一、引言

在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CK、ATT&CK发展历史、应用场景、v10版本更新说明等内容，本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术，后续会陆续介绍其他的战术内容，敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象，这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息，同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件，一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据，包括 ID、定义、可以收集它的位置（收集层）、可以在什么平台上找到它，突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种（子）技术，这些技术可以用该特定数据检测到。在个别（子）技术上，数据源和组件已从页面顶部的元数据框重新定位，以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台，包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

ATT&CK战术全景图（红框为侦察战术）

三、ATT&CK技术的抽象提炼

ATT＆CK有三个核心概念，用通俗一点话来讲就是：攻击视角、基于追踪真实的APT攻击来获得最新的技术、合适的抽象粒度能够将攻击行为和防御策略结合。

通过抽象提炼，形成一个通用分类法，让攻击者和防御者都可以理解单项对抗行为及其目标。通过抽象提炼，完成了适当的分类，将攻击者的行为和具体的防御方式联系起来。本质上是通过“适当”的抽象，既不很模糊，也不是太具体，而是很适度的抽象，给攻击和防御之间建立起了一个标准化的“语言”，能够让攻防双方站在同一语境下对话。

ATT&CK框架基础元素为战术、技术/子技术、程序，也就是TTPs（ Tactics, Techniques and Procedures）。战术回答了攻击者想要实现的目标；技术或子技术展示了攻击者实际的攻击方式以及目标如何实现；至于程序，框架解决的是威胁行为者与攻击组织为达到目标所使用的特定应用。此外，MITRE ATT&CK框架也涵盖了威胁检测与处置建议，以及攻击中使用的软件。

战术是攻击者执行某项行动的战术目标。战术提供了各项技术的环境类别，并涵盖了攻击者在攻击时执行活动的标准、高级标记，例如持久化、信息发现、横向移动、文件执行和数据泄露。由于战术代表了攻击者的战术目标，因此随着时间的推移，这些战术将会保持相对不变，因为攻击者的目标不太可能改变。战术将攻击者试图完成的任务的各方面内容与他们运行的平台和领域结合了起来。通常，不管是在哪个平台上，这些目标都是相似的，这就是为什么Enterprise ATT&CK战术在Windows、MacOS和Linux系统中基本保持一致。目前，MITRE已经识别的企业领域攻击战术有14种：侦察、资源开发、初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响。

技术（Techniques）代表攻击者通过执行动作来实现战术目标的“方式”。例如，攻击者可能会转储凭据，以便访问网络中的有用凭据，之后可能会使用这些凭据进行横向移动。技术也可以表示攻击者通过执行一个动作要获取“内容”。这与“发现”战术有明显的区别，因为技术侧重的是攻击者采取特定动作是为了获取什么类型的信息。技术是ATT&CK的基础，代表攻击者进行某个动作或攻击者通过执行某项动作而了解到的信息。每一个技术都包括唯一的名称、分类、检测方式、缓解方式、详细信息等。具体而言，ATT&CK框架对每项技术都提供了特定的信息，这里也做一个简单的介绍：

• 技术ID：以“Txxx”格式呈现的标识符：例如，网络钓鱼为T1566，沙箱规避为T1497；• 子技术：是更具体的技术，或攻击者执行技术的不同方式；• 战术：即该技术的目标；• 平台：是该技术适用的不同平台，例如Windows、Linux、macOS、云等等；• 数据源：可以识别技术的信息来源，通常由日志系统收集；• 组：跟踪已知攻击者的对象，ATT&CK主要关注APT群体，代表有目标的、持续的威胁活动；• 程序：威胁组织使用该技术达到其目标的具体方式；• 缓解：该技术的处置和防御策略；• 检测：检测网络中攻击者和失陷指标 (IoC) 的方法。

攻击者通常会使用多种技术，来实现其总体目标，而一种技术也可用于实现多个目标。例如，中间人攻击就能用于收集信息和凭证访问，沙箱规避能够用于规避，也可用于发现目标。

ATT&CK各组件之间的关系：

例如：APT28组织使用Mimikatz对Windows LSASS进程内存进行凭证转储，可以用以下图表示：

四、侦察战术

4.1 概述

对手正试图收集可用于规划未来行动的信息。

侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。此类信息可能包括受害组织、基础设施或人员的详细信息。攻击者可以利用这些信息来帮助攻击者完成其他工作，例如使用收集的信息来计划和执行初始访问、确定入侵目标的范围和优先级，或者推动进一步的侦察工作。

