統(tǒng)和防病毒軟件）絡入侵的目標和復雜程度的發(fā)展使得這些方法對于某些參與者而言不夠。一類新的威脅被稱為“高級持續(xù)威脅”（APT）的攻擊者代表驅動的計算機網絡防御的基礎（CND）產生了性能和有效性的相關指標。高級持續(xù)威脅的發(fā)展需要基于情報的模型，因為在此模型中，防御者不僅可以緩解脆弱性，還可以緩解風險的威脅部分。1簡介只要存在全球計算機網絡，惡意用戶就有意利用漏洞。對計算機網絡威脅的早期演變涉及自傳播代碼。隨著時間的推移，防病毒技術的進步顯著降低了這種自動化的風險。最近，旨在損害數據以促進經濟或軍事發(fā)展的新一類威脅已成為某些行業(yè)面臨的最大風險要素。此類威脅被稱為AdvancedPersistentThreat”（高級持續(xù)威脅，及APT）相關的風險而實施的技術和流程，而這些技術沒有充分解決專注的、手動操作的APT入侵。傳統(tǒng)的事件響應方法無法緩解APT帶來的風險，因為它們做出了兩個錯誤的假設：應該在妥協(xié)之后進行響應，而妥協(xié)是因為某個固定的缺陷（Mitropoulos等人，2006家標準與技術研究院）2008）。最近，行業(yè)和美國政府都對APT進行了觀察和表征。2005年6月和2005年7月，英國國家基礎設施安全協(xié)調中心（UK-NISCC）和美國計算機緊急響應小組（US-CERT）發(fā)布了技術警報公告，描述了針對性的、社會工程化的電子郵件，其中植入了特洛伊木馬，以提取敏感信息。這些入侵經歷了相當長的一段時間，規(guī)避了傳統(tǒng)的防火墻和防病毒功能，并使攻擊者能夠收集敏感信息（UK-NISCC，2005；US-CERT，2005）?！渡虡I(yè)周刊》的Epstein和Elgin（2008）描述了對NASA和其他政府網絡的大量入侵，在這些網絡中，未發(fā)現(xiàn)APT參與者，并成功刪除了敏感的高性能火箭設計信息。在2010年2月，iSecPartners指出，當前的方法（例如防病毒和補丁程序）不夠有效，最終用戶直接成為攻擊目標，威脅行動者則追求敏感的知識產權（Stamos，2010年）。在美國眾議院武裝部隊委員會恐怖主義，非常規(guī)威脅和能力小組委員會之前，戰(zhàn)略與國際研究中心的詹姆斯·安德魯·劉易斯（JamesAndrewLewis）作證說，2007年，包括國防部，國務院和商務部在內的各個政府機構都發(fā)生了入侵事件。意圖收集信息（劉易斯，2008年）。據報道，中國對計算機網絡運營的性質有特殊規(guī)定，因此，2008年和2009年向美中經濟和安全審查委員會的國會報告總結了針對美國軍方，政府的針對性入侵的報告。同樣，對手是出于收集敏感信息的動機（美中經濟與安全審查委員會，2008年，2009年）。最后，為美中經濟與安全審查委員會準備的報告，克雷克爾（2009）對高級入侵進行了詳細介紹，充分證明了APT和精心設計的本質?；A架構管理工具的進步實現(xiàn)了企業(yè)范圍內修補和強化的最佳實踐，從而減少了網絡服務中最容易訪問的漏洞。但是，APT參與者通過使用高級工具，自定義的惡意軟件和防病毒和補丁無法檢測或緩解的“零時差”漏洞，不斷展示出破壞系統(tǒng)的能力。對APT入侵的響應需要分析，流程和技術方面的發(fā)展?；趯ν{的了解，可以預測和減輕將來的入侵。以威脅為重點的方法來研究入侵。入侵的每個離散階段都映射到操作過程中，以進行檢測，緩解和響應。術語“殺傷鏈”施會破壞連鎖店和對手。通過情報驅動的響應，防御者可以在APT口徑對手中獲得優(yōu)于攻擊者的優(yōu)勢。絡防御模型（computernetworkdefense，CND），該模型結合了針對特定威脅的入侵分析和防御緩解措施。第四部分介紹了該新模型在實際案例研究中的應用，第五部分概述了本文并提出了對未來的一些思考研究。相關工作雖然APT的建模和使用殺傷鏈的相應響應是獨特的，但存在防御和對策策略的其他基于階段的模型。美國國防部聯(lián)合研究中心的出版物描述了一個殺傷鏈，其發(fā)現(xiàn)，修復，跟蹤，目標，交戰(zhàn)和防御階段評估（美國國防部，2007年）。美國空軍已使用此框架來確定情報，監(jiān)視和偵察（ISR）能力方面的差距，并優(yōu)先考慮所需系統(tǒng)的開發(fā)（Tirpak，2000年）。威脅鏈也已用于對簡易爆炸裝置攻擊進行建模（國家研究委員會，2007年）。IED交付鏈對從敵方資金到攻擊執(zhí)行的所有過程進行建模。協(xié)同情報和防御措施以簡易爆炸裝置威脅鏈的每個階段為重點，是應對這些攻擊的理想方法。該方法還通過將現(xiàn)有功能映射到鏈上，為基礎研究需求的識別提供了一個模型。基于階段的模型也已用于反恐計劃。美國陸軍將恐怖分子的行動計劃周期描述為一個七個步驟的過程，作為評估恐怖組織意圖和能力的基線（美國陸軍訓練和主義司令部，2007年）Hayes（2008）將此模型應用于軍事設施的反恐計劃過程，并確定了原則，以幫助指揮官確定保護自己的最佳方法。Sakuraba等人（2008年）描述了對策的基于攻擊的順序分析（theAttack-BasedSequentialAnalysisofCountermeasures，ABSAC）ABSAC法所包含的反應性強的妥協(xié)性對策比對非持久對手運動的早期發(fā)現(xiàn)能力要強。在基于階段的模型對內部威脅的應用中，Duranet等人（2009年）Willison和Siponen（2009）還通過改編稱為“情境預防”（SCP）的SCP從犯罪者的角度模擬犯罪，然后將控件映射到犯罪的各個階段。最后，安全公司Mandiant提出了一個“剝削生命周期”。但是，Mandiant模型并未繪制防御行動的路線圖，而是基于妥協(xié)后的行動（Mandiant，2010年）。對打擊APT參與者而言，將檢測和緩解措施移至入侵殺傷鏈的早期階段至關重要。智能驅動的計算機網絡防御情報驅動的計算機網絡防御（CND）性的分析。這必然是一個連續(xù)的過程，需要利用指標來發(fā)現(xiàn)新活動，而還要利用更多指標。它需要對入侵本身有新的了解，而不是非常規(guī)事件，而是逐步發(fā)展。本文提出了一種新的入侵消滅鏈模型，用于分析入侵并推動防御行動。情報驅動的CND的安全態(tài)勢。APT參與者本質上會在入侵之后嘗試入侵，并根據每個嘗試的成功或失敗來調整其操作。在“殺死鏈”模型中，只有一個緩解措施會打破鏈條并挫敗對手，因此，對手的任何重復都是防御者必須認識和利用的責任。如果防御者實施對策的速度超過了對手的發(fā)展速度，則將增加對手為實現(xiàn)其目標而必須花費的成本。該模型表明，與傳統(tǒng)觀點相反，這些侵略者沒有防御者固有的優(yōu)勢。指標和指標生命周期該模型中情報的基本要素是指標（indicator）。出于本文的目的，指示符是客觀描述入侵的任何信息。指標可細分為三種類型：?Atomic原子-原子指示器是不能分解成更小的部分，并在入侵的情況下保持其含義的指示器。此處的典型示例是IP址和漏洞標識符。?Computed計算的-計算的指示符是從事件中涉及的數據派生的那些指示符。