| T1485 |
数据销毁 |
攻击者可能破坏特定系统上或网络上的大量数据和文件,从而中断系统,服务和网络资源的可用性。数据销毁可能会通过覆盖本地或远程驱动器上的文件或数据而通过法医技术使存储的数据无法恢复常见的操作系统文件删除命令,例如del并且rm通常仅删除指向文件的指针而不会擦除文件本身的内容,从而通过适当的取证方法可恢复文件。此行为不同于“磁盘内容擦除”和“磁盘结构擦除” 因为销毁了单个文件,而不是销毁了存储磁盘的部分或磁盘的逻辑结构。 |
| T1486 |
加密数据的影响 |
攻击者会加密目标系统或网络中大量系统上的数据,以中断系统和网络资源的可用性,攻击者可能尝试通过加密本地或远程磁盘上的文件或数据并拒绝访问解密密钥来使存储的数据不可访问,这样做的目的是从受害者那里获取金钱,以换取解密或秘钥(勒索软件),或者在未保存或传输秘钥的情况下使数据永久不可访问。对于勒索软件,通常会加密常见的用户文件,如:Office文件、PDF、图像、视频、音频、文本和源代码。在某些情况下,攻击者也会加密关键系统文件、磁盘分区和MRB。为了最大程度的提高对目标组织的影响,攻击者涉及的用于加密的恶意软件可能具有蠕虫的功能,通过利用其它攻击技术(如:有效账户、操作系统凭据转储和SMB/Windows管理员共享)在网络中传播。在云环境中,受感染账户中的存储对象也可能被加密。 |
| T1489 |
服务停止 |
攻击者可以停止或禁用系统上的服务,以使合法用户无法使用这些服务。停止关键服务可以阻止或停止对事件的响应,或有助于攻击者的总体目标,造成对环境的破坏。攻击者可以通过禁用对组织非常重要的单个服务来实现此目的,例如MSExchangeIS,这将使Exchange内容不可访问。在某些情况下,攻击者可能会停止或禁用许多或所有服务,从而使系统无法使用。服务在运行时可能不允许修改其数据存储。攻击者可能会停止服务,以便对Exchange和SQL Server等服务的数据存储区进行数据销毁或加密处理,对数据存储产生影响。 |
| T1490 |
禁止系统恢复 |
攻击者可能会删除或移除内置的操作系统数据,并关闭为帮助已损系统恢复的服务。操作系统可能包含一些有助于修复受损系统的功能,例如:备份目录,卷影副本和自动修复功能,攻击者会禁用或者删除系统中的这些功能,以增强数据销毁或加密的影响。攻击者已经使用了很多Windows主机本带有的程序来禁用或删除系统恢复功能,例如:(1)vssadmin.exe可用于删除系统上所有的卷影副本–vssadmin.exe delete shadows /all /quiet;(2)Windows管理程序可用于删除卷影副本—wmic shadowcopy delete;(3)wbadmin.exe可用于删除Windows上的所有备份目录–wbadmin.exe delete catalog -quiet(4)bcdedit.exe可用于修改启动项配置来禁用Windows自动恢复功能—bcdedit.exe /set {{default}} bootstatuspolicy ignoreallfailures & bcdedit /set {{default}} recoveryenabled no。 |
| T1491 |
毁损 |
攻击者可能会修改企业网络内部或外部有效的能被直接看到的内容。进行损毁的原因包括传递消息,恐吓或宣告入侵(可能是虚假的)。通过扰动或令人反感的图像,使目标用户感到不适或对随附消息施加压力。 |
| T1491.002 |
毁损:外部数据 |
网站是毁损的常见受害者,通常是敌人和黑客主义者团体的目标,目的是发布政治信息或传播宣传。损坏可被用作触发事件的催化剂,或作为对组织或政府采取的行动的回应。类似地,网站毁损还可以用作设置或先驱,以应对未来的攻击。 |
| T1491.001 |
毁损:内部数据 |
攻击者可能破坏组织内部的系统,以恐吓或误导用户。这可以采取对内部网站进行修改的形式,或者直接对用户系统进行修改(替换桌面墙纸)的形式。破坏性图像或冒犯性图像可能会被用作“毁损”的一部分,以使用户感到不适或迫使其遵守随附的消息。尽管内部破坏系统暴露了攻击者的存在,但它通常是在实现其他入侵目标之后进行的。 |
