2022HW溯源反制手冊

2022HW溯源反制手冊目錄TOC\o"1-3"\h\u31897一.戰(zhàn)略 448851.關(guān)于反殺傷鏈的思考 4164862.入侵殺傷鏈 7315753.實(shí)戰(zhàn)指南 135804.一文看懂框架以及使用場景實(shí)例 2512635.論溯源反制之思想 33149886.(五)：威懾反制能力建設(shè) 365383二.戰(zhàn)術(shù) 37140961.定向網(wǎng)絡(luò)攻擊追蹤溯源層次化模型研究 3746642.HW｜藍(lán)隊(duì)實(shí)戰(zhàn)溯源反制手冊分享 37317203.安全攻擊溯源思路及案例 44206264.紅藍(lán)對抗中的溯源反制實(shí)戰(zhàn) 47214585.攻防對抗+溯源反制，蜜罐實(shí)戰(zhàn)分享實(shí)錄 47253496.態(tài)勢感知與攻擊檢測溯源 62216407.基于攻擊溯源圖的威脅評(píng)估技術(shù) 6294388.藍(lán)隊(duì)視角下的朔源與反制 66324289.如何防止溯源以及反溯源 709342三.技術(shù) 8477481.APT攻擊檢測與反制技術(shù)體系的研究 8483072.HW防守｜溯源反制攻擊方的服務(wù)器 84306773.記一次反制追蹤溯本求源 8847544.溯源反制指北 100285775.溯源反制之MySQL蜜罐研究 101247856.反制中常見技術(shù)點(diǎn) 1179207.記一次反制追蹤溯本求源 124189218.記一次蜜罐溯源 141301979.記一次攻防演習(xí)中的溯源反制 146512710.攻擊機(jī)溯源技術(shù) 1531372811.反攻的一次溯源--項(xiàng)目實(shí)戰(zhàn)3 1543023412.藍(lán)隊(duì)溯源與反制 1681505213.安全技術(shù)|利用OpenVpn配置文件反制的武器化探索 1721446514.防溯源防水表——APT滲透攻擊紅隊(duì)行動(dòng)保障 17937015.HW 18312319四.案例 193226671.紅藍(lán)對抗中的溯源反制實(shí)戰(zhàn) 19338742.米觀乘勝追擊，尋跡溯源反制 211133713.HW平安夜:一場心態(tài)和體力的較量 21384544.反黑逆向溯源追蹤之：某某某局入侵事件分析 21625171五.產(chǎn)業(yè)項(xiàng)目案例 235295871.總行2021年溯源反制服務(wù)項(xiàng)目 23515308六.工具 235155921、IP定位工具 2358082、威脅情報(bào)工具 2353802七.產(chǎn)品: 23624291蜜罐總結(jié) 23610783網(wǎng)絡(luò)蜜罐技術(shù)探討 2396227數(shù)世咨詢：蜜罐誘捕市場指南 2426190企業(yè)安全建設(shè)之蜜罐技術(shù)的應(yīng)用 26219116攻防對抗+溯源反制，創(chuàng)宇蜜罐實(shí)戰(zhàn)分享實(shí)錄 27110420基于蜜罐技術(shù)的攻擊反制實(shí)現(xiàn)系統(tǒng)及方法與流程 27119204攻防對抗+溯源反制，蜜罐實(shí)戰(zhàn)分享實(shí)錄 271一.戰(zhàn)略關(guān)于反殺傷鏈的思考\h/reflections-on-anti-anti-chain/殺傷鏈（killchain）最初源于軍事中的C5KISR系統(tǒng)中的K（kill），后由洛克希德-馬丁公司提出網(wǎng)絡(luò)安全殺傷鏈七步模型（見下圖）。那么，有了殺傷鏈，自然就有反殺傷鏈^_^。反殺傷鏈，我更傾向用“發(fā)現(xiàn)-定位-跟蹤-瞄準(zhǔn)-打擊-評(píng)估”的F2T2EA模型。整的檢測體系。