| T1583 |
获取基础设施 |
通过使用这些基础设施,攻击者可以预演、启动和执行攻击操作,这种方式可以混淆攻击流量,使其攻击操作的记录或流量看起来像是正常行为,例如在第三方 WEB 服务,攻击者会尽量使其操作在物理上难以追溯到他们,攻击者还会更倾向于使用可以快速配置、修改、关闭的基础架构。 |
| T1583.007 |
无服务器架构 |
攻击者可能会购买并配置无服务器云基础设施,如 Cloudflare Workers 或 AWS Lambda 函数,可在攻击目标时使用。利用无服务器基础设施,攻击者可以更难将攻击操作期间使用的基础设施追溯到他们身上。一旦获得,无服务器运行时环境可用于直接响应受感染的机器,或将流量代理到攻击者拥有的命令和控制服务器。由于这些函数生成的流量看起来来自常见云服务提供商的子域名,因此可能难以与这些提供商的普通流量区分开来。 |
| T1583.002 |
获取基础设施:搭建 DNS 服务器 |
在后渗透阶段,攻击者会利用 DNS 流量做各种任务,包括命令与控制(例如:应用层流量),攻击者可以选择配置并运行自己的 DNS 服务器来支持操作,而不是劫持现有的 DNS 服务器。通过运行自己的 DNS 服务器,攻击者可以更好地控制他们 C2 流量的方式。通过控制 DNS 服务器,攻击者可以配置 DNS 应用程序以提供对恶意软件的条件响应,并且通常在基于 DNS 的 C2 通道的结构上具有更大的灵活性。 |
| T1583.005 |
获取基础设施:获取僵尸网络 |
僵尸网络是受感染的系统组成的网络,可以受指示执行协调任务,攻击者可以利用僵尸网络执行大规模网络钓鱼或分布式拒绝服务(DDoS)。 |
| T1583.001 |
获取基础设施:获取域名 |
域名是人类可读的名称,代表一个或多个 IP 地址,可以购买,某些情况下也可以免费获取。攻击者可以将购买的域名用于网络钓鱼、路过式攻击或命令控制,攻击者会使用看起来与合法域名相似的域名,或国际域名在实操中进行混淆,也会通过路过式攻击投递有效载荷。每个域名注册商都维护一个可公开查看的数据库,显示每个已注册域名的联系信息。私人 WHOIS 服务选择性的展示信息,例如基础服务公司的信息而不是域名拥有者的信息,攻击者可以利用这种私有服务来掩盖谁才是域名拥有者的信息,攻击者还会通过各种注册信息并向不同的域名注册商购买域名,来进一步中断对其基础设施的追踪。 |
| T1583.004 |
获取基础设施:获取物理服务器 |
攻击者可以选择搭建和运行自己的服务器,而不是破坏第三方服务器或租用虚拟专用服务器。 |
| T1583.003 |
获取基础设施:获取 VPS 虚拟专用服务器 |
通过租用云服务提供商的虚拟专用服务器(VPS),攻击者可以是基础设施,很难在物理上束缚他们的行动,使用云架构还可以更快速的修改和关闭基础设施,以逃避追踪。攻击者在后渗透阶段使用 VPS(如命令与控制),如果使用声誉较高的云服务厂商可能因此而受益,攻击者还可以从 VPS 提供商那里获取基础设施,如果提供商要求更少的注册信息,则有利于匿名获取基础设施。 |
| T1583.006 |
获取基础设施:注册 WEB 服务 |
攻击者可以使用各种流行的网站来注册基于 WEB 的服务,这些服务可能会在攻击者生命周期的后期阶段被滥用,例如命令与控制(Web Service)或 Web Service 渗透。使用常见的服务(例如谷歌或 Twitter 提供的服务)可使攻击者更容易隐藏在预期的噪音中。通过利用 Web 服务,攻击者可能使其操作在物理上难以追溯到他们。 |
| T1584 |
攻击基础设施 |