常見的計算指示符包括哈希值hashvalues和正則表達式regularexpressions。?Behavioral行為-行為指標是計算指標和原子指標的集合，通常要經過數量和組合邏輯的鑒定。例如，“門以[somefrequency]到[someIPaddress]的速率生成網絡流量匹配[regularexpression]，然后,一旦建立訪問權限將其替換為匹配MD5hash[value]的語句。”形成了圖1中所示的指示器生命周期。這不分青紅皂白地適用于所有指示器，無論其準確性或適用性如何。如果沒有足夠的跟蹤，跟有注意，分析人員可能會發(fā)現(xiàn)自己將這些技術應用于并非針對其設計的威脅參與者，或者完全將其視為良性活動。入侵殺傷鏈殺傷鏈是一個系統(tǒng)的過程，該過程以目標為目標并與對手互動，以創(chuàng)建所需的效果。美國的軍事目標學說將這一過程的步驟定義為：find發(fā)現(xiàn)，fix修復，track跟蹤，target目標，engage交戰(zhàn)，assess評估（F2T2EA）：找到適合交戰(zhàn)的對手目標；固定他們的位置；跟蹤觀察；用合適的武器或資產瞄準以產生所需的效果；招敵評估效果（美國國防部，2007年）稱為“鏈”，因為任何不足都會中斷整個過程。完整性或可用性。入侵殺傷鏈定義為reconnaissance偵察，weaponization武器化，deliveryexploitation利用，installation安裝，commandandcontrol命令和控制（C2）以及actionsonobjectives對目標采取的行動。關于計算機網絡攻擊（CNA）或計算機網絡間諜活動（CNE），對這些殺傷鏈階段的定義如下：Reconnaissance偵察-郵件列表。Weaponization武器化-通常通過自動化工具（武器化工具）將遠程訪問木馬與對可交付有效載荷的利用相結合。諸如Adobe文檔格式（PDF）或MicrosoftOffice文檔之類的客戶端應用程序數據文件越來越多地用作可交付使用的武器。Delivery交付-將武器傳輸到目標環(huán)境。洛克希德·馬丁計算機事件響應團隊（LM-CIRT）在2004年至2010年間觀察到，APT對武器有效載荷的三種最普遍的傳遞媒介是電子郵件附件，網站和USB可移動媒體。Exploitation漏洞利用-洞，但也可以更簡單地利用用戶自身或利用可自動執(zhí)行代碼的操作系統(tǒng)功能。Installation安裝-在受害系統(tǒng)上安裝遠程訪問特洛伊木馬或后門程序可使攻擊者在環(huán)境中保持持久性。CommandandControl命令和控制（C2）-通常，受感染的主機必須向Internet控制器服務器發(fā)送信標，以建立C2APT件尤其需要手動交互，而不是自動進行活動。一旦建立了C2通道，入侵者就可以在目標環(huán)境中“手動操作”鍵盤。Actionsonobjectives針對目標的行動-只有在經過前六個階段之后，入侵者才能采取行動以實現(xiàn)其原始目標。通常，此目標是數據受害者盒，以用作跳躍點來危害其他系統(tǒng)并在網絡內部橫向移動。CoursesofActionTable1:CoursesofActionMatrixIntrusionReconstructionFigure3:LatephasedetectionFigure4:EarlierphasedetectionCampaignAnalysisCaseStudyIntrusionAttempt1IntrusionAttempt2IntrusionAttempt35小結將投資優(yōu)先考慮為能力缺口，并充當衡量防御者行動有效性的框架。當防御者考慮風險的威脅部分以增強對APT的抵御能力時，他們可以將這些行為者的堅持變成責任，從而降低對手每次入侵嘗試成功的可能性。計算機間諜活動下的入侵殺傷鏈模型。入侵可能代表了更廣泛的問題類別。這項研究可能與其他學科（例如IED對策）強烈重疊。實戰(zhàn)指南\h/articles/14991作者：程度ATT&CK框架作為安全領域繼承KillChain的安全攻防框架，在全世界的信息安全領域正在如火如荼的發(fā)揮著影響。通過GoogleTrends可以看出在最近兩年的熱度呈指數級增長。圖1：ATT&CK框架的熱度增長趨勢ATT&CK框架早在2014年就已提出，但當時的框架還比較簡單。圖2：2014年時的ATT&CK框架目前，這個框架還在不斷演進，在今年10月份的ATT&CKcon2.0大會上，披露的更新內容如下：圖3：ATT&CK框架的新增內容（數字解讀）值得一提的是，ATT&CK框架中加入了云相關方面的一些支持：圖4：ATT&CK新增云支持該框架不像其它理論只是提供理論指導作用，這個框架的可落地性很強。理論學習使用ATT&CK?Navigator項目對于的學習是第一步的，首先需要介紹的就是ATT&CK?Navigator給人的壓力更小，而且具有良好的交互性。通過簡單地點擊鼠標，就能學習到很多知識，這個項目主要是為之后的工作有很好的標記作用。這個項目比較好用的幾個功能都是篩選類的功能，比如你可以根據不同的APT組織以及惡意軟件進行篩選，可以看出組織和惡意軟件使用的Technique，并進行著色，這樣就可以很明顯看出來這個組織的攻擊使用技術。圖5：APT29使用的攻擊技術同時也可以根據不同的需求，保存為其它格式導出，包括Json、Excel以及SVG，也支持根據平臺和階段進行選擇。圖6：根據平臺和階段進行選擇從上圖可以看出，ATT&CK框架支持三種常見系統(tǒng)Windows、Linux和MacOS，最近還新增了對云安全的支持，包括了國外主流的三個公有云、Azure和GCP，同時還加入了一些SaaS安全框架AzureAD、Office365SaaS。雖然框架中有關云計算的內容并不多，但也是一種有價值的嘗試。云安全的這塊針對云平臺更像是CSPM產品解決的問題，SaaS安全的是CASB題。這里不詳細描述，之后會有另外一篇文章說明。這個項目主要關注的是pre-attack和attack-enterprise的內容，包括mobile這塊是有單獨的項目支持。守結果。圖7：紅藍對抗攻守圖還有一種用法是對目前安全產品的技術有效性進行coverage的評估，如下圖所示：圖8：EDR產品安全技術覆蓋度ATT&CK?的CARET項目CARET項目是CAR（CyberAnalyticsRepository）項目的演示版本，有助于理解CAR這個項目表達的內容。CAR這個項目主要是分析攻擊行為，并如何檢測的一個項目，在BlueTeam中詳細介紹。這里，介紹一下CARET的網絡圖。該圖從左到右分為五個部分：APT團體、攻擊技術、分析技術、數據模型、Sensor或者Agent。APT組織從左到右，安全團隊從右到左，在“分析”這一列進行交匯。APT組織使用攻擊技術進行滲透，安全團隊利用安全數據進行數據分類并進行分析，在“分析”環(huán)節(jié)進行碰撞。圖9：CARET網絡圖最左側兩列已在上文有所介紹，此處不再贅述。我們從最右側的Sensor開始分析。Sensor主要是用于數據收集，基本是基于sysmon、autoruns等windows下的軟件來收集信息。