對于大型企業(yè)而言，要實(shí)現(xiàn)反殺傷鏈的構(gòu)建，發(fā)現(xiàn)能力是先決條件。定位則是判斷攻擊者所處的位置，包括在網(wǎng)絡(luò)內(nèi)的入侵深度和廣度，可能的話還應(yīng)該包括入侵入口位置。跟蹤：在完成定位后，防護(hù)者需要根據(jù)定位信息，判斷是否進(jìn)行跟蹤。一般對大型企業(yè)而言，APT之間，仍有一定的“時(shí)間窗口”（大多數(shù)在內(nèi)網(wǎng)發(fā)現(xiàn)的攻擊行為都處于這一階段），因此只要時(shí)間、條件允許，防護(hù)者是可以進(jìn)行跟以讓對手前功盡棄，至此再也無從下手。瞄準(zhǔn)：瞄準(zhǔn)實(shí)際和殺傷鏈第二步的武器構(gòu)建（Weaponization）擊，還有就是確定打擊點(diǎn)，以確保能“一擊致命”。只不過這個(gè)武器不再是攻擊性武器，而是防御性武器。鎖IP，或是采取訪問控制措施阻斷其進(jìn)入敏感區(qū)域等等。當(dāng)然，在跟蹤和瞄準(zhǔn)階段所獲取的信息足夠多的情況下，還可以進(jìn)行反制，進(jìn)行反向溯源或借助法律等途徑進(jìn)行“反向打擊”。評(píng)估：這個(gè)評(píng)估在軍事上是“戰(zhàn)損評(píng)估”的概念，在這里，我想應(yīng)該是效果評(píng)估。在評(píng)估階段，我們要對打擊效果進(jìn)行評(píng)估，一是要確進(jìn)行分析建檔并納入相應(yīng)的威脅情報(bào)庫中，找到整個(gè)反殺傷鏈運(yùn)作中的不足之處加以優(yōu)化補(bǔ)正。第五、第六階段。而第三、第四階段的防御，也將成為之后的重點(diǎn)。反殺傷鏈和殺傷鏈的對抗關(guān)系大致用下圖來表述。要實(shí)現(xiàn)這個(gè)反殺傷鏈，還需要以下幾個(gè)關(guān)鍵支持：1、情報(bào)（Intelligence）關(guān)于情報(bào)，NUKE同學(xué)等大牛已經(jīng)講過很多，我就不班門弄斧太多。這里需要補(bǔ)充的是，在反殺傷鏈中，情報(bào)可以分為戰(zhàn)略、戰(zhàn)區(qū)、戰(zhàn)術(shù)三個(gè)層次。戰(zhàn)略威脅情報(bào)。實(shí)際是一種威脅態(tài)勢情報(bào)。我并不想把戰(zhàn)略威脅情報(bào)上升到JP1-02企業(yè)或一個(gè)行業(yè)而言的威脅態(tài)勢情報(bào)。這類情報(bào)包括兩個(gè)層面，一個(gè)是企業(yè)或行業(yè)對自己的認(rèn)知和評(píng)估，包括“我們有什么是別人想要的”，“它到底有多重要”，“多達(dá)的損失”，以及“我們該投入多少資源去保護(hù)它”等等，這方面的情報(bào)來源包括風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)評(píng)估及企業(yè)高層決策。二是帶對威脅環(huán)境的評(píng)估，包括“盯著我們的對手有哪些人”，“他們對哪些目標(biāo)感興趣”，“他們擁有哪些可利用的手段”，“本的接受程度如何”等等。這些情報(bào)源于大量的案例分析、威脅動(dòng)態(tài)跟蹤，以及對攻擊者行為模式、攻擊成本的分析研究等等。威脅情報(bào)是高度濃縮的情報(bào)精華，肯定是高水平的專家進(jìn)行綜合性人工分析的結(jié)果。當(dāng)然，擴(kuò)展來看，商業(yè)競爭情報(bào)也算是此類情報(bào)的一種。戰(zhàn)區(qū)威脅情報(bào)。如果我們將一個(gè)公司或行業(yè)看作一個(gè)戰(zhàn)略主體，那各個(gè)戰(zhàn)區(qū)實(shí)際就是按業(yè)務(wù)、系統(tǒng)的細(xì)分。在戰(zhàn)區(qū)威脅情報(bào)層以形成一個(gè)趨向全集的攻擊生成樹。