| T1005 |
本地系统的数据 |
攻击者可以搜索本地系统源,例如文件系统或本地数据库,为后续攻击提供感兴趣的文件和敏感数据。 |
| T1025 |
可移动媒体的数据 |
攻击者可以在他们已经入侵的计算机上搜索连接的可移动媒体,以查找感兴趣的文件,也可以在数据渗透之前,从与被入侵系统连接的任何可移动媒体(光盘驱动器,USB 存储器等)处收集敏感数据。可以使用交互式命令终端和 cmd 的常见功能来收集信息,一些攻击者还可以在可移动媒体上进行自动收集信息。 |
| T1039 |
网络共享驱动器中的数据 |
可以通过共享的网络驱动器(主机共享目录,网络文件服务器等)从远程系统收集敏感数据,这些驱动器可以从当前系统访问,可能会使用交互式命令shell和cmd中的常见功能来收集信息。 |
| T1056 |
捕获输入 |
攻击者可能会采用捕获用户输入的方法来获取凭据或收集信息。在系统正常使用过程中,用户通常提供不同的凭据,如登陆页面、系统对话框。输入捕获机制可能对用户是透明的(例如凭据API挂钩),或者依赖于欺骗用户使他们认为这个是真正服务提供的输入(例如Web门户网站捕获)。 |
| T1056.001 |
捕获输入:键盘记录 |
攻击者可能记录用户的键盘输入记录,以拦截用户输入的凭据证书。当OS凭据转储无效时,按键记录很有可能被用于获取新的访问凭证,且可能要求攻击者在相当长的一段时间内拦截系统上的按键记录,才能成功获取凭据。键盘记录是最流行的输入捕获类型,其具有多种截获键盘的方式:(1)Hooking API 调用进程被用于处理按键,与凭据 Hooking API不同,其只关注与用于处理按键数据的API函数;(2)从硬件缓存区读取原始按键数据;(3)修改Windows注册表;(4)自定义驱动程序;(5)修改系统镜像可能会为攻击者提供进入网络设备操作系统的入口,以读取登录会话的原始按键。 |
| T1056.003 |
捕获输入:Web门户网站捕获 |
攻击者可能在面向外部(互联网)的门户上安装代码(如VPN登陆页面),以捕获尝试登陆该服务的用户的凭据,例如:登陆页面会在用户登陆服务之前记录下用户提供的凭据。输入捕获的这种变化可以在攻击后发生,使用合法的管理访问作为通过外部远程服务和有效账户以维护网络访问的备份措施,或者作为利用面向外部的Web服务的初始危害的一部分。 |
| T1056.002 |
捕获输入:GUI输入捕获 |
攻击者可能会模仿通用操作系统GUI组件,以提供给用户一个看似合法提示用来提示用户输入凭据。当需要除当前用户权限之外的权限运行程序时,操作系统会提示用户输入适当的凭据来提升权限运行任务(例如:绕过用户账户控制)。攻击者会模仿正常需要输入凭据的功能给用户一个看似合法的提示来提示用户输入凭据,例如:假冒安装程序需要额外的权限或假冒恶意软件删除套件,这种类型的提示可用于通过各种语言(例如:AppleScript 和 PowerShell)来收集凭据。 |
| T1056.004 |
捕获输入:凭据 API Hooking |
攻击者可能会使用Windows应用程序接口(API)功能来收集用户凭据。恶意Hook机制可能用于捕获API调用,这些API调用中包含了用户的身份认证凭据参数,与Keylogging不同,此技术专门针对API函数中包含显示用户凭据参数的函数,Hook可以重定向这些函数,具体的方法可以参考一下:Hooks程序,可以拦截、执行指定得代码以响应诸如消息、按键和鼠标输入等事件;导入地址表(IAT)Hook,其可以修改进程的IAT,该IAT中存储了指向导入API函数的指针;内联Hook,其会重新API函数中第一个字节以重定向代码流。 |
| T1074 |
数据暂存 |
攻击者可以在渗透之前将收集到的数据放在集中的某个位置或目录中。数据可以保存在单独的文件中,也可以通过诸如“存档收集的数据”之类的技术组合成一个文件。可以通过命令交互,使用cmd和bash中的通用功能将数据复制到暂存位置。在云环境中,攻击者可以在渗漏之前在特定实例或虚拟机中暂存数据。攻击者可以创建云实例并在该实例中暂存数据。攻击者可以选择在渗透之前从集中位置的受害网络中暂存数据,以最大程度地减少与其C2服务器的连接数并更好地逃避检测。 |