數據模型受到CybOX威脅描述語言影響，對威脅分為三元組（對象、行為和字段）進行描述，對象分為9種：驅動、文件、流、模塊、進程、注冊表、服務、線程、用戶sessionsensor或者agent要收集哪些數據、怎樣組織數據，也為安全分析奠定了基礎?！胺治觥庇袀未a表示。Red使用RedCanary?AtomicRedTeam項目紅隊使用框架是比較直截了當的場景，可以根據框架的技術通過腳本的自動化攻擊，這里重點推薦RedCanary公司的AtomicRed項目，也是目前Github上Star最多的關于的項目。MITRE與RedCanary的關系已經非常密切，MITRE的項目CALDERA也是類似的項目，但是場景和腳本的豐富度離這家新興的MDR公司還是有差距，在今年SANS的CTI以看出。圖10：MITRE與RedCanary的用例數量示意圖這個項目使用起來也好上手，首先搭建相關環(huán)境，然后選擇相關的測試用例，包括Windows、Linux以及MacOS的用例，然后可以根關入侵技術，如果沒有發(fā)現(xiàn)需要進行檢測技術的改進情況。最后，可以根據這個過程反復操作，能夠得到一個入侵檢測進步的進展圖，最終可以更好的覆蓋的整個攻擊技術圖。圖11：入侵檢測進展示意圖其它紅隊的模擬攻擊項目更新較少，也可以參考Endgame的RTA項目、Uber的Metta項目。比較好的實踐是自己的攻擊測試庫，可以基于RedCanary的項目，然后結合其它的測試項目，同時可以結合自身來完善這個自己的紅隊攻擊測試庫，可以根據實際情況不斷進行測試和回歸測試，可以讓安全攻擊水準達到一個比較好的水平。ATTACK-Tools項目這個項目有兩個重要作用：第一是用作模擬攻擊的計劃工具；第二是用作擬攻擊的計劃工具這個角度來介紹。以APT3為例（好尷尬，是美國分析中國的APT組織），先不考慮地緣政治因素，只考慮技術層面。首先，分析一個APT組織的行為報告就較為復雜，國內也是只有為數不多的幾個比較有技術實力的公司每年在分析APT為；然后，基于這些攻擊技術抽象成模擬這些組織攻擊的內容更是復雜。從下圖可以看出，模擬APT3有三個步驟，但其實前面還有個重要的步驟——工具選擇。圖12：APT3模擬計劃示意圖簡單，但該項目根據框架，充分展示了對APT組織的模擬攻擊計劃覆蓋了哪些技術。圖13：ATT&CK?View示意圖這類示意圖可以很好地將APT組織或者軟件的行為按照ATT&CK框架表示出來，能夠做好更全面的模擬攻擊。關于ATT&CK?DataModel這個內容更多的是把ATT&CK的內容根據關系數據庫設計模式導入，以便按照不同維度進行查詢和篩選。BlueTeam使用ATT&CK?CAR項目CAR（CyberAnalyticsRepository）安全分析庫項目主要是針對的威脅檢測和追蹤。上面的CARET項目就是CAR的UI可視化項目，可以更利于CAR項目的理解。這個項目主要基于四點考慮：根據擊者行為確認要收集的數據；確認數據收集主體sensor的數據收集能力。后面三個方面與CARET項目圖示中的Analytics、DataModel、Sensor相對應。這個分析庫是由對每一項攻擊技術的具體分析構成的。我們以該分析庫中最新一條的分析內容為例：CAR-2019-08-001:CredentialDumpingviaWindowsManager（通過Windows任務管理器進行憑據轉儲），轉儲任務管理器中的授權信息這一安全問題進行檢測。分析中還包含單元測試部分：圖14：單元測試示例分析中還包括三種檢測方式：偽代碼、splunk下的sysmon的代碼實現(xiàn)、及EQL大增強藍隊的檢測能力。圖15：實現(xiàn)方式示例CAR這個架構可以作為藍隊很好的內網防守架構，但是畢竟是理論架構，內容豐富度上比較欠缺。Endgame?EQL項目EQL（EventQueryLanguage）是一種威脅事件查詢語言，可以對安全事件進行序列化、歸集及分析。如下圖所示，該項目可以進行事件日志的收集，不局限于終端數據，還可以是網絡數據，比如有國外使用sysmon這種windows下的原生數據，也有osquery類型的基本的緩存數據，也有BRO/Zeek的開源NIDS的數據，這些數據對接個EQL語言進行統(tǒng)一分析。圖16：EQL語言示意圖這個語言的形式有shell類型PS2，也有l(wèi)ib類型。比較局限的是要輸入Json為sql語言和shell的結合體。既有sql的條件查詢和聯(lián)合查詢，也有內置函數，同時也有shell的管道操作方式，有點類似于splunk的SPL（SearchProcessingLanguage）語言。這個語言本質上屬于ThreatHunting（威脅捕獲）領域，因為這個領域目前也比較受關注，后面還會有文章專門講解。該語言在開源領域影響力較大，尤其是跟ATT&CK的結合比較好，除了提供語言能力外，還有很多跟TTPs結合的分析腳本。DeTT&CT項目DeTT&CT（DEtectTechniques&CombatThreats）項目，主要是幫助藍隊利用框架提高安全防御水平。用于幫助防御團隊評估日志質量、檢測覆蓋度的工具，可以通過yaml文件填寫相關的技術水平，通過腳本進行評估，自動導出Navigator以識別的文件，導入之后可以自動標記，也可以通過excel導出，很快的看出關于數據收集、數據質量、數據豐富度（透明度）、檢測方式等的覆蓋度。圖17：數據收集質量示意圖CTI（CyberThreatIntelligence）Team使用框架的創(chuàng)建及更新都是來源于威脅情報?？蚣苁峭{情報抽象的最高層次，從戰(zhàn)術、技術和步驟（TTPs）攻擊層面。下圖是威脅情報內容對于黑客的“痛苦金字塔”?？傮w來講，威脅情報分析得越透徹，黑客攻擊繞過的難度就越高。最高級別是TTP的檢測，這是因為如果能夠實現(xiàn)黑客行為的檢測，基本就很容易定位黑客組織；如果只是能夠實現(xiàn)hash、IP、DNS則很容易被黑客繞過。圖18：痛苦金字塔威脅情報項目分為四個部分：戰(zhàn)略級、戰(zhàn)術級、運營級和技術級。我們目前的技術主要集中在運營級和技術級。而各個級別都具有重大指導作用。圖19：ENISA的CTI項目圖Sigma項目Sigma項目是一個SIEM的特征庫格式項目。該項目可以直接使用sigma格式進行威脅檢測的描述，可以進行共享，也可以進行不同SIEM系統(tǒng)的格式轉換。下圖展示了simga主要解決的問題場景。圖20：Sigma用途示意圖Sigma的描述方式是使用yaml格式表示，比較容易理解。比如windows下使用sysmon檢測webshell，如下圖所示。圖21：使用sysmon檢測webshell的示例還有專門針對sigma的editor，可以方便地編寫相關的威脅檢測規(guī)則。Sigma還可以將自身格式的規(guī)則轉換到一些主流的SIEM系統(tǒng)中直接使用，這個工具目前可以支持的系統(tǒng)如下圖所示：圖22：Sigma支持的系統(tǒng)Sigma的規(guī)則在ATT&CK框架中的覆蓋度如下圖所示，也是覆蓋了一部分的檢測規(guī)則：圖23：Sigma規(guī)則在ATT&CK框架中的覆蓋度MISP項目惡意軟件信息共享平臺MISP（MalwareInformationSharingPlatform）歐盟在資助這個項目。