侦察战术包含10个技术：

• 主动扫描

• 搜集受害者主机信息

• 搜集受害者身份信息

• 搜集受害者网络信息

• 搜集受害者组织信息

• 通过网络钓鱼搜集信息

• 从非公开源搜集信息

• 从公开技术数据库搜集信息

• 搜集公开网站/域

• 搜集受害者自有网站

下面我们逐一介绍这10个技术内容。

4.2 主动扫描

对手可能会执行主动侦察扫描以收集可在定位期间使用的信息。主动扫描是对手通过网络流量探测受害者基础设施的扫描。

攻击者可能会根据他们收集的信息执行不同形式的主动扫描。 这些扫描也可以通过各种方式执行，例如 ICMP。

主动扫描技术包含两个子技术：扫描IP段、漏洞扫描。

1）扫描IP段：扫描可疑网络流量的IP或者IP段。

2）漏洞扫描：漏洞扫描通常通过服务器、侦听端口或其他网络收集正在运行的软件和版本号。

检测：基于网络流量（例如来自同一个源IP短时间内产生大量流量）或者防火墙日志等来分析。

4.3 搜集受害者主机信息

攻击者可能会收集有关受害者主机的信息，这些信息可以在定位期间使用。有关主机的信息可能包括各种详细信息，包括管理数据（例如：名称、分配的IP、功能等）以及有关其配置的详细信息（例如：操作系统、语言等）。

攻击者可以通过各种方式收集此信息，例如通过主动扫描或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站，然后通过恶意代码从访问者那里收集主机信息。有关主机的信息也可能通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给攻击者。

搜集受害者主机信息包括4个子技术：主机硬件信息搜集、主机软件信息搜集、主机固件信息、客户端配置信息。

1）主机硬件信息搜集：例如特定主机上的类型和版本，以及是否存在可能表明增加了防御性保护的其他组件（例如：卡/生物识别读卡器、专用加密硬件等）。攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：主机名、服务器横幅、用户代理字符串）或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站，然后通过恶意代码从访问者那里收集主机信息。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集（例如：职位发布、网络地图、评估报告、简历）暴露给对手。

2）主机软件信息搜集：攻击者可能会收集有关受害者主机软件的信息。有关已安装软件的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及是否存在可能表明增加了防御组件（例如：防病毒、SIEM 等）。攻击者可以通过各种方式收集此信息，例如通过主动扫描或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站，然后包含旨在从访问者那里收集主机信息的恶意内容。有关已安装软件的信息也可能通过在线或其他可访问的数据集（例如：职位发布、网络地图、评估报告、简历）暴露给对手。

3）主机固件信息：攻击者可能会收集有关受害者主机固件的信息，这些信息可以在定位期间使用。有关主机固件的信息可能包括各种详细信息，例如特定主机上的类型和版本，这些信息可用于推断有关环境中主机的更多信息（例如：配置、用途、年龄/补丁级别等）。攻击者可能会以各种方式收集这些信息，例如通过网络钓鱼直接获取信息。有关主机固件的信息只能通过在线或其他可访问的数据集（例如：招聘信息、网络地图、评估报告、简历）暴露给对手。

4）客户端配置信息：攻击者可能会收集有关受害者客户端配置的信息，这些信息可以在定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置，包括操作系统/版本、虚拟化、架构（例如：32 位或 64 位）、语言和/或时区。攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：侦听端口、服务器横幅、用户代理字符串）或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站，然后包含旨在从访问者那里收集主机信息的恶意内容。有关客户端配置的信息也可能通过在线或其他可访问的数据集（例如：职位发布、网络地图、评估报告、简历）暴露给对手。

检测：通过日志或者流量检测主机扫描或者端口扫描等扫描行为。

4.4 搜集受害者身份信息

攻击者可能会收集有关受害者身份的信息，这些信息可以在定位期间使用。 有关身份的信息可能包括各种详细信息，包括个人数据（例如：员工姓名、电子邮件地址等）以及凭据等敏感详细信息。攻击者可能会以各种方式收集这些信息，例如通过网络钓鱼直接获取信息。有关受害者的信息也可能通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给对手。