| T1495 |
固件损坏 |
固件是从硬件设备上的非易失性存储器加载并执行的软件,以初始化和管理设备功能。这些设备可能包括主板,硬盘驱动器或视频卡。 |
| T1496 |
资源劫持 |
攻击者可能会利用增补系统的资源来解决可能影响系统或托管服务可用性的资源密集问题。资源劫持的一个常见目的是验证加密货币网络的交易并赚取虚拟货币。攻击者可能会消耗足够的系统资源来产生负面影响或导致受影响的机器失去响应。服务器和基于云的系统是常见的被攻击目标,因为可用资源的潜力很大,但是用户端点系统也可能受到威胁,并用于资源劫持和加密货币挖掘。 |
| T1498 |
网络拒绝服务 |
攻击者可能执行网络拒绝服务(DoS)攻击,以降低或阻止目标资源对用户的可用性,可疑通过耗目标服务的网络带宽来执行DoS攻击,示例资源包括特定的网站,电子邮件服务,DNS和基于Web的应用程序。观察攻击者是出于政治目的还是为支持其它恶意活动(如分散注意、黑客行为、勒索)而执行的网络DoS攻击。当指向资源或网络连接和资源所依赖的设备的恶意流量过大,导致网络带宽被耗尽的时候,就会发生网络DoS。例如:攻击者可以将10Gbps的流量发送到仅有1Gbps的网络承载的服务器上,这种流量可以由分散在internet上的单个或多个系统生成,这种方式成为分布式DoS(DDoS)。为执行网络DoS攻击,有多种方法,包括IP地址欺骗和僵尸网路。攻击者可能会使用攻击系统的原始IP地址,也可能会隐藏IP地址,从而使攻击流量更难被溯源。通过减少或消除网络设备上源地址过滤的有效性,会增加防御者防御攻击的难度。对于直接攻击主机的DoS |
| T1498.001 |
网络拒绝服务:直接网络泛洪 |
攻击者可能会直接向目标发送大量网络流量来导致拒绝服务攻击(DoS)。直接网络泛洪是指使用一个或多个系统向目标服务的网络发送大量网络数据包,几乎所有的网络协议都可以用来发起泛洪攻击,通常使用无状态协议(如UDP或ICMP),也可以使用有状态协议(如TCP)。僵尸网路通常用于对网络和服务进行网络泛洪攻击,大型僵尸网络可以从遍布全球的Internet网络中产生大量流量。攻击者可能用足够则资源去构建和控制自己的僵尸网络,也可以通过租用现有的僵尸网络的时间进行攻击。在分布式DoS(DDoS)下最坏的情况,使用很多的系统产生泛洪攻击,此时每个系统只需要发送出少量流量即可产生足够多的流量以使目标网络达到饱和状态,在这种情况下,很难将DDoS与正常客户端的流量进行区分。僵尸网络已经用于DDoS洪水攻击,如2012年针对美国主要银行的系列攻击。 |
| T1498.002 |
网络拒绝服务:反射放大式攻击 |
攻击者可能通过反射来放大网络流量来导致拒绝服务攻击。这种类型的DoS攻击会利用响应请求发给伪造源IP地址的第三方服务的优势,该第三方服务器通常称为反射器,攻击者通过将具有受害者地址的数据包发送到反射器来完成发射攻击,与直接网络洪水攻击类似,可以使用多个系统来进行攻击,也可以使用僵尸网络,同样,可以使用一个或多个反射器将流量集中到目标网络中。反射攻击通常利用响应大于请求的协议来扩充其流量,这通常称为反射放大攻击。攻击者可能产生比发送到放大器请求大几个数量级的攻击流量,这种增加的程度取决于很多变量,如涉及到的协议、使用的技术以及实际产生攻击流量放大的放大器。虽然有一些其它协议被用于反射放大攻击,但两个最明显的协议是DNS和NTP,特别是,memcache协议,其放大的大小高达请求数据包的51200倍。 |
| T1499 |
终端拒绝服务 |
攻击者可能会执行端点拒绝服务(DoS)攻击,以降低或阻止用户对服务的可用性。攻击者可以通过耗尽那些服务所在的系统资源或利用系统导致持续崩溃的状况来执行端点DoS。比如:服务包括网站,电子邮件服务,DNS和基于Web的应用程序。终端拒绝服务并不需要使供服务访问的网络饱和,攻击者可以定位在用于提供服务的系统上的应用程序堆栈的各个层,这些层包括操作系统(OS)、服务器应用程序(例如Web服务器,DNS服务器,数据库)以及位于它们之上的(通常是基于Web的)应用程序。攻击每一层需要不同的技术,以利用各个组件特有的瓶颈。 |
| T1499.001 |
终端拒绝服务:操作系统耗尽泛洪 |