使用這個系統(tǒng)是通過安裝一個實例達到的，可以理解為，威脅情報中心會定期同步威脅事件給每個實例。每個子節(jié)點的實例也可以創(chuàng)建新的事件，形成新的威脅情報發(fā)送到威脅情報中心。也可以查看歷史的威脅情報記錄，也可以導出相關的數據，同時也支持API方式。雖然這個項目相對比較復雜，但功能較多，適合比較成熟使用威脅情報的單位。圖24：MISP威脅情報平臺示意圖misp-galaxy這個項目中目前已經集成了ATT&CK框架，可以將MISP中的數據映射到ATT&CK框架中。CSO使用CSO作為安全的最終負責人，當然上面3個組的工作內容都得大致清晰，更重要的是知道如何評估，并且利用安全防護能力。AtomicThreatCoverage項目該項目的重點組成部分其實是上面提到的兩個項目——RedCanary?AtomicRed和Sigma檢測。響應使用ES和Hive進行分析。這個項目更像是個組織型項目，真正看重在企業(yè)的落地情況。當然這個架構不一定是最優(yōu)的架構，可能我會在響應方面要加上EQL的內容。圖25：AtomicThreatCoverage項目示意圖這個架構更像是某個企業(yè)內部的一種使用場景：紅隊模擬攻擊，藍隊檢測攻擊并做出響應，此外還有一些緩解措施。CSO可以利用ATT&CK框架在內部不斷演練，按照ATT&CK的覆蓋度來看到安全能力的改進情況。與以往每個團隊的消息不對稱，各司其職又沒有統(tǒng)一的目標相比，該框架將3個團隊結合起來，讓其按照升安全防護能力的目的。ATT&CK的常見使用場景這里就介紹到這里了，如下圖所示：圖26：ATT&CK的常見使用場景常見的內容是模擬攻擊、評估和提高防御能力、威脅情報提取和建模、威脅評估和分析。ATT&CK框架涵蓋的內容還有很多沒有介紹，比如Pre-ATT&CK、mobile、ICS、Evaluation、SOCAssessment及Sightings等等。我們希望與大家攜手努力，共同研究這個來源于真實場景的安全框架，為提高安全能力、維護網絡安全貢獻綿薄之力。\hanquanneican@163.com。一文看懂框架以及使用場景實例\h/post/id/187998Google趨勢顯示，這個帶著奇怪的“＆”符號的詞語——ATT＆CK非常受歡迎。但是，MITREATT＆CK?的內涵是什么呢？為什么網絡安全專家應該關注ATT＆CK呢？過去12個月中，對MITREATT＆CK的搜索熱度顯著增長一、ATT&CK框架背景介紹MITRE是美國政府資助的一家研究機構，該公司于1958年從MIT分離出來，并參與了許多商業(yè)和最高機密項目。其中包括開發(fā)中交通管制系統(tǒng)和機載雷達系統(tǒng)。MITRE在美國國家標準技術研究所（NIST）的資助下從事了大量的網絡安全實踐。MITRE在2013年推出了模型，它是根據真實的觀察數據來描述和分類對抗行為。表，將這些已知的行為匯總成戰(zhàn)術和技術，并通過幾個矩陣以及結構化威脅信息表達式（STIX）、指標信息的可信自動化交換（TAXII）他機制都非常有用。MITRE的目標是創(chuàng)建網絡攻擊中使用的已知對抗戰(zhàn)術和技術的詳盡列表。在過去的一年中，MITRE業(yè)中廣受歡迎。簡單來說，ATT&CK是MITRE提供的“對抗戰(zhàn)術、技術和常識”框架，是由攻擊者在攻擊企業(yè)時會利用的12種戰(zhàn)術和244種企業(yè)技術組成的精選知識庫。會詳細介紹每一種技術的利用方式，以及為什么了解這項技術對于防御者來說很重要。這極大地幫助了安全人員更快速地了些內容，才能減輕或檢測由于入侵技術濫用造成的影響。這時候，ATT&CK場景示例就派上用場了。針對每種技術都有具體場景示例，說明攻擊者是如何通過某一惡意軟件或行動方案來利用該技術的。每個示例都采用Wikipedia安全研究團隊發(fā)表的文章。因此如果中沒有直接提供內容，通?？梢栽谶@些鏈接的文章中找到。因此，現(xiàn)在很多企業(yè)都開始研究ATT&CK，在這一過程中通常會看到企業(yè)組織采用兩種方法。首先是盤點其安全工具，讓安全廠商提供一份對照覆蓋范圍的映射圖。盡管這是最簡單、最快速的方法，但供應商提供的覆蓋范圍可能與企業(yè)實際部署工具的方式緩解其中一部分技術，并不意味著攻擊者無法以其它方式濫用這項技術。二、MITREATT＆CK與KillChain的對比總體來說，ATT&CK模型是在洛克希德-馬丁公司提出的KillChain目前模型分為三部分，分別是PRE-ATT&CK，ATT&CKforEnterprise和forMobile。其中PRE-ATT&CK覆蓋KillChain模型的前兩個階段，包含了與攻擊者在嘗試利用特定目標網絡或系統(tǒng)漏洞進行相關操作有關的戰(zhàn)術和技術。forEnterprise覆蓋KillChain的后五個階段，ATT&CKforEnterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術和戰(zhàn)術部分。forMobile包含適用于移動設備的戰(zhàn)術和技術。但是，ATT&CK的戰(zhàn)術跟洛克希德·目標。沒有一種戰(zhàn)術比其它戰(zhàn)術更重要。企業(yè)組織必須對當前覆蓋范圍進行分析，評估組織面臨的風險，并采用有意義措施來彌合差距。除了在KillChain戰(zhàn)術上更加細化之外，ATT＆CK還描述了可以在每個階段使用的技術，而KillChain則沒有這些內容。三、ATT＆CK框架的使用從視覺角度來看，MITRE矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術和技術進行排列。攻擊戰(zhàn)術展示在矩陣頂部，每列下面列出了單獨的技術。一個攻擊序列按照戰(zhàn)術，至少包含一個技術，并且通過從左側（初始訪問）向右側（影響）了一個完整的攻擊序列。一種戰(zhàn)術可能使用多種技術。例如，攻擊者可能同時嘗試魚叉式網絡釣魚攻擊中的釣魚附件和釣魚鏈接。ATT＆CK矩陣頂部為攻擊戰(zhàn)術，每列包含多項技術戰(zhàn)術按照邏輯分布在多個矩陣中，并以“初始訪問”的一項技術。中的每種技術都有唯一的ID號碼，例如，此處所使用的技術。矩陣中的下一個戰(zhàn)術是“執(zhí)行”。在該戰(zhàn)術下，有“用戶執(zhí)行/T1204”技術。該技術描述了在用戶執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中，您將遇到“提升特權”、“橫向移動”和“滲透”之類的戰(zhàn)術。攻擊者無需使用矩陣頂部所示的所有12發(fā)現(xiàn)的幾率。例如，對手使用電子郵件中傳遞的魚叉式網絡釣魚鏈接對CEO行政助理的憑據進行“初始訪問”。獲得管理員的憑據后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠程系統(tǒng)。