搜集受害者身份信息包含3个子技术：凭据、电子邮件地址、员工姓名。

1）凭据：攻击者可能会收集可在定位期间使用的凭据。攻击者收集的帐户凭据可能是与目标受害者组织直接相关的帐户凭据，或者试图利用用户在个人和企业帐户中使用相同密码的趋势。攻击者可能会以各种方式从潜在受害者那里收集凭据，例如通过网络钓鱼获取信息的直接引诱。攻击者还可能破坏网站，然后包含旨在从访问者那里收集网站身份验证cookie的恶意内容。凭据信息也可能通过泄露到在线或其他可访问数据集（例如：搜索引擎、违规转储、代码存储库等）而暴露给攻击者。攻击者也可能从暗网或其他黑市购买凭证。

2）电子邮件地址：攻击者可能会收集可在定位期间使用的电子邮件地址。即使存在内部实例，组织也可能拥有面向公众的电子邮件基础设施和员工地址。攻击者可以很容易地收集电子邮件地址，因为它们可能很容易通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）获得和暴露。

3）员工姓名：攻击者可能会收集可在定位期间使用的员工姓名。员工姓名用于获取电子邮件地址以及帮助指导其他侦察工作和/或制作更可信的诱饵。对手可能很容易收集员工姓名，因为他们可能很容易通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）获得和暴露。

4.5 搜集受害者网络信息

攻击者可能会收集有关受害者网络的信息，这些信息可以在定位期间使用。 有关网络的信息可能包括各种细节，包括管理数据（例如：IP 范围、域名等）以及有关其拓扑和操作的细节。攻击者可以通过各种方式收集此信息，例如通过主动扫描或网络钓鱼获取信息的直接收集操作。有关网络的信息也可能通过在线或其他可访问的数据集（例如：搜索开放技术数据库）暴露给对手。

搜集受害者网络信息包含6个子技术：

1）有关域及其属性的信息可能包括各种详细信息，包括受害者拥有的域以及管理数据（例如：姓名、注册商等）以及更直接可操作的信息，例如联系人（电子邮件地址和电话号码）、公司地址和名称服务器。

2）DNS 信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

3）有关网络信任的信息可能包括各种详细信息，包括已连接（并可能提升）网络访问权限的第二或第三方组织/域（例如：托管服务提供商、承包商等）。

4）攻击者可能会收集有关受害者网络拓扑的信息，这些信息可在目标定位期间使用。关于网络拓扑的信息可以包括各种细节，包括面向外部和内部网络环境的物理和/或逻辑布置。该信息还可能包括有关网络设备（网关、路由器等）和其他基础设施的细节。

5）IP地址：IP 地址还可能使攻击者能够获取有关受害者的其他详细信息，例如组织规模、物理位置、互联网服务提供商和/或他们面向公众的基础设施的托管位置/方式。

6）网络安全设备信息：可能包括各种详细信息，例如部署的防火墙、内容过滤器和代理/堡垒主机的存在和细节。攻击者还可能针对有关基于受害者网络的入侵检测系统 (NIDS) 或与防御性网络安全操作相关的其他设备的信息。

4.6 搜集受害者组织信息

攻击者可能会收集有关受害者组织的信息，这些信息可以在定位期间使用。 有关组织的信息可能包括各种详细信息，包括部门/部门的名称、业务运营的具体情况以及关键员工的角色和职责。攻击者可能会以各种方式收集这些信息，例如通过网络钓鱼直接获取信息。有关组织的信息也可能通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给对手。

搜集受害者组织信息包含4个子技术：

1）受害者物理位置：关于目标组织的物理位置的信息可能包括各种细节，包括关键资源和基础设施所在的位置。物理位置还可以表明受害者在哪些法律管辖范围和/或权力机构内运作。

2）组织业务关系：包括各种详细信息，包括已连接（并可能提升）网络访问权限的第二或第三方组织/域（例如：托管服务提供商、承包商等）。该信息还可能揭示受害者硬件和软件资源的供应链和运输路径。

