ATTCK学习笔记

ATT&CK

前言知识

  • 威胁情报:一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹,例如某病毒的Hash值、服务器的IP地址等等。简单来说,威胁情报就像是当计算机被入侵时所表现出来的某种特征,我们将这些威胁情报搜集起来整理成库,当计算机再次表现出库中的某些特征的时候我们就可确定计算机已经被入侵了,这样我们可以制定更好的安全策略来规避以上问题。
  • 威胁情报能够帮助我们指定更好的安全策略,而且威胁情报信息量的多少也能影响最终防护效果,但威胁情报并不能表达攻击者如何与受害系统交互,且只能表示是否受害而无法体现其过程。 因此,为了解决上述问题,ATT&CK模型也就油然而生了。
  1. 标准化语言和结构: 在网络安全领域,缺乏一种标准化的语言和结构来描述攻击者的战 术和技术。ATT&CK框架提供了这样一种结构,使安全专业人员能够更清晰、更一致地描述和 理解攻击行为。
  2. 深入理解攻击手法: ATT&CK框架的详细技术部分使安全团队能够更深入地了解攻击者的行为模式。通过了解攻击者可能采取的各种技术和方法,组织可以更好地识别攻击并加强其防御措施。
  3. 增强防御策略: ATT&CK框架帮助组织更好地了解攻击者的思维方式和行动方式,从而能够制定更有效的防御策略。通过对战术和技术的理解,组织可以更有针对性地改进其安全措施,以防范各种威胁。
  4. 信息共享和合作: ATT&CK框架提供了一个通用的语言,使不同组织之间可以更容易地共享关于攻击行为和防御措施的信息。这种信息共享和合作有助于整个安全社区更好地应对不断变化的威胁环境。

定义

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge),是一个由MITRE公司开发的开源框架,用于描述和分类黑客攻击的战术、技术和常见知识。该框架包含了各种攻击者可能使用的技术和方法,包括渗透测试、间谍活动、勒索软件和其他恶意软件攻击等。ATT&CK框架将这些攻击方法按照攻击者的行为分为不同的阶段,包括初始访问、执行、持久化、凭证访问、发现、横向移动、收集、指令与控制与漏洞利用等。通过使用ATT&CK框架,安全专业人员可以更好地了解黑客攻击的行为模式,并采取相应的防御措施,以保护企业和组织的网络和系统安全。

目前ATT&CK模型由三部分组成:

  1. PRE-ATT&CK:攻击前的准备,例如优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台,建立和维护基础设施、人员的开发、建立能力和分段能力等。
  2. Enterprise:攻击时的部分已知技术手段,例如访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制等。
  3. Mobile:移动端的部分已知技术手段、移动框架和Enterprise类似,只是适用的平台不同。

战术详解

1. 侦察

攻击者在入侵某一企业之前,会先收集一些有用的信息,用来规划以后的行动。侦察包括攻击者主动或被动收集一些用于锁定攻击目标的信息。此类信息可能包括受害组织、基础设施或员工的详细信息。攻击者也可以在攻击生命周期的其他阶段利用这些信息来协助进行攻击,例如使用收集的信息来计划和执行初始访问,确定入侵后的行动范围和目标优先级,或者推动进一步的侦察工作。

主动扫描
IP扫描

介绍:攻击者可能会扫描受害者的 IP 地址块,以收集可用于锁定目标的信息。公共 IP 地址可以按块或按顺序地址范围分配给各组织。反间谍者可以通过扫描 IP 块来收集受害者网络信息,如哪些 IP 地址正在使用,以及分配给这些地址的主机的详细信息。扫描范围从简单的 ping(ICMP 请求和响应)到可能通过服务器横幅或其他网络工件揭示主机软件/版本的更细致扫描。这些扫描信息可能揭示其他形式的侦察(例如:搜索开放网站/域名或搜索开放技术数据库)、建立运行资源(例如:开发能力或获取能力)和/或初始访问(例如:外部远程服务)的机会。
预防措施:由于这种技术是基于企业防御和控制范围之外的行为,因此无法通过预防性控制措施轻松缓解。
检测:监控网络数据,查找不常见的数据流。
论文:Identifying dynamic IP address blocks serendipitously through background scanning traffic

漏洞扫描

介绍:敌方可能会扫描受害者,查找可在锁定目标时使用的漏洞。漏洞扫描通常检查目标主机/应用程序的配置(例如:软件和版本)是否可能与敌方可能寻求使用的特定漏洞利用目标一致。这些扫描还可能包括更广泛的尝试,以收集受害者主机信息,用于识别更常见的已知可利用漏洞。漏洞扫描通常会通过服务器标语、监听端口或其他网络工件收集运行软件和版本号。这些扫描信息可能会揭示其他形式的侦察(例如:搜索开放网站/域名或搜索开放技术数据库)、建立运行资源(例如:开发能力或获取能力)和/或初始访问(例如:利用面向公众的应用程序)的机会。
预防措施:由于这种技术是基于企业防御和控制范围之外的行为,因此无法通过预防性控制措施轻松缓解。
检测:监控和分析与不遵循预期协议标准和流量的协议相关的流量模式和数据包检查(例如,不属于既定流量的无关数据包、无偿或异常流量模式、异常语法或结构)。考虑与进程监控和命令行相关联,以检测与流量模式相关的异常进程执行和命令行参数(例如,监控使用通常不启动相关协议连接的文件的异常情况)。监控网络数据,查找不常见的数据流。正常情况下没有网络通信或从未见过的利用网络的进程是可疑的。
论文:Vulnerabilities Mapping based on OWASP-SANS: a Survey for Static Application Security Testing (SAST)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/578355.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于单片机bootloader的随笔