接下來可能是在Dropbox文件夾中尋找敏感數據，管理員對此也有訪問權限，因此無需提升權限。然后攻擊者通過將文件從Dropbox下載到攻擊者的計算機來完成收集。攻擊示例（攻擊中使用了不同戰(zhàn)術中的技術）導航工具是一個很有用的工具，可用于映射針對技術的控制措施?？梢蕴砑硬煌膶?，來顯示特定的檢測控制措施久化的解決方案。下文，筆者將針對ATT&CK框架中的12種戰(zhàn)術的中心思想以及如何緩解和檢測戰(zhàn)術中的某些技術進行一些解讀。01、初始訪問盡管ATT&CK并不是按照任何線性順序排列的，但初始訪問是攻擊者在企業(yè)環(huán)境中的立足點。對于企業(yè)來說，該戰(zhàn)術是從PRE-ATT&CK到ATT&CK的理想過渡點。攻擊者會使用不同技術來實現(xiàn)初始訪問技術。例如，假設攻擊者使用Spearphishing（魚叉式）附件。附件本身將利用某種類型的漏洞來實現(xiàn)該級別的訪問，例如PowerShell或其技術和方法可用于減輕和檢測每種技術的濫用情況。此外，安全人員也可以將和CIS控制措施相結合，這將發(fā)揮更大作用。對于初始訪問這種戰(zhàn)術，我認為其中三項CIS能發(fā)揮極大作用?？刂拼胧?：控制管理員權限的使用。如果攻擊者可以成功使用有效帳戶或讓管理員打開spearphishing加輕松?？刂拼胧?：電子郵件和Web瀏覽器保護。由于這些技術中的許多技術都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用?？刂拼胧?6測網絡中有效帳戶濫用的功能。初始訪問是攻擊者將在企業(yè)環(huán)境中的落腳點。想要盡早終止攻擊，那么“初始訪問”了CIS控制措施并且正在開始采用的方法，這將會很有用。02、執(zhí)行在對手在進攻中所采取的所有戰(zhàn)術中，應用最廣泛的戰(zhàn)術莫過于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時，他們都會選擇“執(zhí)行”松查找其惡意可執(zhí)行文件。此外，對于命令行界面或PowerShell術。這些類型的技術對攻擊者的威力在于，終端上已經安裝了上述技術，而且很少會刪除。系統(tǒng)管理員和高級用戶每天都依賴其中一些內置工具。中的緩解控制措施甚至聲明了，這些控制措施也無法刪除上述技術，只能對其進行審計。而攻擊者所依賴的就是，終端上安裝采用了這些技術，因此要獲得對攻擊者的優(yōu)勢，只能對這些技術進行審計，然后將它們相關數據收集到中央位置進行審核?？赡芊稿e。如果企業(yè)當前正在應用CIS關鍵安全控制措施，該戰(zhàn)術與控制措施2——無法防護自己未知的東西，因此，第一步是要了解自己的財產。要正確利用ATT&CK，企業(yè)不僅需要深入了解已安裝的應用程序。還要清楚內置工具或附加組件會給企業(yè)組織帶來的額外風險。在這個環(huán)節(jié)中，可以采用一些安全廠商的資產清點工具，例如青藤等主機安全廠商都能提供詳細的軟件資產清單。03、持久化人員采取重啟、更改憑據等措施后，持久化仍然可以讓計算機再次感染病毒或維護其現(xiàn)有連接。例如注冊表Run鍵、啟動文件夾是最常用的技術，這些注冊表鍵或文件系統(tǒng)位置在每次啟動計算機時都會執(zhí)行。因此攻擊者在啟動諸如Web瀏覽器或MicrosoftOffice等常用應用時開始獲得持久化。此外，還有使用“鏡像劫持（IFEO）注入”的原理添加鍵值，實現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過快捷鍵運行自己的程序。在所有戰(zhàn)術中，筆者認為持久化是最應該關注的戰(zhàn)術之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會重技術相比，使用持久化攻擊應該相對容易一些。04、提升權限所有攻擊者都會對提權愛不釋手，利用系統(tǒng)漏洞達到root使用，Hooking和進程注入就是兩個示例。該戰(zhàn)術中的許多技術都是針對被攻擊的底層操作系統(tǒng)而設計，要緩解可能很困難。提出“應重點防止對抗工具在活動鏈中的早期階段運行，并重點識別隨后的惡意行為?！边@意味著需要利用縱深防御來防止感染病毒，例如終端的外圍防御或應用白名單。對于超出基線。例如CIS基線提供了詳細的分步指南，指導企業(yè)如何加固系統(tǒng)，抵御攻擊。應對此類攻擊戰(zhàn)術另一個辦法是審計日志記錄。當攻擊者采用其中某些技術時，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對主機側的日志，如果能夠記錄服務器的所有運維命令，進行存證以及實時審計。例如，實時審計運維人員在服務器上操作步驟，一旦發(fā)現(xiàn)不合規(guī)行為可以進行實時告警，也可以作為事后審計存證。也可以將數據信息對接給SOC系統(tǒng)。05、防御繞過到目前為止，該戰(zhàn)術所擁有的技術是MITREATT&CK框架所述戰(zhàn)術中最多的。該戰(zhàn)術的一個有趣之處是某些惡意軟件，例如勒索軟件，對防御繞過毫不在乎。他們的唯一目標是在設備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。一些技術可以騙過防病毒文件刪除和修改注冊表都是可以利用的技術。當然防御者可以通過監(jiān)視終端上的更改并收集關鍵系統(tǒng)的日志將會讓入侵無處遁形。06、憑據訪問毫無疑問，攻擊者最想要的憑據，尤其是管理憑據。如果攻擊者可以登錄，為什么要用0Day入房子，如果能夠找到鑰匙開門，沒人會愿意砸破窗戶方式進入。在明文文件、數據庫甚至注冊表中。攻擊者入侵一個系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見。監(jiān)視有效帳戶的使用情況。在很多情況下，是通過有效賬戶發(fā)生的數據泄露。當然最穩(wěn)妥辦法辦法就是啟用多因素驗證。即使存在針對雙重驗證的攻擊，有雙重驗證（2FA）可以確保破解密碼的攻擊者在訪問環(huán)境中的關鍵數據時，仍會遇到另一個障礙。07、發(fā)現(xiàn)“發(fā)現(xiàn)”戰(zhàn)術是一種難以防御的策略。它與洛克希德·馬丁網絡KillChain的偵察階段有很多相似之處。組織機構要正常運營業(yè)務，肯定會暴露某些特定方面的內容。到對手的活動。通過監(jiān)視，可以跟蹤用戶是否正在訪問不應訪問的文檔。正?，F(xiàn)象，并為預期行為設定基準時，會在嘗試使用這一戰(zhàn)術時有所幫助。08、橫向移動尋找其它攻擊目標。攻擊者通常會先尋找一個落腳點，然后開始在各個系統(tǒng)中移動，尋找更高的訪問權限，以期達成最終目標。也將有助于限制橫向移動。遵循CIS控制措施14——基于需要了解受控訪問是一個很好的切入點。除此之外，還應遵循控制措施4——控制管理員權限的使用。正在濫用有效憑據。除了監(jiān)視身份驗證日志外，審計日志也很重要。