阅读文章

中国最有钱的国营囗工少女漫画本子库 十大ATT&CK攻击技战术

[ 来源:http://fanatraditionalsteam.com | 作者:网友 | 时间:2020-08-12

·保持防病毒和反恶意软件程序的更新,以领先于新打包或加密的恶意软件。

T1057的缓解

·RC4和AES是许多不同恶意软件变体的C2流量或配置的常用加密方法,包括银行木马IcedID(RC4)和Glupteba僵尸网络(AES)。在2019年8月,观察到伪装成所得税计算器的恶意软件xRAT使用AES加密C2流量。

通过API执行(T1106)是攻击者对合法应用程序接口的一种攻击性滥用。此技术允许用户提取数据,并在宏级别与程序和脚本进行交互。

T1057的实施

·监视不寻常或频繁的命令参数,这些参数通常用作发现技术的一部分。

08

T1063 的实施

04

06

T1045的缓解

“ATT&CK”并非一个学院派的理论框架,而是来源于实战。安全从业者们在长期的攻防对抗、攻击溯源、攻击手法分析的过程中,逐渐提炼总结,形成了实用性强、说得清道得明的体系框架。这个框架是先进的、充满生命力的,而且具备非常高的使用价值。——引自《ATT&CK框架使用指南》

原标题:十大ATT&CK攻击技战术

DLL侧加载会滥用合法进程,从而使缓解和检测变得困难,但并非不可能。通过限制尝试访问文件和目录的用户的权限,安全团队可以减少能够执行该技术的用户数量。尝试检测T1073时,团队可以比较DLL进程的执行时间,以发现非补丁造成的异常差异。

·尽管其中一些命令需要管理员特权,但是在任何特权升级技术之前,仍可以先使用T1082。AWS、GCP或Azure等云计算基础设施中的错误配置可以是T1082的攻击对象。

不断进化的MITRE ATT&CK框架解决了信息安全社区面临的紧迫问题:面对大量有关对手行为、恶意软件和漏洞利用的数据,如何理解它?现有的网络安全产品和入侵防护检测的能力(有效性)怎么样?MITRE ATT&CK框架为从业者和用户创建了一个明确的,可衡量可量化的行业标准和通用语言,以评估其安全工具、安全风险和安全能力。

·Lazarus Group使用Zlib压缩和XOR操作来加密数据并将其泄漏到C2服务器。

T1032的缓解

·监视公共进程,配置文件,API调用或文件系统的新实例或异常更改。

2020年,网络攻击者将更加频繁地使用“发现和防御规避”策略中国最有钱的国营囗工少女漫画本子库,并且中国最有钱的国营囗工少女漫画本子库,随着安全解决方案检测方法的完善中国最有钱的国营囗工少女漫画本子库,ATT&CK攻击技术也正快速演进。

展开全文

通常可以使用反恶意软件或防病毒软件配置来缓解T1045。可以通过扫描已知的软件打包工具(例如Aspack)或打包技术的工件来检测软件打包。但是中国最有钱的国营囗工少女漫画本子库,软件打包也具有合法用途中国最有钱的国营囗工少女漫画本子库,因此并不一定都是恶意行为。

T1055的缓解

ATT&CK包含200多种独特的技术(也称为TTP)中国最有钱的国营囗工少女漫画本子库,每两年更新一次中国最有钱的国营囗工少女漫画本子库,是一个非常详细的库中国最有钱的国营囗工少女漫画本子库,包含各种攻击战术或类别中国最有钱的国营囗工少女漫画本子库,以及可以利用的常规系统管理员行为。在ATT&CK框架的帮助下中国最有钱的国营囗工少女漫画本子库,安全团队对攻击者的行为有了更广泛的了解中国最有钱的国营囗工少女漫画本子库,从而可以针对这些技术测试缓解和检测方法。MITRE ATT&CK已成为许多网络安全学科的有用工具中国最有钱的国营囗工少女漫画本子库,用于提供情报、红队对手仿真测试中国最有钱的国营囗工少女漫画本子库,以及改进网络和系统防御入侵的能力。

03

T1063难以缓解中国最有钱的国营囗工少女漫画本子库,因为该技术是对合法网络操作的滥用。但是中国最有钱的国营囗工少女漫画本子库,如果具有内置功能的远程访问工具直接与Windows API交互以收集信息,则可以进行检测。收集何时请求数据的信息可以揭示不良行为。

·威胁组织Turla曾对C2通信的合法进程执行了DLL注入,并使用PowerSploit将PowerShell负载有效地加载到受害系统上的随机进程中。

T1082:系统信息发现 | 战术:发现

01

·最常见的攻击战术是防御规避(TA005),最常见的技术是安全软件发现(T1063)。防御规避包括避免检测、隐藏在受信任进程中、混淆恶意脚本、以及禁用安全软件。下一个最常见的战术,发现(TA007),涉及对目标网络或主机的知识和理解。