3）组织业务节奏的信息：包括各种详细信息，包括工作时间/一周中的几天。该信息还可能揭示受害者硬件和软件资源的购买和发货时间/日期。

4）受害者组织内的身份和角色信息：有关业务角色的信息可能会揭示各种可定位的详细信息，包括关键人员的可识别信息以及他们有权访问的数据/资源。

4.7 通过网络钓鱼搜集信息

攻击者可能会发送网络钓鱼消息以获取可在定位期间使用的敏感信息。网络钓鱼信息是企图诱使目标泄露信息、比较常见的是凭据或其他可操作信息。信息网络钓鱼与网络钓鱼的不同之处在于，其目标是从受害者那里收集数据，而不是执行恶意代码。所有形式的网络钓鱼都是以电子方式传递的社会工程。网络钓鱼可以成为目标，称为鱼叉式网络钓鱼。在鱼叉式网络钓鱼中，特定的个人、公司或行业将成为攻击者的目标。更一般地，攻击者可以进行非目标网络钓鱼，例如在大规模凭据收集活动中。对手也可能试图通过电子邮件、即时消息或其他电子对话方式直接获取信息。信息网络钓鱼经常涉及社会工程技术，例如冒充信息源以收集信息（例如：建立帐户或破坏帐户）和/或发送多个看似紧急的消息。

通过网络钓鱼搜集信息包含3个子技术：

1）网络钓鱼服务：对手利用社会工程学技术在线上发布诱惑信息，例如对手可能会创建虚假的社交媒体账户并向员工发送潜在的工作机会信息，用户获取下载文件需要填写表单等导致个人信息泄露。

2）邮件附件：攻击者发送电子邮件附件，通常让收件人填充附件信息回复，通常会给出一个合理的理由说明为什么应该填写该附件文件，以此获取个人或公司价值信息。

3）恶意链接：恶意电子邮件通常包含带有恶意链接，以诱使用户主动单击或复制 URL 并将其粘贴到浏览器中。给定的网站在外观上可能与合法网站非常相似，并且具有包含来自真实网站的元素的URL。恶意链接通过让用户填写表单或者下载文件等搜集信息。

检测：基于应用程序日志（邮件服务器、web应用程序等）、网络流量数据源，检测内容如下：

1. 监控可疑的电子邮件活动，例如多个帐户接收来自单个异常/未知发件人的邮件。

2. 基于DKIM+SPF或标头分析的过滤有助于检测电子邮件发件人何时被欺骗。

3. 在关注链接时，请监视对未分类或已知不良站点的引用。电子邮件中的 URL 检查（包括扩展缩短的链接）也可以帮助检测导致已知恶意站点的链接。

4. 监控社交媒体流量中的可疑活动，包括请求信息的消息以及异常文件或数据传输（尤其是那些涉及未知或其他可疑帐户的）。

缓解措施：

1.软件配置

使用反欺骗和电子邮件身份验证机制根据发件人域的有效性检查（使用SPF）和邮件的完整性（使用 DKIM）过滤邮件。在组织内启用这些机制（通过DMARC 等策略）可以使收件人（组织内和跨域）执行类似的消息过滤和验证。

2. 用户培训

可以训练用户识别社会工程技术和鱼叉式钓鱼企图。

4.8 从非公开源搜集信息

攻击者可能会从封闭来源搜索并收集有关受害者的信息，这些信息可在定位期间使用。可以从信誉良好的私人来源和数据库中购买有关受害者的信息，例如付费订阅技术/威胁情报数据源。攻击者还可能从声誉较差的来源购买信息，例如暗网或网络犯罪黑市。攻击者可能会根据他们寻求收集的信息在不同的封闭数据库中进行搜索。

从非公开源搜集信息包含2个子技术：

1）从威胁情报供应商处搜索私人数据：攻击者可能会从威胁情报供应商处搜索私人数据，以获取可在定位期间使用的信息。威胁情报供应商可能会提供付费订阅源或门户网站，提供比公开报告更多的数据。虽然敏感细节（例如客户姓名和其他标识符）可能会被编辑，但此信息可能包含有关违规的趋势，例如目标行业、归属声明和成功的 TTP/对策。攻击者可能会搜索私人威胁情报供应商数据以收集可操作的信息。威胁参与者可能会寻找收集到的关于他们自己的活动的信息/指标，以及由其他对手进行的活动，这些活动可能与其目标行业、能力/目标或其他运营问题一致。