攻击者可能在对目标主机发起攻击前会先入侵第三方设备,包括云服务、域名、第三方 Web 服务等。与购买、租赁或租用基础设施不同,攻击者可能会对三方基础设施进行破坏,同时在整个攻击阶段实施其它攻击,甚至,利用入侵的多台设备形成僵尸网络。通过入侵的设备,攻击者可用于准备、构建、执行其它攻击。已入侵的基础设施可以帮助攻击者行为融入正常的流量,例如与高信誉或受信任的站点联系。通过第三方设备,可增加攻击溯源的难度。在对目标进行攻击前,其它攻击者也可能破坏。 |
| T1584.003 |
攻击基础设施:虚拟专用服务器 |
攻击者可能在攻击目标期间会对第三方虚拟专用服务器进行入侵。有各种各样的云服务提供商将虚拟机/容器作为服务进行销售,攻击者可能会入侵第三方实体购买的 VPS,通过将 VPS 用作基础设施,攻击者在物理上将操作与自己隐藏。将 VPS 用于攻击者生命周期的后期阶段(如命令和控制),可以让攻击者从与信誉较高的云服务提供商相关的普遍性和信任中获益,也可以从受损的第三方添加的信任中获益。 |
| T1584.005 |
攻击基础设施:僵尸网络 |
攻击者在攻击目标期间,可能会对多个第三方系统进行入侵,进而形成僵尸网络。僵尸网络是一个由多个受害系统组成的网络,可受控执行攻击任务。与购买/租用僵尸网络不同的是,攻击者是通过入侵三方系统构建的。攻击者同样可接管已有的僵尸网络,如将 C2 服务器指向为另外的服务器,然后进行后续的攻击活动,如 DDoS。 |
| T1584.006 |
攻击基础设施:Web 服务 |
攻击者在攻击目标期间,可能会入侵第三方 Web 服务器。在各种流行的网站供合法用户注册基于 web 的服务,如 GitHub、Twitter、Dropbox、Google 等。攻击者可能试图获得合法用户访问 web 服务的所有权,并将该 web 服务用作支持网络操作的基础设施。在攻击生命周期的后续阶段,例如在命令和控制(web 服务)或 web 服务的过滤期间,这些 web 服务可能被滥用。使用共同的服务,如谷歌或推特提供的服务,使攻击者更容易隐藏在预期的噪音中。通过利用 web 服务,尤其是当合法用户的访问被窃取时,攻击者使物理上的操作与他们联系起来更困难。 |
| T1584.002 |
攻击基础设施:DNS 服务器 |
攻击者可能在攻击目标期间会对三方域名服务器进行入侵。在后续的攻击活动中,攻击者利用 DNS 服务器执行各种任务,包括命令和控制(如,隧道传输应用协议)。攻击者也可能对三方 DNS 服务器进行破坏,从而支持其它攻击操作,并非建立 DNS 服务器。通过入侵 DNS 服务器,攻击者可修改 DNS 记录。通过该操作可重定向受害组织的流量、促进攻击者收集信息、获取访问凭据等。攻击者同样可偷偷的创建子域名,并将子域名指向恶意服务器,且不会泄露实际拥有者。 |
| T1584.007 |
无服务器架构 |
攻击者可能会破坏无服务器云基础设施,如 Cloudflare Workers 或 AWS Lambda 函数,可在攻击目标时使用。利用无服务器基础设施,攻击者可以更难将攻击操作期间使用的基础设施追溯到他们身上。一旦被破坏,无服务器运行时环境可用于直接响应受感染的机器,或将流量代理到攻击者拥有的命令和控制服务器。由于这些函数生成的流量看起来来自常见云服务提供商的子域名,因此可能难以与这些提供商的普通流量区分开来。 |
| T1584.004 |
攻击基础设施:服务器 |
攻击者在攻击目标期间可能会对第三方服务器进行入侵。在后续的攻击活动中,攻击者利用 DNS 服务器执行各种任务,包括命令和控制(如,隧道传输应用协议)。攻击者通过入侵第三方的服务,以支持他们的攻击操作,而不是通过购买服务器或虚拟专用服务器以支持他们的攻击操作。攻击者也可能对 Web 服务进行攻击,从而实施水坑攻击。 |
| T1584.001 |
攻击基础设施:域名 |