域控制器上的事件ID4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據傳遞攻擊。或者，如果攻擊者濫用遠程桌面協(xié)議，審計日志將提供有關攻擊者計算機的信息。09、收集“收集”這些技術的實際指導。實際上，大多數都是含糊其辭，稱使用應用白名單，或者建議在生命周期的早期階段阻止攻擊者。上的敏感數據以及網絡上其它地方的數據。了解企業(yè)存儲敏感數據的位置，并采用適當的控制措施加以保護。這個過程遵循CIS控制措施14——基于需要了解受控訪問,防止數據落入敵手。對于極其敏感的數據，可查看更多的日志記錄，了解哪些人正在訪問該數據以及他們正在使用該數據做什么。10、命令和控制于每種命令和控制，攻擊者都是從遠程位置訪問網絡。因此了解網絡上發(fā)生的事情對于解決這些技術至關重要。使用80和443等端口來嘗試混入網絡噪音中。在這種情況下，企業(yè)需要使用邊界防火墻來提供威脅情報數據，識別惡意URL和IP地址。雖然這不會阻止所有攻擊，但有助于過濾一些常見的惡意軟件。分析。例如Splunk等工具為識別惡意命令和控制流量提供了良好的方案。11、數據滲漏通常對數據逐漸滲出沒有興趣。與“收集”戰(zhàn)術一樣，該戰(zhàn)術對于如何緩解攻擊者獲取公司數據，幾乎沒有提供指導意見。在數據通過網絡滲漏的情況下，建立網絡入侵檢測或預防系統(tǒng)有助于識別何時傳輸數據，尤其是在攻擊者竊取大量數據（庫）的情況下。此外，盡管DLP成本高昂，程序復雜，但可以確定敏感數據何時會泄露出去。IDS、IPS和DLP都不是100%準確的，所以部署一個縱深防御體系結構以確保機密數據保持機密。如果企業(yè)組織機構要處理高度敏感的數據，那么應重點關注限制外部驅動器的訪問權限，例如USB限，即可禁用他們裝載外部驅動器的功能。要正確地解決這個戰(zhàn)術，首先需要知道組織機構的關鍵數據所在的位置。如果這些數據還在，可以按照CIS控制措施14——基于需要了解受控訪問，來確保數據安全。之后，按照CIS控制措施13——數據保護中的說明了解如何監(jiān)視試圖訪問數據的用戶。12、影響但可能已經更改為有利于對手的目標。這些技術可能被對手用來完成他們的最終目標，或者為機密泄露提供掩護。文件或數據使存儲的數據無法恢復。針對這類破壞可以考慮實施IT災難恢復計劃，其中包含用于進行可用于還原組織數據的常規(guī)數據備份的過程。四、ATT&CK使用場景在各種日常環(huán)境中都很有價值。開展任何防御活動時，可以應用分類法，參考攻擊者及其行為。不僅為可以使用多種方式來使用MITRE。下文是一些常見的主要場景：對抗模擬ATT＆CK可用于創(chuàng)建對抗性模擬場景，測試和驗證針對常見對抗技術的防御方案。紅隊/滲透測試活動紅隊、紫隊和滲透測試活動的規(guī)劃、執(zhí)行和報告可以使用ATT＆CK，以便防御者和報告接收者以及其內部之間有一個通用語言。制定行為分析方案ATT＆CK可用于構建和測試行為分析方案，以檢測環(huán)境中的對抗行為。防御差距評估ATT＆CK可以用作以行為為核心的常見對抗模型，以評估組織企業(yè)內現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITREATT＆CK時，大多數安全團隊都傾向于為Enterprise矩陣中的每種技術嘗試開發(fā)某種檢測或預防控制措施。雖然這并不是一個壞主意，但是的所有可能方法。由于某種工具阻止了用另一種形式來采用這種技術，而組織機構已經適當地采用了這種技術，這可能導致產生一種虛假的安全感。但是，攻擊者仍然可以成功地采用其他方式來采用該技術，但防御者卻沒有任何檢測或預防措施。SOC成熟度評估可用作一種度量，確定SOC在檢測、分析和響應入侵方面的有效性。SOC團隊可以參考和戰(zhàn)術。這有助于了解防御優(yōu)勢和劣勢在哪里，并驗證緩解和檢測控制措施，并可以發(fā)現(xiàn)配置錯誤和其他操作問題。網絡威脅情報收集對于網絡威脅情報很有用，因為是在用一種標準方式描述對抗行為?？梢愿鶕粽咭阎玫闹械募夹g和戰(zhàn)術來跟蹤攻擊主體。這為防御者提供了一個路線圖，讓他們可以對照他們的操作控制措施，查看對某些攻擊主體而言，他們在哪些方面有弱點，在哪些方面有優(yōu)勢。針對特定的攻擊主體，創(chuàng)建MITRE導航工具內容，是一種觀察環(huán)境中對這些攻擊主體或團體的優(yōu)勢和劣勢的好方法。還可以為STIX2.0中。ATT＆CK提供了將近70個攻擊主體和團體的詳細信息，包括根據開放源代碼報告顯示，已知他們所使用的技術和工具。使用的通用語言，為情報創(chuàng)建過程提供了便利。如前所述，這適用于攻擊主體和團體，但也適用于從SOC觀察到的行為。也可以通過介紹惡意軟件的行為。任何支持的威脅情報工具都可以簡化情報創(chuàng)建過程。將CK人員或管理人員變得容易得多了。如果運營人員確切地知道什么是強制驗證，并且在情報報告中看到了這一信息，則他們可能確切地知道應該對該情報采取什么措施或已經采取了哪些控制措施。以這種方式，實現(xiàn)對情報產品介紹的標準化可以大大提高效率并確保達成共識。寫在最后MITRE為大家提供了法并避免傳統(tǒng)安全工具的檢測，因此防御者不得不改變檢測和防御方式。改變了我們對IP地址和域名等低級指標的認知，并讓我們從行為的視角來看待攻擊者和防御措施。與過去“一勞永逸”的工具相比，檢測和預防行為之路要困難得多。此外，隨著防御者帶來新的功能，攻擊者肯定會作出相應調整。新步伐。論溯源反制之思想\h/posts/OLZg進論溯源反制之思想2016年4月，國家領導人在網絡安全和信息化工作座談會上發(fā)表重要講話指出，“網絡安全的本質是對抗，對抗的本質是攻防兩端能力的較量?！笔俏覈诵母偁幜Φ囊环N優(yōu)勢；本質上是人與人之間的對抗，而網絡終端、網絡設備、介質以及各種工具和平臺僅僅是作為輔助手段而存在。因此如何使網絡安全人員合理的利用手中的各種工具和策略來提高網絡安全對抗水平，是培養(yǎng)“才隊伍”安全再上新高度。同年，《網絡安全法》頒布，出臺網絡安全演練相關規(guī)定：關鍵信息基礎設施的運營者應“練”。自此實戰(zhàn)化的“HW行動”成為慣例。結合四年來HW的經驗，以及對近年來國內外實戰(zhàn)對抗的總結后，我認為要想把HW和小規(guī)模網絡對抗的防御工作做好，必須解決兩個問題：第一、在實戰(zhàn)對抗方案中，大部分的方案都在做“點”戰(zhàn)對抗中的效果，主要是將以往安全建設的方案進行重新包裝，即：新壇裝老酒；第二、以往的方法論，包括：等保、ISMS、ITIL略及直接有效的操作方針來阻擋攻擊者。戰(zhàn)型網絡攻擊；具體操作指南需要根據實際業(yè)務場景和IT環(huán)境進行細化。就目前而言，各種網絡安全的法律法規(guī)的出臺，網絡安全大檢驗一個企業(yè)安全能力的手段。那什么樣的戰(zhàn)略戰(zhàn)術和反制手法是值得借鑒的呢，這也是對處于攻防演練中的防守方是一種考驗。