T1106:通过API执行 | 战术:执行

02

·使用Windows工具“任务列表”或Mac和Linux中的“ps”命令是恶意软件中常见的功能(例如Winnti)。

T1045:软件打包 | 战术:防御闪避

·像其他发现技术一样,T1082的使用会滥用合法过程来获取信息。在Windows系统中,这意味着使用“ver”、“systeminfo”和“dir”之类的命令来标识文件和目录,或者在macOS上使用“systemsetup”或“system_profiler”来提供系统、配置的详细分类、防火墙规则等。

·WARZONE RAT(也称为Ave Maria Stealer)是一种主要在犯罪地下组织出售的远程访问木马,主要由Solmyr在Hack Forums和Nulled上出售。该恶意软件的功能包括加密技术以及UAC绕过、密码窃取和RDP访问。

始终监视所有API调用对于网络防御者来说是个费时费力的工作。不过,组织可以使用应用程序白名单工具来减轻恶意API调用。他们还可以利用新型API滥用相关的威胁情报来更快地查明可疑的API使用。

10

·许多著名的恶意软件家族都依靠混淆来逃避检测。例如,在2018年12月,Emotet在以圣诞节贺卡为主题的网络钓鱼活动使用了混淆的VBA代码。

数据加密(T1022)是渗透战术下的一种技术,它是对手使用的另一种非常流行的技术。通过在泄露信息之前对数据进行加密,参与者可以更有效地隐藏被盗数据的内容。今天有多种加密方法可供对手使用。

09

T1063的缓解

十大 ATT&CK 攻击技战术(TTP)

2020年,MITRE ATT&CK框架在两个维度上有重大突破,首先是更“细”,今年七月份发布包含子技术(例如T1055进程注入这个技术在新版中包含11个子技术,子技术的编号在父技术的基础上扩展)的新版本ATT&CK框架,然后是更“广”,MITRE首席网络安全工程师Jen Burns不久前曾透露下一个版本的ATT&CK框架将与PRE-ATT&CK合并,从而将网络攻击生命周期的前两个阶段——侦察和武器化/资源开发也覆盖进来,将ATT&CK框架打造成覆盖完整网络攻击生命周期(包括Kill Chain所有阶段)的知识框架。可以预见,随着MITRE ATT&CK年中的重大迭代,该框架在安全行业中的地位和意义将进一步提升。 本文,我们将回顾过去一年ATT&CK最流行的攻击技术和战术。

·Turla Group使用的LightNeuron是一个复杂的后门,它滥用了Microsoft Exchange Mail服务器。关联的过程之一是API命令CreateProcess。

与运行时或软件打包程序相关联的软件打包(T1045)会压缩初始文件或可执行文件。尽管程序员也会使用软件打包来降低存储成本,但攻击者也很喜欢这种技术,因为打包可执行文件会更改其文件签名并减小文件体积,从而使基于签名或占用空间的检测更加困难。

安全软件发现(T1063)是2019年ATT&CK榜单上中最流行的技术。作为发现战术的一部分,T1063表示对手了解已经部署的安全控制,同时,它也是防御逃避战术的重要前奏。这种技术在被恶意软件家族广泛使用。

T1027:混淆文件或信息 | 战术:防御躲避

MITRE ATT&CK是基于实战的,全球可访问的网络安全攻防战术和技术知识库,也是近几年网络安全领域最热门的工具和话题之一。如今ATT&CK知识库已经成为私营部门、政府和网络安全产品服务社区开发特定威胁模型和方法的基础工具。

安全牛评

·某些PowerShell模块(例如Empire框架或“Don’t Kill My Cat ”载荷逃避工具中的模块)能够运行“Invoke-Obfuscation”命令来在Base64中编码文件或字符串。

T1022的缓解

T1073:DLL侧加载 | 战术:防御闪避

·Empire是一个开源、跨平台远程管理和后开发框架,它也能够枚举目标计算机上流行的防病毒软件。

T1082的缓解

T1045的实施

T1032的实施

T1106的缓解

T1073的实施

·威胁参与者开始使用Process Discovery来发现和关闭安全研究人员工具。例如,在2018年末,观察到伊朗威胁组织MuddyWater 检查受害者系统上正在运行的进程,以寻找常见恶意软件研究工具的证据。

·已知有多个APT组织使用该技术,例如APT32。据报道,在2020年1月,Winnti威胁小组在对香港大学的攻击中使用了 DLL侧加载技术。

T1022的实施

与数据加密(T1022)技术不同,攻击者可以使用标准加密协议(T1032)技术将C2流量隐藏在常规使用的加密机制之后。T1032是“命令与控制”战术的一部分,被认为是攻击的最后阶段之一。

T1055的实施

T1022:数据加密 | 战术:渗透

07

T1106的实施

主要发现

05

展望与建议

进程注入(T1055)是一种在进程的地址空间内运行自定义代码的技术。它是防御规避,特权升级以及(某些情况下)驻留会用到的一种技术。T1055利用合法进程进行隐藏,因此非常流行,这些合法进程包括但不限于:动态链接库(DLL)注入、便携式可执行注入、ptrace系统调用、VDSO劫持等。

幸运的是,对于尝试检测T1032的安全团队来说,如果T1032在示例配置文件中生成了构件或密钥,则其某些实现可能比较容易被逆向工程。网络IDS和预防技术可以帮助缓解网络层的攻击活动,此外SSL/TLS检查可以帮助寻找加密会话。