| T1074.001 |
数据暂存:本地数据暂存 |
攻击者可以在渗透之前将收集到的数据放在集中的某个位置或目录中。数据可以保存在单独的文件中,也可以通过诸如“存档收集的数据”之类的技术组合成一个文件。可以通过命令交互,使用cmd和bash中的通用功能将数据复制到暂存位置。 |
| T1074.002 |
数据暂存:远端数据暂存 |
攻击者可能在渗出前从多个系统收集到的数据存储到某一个集中位置,数据可以保存在单独的文件中,也可以通过归档收集的数据等技术合并到一个文件中。可以使用交互式命令shell,并且可以使用cmd和bash中的公共功能将数据复制到暂存位置。在云环境中,攻击者可以在渗漏之前在特定实例或虚拟机中暂存数据。攻击者可以创建云实例并在该实例中暂存数据。通过在渗出之前将数据暂存在一个系统上,可以最大限度地减少与C2服务器的连接数量,从而更好地规避检测。 |
| T1113 |
屏幕截图 |
攻击者可能会尝试对桌面进行屏幕截图,以在操作过程中收集信息。屏幕捕获功能可能包括作为一个功能的远程访问工具使用的后泄漏操作。通常也可以通过本地实用程序或API调用来获取截图,如CopyFromScreen、xwd或screencapture。 |
| T1114 |
电子邮件收集 |
攻击者根据目标用户的邮件收集敏感信息。电子邮件可能包含对攻击者有价值的敏感数据,包括商业秘密或个人信息。攻击者可以从邮件服务器或客户端收集或转发电子邮件。 |
| T1114.001 |
电子邮件收集:本地电子邮件收集 |
攻击者在本地系统中通过目标用户的电子邮件收集敏感信息。Outlook将数据本地存储在扩展名为.ost的脱机数据文件中。Outlook 2010及更高版本支持.ost文件大小最大为50GB,而早期版本的Outlook支持最大20GB。Outlook 2013(及更早版本)和POP帐户中的IMAP帐户使用Outlook数据文件(.pst),而不是.ost,而Outlook 2016(及更高版本)中的IMAP帐户使用.ost文件。两种类型的Outlook数据文件通常都存储在 C:\Users\Documents\Outlook Files或C:\Users\AppData\Local\Microsoft\Outlook。 |
| T1114.003 |
电子邮件收集:电子邮件转发规则 |
攻击者通过设置电子邮件转发规则以收集敏感信息。攻击者可能滥用电子邮件转发规则来监控制受害者的活动,窃取信息,并进一步获取有关受害者或受害者组织的情报,以用作进一步的利用或操作的一部分。Outlook和Outlook Web App(OWA)允许用户为各种电子邮件功能(包括转发到其他收件人)创建收件箱规则。可以将邮件转发给内部或外部收件人,并且没有限制此规则范围的限制。管理员还可以为用户帐户创建转发规则,但要考虑相同的因素和结果。组织内的任何用户或管理员(或具有有效凭据的攻击者)都可以创建规则,以自动将所有接收到的邮件转发给另一个收件人,根据发件人将电子邮件转发到其他位置等。 |
| T1114.002 |
电子邮件收集:远端电子邮件收集 |
攻击者可以利用用户的凭据来直接与Exchange服务器进行交互,获取网络内部信息。攻击者还可以访问外部Exchange服务或Office 365,通过使用凭据或访问令牌访问电子邮件。MailSniper之类的工具可用于自动搜索特定的关键字。 |
| T1115 |
剪贴板数据 |
攻击者可能复制用户在应用或应用间的数据,以收集用户存储在剪贴板中的数据。在Windows中,应用程序可以使用Windows 的API接口访问剪贴板中的数据,OSX提供了用于获取剪贴板内容的本机命令pbpaste。 |
| T1119 |
自动化收集信息 |
执行该技术的方法包括命令或脚本,例如特定的时间去自动收集文件类型、位置、名称,此功能也可以内置到远程访问工具中。该技术可以结合使用其它技术,例如文件和目录发现以及横向工具传输,以识别和移动文件。 |
| T1123 |
录音 |
常见的外设如麦克风、摄像头,应用程序例如语音和视频呼叫服务,恶意软件或脚本可以通过操作系统或应用程序提供的API与音频设备进行交互,以捕获音频,音频文件可能会写入磁盘并在以后被泄漏。 |