部署，常規(guī)出現(xiàn)的、容易被用戶感知的異常點舉例如下：網頁被篡改、被掛上了黑鏈、web文件丟失等數據庫被篡改、web系統(tǒng)運行異常影響可用性、web用戶密碼被篡改等主機出現(xiàn)運行異常反應卡頓、文件被加密、主機系統(tǒng)出現(xiàn)其他用戶等主機流量層出現(xiàn)大量異常流量根據用戶現(xiàn)場的情況往往還需要做一些信息收集的工作比如，出現(xiàn)異常的時間點(非常重要)、異常服務器的主要業(yè)務情況、大致的一個網絡拓撲是不是在DMZ區(qū)、是否可以公網訪問、開放了那些端口、是否有打補丁、使用了怎么樣的一個web技術、最近是否做過什該規(guī)避風險，采取何種策略；一個web服務器公網可以訪問出現(xiàn)了被掛黑鏈的事件使用框架類，那么初步可以懷疑是命令執(zhí)行漏洞了；如果一臺公網服務器沒有安裝補丁又沒有防火墻防護，administrator的密碼為P@sswrod功；后面的工作主要就是收集各種資料證明這一猜想即可。一般web類的安全事件在web常見幾個中間件的日志如下：apache的日志路徑一般配置在httpd.conf的目錄下或者位于/var/log/httpIIS的日志默認在系統(tǒng)目錄下的Logfiles下的目錄當中tomcat一般位于tomcat安裝目錄下的一個logs文件夾下面Nginx日志一般配置在nginx.conf或者vhost的conf文件中工欲善其事必先利其器，一般日志量都比較大。互聯(lián)網上還是有很多的日志檢測工具，個人不是很喜歡用主要工具還是notepad++和SublimeText跟進收集的信息比如時間點這種情況，對時間點前后的請求日志進行分析，一般都都能發(fā)現(xiàn)一些異常。為了方便的識別一些日志，github多，一檢查往往也會發(fā)現(xiàn)很多無效的攻擊，篩選起來反而感覺更麻煩。推薦一個小工具：web-log-parser為開源的分析web日志工具，采用python多，實在不行就自己定義好規(guī)則搞一個。連接如下：\h/JeffXue/web-log-parser在處理一些訪問訪問、網頁更改的時候、上傳路徑、源IP息往往都能定位到入口點。常見的一些入口點舉例如下：一些CMS的EXP，比如DiscuzEmpireSpring涉及面相對較廣。編輯器的上傳漏洞，比如知名的FCK編輯器、UEditor之類。功能性上傳過濾不嚴格，比如頭像上傳資料上傳界面一些過濾嚴格導致的上傳漏洞。Webadmin賬戶、或者是tomcat的managerAxis2弱口令用戶、Openfire弱口令等等同時web系統(tǒng)往往容易存在一些webshell的情況，經常在一些上傳目錄里面找到一些webshell、明明是個JSP的網頁還出現(xiàn)了一個的一句話。一般需要重點關注一下。推薦用D盾對web系統(tǒng)的目錄進行掃描。掃描出來的webshell時間上傳時間、文件創(chuàng)建時間、文件修改時間往往準確性都比較高，一般不會去更改這個時間，用來在日志當中排查就相對容易的多。以前一直覺得一些蠕蟲病毒都挺逗的很多傳播方法居然只是依靠暴力破解和MS17-010之類的漏洞傳播，感覺波及面應該比較小后面才發(fā)現(xiàn)這個方法簡單粗暴反而最有效。對于Linux平臺相對安全性偏高一些，常見的幾個病毒如XorDDOS、DDG、XNote/var/log/auth.log包含系統(tǒng)授權信息，包括用戶登錄和使用的權限機制等信息/var/log/lastlog記錄登錄的用戶，可以使用命令lastlog查看/var/log/secure記錄大多數應用輸入的賬號與密碼，登錄成功與否/var/log/cron記錄crontab命令是否被正確的執(zhí)行grep,sed,sort,awk幾個命令靈活運用、關注Accepted、Failedpassword、invalid特history命令，黑客的操作了?？梢灾攸c看一下還剩下那些日志、或者關注一下網絡層面是不是還有其他的安全設置可以在流量層進行溯源分析的。源于Linux一切皆文件與開源的特性，在溯源的過程中也有好處也有壞處，rootkit就是最麻煩的一件事情了。由于系統(tǒng)一些常用的命令明文都已經被更改和替換，此系統(tǒng)已經變得完全不可信，在排查溯源的過程中往往不容易發(fā)覺對安全服務的人員就有較高的技術要求了。Windows平臺下面的溯源就相對容易一些當然主要還是依靠windows的日志一般用eventvwr命令打開事件查看器。默認分為三類：應用程序、安全、性統(tǒng)以evt文件形式存儲在%systemroot%\system32\config目錄；合理使用篩選器往往可以幫助我們更好的排查日志，比如懷疑是暴力破解入侵的篩選事件ID==4625審核失敗的日志，后續(xù)通過對時間的排查、以及源IP地址、類型與請求的頻率進行分析來判斷是否是來源于內網的暴力破解通過系統(tǒng)內部的日志來判斷是否是惡意進程的運行狀態(tài)，對logontype的數值確認就可以確認到底是通過什么協(xié)議進行暴力破解成功的；相對的數值關系如下：localWINDOWS_RDP_INTERACTIVE="2"localWINDOWS_RDP_UNLOCK="7"localWINDOWS_RDP_REMOTEINTERACTIVE="10"localWINDOWS_SMB_NETWORK="3"Windows系統(tǒng)的補丁相對重要一些，一些關鍵的補丁沒有打很容易遭受到攻擊成功的事件。重點就關注一些常見的比如ms17-010ms08-067ms16-032等安全補丁都是內網滲透常用的攻擊包。可以通過sysintemfo可以查看到當前系統(tǒng)當中已經安裝的補丁。此外windows下面還包括很多域控的安全日志，因為內容太多就不再展開敘述，溯源主要還是想還原攻擊路徑，通過windows訪問關系攻擊者的攻擊鏈條，給用戶一個交代就好。數據庫系統(tǒng)也是攻擊者入口點的一些重災區(qū)，常見的比如msssqlserver由于數據往往在window環(huán)境下安裝后具有較高的權限，一些用戶經常安裝完成之后也不會怎么去加固數據庫，基于庫站分離的原則很多mssql公網直接就可以訪問訪問控制策略比較弱，弱口令的問題尤為突出。比如下對于mssql的sa用戶暴力破解日志，里面也記錄著客戶端的IP地址如果沒有配置相關的鎖定策略在密碼不夠嚴格的情況下容易被攻陷。攻擊者爆破成功之后啟動xp_shell往往就可以以高權限執(zhí)行系統(tǒng)命令，拿到了一個windows的shell豈不是為所欲為。Linux平臺下面還有一個redisDDG挖礦、WatchDog挖礦等病毒都主要利用redis未授權訪問執(zhí)行命令，從互聯(lián)網拉取挖礦程序寫入ssh的公鑰等功能?？匆姳镜亻_放了6379端口的時候還是需要重點關注這個問題，多向用戶咨詢一下使用情況查看一下默認配置。還有一些常用的系統(tǒng)比如mysql數據庫暴力破解提權一套裝、未授權訪問漏洞、釣魚郵件、破解軟件后門、惡意的office宏、office碼執(zhí)行漏洞、郵箱缺陷、VPN配置缺陷等情況都可能是攻擊者的入口點具體情況需要結合用戶當前的情況具體進行排查。和競爭奠定了基礎。