文章来源CyberArk，点击可阅读原文

多年来，中国军事著作《孙子兵法》被数百万自助大师和企业战略顾问引用，也被上百万张幻灯片中错误引用。孙子声称，"所有的战争都建立在欺骗的基础上"，防御者必须同样接受狡猾和欺骗的训练。

这种思想是流行的 "MITRE ATT&CK™" 框架的基础。这个不可知的数据库是 "对抗性战术、技术和常识" 的简称，它将已知的对抗性战术和技术进行分类，以帮助网络安全团队、威胁猎手和红队队员掌握攻击者的思维和运作方式。这些信息可以帮助企业确定缓解策略和控制措施的优先次序，更快地从漏洞中恢复过来，有时甚至可以欺骗敌人，使他们自己陷入困境。

当我们的白帽黑客和 CyberArk 全球销售工程师 Len Noe 谈论此类攻击场景时，他的语气有点像在向孙子学习，他提出了一些箴言式的小建议，如 "网络攻击不是单一的事件，而是一系列步骤的累积" 或 "你无法入侵不存在的东西"。 

在Noe的不定期指导下，我们将 MITRE ATT&CK 框架付诸实施，研究据说在2021年对美国最大的燃料管道之一的高调勒索软件攻击中使用的一些具体战术和技术。根据公开报道的攻击信息，Noe的完整分析可以在这个按需提供的攻击与防御指导经验中看到。

01攻击阶段 – 侦察

在这个初始阶段，攻击者梳理了有关其预期目标的公开信息，并启动了 Metasploit 监听器，以保持对传入连接的注意。攻击者采用了简单的网络钓鱼技术，例如来自组织IT管理员的虚假电子邮件，请求更新，请求用户升级其 PuTTY 版本。此 "升级" 感染了恶意有效负载生成器 MSFvenom，该生成器在目标计算机和攻击者之间创建了 "呼叫中心"。

02攻击阶段 – 初始访问

从那里，威胁行为者导航到用户的桌面并上传了一个 "AD Recon" 工具，以了解 Active Directory 的情况，并更好地了解该公司的内部基础设施。在运行了一些高级数据侦察报告和渗入必要的信息后，攻击者删除了他们活动的痕迹，以避免被发现。

在这个特定的场景中，攻击者使用了几种不同的 MITRE 定义的技术来获得最初的立足点。他们滥用了通过社会工程和其他技术获得的有效账户的访问权；他们参与了针对证书的积极的网络钓鱼活动，以损害身份并获得更多的访问权；他们还利用了面向公众的应用程序。

03攻击阶段 – 执行

一旦建立了最初的立足点，攻击者就会挖掘输出目录，以获取有关域控制器位置的信息，以及其IP地址和主机名。

域控制器是攻击者的至宝，如果保护不当，未经授权的访问可能对组织造成毁灭性打击。攻击者可以利用 Kerberos（Microsoft Windows 的默认身份验证协议）中的漏洞，冒充合法用户，在不被发现的情况下遍历网络，在主机之间穿梭，窃取数据，传播勒索软件或以多种方式进行破坏。

通过访问域控制器，这些攻击者运行内置工具来设置双会话非常简单 — 本质上是将他们自己的计算机设置为与系统管理员并行。

正如 Noe 所指出的，保护 Kerberos 实施程序对于防止未经授权的用户获得访问权限和执行破坏性攻击（如 "golden ticket" 和 "pass-the-hash"）至关重要。这又回到了 "假设-破坏" 心态的重要性。

04攻击阶段 – 持久性

耐心和毅力通常被视为美德，但它们也是勒索软件攻击的关键。一旦攻击者建立了并行管理员，他们就会使用恶意代理创建一个计划任务，该任务在运行时会自动返回到命令和控制服务器，并使攻击者的门户保持回该主机的打开状态。

从那里，他们能够运行漏洞和 hashdumps — 本质上是一种可以被 Hashcat 等程序呈现为可读的大量信息。一旦该信息可读且可排序（ 这需要时间，而且需要持久性），攻击者就能够找到对任务至关重要的管理密码。

在这里，Noe建议某种自动重新生成的密码系统，以避免使用一组密钥来解锁系统，并帮助防止跨系统重复使用或复制密码。同样，这也是为了尽可能地限制横向和向上的移动。

05攻击阶段 – 升级

游戏的名称几乎总是特权升级。攻击者不断破解 hashdump 并提取凭据，试图在系统中导航。他们执行了各种类型的面向凭据的操作，并最终使用这种高级访问来导航到他们想要转储 —或者更准确地说，上传— 他们的勒索软件负载的地方。

06攻击阶段 – 规避

正如Noe所说，"在初始访问之后，攻击者的第二个优先事项是防御规避。保持不被发现的能力至关重要"。这就是事情变得有点像间谍vs间谍 — 受感染的系统（希望）有一些隐蔽的防御机制，而对手则尽力潜行。例如，为了保持 "干净"，攻击者将删除输出目录，CSV文件（逗号分隔值）和powerscript，以消除任何入侵的迹象。Noe指出，这些规避技术凸显了对勒索软件防护采取分层、纵深防御方法的必要性。

07攻击阶段 – 凭据访问

与之前的许多勒索软件攻击一样，这种勒索软件攻击远远超出了桌面镜像和 hashdump-diving 对密码的攻击。它以特权凭据为目标，使对手能够对敏感数据和系统进行深远的管理访问。

Noe强调，这就是为什么授予用户最小权限集的特权访问管理控制是分层安全方法的重要组成部分，并有助于更广泛的"什么都不信任，验证一切"零信任理念"。

 

下一次大攻击可能不会像这样！

虽然MITRE ATT&CK框架确实很有用，但攻击者不断创新，每次攻击都遵循自己的路径。从生物黑客到将勒索软件作为服务的创新，各种新技术不断涌现，但老把戏也偶尔会重现。正如Noe所解释的那样，"我们看到了全新的压缩文件的方式，其中包括在解压时执行的Javascript。我们以前也见过这种情况，但攻击者已经很久没有使用这种压缩方式了"。

因此，用我们的网络安全哲学家 Len Noe 的话来说，积极主动，有创造力，像攻击者一样思考是网络安全的必要方法。但是，我们如何平衡解决已知的问题并为未知因素做准备，这不仅有助于赢得对抗攻击者的战斗，也有助于赢得战争。

了解以前做过的事情可以帮助组织更好地为下一种方式或最新的攻击手段做好准备。正如Noe所说，"你需要解决的是技术，而不是工具"。

关于并擎科技（Binqsoft）

上海并擎软件科技有限公司（简称“并擎科技”, www.binqsoft.com）成立于2009年，是一家深耕于网络安全领域，提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海，在北京、广州和深圳设有分支机构，公司核心人员来自Microsoft、HP、Morgan Stanley等知名IT和金融企业，具有丰富的技术积淀和管理经验。

 

并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验，为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户，提供优质多元的解决方案和专业高效的技术服务。

 

并擎科技践行“用心服务、共铸安全”的服务理念，凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势，携手多家知名安全厂商，向众多用户提供优质的解决方案和专业的技术服务。