攻击者可能在攻击目标期间会对域名或者子域名进行劫持。域名注册劫持是指未经原注册人许可,擅自更改域名注册的行为。攻击者首先获取域名拥有者的邮件访问权限;然后,攻击者伪造忘记密码等进行申请,从而对域名的注册进行修改。此外,也可能通过社工域名注册服务的方式,获取账户访问或利用续费期间的时间差控制域名。当受害组织有指向不存在或取消配置资源的 DNS 条目时,可能发生子域劫持。在这种情况下,攻击者可以控制子域,利用与该子域相关联的信任进行操作。 |
| T1586 |
盗取账户 |
攻击受害者之前,攻击者可能会攻击可以在定位目标期间使用的服务账户。对于包含社工的操作,使用在线角色可能是很重要的,攻击者可能会攻击现有账户,而不是创建和培养账户。利用现有的角色,且该角色与受害者之间有关系或相互了解,则该现有角色对受害者发起的潜在威胁时产生一定的信任。存在多种攻击账户的方法,如通过网络钓鱼收集信息、从第三方站点购买凭据或暴力破解凭据(如密码复用)。在攻击账户之前,攻击者通过侦查,以决定哪些账户容易被攻击,以便于攻击者下一步操作。账户可能存在于单个站点或多个站点上(如:Facebook、 LinkedIn、Twitter、Google 等),攻击者利用攻陷的账户可以进行其它的操作,其中包括填写或修改个人资料,还可以进一步发展社交网络或发布照片。攻击者可能会利用已经攻陷的邮件账户进行的网络钓鱼以获取信息。 |
| T1586.001 |
盗取账户:社交媒体账户 |
攻击受害者之前,攻击者可能会攻击在定位目标期间可以使用的社交媒体账户。对于包含社工的操作,使用在线角色可能是很重要的,攻击者可能会攻击现有的社交媒体账户,而不是创建和培养社交媒体账户。利用现有的角色,且该角色与受害者之间有关系或相互了解,则该角色对受害者发起的潜在威胁时会产生一定的信任。存在多种攻击社交媒体账户的方法,如通过网络钓鱼收集信息、从第三方站点购买凭据或暴力破解凭据(如密码复用)。在攻击社交媒体账户之前,攻击者通过侦查,以决定哪些账户容易被攻击,以便于攻击者下一步操作。账户可能存在于单个站点或多个站点上(如:Facebook、 LinkedIn、Twitter、Google 等),攻击者利用攻陷的社交媒体账户可以进行其它的操作,其中包括填写或修改个人资料,还可以进一步发展社交网络或发布照片。攻击者可以使用已获取的社交媒体资料来建立与目标直接的连接或劫持现有连接,这些连接可能是直接的,也可能是通过其它方式进行连接。在攻击者攻击的其它阶段,可能利用攻击者已经入侵的配置文件,如初始访问期间(通过服务进行网络钓鱼)。 |
| T1586.003 |
云账户 |
攻击者可能会破坏可在攻击目标期间使用的云账户。攻击者可以使用被破坏的云账户来推进他们的操作,包括利用云存储服务(如 Dropbox、Microsoft OneDrive 或 AWS S3 存储桶)进行数据外传到云存储或上传工具。云账户还可用于获取基础设施,如虚拟专用服务器或无服务器基础设施。破坏云账户可能使攻击者在不管理自己服务器的情况下发展复杂的能力。存在多种破坏云账户的方法,如通过网络钓鱼收集凭据、从第三方站点购买凭据、进行密码喷洒攻击或试图窃取应用程序访问令牌。在破坏云账户之前,攻击者可能会进行侦察,以决定破坏哪些账户以推进他们的操作。在某些情况下,攻击者可能会针对特权服务提供商账户,意图利用服务提供商与其客户之间的信任关系。 |
| T1586.002 |
盗取账户:电子邮件账户 |
攻击受害者之前,攻击者可能会攻击在定位目标期间可以使用的邮件账户。攻击者可以使用已经攻陷的邮件账户来进行下一步操作,如利用该账户进行网络钓鱼以获取信息。利用现有的角色,且该角色与受害者之间有关系或相互了解,则该角色对受害者发起的潜在威胁时会产生一定的信任。利用已经攻陷的邮件账户也可以获取基础结构(如域)。存在多种攻击邮件账户的方法,如通过网络钓鱼收集信息、从第三方站点购买凭据或暴力破解凭据(如密码复用)。在攻击邮件账户之前,攻击者通过侦查,以决定哪些账户容易被攻击,以便于攻击者下一步操作。攻击者可以利用已经攻陷的邮件账户劫持其感兴趣目标的现有邮件线程。 |
| T1608 |