与T1063类似,系统信息发现(T1082)是攻击者获取有关操作系统和硬件的详细信息的另一种方式,包括版本、补丁、修补程序、服务包和体系结构等。这些信息有助于攻击者决策使用何种攻击载体。

·常见的远程访问工具(如njRAT)可以列出安全软件,例如使用基于Windows的WMIC来标识受害者计算机上安装的防病毒产品并获取防火墙详细信息。

T1032:标准加密协议 | 战术:命令与控制

T1027的缓解

与T1082的检测方法一样。

T1055:进程注入 | 战术:防御闪避

T1063:安全软件发现 | 战术:发现

T1057:进程发现 | 战术:发现

MITRE ATT&CK的生命力来自于安全社区,通过对MITRE ATT&CK社区的数据统计和分析,有助于防御者发现网络犯罪和攻击的主流趋势,并尽快做好准备。以下,我们根据recorded future公司发布的MITRE ATT&CK统计报告,介绍2019年十大ATT&CK攻击技术, 希望能对红蓝团队练习、渗透测试、威胁搜寻和各种安全运营团队提供参考。

T1082的实施

攻击者采用的主要躲避方法之一是通过混淆加密或以其他方式操纵文件的结构让检测或后续研究更得更加困难。

T1073的缓解

·API的恶意使用不仅会被用于直接执行,由于网络防御者可以监视API调用是否有恶意活动,因此攻击者还会用冗余API调用的方法来制造“噪音”。

·许多APT相关恶意软件变体都使用软件打包技术,包括Uroburos(已使用其运营商Turla 的自定义打包程序)和APT28的Zebrocy(使用开源打包程序)。

·几乎所有TOP10技术都与许多著名的恶意软件变体相关,例如Emotet、Trickbot和njRAT这样的木马程序,以及Gafgyt和Mirai这样的僵尸网络,还有像Coinminer这样的挖矿软件。

与其他发现技术类似,系统配置枚举可能是对手获取决策信息的关键部分。除了命令格式的细微区别外,该技术还与平台无关。

T1027的实施

据央视新闻消息,今天(8月3日)上午,大连市召开疫情防控新闻发布会,会上通报,8月2日0时至24时,大连市新增8例本土新冠肺炎确诊病例。7月22日0时至8月2日24时,累计确诊87例本土新冠肺炎确诊病例。

最近这些年娱乐圈出现了一个奇怪的现象,很多体育运动员都跨界成为艺人。又有不少的明星,去从事其他的工作,他们的人生可真是丰富多彩。今天要说到的这位女演员,曾经是体操冠军,小小年纪就被姜文看重而进入娱乐圈,成为了当红的花旦。这个幸运儿的名字叫做朱小青。

原标题:实不相瞒:7天内贵人八方来,运势有转机,熬到头了的属相

原标题:张靓颖突破亮相说唱综艺,被赞衣品大变好看,素颜也美丽

原标题:“Google 官方”: 你来问呀!

原标题:台风“黑格比”将于3日夜间登陆浙闽沿海

原标题:【警惕】100对夫妻就有5对出现夫妻癌!敲响警钟:癌症也会“夫唱妇随”!

原标题:过期酸奶不能喝,却能这样利用,皮鞋锃亮,操作简单

原标题:揭开王思聪说的Amy姐老底?宋茜知道自己演技差?海清闫妮暗中较劲?万茜人设凉了?

原标题:【健康提示】戒糖=戒掉快乐?来自糖的幸福感全是假象!

原标题:挑辆可爱EV找美食,美食主播小姐姐Pick谁?

原标题:儿科医生:孩子不肯吃药,医生好心帮忙,却被家长一顿臭骂

原标题:要啥有啥,Python堪比任何搜索引擎!

相关文章
  • 中国最有钱的国营囗工少

    结合美国媒体报道,当地时间28号下午,美国国防部信息显示,目前国防部系统内现役军人死亡人数已经达到8人。目前没有更多关于这一最...

  • 中国最有钱的国营囗工少

    市场预期,印度央行在本次货币政策会议上应该不会降息,继续维持现行利率不变。 据印度媒体报道,央行例行会议之所以推迟,是因为现...

  • 中国最有钱的国营囗工少

    如今关于王鹤棣的作品可算是越来越多了,而且他还频频出现在观众面前,对于王鹤棣以后的发展,网友们也是非常期待的,希望王鹤棣以...

  • 中国最有钱的国营囗工少

    不过小编还是想说,迪丽热巴的演技不应该只局限于电视大荧幕,电影方面她应该也是可以多多尝试的!毕竟这么好看的外表不能浪费,要...

  • 中国最有钱的国营囗工少

    科创板今年募资已超其余三板之和,达1465亿元 GPLP犀牛财经8月11日消息:搜狐董事局主席兼CEO张朝阳表示,搜狐三季度预期亏损,主要原因...

中国最有钱的国营囗工少女漫画本子库

回到顶部
友情链接

Powered by 中国最有钱的国营 @2018 RSS地图 html地图