欺騙方面蜜罐本身就是一個欺騙類的產品，攻擊對抗中蜜罐可以模仿各種各樣的網站-俗稱高仿真，可以將客戶的網站系統(tǒng)復制或者“克隆”方式來欺騙黑客從而保護了真實的業(yè)務系統(tǒng)，還可以在業(yè)務系統(tǒng)的同一網段上進行部署蜜罐來達到混淆欺騙黑客的作用。真所謂“真亦假，真若假時假亦真”;誘捕方面利用人們慣用的方式“大面積撒網，重點撈魚”的思維，在網絡上廣發(fā)“誘餌”么媒體平臺上發(fā)布一些信息，從而來增加被捕獲并且進行攻擊的概率。因為黑客在信息收集的時候，一定會對目標機器進行大量的信息收集之后再去確認收集到的信息是否準確，而收集到信息有真有假包含了“誘餌”信息，黑客如果沒有辨別清楚隨意觸發(fā)信息地址或者誘餌所設計的機制，容易導致落入蜜網。seo搜索引擎刷排名，使得誘餌文件內容可以在百度上排名靠前，增加攻擊概率，可以值得一試。其他誘餌比如Pdf、rar等格式的文件，rar格式的文件的某軟件可以設置下載自動解綁木馬等。拖延方面業(yè)務系統(tǒng)各方面的不足爭取到了寶貴空間，也為“大部???的撤離”爭取了最后的時間。干擾方面然而，在毛主席《論持久戰(zhàn)》一書中比較分析了敵我雙方的差異，如敵人武器先進我們武器落后、敵人退步我們進步、敵人寡助我們多助等，在面對抗日戰(zhàn)爭中敵我雙方矛盾基本特點及其在戰(zhàn)爭進程中強弱優(yōu)劣的互相轉化過程中蘊含和貫穿著一個基本思想，即戰(zhàn)爭力量強弱優(yōu)劣的互相轉化和戰(zhàn)爭是否能夠勝利，要靠人的努力才能實現(xiàn)，即要發(fā)揮人的主觀能動性。所以，《論持久戰(zhàn)》在講武器與人的關系時明確指出：“武器是戰(zhàn)爭的重要的因素，但不是決定的因素，決定的因素是人不是物。即藍方（防守方），御狀態(tài)，現(xiàn)如今欺騙防御理念的提出，推動了網絡安全事業(yè)又邁入了一個新階段，闡述了該思想下防守方由戰(zhàn)略被動防御轉為戰(zhàn)略主動防御的角色轉換。而該理念的推動下產生的產物就是蜜罐技術的推進，讓更多的企業(yè)和廠商等看到了新的春天，新的希望，所謂的是“柳暗花明又一村”。蜜罐的使用不斷地突出其優(yōu)勢所在，將拖延戰(zhàn)術、欺騙戰(zhàn)術、反制戰(zhàn)術等等靈活應用；同時也考驗設計部署者的能力和對敵方是否了解“知己知彼，百戰(zhàn)不殆”；敵方的取向決定了防守的動向，目前一些企業(yè)都會買一些流量檢測設備、日志設備、還有蜜罐的設備等等。在正式攻防對抗之前敵方（攻擊方）那么這個時候防守方自然也是盡己可能排查自己內外環(huán)境所存在的漏洞點進行修復加固。攻擊過程一般都是由小到大、由淺入深的形式展開，基本上都是先是探測站點信息，逐次進行打點升級。那這個時候呢，防守方的設備上一定會顯示相關檢測的日志信息。逐條分析濾出敵方的攻擊思維，還可以根據所爆出的漏洞利用的名稱，大致判斷對方常用的攻擊手法。根據對方攻擊的頻率感知平臺、情報平臺等等。當敵方攻擊防守方時候肯定不會使用真實的IP地址，所以當防守方的設備上留下的IP不盡然是真實IP，需要不停地去明辨真實IP不斷分析進行精準狠的定位打擊，防守方可以根據敵方IP進行反制溯源。根據日志信息精準判斷不斷地進行攻擊敵方的攻擊IP直到敵方不在攻擊為止，為什么這樣說呢，因為敵方不在攻擊的時候可能已經更換了IP防守再次攻擊也沒有任何意義了，除非能找到與之相關的一些信息來增添敵方畫像的可能?！墩摮志脩?zhàn)》中的十六字方針戰(zhàn)略：“我退,敵駐我擾敵僻我打,敵退我追”具有借鑒意義。使用不斷干擾敵方戰(zhàn)略戰(zhàn)術的手段，讓敵方不能夠從容鎮(zhèn)定地完成攻擊路徑和攻擊鏈條，那么防守方的目的就達到了，一定程度上延緩了敵方進攻的思路和思維方式，打破了敵方既定的戰(zhàn)略部署，使得敵方不得不重新調整方案。此時敵方的心理已經被徹底打破了，會不停地攻擊來自防守方攻擊的地址，這樣很容易形成膠著之勢。比如：撒一些“苗”即誘餌，待山花爛漫之時，綻放出最美的“笑魘”，有心栽花花不開，無心插柳柳成蔭。。。誘餌的設置無疑就是天上掉下來的大肥肉或者大毒藥，敵方需要“火眼金睛”來區(qū)別對待它的到來，否則等來的是一顆斃命的??；在反制愈演愈烈的今天，由被動到主動的角色轉換，由保守到開放的姿態(tài)。蜜罐的發(fā)展彌補了這一優(yōu)勢不足的弱點，增添了這一亮點屬于錦上添花。發(fā)揮蜜罐反制優(yōu)勢的特點在于或者說利用一些反制的木馬、JS、XSS、PDF、Word等等，遠控敵方出其不意攻其不備；還可以給敵方種馬沒事的時候瞎逛逛啥的，還可以扔給敵方一個炸彈或者鎖機馬、鎖文件等等，“思想有多遠就能走多遠”；蜜罐像地雷，讓敵人處處驚心動魄；蜜罐像陷阱，讓敵方步步為營?？谷諔?zhàn)爭中的地雷戰(zhàn)，看似一馬平川其實前進道路充滿驚悚；還有獵人捕捉獵物時候會設置各種各樣的陷阱便命。暗示，給我方隊員以鼓舞和信心。所以在網絡攻防對抗中挑戰(zhàn)的不僅僅是戰(zhàn)略戰(zhàn)術的配合更多的是心理學的范疇。(五)：威懾反制能力建設\h/articles/10044南京，孝陵衛(wèi)。2018年12月美國網絡威懾與溯源反制能力建設階段跨越年～2018年，在這個階段美國的國家戰(zhàn)略逐漸從“積極防御”轉變?yōu)椤肮敉亍眰€階段，美國政府不但發(fā)布了多個網絡威懾相關戰(zhàn)略政策，同時也開展了一系列的相關具體行動項目。、網絡威懾與反制相關政策年7月14日美國國防部發(fā)布首份《網絡空間行動戰(zhàn)略》。盡管國防部強調新戰(zhàn)略重在防御，即加強美軍及重要基礎設施的網絡安能導致網絡空間軍事化，并引發(fā)網絡軍備競賽。2015年4月23日，美國公布了國防部新版網絡戰(zhàn)略。作為年7月首版《網絡行動戰(zhàn)略》的升級版，這份文件旨在劃定未來5網絡行動的新目標，而其中最值得關注的3個關鍵詞——威懾、進攻、同盟，則代表了美軍網絡力量的發(fā)展方向。新戰(zhàn)略聲稱，為阻止網絡攻擊，必須制定實施全面的網絡威懾戰(zhàn)略，“在網絡惡意行為發(fā)生前威懾此類行為”。為有效實施威懾，美應具備以下能力：一是通過政策宣示展現(xiàn)反擊態(tài)度；二是形成強大的防御能力，保護國防部和整個國家免受復雜網絡攻擊，實現(xiàn)“拒止”威懾；三是提高網絡系統(tǒng)的恢復能力，確保國防部網絡即使遭受攻擊后也能繼續(xù)運轉，以降低對手網絡攻擊的成功幾率。2018年9月18日，美國國防部公布了《2018出了建立更具殺傷力的力量、網絡空間競爭及威懾、強化聯(lián)盟和合作伙伴關系、改革國防部、以及培養(yǎng)人才等五條具體戰(zhàn)略方針?！?018相互促進的活動將使國防部能夠在網絡空間領域競爭、威懾并取勝。北京，軟件園深秋。2018年11月、溯源與反制主要行動在網絡進攻方面，存在美國國家全局（NSA）和美國中央情報局（CIA）身影的Stuxnet工業(yè)病毒和WannaCry勒索病毒都對全球網絡Mitre開發(fā)KillChain和Att&CK模型，促進威脅情報標準Stix/Ta