當(dāng)然，機(jī)器學(xué)習(xí)等最近很熱的威脅情報(bào)概念，大多在這一層面開始有了用武之地。估、代碼審計(jì)等安全服務(wù)和安全眾測廠商帶來機(jī)會(huì)。單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標(biāo)、威脅影響等的特征。戰(zhàn)術(shù)威脅情報(bào)可以認(rèn)為是戰(zhàn)區(qū)威脅情報(bào)的基礎(chǔ)?？梢哉f，在戰(zhàn)術(shù)層面構(gòu)建的殺傷鏈條數(shù)越多，整個(gè)威脅情報(bào)體系起的作用就越大。2、監(jiān)視（Surveillance）必殺一擊（也就是狙擊）的，再在殺傷鏈的關(guān)鍵節(jié)點(diǎn)進(jìn)行狙擊（阻斷），切斷整個(gè)殺傷鏈條，重創(chuàng)對手。這就是監(jiān)視的作用。當(dāng)然，提到監(jiān)視，就必須考慮反殺傷鏈的“時(shí)間窗口”效應(yīng)。對于小型企業(yè)或系統(tǒng)而言，殺傷鏈的時(shí)效性很短，此時(shí)的監(jiān)視幾乎等同于檢測，強(qiáng)調(diào)一經(jīng)發(fā)現(xiàn)立即阻斷。而對大型復(fù)雜網(wǎng)絡(luò)而言，殺傷鏈普遍更長，監(jiān)視的“時(shí)間窗口”也可以隨著拉長。所以，監(jiān)視的“口”受威脅場景的時(shí)敏性影響。同時(shí)，監(jiān)視的“時(shí)間窗口”還需要依托對殺傷鏈場景的構(gòu)建，和狙擊點(diǎn)（或者阻斷點(diǎn)）的定義。防護(hù)者需要依靠經(jīng)驗(yàn)，對發(fā)現(xiàn)的入侵行景，為高效率、致命的狙擊做準(zhǔn)備。但切忌因?yàn)楸O(jiān)視，錯(cuò)失狙擊的時(shí)機(jī)，中間的度需要仔細(xì)衡量。3、指揮、控制與協(xié)同（CommandandControlandCombat，3C）3C是整個(gè)反殺傷鏈最重要，也最難構(gòu)建的組成部分，也是確保反殺傷鏈打擊效果的前提。目前，大型企業(yè)都有了自己的安全運(yùn)營團(tuán)隊(duì)，例如各類SRC、SOC。但是，能具備真正有效的3C下幾點(diǎn)：系統(tǒng)。國外軍方已經(jīng)有相應(yīng)的理論研究基礎(chǔ)，并在逐步發(fā)展此方面的能力，值得借鑒。控制實(shí)際可以算是指揮系統(tǒng)中的一個(gè)模塊，是確保指揮指令得到有效的具體執(zhí)行的集中管控后臺(tái)。這方面的問題存在于兩點(diǎn)：一業(yè)就必須以大量的人力來補(bǔ)缺，且往往吃力不討好。以上這些只是根據(jù)個(gè)人的興趣寫的，肯定還有問題，歡迎拍磚。入侵殺傷鏈\h/p/174b5a081b51原文鏈接：\h洛克希德-馬丁公司的七步網(wǎng)絡(luò)殺傷鏈白皮書智能驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御-通過對敵對方的運(yùn)動(dòng)與入侵的殺傷鏈分析Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChainsEricM.Hutchins?,MichaelJ.Cloppert?,RohanM.Amin,Ph.D.?LockheedMartinCorporationHutchins,Eric&Cloppert,Michael&Amin,Rohan.(2011).Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains.LeadingIssuesinInformationWarfare&SecurityResearch.1.CyberKillChain\h圖片來源：/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png摘要常規(guī)的網(wǎng)絡(luò)防御工具（如入侵檢測系統(tǒng)和防病毒軟件）絡(luò)入侵的目標(biāo)和復(fù)雜程度的發(fā)展使得這些方法對于某些參與者而言不夠。