攻击者可能将操作系统(OS)当作DoS攻击的对象,因为操作系统负责管理系统上的有限资源。攻击者并不需要耗尽系统上的实际资源,只需要将操作系统针对某些资源的分配限定资源耗尽,就会导致操作系统变得不堪重负。存在多种实现此目的的方法:包括TCP状态耗尽攻击,例如SYN泛洪和ACK泛洪。使用SYN泛洪时,会发送过多的SYN数据包,但三次TCP握手永远不会完成。因为每个操作系统都有允许的最大并发TCP连接数,所以这可能会很快耗尽系统接收TCP连接新请求的能力,从而阻止访问服务器提供的任何TCP服务。ACK洪水利用了TCP协议的状态性质。大量ACK数据包发送到目标。这将迫使OS在其状态表中搜索已经建立的相关TCP连接。由于ACK数据包用于不存在的连接,因此OS将必须搜索整个状态表以确认不存在匹配项。当有必要对大量的数据包执行此操作时,由于必须执行此操作以消除恶意ACK数据包,因此计算要求可能会使服务器变得缓慢和/或无响应。这样大大减少了可用于提供目标服务的资源。 |
| T1499.003 |
终端拒绝服务:应用耗尽泛洪 |
攻击者可能将Web应用程序的资源密集型功能作为目标,从而导致拒绝服务(DoS)。Web应用程序中的特定功能可能会占用大量资源。对这些功能的重复请求可能会耗尽系统资源并拒绝访问应用程序或服务器本身。 |
| T1499.004 |
终端拒绝服务:应用/系统漏洞利用 |
攻击者可能利用软件漏洞来触发程序或者系统崩溃,并发生拒绝服务。有一些系统可能在发生崩溃时会自动重新启动关键的应用程序和服务,但很可能会被重新利用导致持久Dos状态。 |
| T1499.002 |
终端拒绝服务:服务耗尽泛洪 |
攻击者可能针对系统提供的不同网络服务来进行DoS。攻击者通常以DNS和Web服务为攻击目标,当然其它的网络服务也可以作为目标。服务器上的Web服务程序可以通过多种方法进行攻击,这些方法中有一些是通用的方法,有一些是针对特定的服务程序有效。有一个例子是简单的HTTP泛洪攻击,攻击者向网络服务器发送大量HTTP请求,来耗尽Web服务进程/或在其之上运行的应用程序。这种洪水攻击通过一定数量原始请求耗尽了受害者软件提供服务所需的各种资源。另一种攻击被称为SSL重新协商攻击的变体,它利用了SSL/TLS中的协议功能。SSL/TLS协议套件包括用于客户端和服务器协商用于后续安全连接的加密算法的机制。如果启用了SSL重新协商,则可以请求重新协商加密算法。在重协商攻击中,攻击者建立连接,然后继续发起大量重新协商请求。由于密码重新协商在计算周期中具有可观的成本,因此在大批量请求发起时,可以对服务的可用性产生影响。 |
| T1529 |
系统关机/重启 |
攻击者可以关闭/重启系统,以中断对这些系统的访问或破坏这些系统。。操作系统可能包含用于计算机关闭/重新启动的命令。在某些情况下,这些命令还可以用于远程计算机的关闭/重新启动。关闭或重新启动系统可能会干扰合法用户对计算机资源的访问。攻击者可能会以其他方式(例如磁盘结构擦除或禁止系统恢复)对系统造成影响后尝试关闭/重新启动系统,以加快对系统可用性的预期影响。 |
| T1531 |
账户受访问权限删除 |
账户可以被删除、锁定、被操作(例如修改其凭据),以阻止合法用户正常登录访问账户。攻击者也可能随后注销账户或重启机器,以将恶意变更设置到位。 |
| T1561 |
磁盘清除 |
攻击者可能会擦除或破坏特定系统或网络中大量磁盘上的原始磁盘数据,从而中断系统和网络资源的可用性。通过对磁盘的直接写访问,攻击者可能会尝试覆盖部分磁盘数据。攻击者可能选择擦除磁盘数据的任意部分或擦除磁盘结构,如主启动记录(MBR)。可以尝试彻底擦除所有磁盘扇区。为了对以网络范围的可用性中断为目标的运营中最大程度地影响目标组织,用于擦除磁盘的恶意软件通常还具有蠕虫般的功能,可以通过利用有效帐户,操作系统凭据转储和SMB/Windows管理员共享。 |
| T1561.002 |
磁盘清除:磁盘结构清除 |