2）从信誉较差的来源购买信息：攻击者可能会购买可在定位期间使用的有关受害者的技术信息。可以在信誉良好的私人来源和数据库中购买有关受害者的信息，例如付费订阅扫描数据库或其他数据聚合服务的订阅源。攻击者还可能从声誉较差的来源购买信息，例如暗网或网络犯罪黑市。攻击者可能会购买有关其已确定目标的信息，或使用购买的数据来发现成功违规的机会。威胁参与者可能会从购买的数据中收集各种技术细节，包括但不限于员工联系信息、凭证或有关受害者基础设施的细节。

4.9 从公开技术数据库搜集信息

攻击者可以搜索免费可用的技术数据库，以获取可在定位期间使用的有关受害者的信息。 有关受害者的信息可能在在线数据库和存储库中可用，例如域/证书的注册以及从流量和/或扫描中收集的网络数据的公共集合。攻击者可能会根据他们寻求收集的信息在不同的开放数据库中进行搜索。

从公开技术数据库搜集信息包含5个子技术：

1）DNS信息：可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

2）WHOIS数据：由负责分配和分配互联网资源（如域名）的区域互联网注册管理机构 (RIR) 存储。任何人都可以查询WHOIS 服务器以获取有关注册域的信息，例如分配的IP 块、联系信息和DNS名称服务器。

3）数字证书：由证书颁发机构 (CA) 颁发，以加密验证签名内容的来源。这些证书，例如用于加密 Web 流量（HTTPS SSL/TLS 通信）的证书，包含有关注册组织的信息，例如名称和位置。

4）内容交付网络 (CDN) 数据：CDN 允许组织托管来自分布式、负载平衡的服务器阵列的内容。CDN 还可以允许组织根据请求者的地理区域定制内容交付。

5）攻击者可以在公共扫描数据库中搜索有关受害者的信息，这些信息可以在目标定位过程中使用。各种在线服务不断发布 Internet 扫描/调查的结果，通常会收集诸如活动 IP 地址、主机名、开放端口、证书甚至服务器横幅等信息。

4.10 搜集公开网站/域

攻击者可能会搜索免费可用的网站和/或域，以查找可在定位期间使用的有关受害者的信息。有关受害者的信息可能在各种在线网站上提供，例如社交媒体、新网站或托管有关业务运营信息的网站，例如招聘合同。攻击者可能会根据他们寻求收集的信息在不同的在线站点中进行搜索。

搜集公开网站/域包含2个子技术：

1）社交媒体：攻击者可能会在社交媒体上搜索可在定位期间使用的有关受害者的信息。社交媒体网站可能包含有关受害组织的各种信息，例如商业公告以及有关员工角色、位置和兴趣的信息。

2）搜索引擎：攻击者可能会使用搜索引擎来收集有关受害者的信息，这些信息可以在定位期间使用。搜索引擎服务通常会抓取在线网站以索引上下文，并可能为用户提供专门的语法来搜索特定关键字或特定类型的内容（即文件类型）。攻击者可能会根据他们寻求收集的信息来制作各种搜索引擎查询。威胁参与者可能会使用搜索引擎来收集有关受害者的一般信息，并使用专门的查询来查找敏感信息的溢出/泄露，例如网络详细信息或凭据。

4.11 搜集受害者自有网站

攻击者可能会在受害者拥有的网站上搜索可在定位期间使用的信息。受害者拥有的网站可能包含各种详细信息，包括部门/部门的名称、实际位置以及有关关键员工的数据，例如姓名、角色和联系信息（例如：电子邮件地址）。这些网站也可能有突出业务运营和关系的详细信息。攻击者可能会搜索受害者拥有的网站以收集可操作的信息。

检测：基于应用程序日志数据源（邮件服务器、web应用程序等）监控可能表明对手侦察的可疑网络流量，例如表明网络爬行的快速连续请求和/或源自单一来源的大量请求（特别是如果已知该来源与对手相关联）。分析Web元数据还可能揭示可归因于潜在恶意活动，例如引用者或用户代理字符串HTTP/S字段。

五、总结

本期主要介绍了侦察战术及技术/子技术原理，侦察战术覆盖的实战型场景验证过程及行之有效的检测规则、防御措施等知识库敬请关注下期内容。

相关分享：

2021 ATT&CK v10版本更新指南