一類新的威脅被稱為“高級(jí)持續(xù)威脅”（APT）的攻擊者代表驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御的基礎(chǔ)（CND）產(chǎn)生了性能和有效性的相關(guān)指標(biāo)。高級(jí)持續(xù)威脅的發(fā)展需要基于情報(bào)的模型，因?yàn)樵诖四Ｐ椭校烙卟粌H可以緩解脆弱性，還可以緩解風(fēng)險(xiǎn)的威脅部分。1簡介只要存在全球計(jì)算機(jī)網(wǎng)絡(luò)，惡意用戶就有意利用漏洞。對計(jì)算機(jī)網(wǎng)絡(luò)威脅的早期演變涉及自傳播代碼。隨著時(shí)間的推移，防病毒技術(shù)的進(jìn)步顯著降低了這種自動(dòng)化的風(fēng)險(xiǎn)。最近，旨在損害數(shù)據(jù)以促進(jìn)經(jīng)濟(jì)或軍事發(fā)展的新一類威脅已成為某些行業(yè)面臨的最大風(fēng)險(xiǎn)要素。此類威脅被稱為AdvancedPersistentThreat”（高級(jí)持續(xù)威脅，及APT）相關(guān)的風(fēng)險(xiǎn)而實(shí)施的技術(shù)和流程，而這些技術(shù)沒有充分解決專注的、手動(dòng)操作的APT入侵。傳統(tǒng)的事件響應(yīng)方法無法緩解APT帶來的風(fēng)險(xiǎn)，因?yàn)樗鼈冏龀隽藘蓚€(gè)錯(cuò)誤的假設(shè)：應(yīng)該在妥協(xié)之后進(jìn)行響應(yīng)，而妥協(xié)是因?yàn)槟硞€(gè)固定的缺陷（Mitropoulos等人，2006家標(biāo)準(zhǔn)與技術(shù)研究院）2008）。最近，行業(yè)和美國政府都對APT進(jìn)行了觀察和表征。2005年6月和2005年7月，英國國家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心（UK-NISCC）和美國計(jì)算機(jī)緊急響應(yīng)小組（US-CERT）發(fā)布了技術(shù)警報(bào)公告，描述了針對性的、社會(huì)工程化的電子郵件，其中植入了特洛伊木馬，以提取敏感信息。這些入侵經(jīng)歷了相當(dāng)長的一段時(shí)間，規(guī)避了傳統(tǒng)的防火墻和防病毒功能，并使攻擊者能夠收集敏感信息（UK-NISCC，2005；US-CERT，2005）?！渡虡I(yè)周刊》的Epstein和Elgin（2008）描述了對NASA和其他政府網(wǎng)絡(luò)的大量入侵，在這些網(wǎng)絡(luò)中，未發(fā)現(xiàn)APT參與者，并成功刪除了敏感的高性能火箭設(shè)計(jì)信息。在2010年2月，iSecPartners指出，當(dāng)前的方法（例如防病毒和補(bǔ)丁程序）不夠有效，最終用戶直接成為攻擊目標(biāo)，威脅行動(dòng)者則追求敏感的知識(shí)產(chǎn)權(quán)（Stamos，2010年）。在美國眾議院武裝部隊(duì)委員會(huì)恐怖主義，非常規(guī)威脅和能力小組委員會(huì)之前，戰(zhàn)略與國際研究中心的詹姆斯·安德魯·劉易斯（JamesAndrewLewis）作證說，2007年，包括國防部，國務(wù)院和商務(wù)部在內(nèi)的各個(gè)政府機(jī)構(gòu)都發(fā)生了入侵事件。意圖收集信息（劉易斯，2008年）。