| T1133 |
外部远程服务 |
诸如 vpn、Citrix 和其它访问机制等远程服务允许用户从外部连接到企业内部的网络资源。通常由远程服务网关来管理这些服务的连接和凭据验证。Windows 远程管理 (Windows Remote Management) 等服务也可以在外部使用。攻击者可以使用远程服务来获取对网络的访问权并维持访问权限。使用该服务通常需要有效帐户的访问权,可以通过凭证嫁接 (Pharming) 获取或在攻击企业网络后从用户处获得凭证。访问远程服务可以用作冗余访问的一部分。也可以通过不需要身份验证的公开服务获得访问权限。在容器化环境中,这可能包括暴露的 Docker API、Kubernetes API 服务器、kubelet 或 Web 应用程序,例如 Kubernetes 仪表板。 |
| T1091 |
通过可移动媒介复制 |
攻击者可以通过复制恶意软件到可移动媒介,当媒介被插入到系统中并执行时,利用自动运行功能执行恶意软件,从而进入那些断开连接或存在空隙的网络上的系统。在横向移动的情况下,攻击者可能通过修改存储在可移动媒介上的可执行文件或通过复制恶意软件并将其重命名为看起来像合法文件,来诱使用户在单独的系统上执行来完成攻击。在“初始访问”的情况下,攻击者可能通过手动操作介质,修改用于初始格式化介质的系统或修改介质固件本身来完成攻击。 |
| T1195 |
供应链损害 |
攻击者可能会在最终消费者接收之前操纵产品或产品交付机制,以达到数据或系统损害的目的。供应链受损可以发生在供应链的任何阶段,包括: (1)操纵开发工具 (2)操纵开发环境 (3)操纵源代码存储库(公共或私有) (4)在开放源代码依赖项中处理源代码 (5)操纵软件更新/分发机制 (6)受损/感染的系统映像(在工厂中多次感染可移动媒体) (7)用修改后的版本替换合法软件 (8)向合法分销商销售经过修改/伪造的产品 (9)装运阻截。尽管供应链的危害可能会影响到硬件或软件的任何组成部分,但寻求执行的攻击者通常会关注软件分销或更新渠道中合法软件的恶意添加。攻击目标可能是特定的一个期望的受害者,或者可能将恶意软件分发到广泛的消费者,但只针对特定的受害者使用额外策略。在许多应用程序中用作依赖项的流行开源项目也可能有针对性地作为向依赖项用户添加恶意代码的一种手段。 |
| T1195.001 |
供应链损害:损害软件依赖性和开发工具 |
攻击者可能会在最终消费者接收之前操纵软件依赖性和开发工具,以达到数据或系统损害的目的。应用程序通常依赖于外部软件来正常运行。在许多应用程序中作为依赖项使用的流行开放源码项目可能会被作为向依赖项用户添加恶意代码的手段。攻击目标可能特定于所需的受害者组,也可能分配给广泛的消费者,但只会针对特定的受害者采取其他策略。 |
| T1195.003 |
供应链损害:损害硬件供应链 |
攻击者可能会在最终消费者接收之前操纵产品中的硬件组件,以达到数据或系统损害的目的。通过修改供应链中的硬件或固件,攻击者可以在消费者网络中插入后门,这可能很难检测到,这种攻击会让攻击者对系统有高度的控制权。硬件后门可以插入到各种设备中,例如服务器、工作站、网络基础设施或外部设备。 |
| T1195.002 |
供应链损害:损害软件供应链 |
攻击者可能会在最终消费者接收之前操纵应用软件,以达到数据或系统损害的目的。损害软件供应链可能有多种方式,包括操作应用程序源代码、操作该软件的更新/分发机制、或者用修改过的版本替换已编译发行的版本。攻击目标可能特定于所需的受害者组,也可能分配给广泛的消费者,但只会针对特定的受害者采取其他策略。 |
| T1190 |
面向公众的应用程序漏洞利用 |
系统的弱点可能是错误、故障或设计缺陷。这些带有漏洞的应用程序通常是网站,同时包括数据库(如 SQL),系统基础服务(如 SMB 或 SSH),网络设备管理和管理协议(如 SNMP 和 Smart Install),以及具有 Internet 可访问开放套接字的任何其他应用程序,例如 Web 服务器和相关服务。由于漏洞的条件不同,漏洞利用可能还需要考虑防御检测。对于网站和数据库,OWASP 排名前 10 种威胁和 CWE 排名前 25 种威胁是最常见的基于 Web 的漏洞。如果应用程序托管是在基于云的基础架构上,则通过利用应用的漏洞可以会导致云基础设施失陷。这样可以使攻击者获得访问云 API 的访问权限或通过利用弱身份访问管理策略。 |
| T1199 |
可信关系 |
攻击者可能会破坏或利用能够接触到目标受害者的组织。通过可信的第三方关系利用现有的连接,这些连接可能不受保护或者受到的审查比获取网络访问权的标准机制少。组织通常授予第二或第三方外部提供商高级访问权限,以允许它们管理内部系统。这些关系的例子包括 IT 服务承包商、托管安全供应商、基础设施承包商(例如 HVAC、电梯、物理安全)。第三方提供商的访问权可能被限制在被维护的基础设施内,但是可能与企业的其他部分在相同的网络中。因此可以攻击并利用其他方用于访问内部网络系统的有效帐户(Valid Accounts)。 |
| T1566 |
网络钓鱼 |