部署能力 |
攻击者可能会上传、安装或以其他方式设置可在攻击目标期间使用的能力。为了支持他们的操作,攻击者可能需要将他们开发(开发能力)或获得(获取能力)的能力部署在他们控制的基础设施上。这些能力可以部署在攻击者先前购买/租用(获取基础设施)或破坏(破坏基础设施)的基础设施上。能力也可以部署在 Web 服务(如 GitHub 或 Pastebin)或平台即服务(PaaS)产品上,这些产品使用户能够轻松配置应用程序。能力的部署可以帮助攻击者进行许多初始访问和攻击后行为,包括(但不限于): 部署进行路过式攻击所需的 Web 资源,当用户浏览到攻击者控制的网站时。 部署用于鱼叉式网络钓鱼的链接目标的 Web 资源。 将恶意软件或工具上传到受害者网络可访问的位置,以实现工具传入。 安装先前获取的 SSL/TLS 证书,用于加密命令和控制流量(例如:使用 Web 协议的非对称加密)。 |
| T1608.004 |
路过式目标 |
攻击者可能会准备一个操作环境,以感染在正常浏览过程中访问网站的系统。端点系统可能会通过浏览到攻击者控制的网站而受到攻击,就像路过式攻击一样。在这种情况下,用户的 Web 浏览器通常是攻击目标(通常在登陆网站后不需要任何额外的用户交互),但攻击者也可能设置网站进行非攻击行为,如获取应用程序访问令牌。在进行路过式攻击之前,攻击者必须部署将攻击利用程序交付给浏览到攻击者控制网站的用户所需的资源。路过式攻击内容可以部署在攻击者获取(获取基础设施)或先前破坏(破坏基础设施)的基础设施上。攻击者可能会上传或注入恶意 Web 内容,如 JavaScript,到网站中。这可以通过多种方式完成,包括将恶意脚本插入网页或其他用户可控制的 Web 内容(如论坛帖子)中。攻击者还可能制作恶意 Web 广告,并通过合法广告提供商在网站上购买广告位。除了部署内容以利用用户的 Web 浏览器外,攻击者还可能部署脚本内容以分析用户的浏览器(如收集受害者主机信息),以确保在尝试攻击之前该浏览器是易受攻击的。被攻击者破坏并用于部署路过式攻击的网站可能是特定社区(如政府、特定行业或地区)访问的网站,目标是基于共同兴趣破坏特定用户或一组用户。这种有针对性的攻击活动被称为战略 Web 攻击或水坑攻击。攻击者可能会在获取基础设施(域名)期间购买与合法域名相似的域名(例如:同形异义字、错拼域名、不同顶级域名等),以帮助促进路过式攻击。 |
| T1608.001 |
上传恶意软件 |
攻击者可能会将恶意软件上传到第三方或攻击者控制的基础设施上,以便在攻击目标期间使用。恶意软件可以包括有效载荷、下载器、攻击后工具、后门和各种其他恶意内容。攻击者可能会上传恶意软件以支持他们的操作,例如将有效载荷放置在互联网可访问的 Web 服务器上,使受害者网络可以访问。恶意软件可以放置在攻击者先前购买/租用(获取基础设施)或破坏(破坏基础设施)的基础设施上。恶意软件也可以部署在 Web 服务(如 GitHub 或 Pastebin)上。攻击者可能会上传被植入后门的文件,如应用程序二进制文件、虚拟机映像或容器映像,到第三方软件商店或存储库(例如:GitHub、CNET、AWS 社区 AMIs、Docker Hub)。受害者可能会偶然直接下载/安装这些被植入后门的文件。伪装可能会增加用户误执行这些文件的机会。 |
| T1608.002 |
上传工具 |
攻击者可能会将工具上传到第三方或攻击者控制的基础设施上,以便在攻击目标期间使用。工具可以是开源的、闭源的、免费的或商业的。攻击者可以将这些工具用于恶意目的,但(与恶意软件不同)这些工具并非旨在用于这些目的(例如:PsExec)。攻击者可能会上传工具以支持他们的操作,例如将工具放置在互联网可访问的 Web 服务器上,使受害者网络可以访问。工具可以放置在攻击者先前购买/租用(获取基础设施)或破坏(破坏基础设施)的基础设施上。工具也可以部署在 Web 服务(如攻击者控制的 GitHub 仓库)或平台即服务产品上,这些产品使用户能够轻松配置应用程序。攻击者可以通过让受感染的受害者机器直接从第三方托管位置(例如:非攻击者控制的 GitHub 仓库)下载工具,避免上传工具的需要。 |