| T1125 |
音频捕获 |
攻击者可以利用计算机的外围设备(如麦克风和网络摄像头)或应用程序(如语音和视频通话服务)捕获音频记录,以便监听敏感对话从而收集情报。恶意软件或脚本可以通过操作系统或应用程序提供的可用 API 与设备交互来捕获音频。音频文件可能被写入磁盘,然后被攻击者窃取。该技术手段与屏幕捕获的不同之处在于使用了特殊设备或程序记录音频而非直接抓取受害者屏幕信息。在macOS中同样存在捕获用户摄像头的恶意样本,如FruitFly和Proton |
| T1185 |
浏览器中间人攻击 |
攻击者可以利用浏览器软件中的漏洞和固有的功能来改变内容、修改行为和拦截信息,作为浏览器中间人攻击的一部分。一个特定的例子,当攻击者将软件注入到浏览器时,该浏览器允许他们继承用户的cookie、http会话和SSL客户端证书,并使用浏览器作为进入身份认证的一种方式。浏览器代理需要 SeDebugPrivilege 和一个高完整性的进程来执行,通过设置HTTP代理来重定向所有的HTTP和HTTPS流量,将浏览器流量冲攻击者的浏览器转到用户的浏览器,这不会对用户的流量产生修改。当浏览器关闭时,代理服务会被切断,无论代理被注入到哪个浏览器进程中,攻击者都会假定该进程上下部分是安全的。浏览器通常会为每个打开的页面创建一个进程,并分配相应的权限和证书,有了这些权限,可以浏览该网络上的任何资源,这些资源可以通过具有足够权限的浏览器访问,如:Sharepoint或者webmail,浏览器代理还消除了双重因素身份验证提供的安全性。 |
| T1213 |
信息库中的数据 |
攻击者可能利用信息库来挖掘有价值的信息。信息库是允许存储信息的工具,通常用于促进用户之间的协作或信息共享,并且可以存储各种各样的数据,这些数据可能有助于攻击者实现进一步的目标,或者直接访问目标信息。 |
| T1213.002 |
信息库中的数据:Sharepoint信息库 |
SharePoint通常会包含有用的信息,以便攻击者了解内部网络和系统的结构和功能。例如,以下是一个示例信息列表,它可能对于攻击者持有潜在价值的信息,也可能在SharePoint上发现这些信息,例如: – 政策、程序和标准 – 物理/逻辑组网图 – 系统架构图 – 技术系统文档 – 测试/开发证书 – 工作/项目时间表 – 源代码片段 – 链接到网络共享和其他内部资源。 |
| T1213.001 |
信息库中的数据:Confluence信息库 |
攻击者可能会利用Confluence存储库来挖掘有价值的信息。Confluence通常与Atlassian JIRA一起出现在开发环境中,通常用于存储与开发相关的文档,然而,通常可能包含更多种类的有用信息,例如: – 政策、程序和标准 – 物理/逻辑组网图 – 系统架构图 – 技术系统文档 – 测试/开发证书 – 工作/项目时间表 – 源代码片段 – 链接到网络共享和其他内部资源。 |
| T1213.003 |
信息库中的数据:代码仓库 |
攻击者可能利用代码仓库收集有价值的信息。代码仓库是存储源代码并自动化软件构建的工具/服务。它们可能托管在内部或第三方站点上,如Github、GitLab、SourceForge和BitBucket。用户通常通过Web应用程序或命令行实用程序(如git)与代码仓库交互。一旦攻击者获得对受害者网络或私有代码仓库的访问权限,他们可能收集敏感信息,如专有源代码或包含在软件源代码中的凭据。访问软件的源代码可能允许攻击者开发漏洞利用,而凭据可能使用有效账户提供对其他资源的访问。注意:这与代码仓库不同,后者侧重于通过公共代码仓库进行侦察。 |
| T1530 |
来自云存储对象的数据 |
攻击者可能会从安全的云存储中访问数据对象。许多云服务提供商提供在线数据存储解决方案,如:Amazon S3 、Azure Storage 和 谷歌云存储,这些解决方案与其它存储方案(如: SQL 或 Elasticsearch)的不同之处在于,没有总体应用程序。这些解决方案中的数据可以直接使用云提供商的API进行检索,解决方案提供商通常会提供安全指南,以帮助最终用户配置系统。最终用户的配置错误是一个普遍的问题,由于云存储的保护不当(通常是无意中允许未经身份验证的用户进行公共访问,或允许所有用户过度访问),从而允许对信用卡、个人身份信息、病例和其它敏感信息的开放访问。攻击者还可能在源存储库、日志或其它方式泄露的凭据,以获取具有访问控制权限的云存储对象的访问权限。 |