攻击者可能会损坏或擦除引导系统所需的硬盘驱动器上的磁盘数据结构;针对特定的关键系统或网络中的大量对象,以中断系统和网络资源的可用性。攻击者试图通过覆盖位于主引导记录(MBR)或分区表等结构中的关键数据来使系统无法引导。磁盘结构中包含的数据可以包括用于加载操作系统的初始可执行代码或磁盘上文件系统分区的位置。如果不存在此信息,则计算机将无法在引导过程中加载操作系统,从而使计算机不可用。磁盘结构擦除可以单独执行,也可以与磁盘内容擦除一起执行(如果磁盘的所有扇区都已擦除)。 |
| T1561.001 |
磁盘清除:磁盘内容清除 |
攻击者可能会擦除特定系统上或网络中大量存储设备的内容,从而中断系统和网络资源的可用性。攻击者可能会部分或完全覆盖存储设备的内容,从而使数据无法通过存储接口恢复。具有破坏性意图的攻击者可能会擦除磁盘内容的任意部分,而不是擦除特定的磁盘结构或文件。为了擦除磁盘内容,攻击者可以直接访问硬盘驱动器,以便用随机数据覆盖磁盘大小任意的部分。已经观察到攻击者利用诸如RawDisk之类的第三方驱动程序直接访问磁盘内容。此行为与“数据破坏”不同,因为磁盘的某些部分而不是单个文件被擦除。 |
| T1565 |
数据操作 |
攻击者可能会插入、删除或操纵数据,以操纵外发数据或隐藏攻击活动。通过操纵数据,攻击者可能试图影响业务流程、组织理解或决策制定。数据修改的类型取决取目标应用或者目标进程。对于复杂的系统,攻击者可能需要特殊的专业知识,并可能访问与该系统相关的专门软件,为了产生预期的影响,通常需要通过长时间的信息收集活动来获得这些软件。 |
| T1565.001 |
数据操作:操作存储的数据 |
攻击者可以通过插入、删除或操纵静态数据,以操纵外发结果或隐藏活动。通过操纵存储的数据,攻击者可能会试图影响业务流程、组织判断和决策制定。存储的数据包括各种文件格式,例如 Office 文件、数据库、存储的电子邮件和自定义文件格式。修改的类型及其将产生的影响取决于数据的类型以及攻击者的目标和目的。对于复杂的系统,攻击者可能需要特殊的专业知识,并可能需要访问与系统相关的专用软件,这通常是通过长时间的信息收集获得的,以便产生预期的影响。 |
| T1565.003 |
数据操作:操作运行时数据 |
攻击者可以通过修改系统,以便在数据被访问和显示给最终用户时对其进行操纵。通过操纵运行时数据,攻击者可能会试图影响业务流程、组织判断和决策制定。攻击者可以更改用于显示数据应用程序的二进制文件,以操作运行时数据,攻击者也能更改默认关联文件以产生类似的效果,修改的类型及其将产生的影响取决于目标应用程序和过程以及攻击者的目标和目的。对于复杂的系统,攻击者可能需要特殊的专业知识,并可能需要访问与系统相关的专用软件,这通常是通过长时间的信息收集获得的,以便产生预期的影响。 |
| T1565.002 |
数据操作:操作传输数据 |
攻击者可以通过在传输到存储或其它系统的途中更改数据,以操纵外发结果或隐藏攻击活动。通过操纵传输的数据,攻击者可能会试图影响业务流程、组织判断和决策制定。攻击者可以通过网络连接或在系统进程之间进行操纵,在这种情况下,有机会部署拦截和更改信息的工具,修改的类型及其将产生的影响取决于目标传输机制以及攻击者的目标和目的。对于复杂的系统,攻击者可能需要特殊的专业知识,并可能需要访问与系统相关的专用软件,这通常是通过长时间的信息收集获得的,以便产生预期的影响。 |
| T1657 |
金融盗窃 |
攻击者可能通过敲诈勒索、社会工程、技术盗窃或其他方法从目标那里窃取金钱资源,以牺牲受害者的金钱资源为代价来获取自己的经济利益。金融盗窃是几种常见活动类型的最终目标,包括勒索软件敲诈勒索、商业电子邮件入侵 (BEC) 和欺诈、 “杀猪” 银行黑客攻击和利用加密货币网络。攻击者可能会入侵账户,进行未经授权的资金转移。在商业电子邮件入侵或电子邮件欺诈的情况下,攻击者可能会冒充受信任的实体。一旦社交工程成功,受害者就会被欺骗,将钱汇到攻击者控制的金融账户中。在涉及金融盗窃的事件中,这可能会造成多名受害者(即被入侵的账户以及最终的金钱损失)。例如,当攻击者在数据加密以造成影响 和数据泄露后要求受害者付款,然后威胁说如果不向攻击者付款,就会向公众泄露敏感数据时,就会发生勒索软件敲诈。攻击者可能会使用专用的泄漏站点来分发受害者数据。由于金融盗窃可能会对企业造成巨大的影响,因此攻击者可能会滥用金融盗窃的可能性并寻求金钱利益,以转移对其真正目标(如数据销毁和业务中断)的注意力。 |