| T1608.005 |
链接目标 |
攻击者可能会设置可在攻击目标期间使用的链接所引用的资源。攻击者可能依赖用户点击恶意链接来泄露信息(包括凭据)或获得执行权限,就像恶意链接攻击一样。链接可以用于鱼叉式网络钓鱼,例如发送带有社会工程文本的电子邮件,诱使用户主动点击或复制粘贴 URL 到浏览器中。在进行信息钓鱼(如鱼叉式网络钓鱼链接)或获取系统初始访问权限的钓鱼(如鱼叉式网络钓鱼链接)之前,攻击者必须为鱼叉式网络钓鱼链接的链接目标设置资源。通常,链接目标的资源将是一个 HTML 页面,可能包括一些客户端脚本,如 JavaScript,以决定向用户提供什么内容。攻击者可能会克隆合法网站作为链接目标,这可能包括克隆合法 Web 服务的登录页面或组织登录页面,以在鱼叉式网络钓鱼链接攻击期间收集凭据。攻击者还可能上传恶意软件,并使链接目标指向恶意软件以供用户下载/执行。攻击者可能会在获取基础设施(域名)期间购买与合法域名相似的域名(例如:同形异义字、错拼域名、不同顶级域名等),以帮助促进恶意链接攻击。也可以使用链接缩短服务。攻击者还可能使用平台即服务提供商的免费或付费账户来托管链接目标,同时利用这些提供商广泛信任的域名来避免被阻止。 |
| T1608.003 |
安装数字证书 |
攻击者可能会安装可在攻击目标期间使用的 SSL/TLS 证书。SSL/TLS 证书是可以安装在服务器上的文件,用于实现系统之间的安全通信。数字证书包括有关密钥的信息、有关其所有者身份的信息以及验证证书内容正确的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,则他们知道可以使用该密钥与证书的所有者进行安全通信。证书可以上传到服务器,然后服务器可以配置为使用证书来实现与它的加密通信。攻击者可能会安装 SSL/TLS 证书以推进他们的操作,例如加密命令和控制流量(例如:使用 Web 协议的非对称加密)或为凭据收集站点增加可信度。数字证书的安装可能发生在多种服务器类型上,包括 Web 服务器和电子邮件服务器。攻击者可以获取数字证书(见数字证书)或创建自签名证书(见数字证书)。数字证书可以安装在攻击者获取(获取基础设施)或先前破坏(破坏基础设施)的基础设施上。 |
| T1608.006 |
SEO 投毒 |
攻击者可能会投毒影响搜索引擎优化(SEO)的机制,以进一步吸引潜在受害者访问部署的攻击能力。搜索引擎通常根据购买的广告以及其网络爬虫和算法计算的网站排名/得分/声誉向用户显示结果。为了帮助促进路过式攻击,攻击者可能会部署明确操纵 SEO 排名的内容,以在搜索引擎中推广托管其恶意有效载荷的网站(如路过式目标)。投毒 SEO 排名可能涉及各种技巧,例如在被破坏的网站中填充关键词(包括以隐藏文本的形式)。这些关键词可能与预期受害者的兴趣/浏览习惯以及更广泛的、季节性流行的话题(例如:选举、热门新闻)相关。攻击者还可能购买或植入指向部署的攻击能力的入站链接,以提高网站的计算相关性和声誉。SEO 投毒还可能与逃避重定向和其他伪装机制(例如测量鼠标移动或根据浏览器用户代理、用户语言/本地化设置或 HTTP 标头提供内容)结合使用,以提供 SEO 输入,同时避免防御者的审查。 |
| T1585 |
创建网络账号 |