| T1557 |
中间人攻击 |
攻击者会尝试使用中间人技术(MiMT)将自己放在两个或多个互联网设备之间,以支持后续的行为,如网络嗅探或数据转发操作。通过该技术可以确定网络流量中常见的网络协议(如ARP、DNS、LLMNR等)特性,攻击者可以迫使设备通过攻击者控制的系统进行通信,以便攻击者可以收集信息或执行其它操作。攻击者会利用MiTM技术尝试修改流量,例如在数据传输中,攻击者可以阻断流向目的地的流量,从而导致拒绝服务。 |
| T1557.003 |
中间人攻击:DHCP欺骗 |
攻击者可能通过伪造动态主机配置协议(DHCP)流量并在受害者网络上充当恶意DHCP服务器,将网络流量重定向到攻击者控制的系统。通过实现中间人(AiTM)位置,攻击者可以收集网络通信,包括传递的凭据,尤其是通过不安全、未加密协议发送的凭据。这还可能启用后续行为,如网络嗅探或传输数据操纵。DHCP基于客户端-服务器模型,具有两个功能:从DHCP服务器向客户端提供网络配置设置的协议,以及为客户端分配网络地址的机制。典型的服务器-客户端交互如下:1.客户端广播DISCOVER消息。2.服务器响应OFFER消息,其中包含可用的网络地址。3.客户端广播REQUEST消息,其中包含提供的网络地址。4.服务器用ACK消息确认,客户端接收网络配置参数。攻击者可能在受害者网络上伪装成恶意DHCP服务器,合法主机可能从该服务器接收恶意网络配置。例如,恶意软件可以充当DHCP服务器,向受害计算机提供攻击者控制的DNS服务器。通过恶意网络配置,攻击者可以实现AiTM位置,通过攻击者控制的系统路由客户端流量,并从客户端网络收集信息。DHCPv6客户端可以通过向All_DHCP_Relay_Agents_and_Servers多播地址发送INFORMATION-REQUEST(代码11)消息,在不分配IP地址的情况下接收网络配置信息。攻击者可能使用其恶意DHCP服务器响应此请求消息,提供恶意网络配置。攻击者也可能滥用DHCP欺骗执行DHCP耗尽攻击(即服务耗尽泛洪),通过生成许多广播DISCOVER消息耗尽网络的DHCP分配池,而不是建立AiTM位置。 |
| T1557.001 |
中间人攻击:LLMNR / NBT-NS中毒攻击和SMB中继攻击 |
通过响应LLMNR/NBT-NS网络流量,攻击者可以欺骗用于名称解析的权威来源,以强制与攻击者控制的系统进行通信,此行为可用于收集或传递认证材料。链路本地多播名称解析(LLMNR)和NetBIOS名称注册和解析服务(NBT-NS)是微软的Windows组件,可以作为主机标识的替代方法,LLMNR是基于域名系统(DNS)数据包格式的允许在同一个本地链路上的主机为其它主机执行名称解析的协议,NBT-NS通过NetBIOS名标识本地网络上的系统。攻击者可以通过响应LLMNR (UDP 5355)/NBT-NS (UDP 137)流量来欺骗受害者网络上的权威名称解析源,就好像他们知道请求的主机的身份一样,从而有效地给服务下毒,以便受害者将与受攻击者控制的系统通信,如果请求的主机属于需要标识/身份验证的资源,则用户名和NTLMv2哈希将被发送到攻击者控制系统,攻击者就可以通过监控端口流量的工具收集通过网络发送的哈希信息,或者通过网络嗅探,并通过离线暴力破解哈希以获取明文密码。在某些情况下,攻击者已经可以访问一个位于通信之间的身份认证路径中的系统,或者当使用凭据的自动扫描功能尝试向攻击者控制的系统进行身份验证时,则可以截取并中继NTLMv2哈希值,以访问和执行针对目标系统的代码,中继可以和投毒相结合发生,也可独立发生。有几种工具可以被用来毒害本地网络中的名称服务,如:NBNSpoof、Metasploit和Responder。 |
| T1557.002 |
中间人攻击:ARP缓存中毒 |