據(jù)報(bào)道，中國對計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)營的性質(zhì)有特殊規(guī)定，因此，2008年和2009年向美中經(jīng)濟(jì)和安全審查委員會(huì)的國會(huì)報(bào)告總結(jié)了針對美國軍方，政府的針對性入侵的報(bào)告。同樣，對手是出于收集敏感信息的動(dòng)機(jī)（美中經(jīng)濟(jì)與安全審查委員會(huì)，2008年，2009年）。最后，為美中經(jīng)濟(jì)與安全審查委員會(huì)準(zhǔn)備的報(bào)告，克雷克爾（2009）對高級(jí)入侵進(jìn)行了詳細(xì)介紹，充分證明了APT和精心設(shè)計(jì)的本質(zhì)?；A(chǔ)架構(gòu)管理工具的進(jìn)步實(shí)現(xiàn)了企業(yè)范圍內(nèi)修補(bǔ)和強(qiáng)化的最佳實(shí)踐，從而減少了網(wǎng)絡(luò)服務(wù)中最容易訪問的漏洞。但是，APT參與者通過使用高級(jí)工具，自定義的惡意軟件和防病毒和補(bǔ)丁無法檢測或緩解的“零時(shí)差”漏洞，不斷展示出破壞系統(tǒng)的能力。對APT入侵的響應(yīng)需要分析，流程和技術(shù)方面的發(fā)展。基于對威脅的了解，可以預(yù)測和減輕將來的入侵。以威脅為重點(diǎn)的方法來研究入侵。入侵的每個(gè)離散階段都映射到操作過程中，以進(jìn)行檢測，緩解和響應(yīng)。術(shù)語“殺傷鏈”施會(huì)破壞連鎖店和對手。通過情報(bào)驅(qū)動(dòng)的響應(yīng)，防御者可以在APT口徑對手中獲得優(yōu)于攻擊者的優(yōu)勢。絡(luò)防御模型（computernetworkdefense，CND），該模型結(jié)合了針對特定威脅的入侵分析和防御緩解措施。第四部分介紹了該新模型在實(shí)際案例研究中的應(yīng)用，第五部分概述了本文并提出了對未來的一些思考研究。相關(guān)工作雖然APT的建模和使用殺傷鏈的相應(yīng)響應(yīng)是獨(dú)特的，但存在防御和對策策略的其他基于階段的模型。美國國防部聯(lián)合研究中心的出版物描述了一個(gè)殺傷鏈，其發(fā)現(xiàn)，修復(fù)，跟蹤，目標(biāo)，交戰(zhàn)和防御階段評(píng)估（美國國防部，2007年）。美國空軍已使用此框架來確定情報(bào)，監(jiān)視和偵察（ISR）能力方面的差距，并優(yōu)先考慮所需系統(tǒng)的開發(fā)（Tirpak，2000年）。威脅鏈也已用于對簡易爆炸裝置攻擊進(jìn)行建模（國家研究委員會(huì)，2007年）。IED交付鏈對從敵方資金到攻擊執(zhí)行的所有過程進(jìn)行建模。協(xié)同情報(bào)和防御措施以簡易爆炸裝置威脅鏈的每個(gè)階段為重點(diǎn)，是應(yīng)對這些攻擊的理想方法。該方法還通過將現(xiàn)有功能映射到鏈上，為基礎(chǔ)研究需求的識(shí)別提供了一個(gè)模型?；陔A段的模型也已用于反恐計(jì)劃。美國陸軍將恐怖分子的行動(dòng)計(jì)劃周期描述為一個(gè)七個(gè)步驟的過程，作為評(píng)估恐怖組織意圖和能力的基線（美國陸軍訓(xùn)練和主義司令部，2007年）Hayes（2008）將此模型應(yīng)用于軍事設(shè)施的反恐計(jì)劃過程，并確定了原則，以幫助指揮官確定保護(hù)自己的最佳方法。Sakuraba等人（2008年）描述了對策的基于攻擊的順序分析（theAttack-BasedSequentialAnalysisofCountermeasures，ABSAC）ABSAC法所包含的反應(yīng)性強(qiáng)的妥協(xié)性對策比對非持久對手運(yùn)動(dòng)的早期發(fā)現(xiàn)能力要強(qiáng)。