在攻击之前,攻击者通过创建或者培养一些在攻击中可以利用的正常账户。攻击者可以通过创建一些账户,来建立进一步行动的角色。这些角色包括:公共信息、发布、历史和隶属关系。这种角色开发可以应用在社交媒体、网络或者其它可公开获得的信息。通过使用该角色或者身份进行的操作可以通过合法审查。在社工中使用一个在线角色是非常重要的。通过角色可以虚构或者冒充真实的人。角色可以存在于单个站点或多个站点(例如:Facebook,LinkedIn,Twitter,Google 等)上。建立角色可能需要开发其他文档才能使它们看起来真实。这可能包括填写个人资料信息,建立社交网络或合并照片。建立帐户还可以包括与电子邮件提供商建立帐户,这些帐户可以直接用于构建网络钓鱼信息或网络钓鱼。 |
| T1585.002 |
创建网络账户:邮件账户 |
在攻击之前,攻击者通过创建一些电子邮件账户,方便在攻击中可以利。攻击者可以通过电子邮件提供商创建的帐户来进一步开展业务,例如利用电子邮件进行信息钓鱼或网络钓鱼。攻击者还可以采取措施,例如通过使用社交媒体帐户来培养电子邮件帐户周围的角色,以增加后续行为成功的机会。创建的电子邮件帐户也可以用于获取基础结构(例如:域)信息。攻击者实际为了减少攻击操作与自己捆绑在一起的机会,通常使用一次性电子邮件服务。 |
| T1585.003 |
云账户 |
攻击者可能会创建可在攻击目标期间使用的云服务提供商账户。攻击者可以使用云账户来推进他们的操作,包括利用云存储服务(如 Dropbox、MEGA、Microsoft OneDrive 或 AWS S3 存储桶)进行数据外传到云存储或上传工具。云账户还可用于获取基础设施,如虚拟专用服务器或无服务器基础设施。建立云账户可能使攻击者在不管理自己服务器的情况下发展复杂的能力。创建云账户可能还需要攻击者与电子邮件提供商建立账户以进行注册。 |
| T1585.001 |
创建网络账户:社交媒体账户 |
在攻击之前,攻击者通过创建一些社交媒体的账户,方便在攻击中可以利。攻击者通过创建社交媒体帐户,将该帐户可用于建立进一步行动的角色。角色开发包括公共信息,存在,历史和适当隶属关系等信息。对于社会工程学的运营,在社交媒体上使用角色很重要。这些角色可能是虚构的或冒充真实的人。角色可以存在于单个社交媒体网站上,也可以存在于多个网站(例如:Facebook,LinkedIn,Twitter 等)上。在社交媒体上建立角色可能需要开发其他文档才能使它们看起来真实。这可能包括填写个人资料信息,建立社交网络或合并照片。一旦建立了角色,攻击者就可以使用它在对应平台上建立与感兴趣目标的联系。这些联系可能是直接的,也可能包括尝试通过其他人进行关联。这些帐户可能会在渗透生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行的网络钓鱼)。 |
| T1588 |
获得能力 |
在损害受害者之前,攻击者可能会购买、窃取等方式获取可以在攻击目标期间所使用的能力,攻击者可能会购买、免费下载或窃取这些能力,而不是在内部开发自己的功能,攻击者可能会获得恶意软件、软件(包括许可证)、漏洞利用、证书以及与漏洞相关的信息,攻击者获取这些能力以在多个阶段对受害者发起攻击。除了从互联网上下载免费的恶意软件、软件和漏洞利用程序外,攻击者还可以从第三方实体处购买这些能力,第三方实体包括专门从事恶意软件、漏洞利用程序的公司或犯罪市场亦或来自个人。 |
| T1588.004 |
获得能力:数字证书 |
在威胁到受害者之前,攻击者可能会购买、窃取 SSL/TLS 证书,以便在攻击期间使用。SSL/TLS 证书涉及的目的是为了信任,其包括关于秘钥的信息、关于所有者身份的信息以及验证证书的内容是否是正确实体的数字签名。如果签名有效,且检查证书的人信任该证书的签名,则其就知道可以使用该秘钥与证书的所有者进行通信。攻击者可能购买或窃取 SSL/TLS 证书以进行下一步的攻击操作,例如加密 C2 流量(例如 Web 协议)或者如果证书受信任且以某种方式添加到信任根(如安装 root 证书),则可以使用中间人攻击的方式。购买数字证书可以从前端组织或使用从先前受攻击的实体处窃取的信息来完成,该信息允许攻击者作为该证书的提供者进行验证。攻击者也可能从受威胁的第三方(包括证书颁发机构)窃取证书材料。现有的证书颁发机构允许攻击者免费请求 SSL/TLS 证书,例如:域认证证书。攻击者可以注册或劫持域名,然后购买 SSL/TLS 证书。 |