攻击者可以通过发送包含恶意附件或链接的钓鱼消息,尝试在受害者系统上执行恶意代码或者收集有效的账户凭据信息,来获取受害者系统的访问权限,其中包含攻击特定个人、公司或行业的鱼叉式钓鱼,和非针对性的网络钓鱼(如大规模的恶意垃圾邮件、水坑攻击),以及通过第三方服务来完成钓鱼。 |
| T1566.002 |
网络钓鱼:鱼叉式链接 |
攻击者通过向特定的个人、公司或行业发送带有恶意链接的钓鱼邮件,试图欺骗诱导用户来点击邮件中的恶意链接,通过链接下载恶意软件、恶意应用程序或者访问恶意网站等,来完成攻击,避免检测邮件附件的防御措施。 |
| T1566.001 |
网络钓鱼:鱼叉式附件 |
攻击者通过向特定的个人、公司或行业发送带有恶意附件的钓鱼邮件,试图欺骗诱导用户来点击邮件打开文件,恶意附件会利用漏洞或直接运行,来完成攻击。附件可以是 Microsoft Office 文档、可执行文件、PDF 或存档文件等等,攻击者尝试修改文件扩展名、图标或其它合理的原因来诱导用户打开附件,邮件中还可能包含有关如何解密附件的说明,来逃避邮件边界防御。 |
| T1566.003 |
网络钓鱼:鱼叉式服务 |
攻击者通过各种社交媒体服务、个人 Web 邮件和其它非企业控制等第三方服务,向特定的个人、公司或行业发送恶意链接或者附件,欺骗诱导用户来点击,从而完成攻击。攻击者可能会创建虚假的社交媒体账户,向员工传达潜在的工作机会信息,诱导受害者去点击,从而逃避企业的防御措施。 |
| T1078 |
利用有效账户 |
攻击者通过获取有效的用户凭证后,通过滥用这些有效的用户凭证达到获取初始访问权限、持久化、提权、免杀的目的。被盗取的凭据可以用于绕过对网络内系统上各种资源的访问控制,甚至可能用于对远程系统和外部可用服务(如 vpn、Outlook Webaccess 和远程桌面)的持久性访问。被盗取的凭据还可能给攻击者提供特定系统的更高权限,或对网络的受限区域的访问权。攻击者甚至可利用这些凭据的合法访问(不予恶意软件或其它工具结合使用),从而使攻击更加隐秘。拥有跨系统网络的(本地、域、云端)凭据和权限的账户,风险度非常高,因为攻击者可能能够跨帐户和系统实现高级别访问(例如,域或企业管理员) ,以绕过企业内设置的访问控制。 |
| T1078.001 |
利用有效账户:默认账户 |
攻击者通过获取默认用户的访问凭证后,通过滥用这些默认用户凭证达到获取初始访问权限、持久化、提权、免杀的目的。默认用户一般是系统预置的用户,如 Windows 系统中的 Guest、Administrator 账户;或其它系统、软件或设备在出厂或安装时设置的账户。默认帐户不仅限于客户端计算机,还包括非开源、开源、商用的网络设备或应用程序中预置的账户。预置的账户和账户密码如果在安装完成后不进行修改,会极其容易被攻击者利用,从而造成非常严重的危害。类似地,攻击者还可以利用已公开披露或已窃取的私钥或凭证,合法地通过远程服连接到远程环境。 |
| T1078.002 |
利用有效账户:域账户 |
攻击者通过获取域用户的访问凭证后,通过滥用这些默认用户凭证达到获取初始访问权限、持久化、提权、免杀的目的。域帐户是由 Active Directory 域服务管理的帐户,在这些帐户中,访问和权限是跨属于该域的系统和服务配置的。攻击者通过系统凭据导出或密码爆破等手段获取域账户,特别是一些拥有高权限的拥有访问整个域内资源的账户。 |
| T1078.004 |
利用有效账户:云账户 |
攻击者通过获取云用户的访问凭证后,通过滥用这些默认用户凭证达到获取初始访问权限、持久化、提权、免杀的目的。云帐户是由组织创建和配置的,供用户、远程支持、服务使用,或用于管理云服务提供商或 SaaS 应用程序中的资源。也可能云账户与传统的认证管理系统有关联,如 Windows 域控认证系统。 |
| T1078.003 |
利用有效账户:本地账户 |
攻击者通过获取本地用户的访问凭证后,通过滥用这些默认用户凭证达到获取初始访问权限、持久化、提权、免杀的目的。本地账户一般是企业中的用户在系统或服务中创建的,用于远程支持、服务、或管理的账户。本地帐户也可能被滥用,通过操作系统凭据转储来提升权限和获取凭据。密码重用可能允许在网络上的一组计算机上滥用本地帐户,以实现权限提升和横向移动。 |
| T1200 |
硬件添加 |
虽然公开的信息中 APT 组织使用添加硬件的攻击很少,但是许多渗透测试人员利用添加硬件建立初始访问连接。一些具备特定功能,比如:被动网络访问、中间人攻击 、按键注入、通过 DMA 读取内核内存、向现有网络添加新的无线访问等商业和开源产品被利用来进行渗透攻击。 |
| T1189 |
路过式攻击 |
通过受害者正常浏览网页去获取系统控制权限的一种技术手段。既可以通过浏览器或网页直接进行攻击,也可通过网页去获取相关认证的凭证。可选择的攻击手法:1. 通过前端代码注入,如 JSIFrameCSS。2. 通过正常的广告渠道付费进行传播恶意广告内容。3. 通过网页的交互页面插入恶意代码或对象,该代码可在其他用户端展示,如评论区、公告区。典型的攻击流程:1. 受害者访问一个被黑客控制的网页或内容。2. 网页中的脚本自动被执行,脚本主要用于搜寻浏览器或者插件的版本,以寻求相关的版本漏洞。3. 根据上面发现的版本,进行漏洞代码的利用。4. 如果攻击成功,黑客将会获得一个用户的系统管理权限。 |