基于单片机bootloader的随笔

基于单片机bootloader的随笔 一、前言 一直觉得做产品开发需要得考虑一些安全策略,一般的设计固件时会进行bootloader设计,而设计一个高效且安全的定制Bootloader需要考虑以下几个关键因素: 1. 安全性 首先确保Bootloader自身的安全性&am…
阅读更多...
Webpack生成企业站静态页面 - ajax请求

Webpack生成企业站静态页面 - ajax请求

一些项目因需求不同,如需SEO或小项目,使用angular、react或vue就大材小用了。可以通过webpack、gulp这些构建工具,也能快速完成html页面开发,并且也能使用less/sass/styus等样式预编译功能,以及将js、html分模块、分组…
阅读更多...
FreeRtos作业1

FreeRtos作业1

1.总结keil5下载代码和编译代码需要注意的事项 代码写完之后的操作流程 2.总结STM32Cubemx的使用方法和需要注意的事项 选择芯片型号 生成代码 3.总结STM32Cubemx配置GPIO的方法 4、使用定时器2让黄灯闪烁 /* USER CODE END Header */ /* Includes --------------------------…
阅读更多...
数字孪生项目的开发工具

数字孪生项目的开发工具

数字孪生项目的开发工具是实现数字孪生技术应用的关键。它们使得开发者能够创建、管理和优化数字孪生模型,以及与真实世界的实体进行交互。以下是一些数字孪生项目开发中常用的工具,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件…
阅读更多...
【MySql数据库】MySQL5.7在navicat中建立连接报错1045及重装MySQL过程中3306端口号被占用释放的过程

【MySql数据库】MySQL5.7在navicat中建立连接报错1045及重装MySQL过程中3306端口号被占用释放的过程

文章目录 一、报错1、软件中报错2、navicat中报错3、数据库密码是正确的4、卸载数据库5、重装数据库发现3306端口被占用 二、释放3306端口1、找到3306端口对应的PID值2、释放3306端口号3、释放端口后,重装数据库 一、报错 1、软件中报错 2、navicat中报错 在navic…
阅读更多...
Linux 环境安装 Elasticsearch 8.X

Linux 环境安装 Elasticsearch 8.X

安装前说明 首先确定操作系统,在Linux发行版上执行uname -a查看具体系统。我是Ubuntu系统,可以用直接用apt-get安装,也可以下载tar.gz包手动安装。使用apt-get安装更方便快速,但不同的文件会被安装到不同的目录,不方便…
阅读更多...
钉钉服务端API报错 错误描述: robot 不存在;解决方案:请确认 robotCode 是否正确

钉钉服务端API报错 错误描述: robot 不存在;解决方案:请确认 robotCode 是否正确

problem 调用钉钉服务端API,机器人发送群聊消息,后台返回报错信息: 钉钉服务端API报错 错误描述: robot 不存在;解决方案:请确认 robotCode 是否正确; reason 定位: 登录后台,查看机器人是存在查看机器人调用权限接…
阅读更多...
新能源汽车充电桩常见类型及充电桩站场的智能监管方案设计

新能源汽车充电桩常见类型及充电桩站场的智能监管方案设计

随着新能源汽车市场的迅猛发展,充电桩作为支持其运行的基础设施,也呈现出多样化的类型。这些充电桩不仅在外形和功能上存在差异,更在充电速度、充电方式以及使用场景等方面展现出独特的优势。 一、充电桩类型及区别 1、慢充桩(交…
阅读更多...
Flask Python:请求上下文和应用上下文

Flask Python:请求上下文和应用上下文

请求上下文和应用上下文详解 一、背景二、什么是上下文2.1、请求上下文2.2、应用上下文2.3、两种上下文的底层逻辑 三、写在最后 一、背景 在如何实现异步发送邮件的时候,遇到过这样一个报错 RuntimeError: Working outside of request context.This typically me…
阅读更多...
奥比中光Astra SDK相机SDK openni相机成像原理

奥比中光Astra SDK相机SDK openni相机成像原理

目录 1.1 成像原理简介 1.1.1 结构光 1.1.2 双目视觉 1.1.3 光飞行时间TOF​ 2.使用手册 参考网址 2.1 产品集成设计 2.2 SDK介绍与使用 2.3 常用API介绍 OPENNI API 2 OpenNI类(OpenNI.h) 1.1 成像原理简介 1.1.1 结构光 结构光&#xff0…
阅读更多...
PyTorch深度学习

PyTorch深度学习

一、深度学习的概念 如上所示,人工智能包含了机器学习和深度学习,其中深度学习是机器学习的一种特殊的学习方法,人工智能的核心是深度学习 1、深度学习 深度学习需要用到大量的神经网络构建和运算模块,故出现了很多的深度学习框…
阅读更多...
Netty核心原理剖析与RPC实践6-10

Netty核心原理剖析与RPC实践6-10

Netty核心原理剖析与RPC实践6-10 06-粘包拆包问题:如何获取一个完整的网络包 本节课开始我们将学习 Netty 通信过程中的编解码技术。编解码技术这是实现网络通信的基础,让我们可以定义任何满足业务需求的应用层协议。在网络编程中,我们经常…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023