| T1588.006 |
获得能力:漏洞 |
在威胁到受害者之前,攻击者可能会获取目标的漏洞信息,以在攻击期间使用。漏洞是指计算机硬件和软件的弱点,很可能被攻击者利用,从而导致意外或未预料的行为产生,攻击者可以通过搜索开放的数据库或访问已关闭的漏洞数据库来找到漏洞信息。攻击者可以监测漏洞的披露和漏洞数据库,以了解现有漏洞和新发现漏洞的状态,发现新漏洞与将该新漏洞公开之间通常会有延迟,攻击者可以针对已知进行漏洞研究的系统(包括商业厂商)了解漏洞可能会导致攻击者搜索现有的漏洞利用程序或自己开发的漏洞利用工具进行攻击。 |
| T1588.001 |
获得能力:恶意软件 |
在损害受害者之前,攻击者可能会购买、窃取或者下载恶意软件,以便在攻击期间使用。恶意软件包含载荷、传输器、后破坏工具、后门、封装器和 C2 协议,攻击者可能会通过恶意软件来支撑他们的操作,维持其对远程计算机的控制、逃避检测和执行后期攻击行为。攻击者除了从互联网上下载免费的恶意软件外,换可以从第三方购买这些功能的恶意软件,第三方实体包括专门从事恶意软件开发的技术公司,犯罪市场(包括二医院建或 MaaS)或来自个人,除了购买恶意软件,攻击者还可以从第三方实体(包括其他攻击者)中窃取和重新利用恶意软件。 |
| T1588.002 |
获得能力:工具 |
在损害受害者之前,攻击者可能会购买、窃取或下载可在攻击期间使用的软件工具。工具可能是开源的、闭源、免费的或商业的,攻击者可以将这些工具用于恶意目的,但(与恶意软件不同)该工具并不是为了这种目的而使用(如 PsExec)。工具的购买可能涉及商业软件许可证的购买,包括用于红队的工具(如 Cobalt Strike)。商业软件可以通过购买、窃取许可证(或软件的授权副本)或破解获得。攻击者可获得工具来支持其攻击行为,包括后渗透行为,除了免费下载或购买软件外,攻击者还可以从第三方实体(包括其他攻击者)处窃取软件或许可证。 |
| T1588.003 |
获得能力:代码签名证书 |
在损害受害者之前,攻击者可能会购买或窃取可在攻击期间使用的代码签名证书。代码签名是对可执行文件进数字签名的过程,以确定软件的作者并保证代码没有被更改或破坏,代码签名为开发人员的程序提供了一定程度的真实性,并确保程序没有被篡改。用户或安全工具可能相信一段已经签名的代码,而不是一段未签名的代码,及时其不知道谁颁发的证书或作者是谁。在进行代码签名之前,攻击者可能购买或窃取代码证书以便于用户操作,购买代码签名证书可以从前端组织或使用从先前受攻击的实体处窃取的信息来完成,该信息允许攻击者作为该证书的提供者进行验证。攻击者也可能从受威胁的第三方窃取代码签名的材料。 |
| T1588.005 |
获得能力:漏洞利用 |
在威胁到受害者之前,攻击者可能会购买、窃取或下载可在攻击阶段使用的漏洞利用程序。漏洞利用程序可能利用一个 bug 或漏洞使计算机的硬件或软件产生一个意外或未预料到的行为。攻击者可能没有开发自己的漏洞利用程序,而是从网上查找漏洞利用程序或从漏洞利用程序的供应商处购买。除了从互联网上下载免费的漏洞利用程序,攻击者还可以从第三方实体处购买漏洞利用程序,第三方实体包括专门从事漏洞开发的技术公司、犯罪市场或来自个人。除了购买漏洞利用程序,攻击者还可以从第三方如其他攻击者处窃取并重新利用漏洞利用程序。攻击者可以监测漏洞利用程序提供的论坛,以了解现有和新发现漏洞利用程序的状态,发现新漏洞与将该新漏洞公开之间通常会有延迟,攻击者可能会关注那些已知进行开发研究,以便获取到在后续攻击操作中使用的知识。攻击者可以在攻击的各个阶段使用漏洞利用程序进行攻击(即利用面向公共的应用程序、利用客户端执行、利用特权升级、利用规避防御、利用凭据访问、利用进行远程服务以及应用程序)。 |