攻击者会攻击地址解析协议(ARP)缓存,将自己放在两个或多个互联网设备之间,以支持后续的行为,如网络嗅探或数据转发操作。ARP协议用于将IPV4地址解析为链路层地址,如媒体访问控制层地址(MAC地址),本地网段中的设备通过使用链路层地址相互通信,如果网络设备没有特定的网络设备的链路层地址,则其将向本地网络中广播ARP请求,将IP地址转为MAC地址,具有与IP地址相关联的MAC地址的设备会直接回应,发出ARP请求的网络设备将记录这个响应,并保存到其ARP缓存中。攻击者可以被动地等待ARP请求的发送,然后以攻击者的MAC地址进行回复,从而欺骗受害者,使受害者相信其正在与目标网络设备进行通信。为了使ARP缓存中毒,攻击者的应答会比拥有合法IP地址的所有者更快,攻击者还可以向本网段中所有的设备主动发送一个ARP应答,恶意宣布特定IP地址的所有权。ARP协议是无状态且不需要身份验证的,因此设备会错误地在其ARP缓存中添加或更新IP地址对应的MAC地址。攻击者可以利用ARP缓存中毒作为网络流量的中间人,此时可以进行收集或篡改数据,如凭证,特别是那些通过不安全、未加密的协议发送的凭证。 |
| T1560 |
存档收集的数据 |
压缩数据可以帮助混淆收集到的数据,并最大程度地减少通过网络发送的数据量,加密数据可以避开一些基于内容的检测。压缩和加密都在数据渗出之前完成并且可以使用工具、第三方库和自定义方法来执行。 |
| T1560.001 |
存档收集的数据:通过工具存档数据 |
常见工具包括7-Zip,WinRAR,WinZip,大多数压缩工具都包含加密和压缩数据的功能。目标系统中可能已经预先安装了一些第三方工具,例如Linux和MacOS中的tar以及Windows中的zip。 |
| T1560.003 |
存档收集的数据:通过自定义方法存档数据 |
例如使用XOP加密或无需工具、第三方库的流加密。还可以使用众所周知的压缩算法的自定义实现方式。 |
| T1560.002 |
存档收集的数据:通过第三方库存档数据 |
常见的第三方库包括Python rarfile,libzip和zlib。大多数库都包含加密和压缩数据的功能。一些第三方库以及预先安装在目标系统上,例如macOS和Linux上的bzip2,以及Windows上的zip。请注意,这些库与工具不同。可以在编译时链接这些库,而工具则需要生成shell或类似的执行机制。 |
| T1602 |
来自配置库的数据 |
攻击者可能会从配置库中收集与管理设备有关的数据,管理系统使用配置库来完成配置、管理和控制远程系统上的数据,配置库也可以促进设备的远程访问和管理。攻击者可能以这些存储库为目标,以便收集大量敏感的系统管理员数据,来自配置库的数据可能会通过各种协议和软件公开,并且配置库可以存储各种各样的数据,其中许多数据可能与攻击者发现目标信息保持一致。 |
| T1602.002 |
来自配置库的数据:网络设备配置转储 |
攻击者可以访问网络配置文件以收集有关设备和网络的敏感数据,网络配置文件包含决定设备操作的参数,设备通常在运行时存储配置的内存副本,并在非易失性存储上的单独配置,以在设备重启后加载。攻击者可以检查配置文件以像是有关目标网络、布局、网络设备及软件信息,或标识合法账户和凭据以供后续使用。攻击者可能使用常见的管理工具和协议(如:简单网络管理协议-SNMP和即插即用的配置及镜像管理功能-SMI)来访问网络配置文件,这些工具可以被用于从配置存储库中查询特定的数据或者导出配置以供后续分析。 |
| T1602.001 |
来自配置库的数据:SNMP(MIB 转储) |
攻击者可以将管理信息库(MIB)定位为目标,以在使用简单网络管理协议(SNMP)管理的网络中收集和挖掘有价值的信息。MIB是一个配置存储库,其以对象标识符(OID)的形式存储可通过SNMP访问的变量信息,每一个OID标识一个可读或设置的变量,并且允许通过远程修改这些变量来执行活动的管理任务,如:更改配置。SNMP可以使管理员更深入的了解他们的系统,如:系统信息、硬件描述、物理位置和软件包,MIB还可以包含设备操作信息,包含运行配置、路由表和接口详细信息。攻击者可以使用SNMP查询直接从SNMP管理的设备中收集MIB内容,进而收集允许攻击者构建网络映射和有利于针对目标的网络信息。 |