| T1587 |
开发能力 |
在攻击拿下受害目标之前,攻击者需要有构建攻击的能力,当然通过购买、免费下载或者窃取获取一部分,但是更多的需要根据收集利用信息开发构建针对攻击目标的整个过程的多阶段利用工具,例如:恶意软件,漏洞利用和自签名证书等。与合法的其它开发工作一样,攻击利用的开发能力也需要不同的技能。所需的技能可能团队内具备,也可能需要外包。对外包承包商的使用可以被认为是该攻击者开发能力的扩展,只要该攻击者在确定需求方面发挥作用并保持一定程度的独占能力即可。 |
| T1587.003 |
开发能力:数字证书 |
在攻击受害者之前,创建可以在目标确定期间使用的自签名 SSL/TLS 证书。SSL/TLS 证书作为信任凭证。它们包括有关密钥的信息,有关其所有者身份的信息以及已验证证书内容正确的实体的数字签名。如果签名有效,并且检查证书的人员信任签名者,则他们知道可以使用该密钥与其所有者进行通信。在自签名的情况下,数字证书将缺少与第三方证书颁发机构(CA)签名相关联的信任元素。攻击者可能会创建自签名 SSL/TLS 证书,这些证书可用于进一步开展操作,例如加密 C2 流量(例如 Web 协议),甚至在添加到信任根中时启用中间人(即安装根证书)。 |
| T1587.001 |
开发能力:恶意软件 |
恶意软件开发的一些方面(例如 C2 协议开发)可能需要攻击者获得了其他基础结构。恶意软件开发的一些方面(例如 C2 协议开发)可能需要攻击者获得了其他基础结构。例如,开发的要与 Twitter 进行 C2 通信的恶意软件可能需要使用 Web 服务。 |
| T1587.002 |
开发能力:代码签名证书 |
在攻击受害者之前,攻击者可能会创建自签名代码签名证书,以便在攻击期间使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码没有被修改或损坏。代码签名为开发人员提供的程序提供了一定程度的真实性,并保证程序没有被篡改。用户和安全工具可能更信任一段已签名的代码,而不是一段未签名的代码,即使他们不知道是谁颁发了证书或作者是谁。因此在进行代码签名之前,攻击者会开发用于操作的自签名代码签名证书。 |
| T1587.004 |
开发能力:漏洞利用工具 |
攻击者在攻击受害者之前,需要开发可在锁定目标上使用的漏洞利用程序。漏洞利用工具利用计算机硬件或软件上发生意外或未预期的行为。相比从网上查找、修改漏洞利用工具或者从供应商那购买漏洞利用工具,攻击者多数情况需要开发自己的漏洞利用工具。作为漏洞利用开发过程的一部分,攻击者会通过模糊测试和补丁分析等方法来发现可利用的漏洞。 |
| T1650 |
获取访问权限 |
攻击者可能会购买或以其他方式获取目标系统或网络的现有访问权限。各种在线服务和初始访问代理网络都可用于出售对之前已入侵系统的访问权限。在某些情况下,攻击者团体可能会结成伙伴关系,相互共享已入侵的系统。入侵系统的立足点可能采取多种形式,例如访问植入的后门(例如 Web Shell )或通过外部远程服务建立访问权限。在某些情况下,访问代理会向入侵系统植入“负载”,可用于为付费客户安装其他恶意软件。通过利用现有的访问代理网络,而不是开发或获取自己的初始访问能力,攻击者可以减少在目标网络上立足所需的资源,并将精力集中在后期的攻击阶段。攻击者可能会优先获取已确定缺乏安全监控或具有高权限的系统,或属于特定行业组织的系统的访问权限。在某些情况下,购买 IT 承包、软件开发或电信等领域组织的访问权,可能允许对手通过信任关系、多因素身份验证拦截、甚至供应链入侵来危害更多受害者。注意:虽然此技术与购买技术数据和凭证等其他行为不同,但它们通常可以结合使用(尤其是在获得的立足点需要有效账户的情况下)。 |