在基于階段的模型對內(nèi)部威脅的應(yīng)用中，Duranet等人（2009年）Willison和Siponen（2009）還通過改編稱為“情境預(yù)防”（SCP）的SCP從犯罪者的角度模擬犯罪，然后將控件映射到犯罪的各個(gè)階段。最后，安全公司Mandiant提出了一個(gè)“剝削生命周期”。但是，Mandiant模型并未繪制防御行動(dòng)的路線圖，而是基于妥協(xié)后的行動(dòng)（Mandiant，2010年）。對打擊APT參與者而言，將檢測和緩解措施移至入侵殺傷鏈的早期階段至關(guān)重要。智能驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御情報(bào)驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御（CND）性的分析。這必然是一個(gè)連續(xù)的過程，需要利用指標(biāo)來發(fā)現(xiàn)新活動(dòng)，而還要利用更多指標(biāo)。它需要對入侵本身有新的了解，而不是非常規(guī)事件，而是逐步發(fā)展。本文提出了一種新的入侵消滅鏈模型，用于分析入侵并推動(dòng)防御行動(dòng)。情報(bào)驅(qū)動(dòng)的CND的安全態(tài)勢。APT參與者本質(zhì)上會(huì)在入侵之后嘗試入侵，并根據(jù)每個(gè)嘗試的成功或失敗來調(diào)整其操作。在“殺死鏈”模型中，只有一個(gè)緩解措施會(huì)打破鏈條并挫敗對手，因此，對手的任何重復(fù)都是防御者必須認(rèn)識(shí)和利用的責(zé)任。如果防御者實(shí)施對策的速度超過了對手的發(fā)展速度，則將增加對手為實(shí)現(xiàn)其目標(biāo)而必須花費(fèi)的成本。該模型表明，與傳統(tǒng)觀點(diǎn)相反，這些侵略者沒有防御者固有的優(yōu)勢。指標(biāo)和指標(biāo)生命周期該模型中情報(bào)的基本要素是指標(biāo)（indicator）。出于本文的目的，指示符是客觀描述入侵的任何信息。指標(biāo)可細(xì)分為三種類型：?Atomic原子-原子指示器是不能分解成更小的部分，并在入侵的情況下保持其含義的指示器。此處的典型示例是IP址和漏洞標(biāo)識(shí)符。?Computed計(jì)算的-計(jì)算的指示符是從事件中涉及的數(shù)據(jù)派生的那些指示符。常見的計(jì)算指示符包括哈希值hashvalues和正則表達(dá)式regularexpressions。?Behavioral行為-行為指標(biāo)是計(jì)算指標(biāo)和原子指標(biāo)的集合，通常要經(jīng)過數(shù)量和組合邏輯的鑒定。例如，“門以[somefrequency]到[someIPaddress]的速率生成網(wǎng)絡(luò)流量匹配[regularexpression]，然后,一旦建立訪問權(quán)限將其替換為匹配MD5hash[value]的語句?！毙纬闪藞D1中所示的指示器生命周期。這不分青紅皂白地適用于所有指示器，無論其準(zhǔn)確性或適用性如何。如果沒有足夠的跟蹤，跟有注意，分析人員可能會(huì)發(fā)現(xiàn)自己將這些技術(shù)應(yīng)用于并非針對其設(shè)計(jì)的威脅參與者，或者完全將其視為良性活動(dòng)。入侵殺傷鏈殺傷鏈?zhǔn)且粋€(gè)系統(tǒng)的過程，該過程以目標(biāo)為目標(biāo)并與對手互動(dòng)，以創(chuàng)建所需的效果。美國的軍事目標(biāo)學(xué)說將這一過程的步驟定義為：find發(fā)現(xiàn)，fix修復(fù)，track跟蹤，target目標(biāo)，engage交戰(zhàn)，assess評(píng)估（F2T2EA）：找到適合交戰(zhàn)的對手目標(biāo)；固定他們的位置；跟蹤觀察；用合適的武器或資產(chǎn)瞄準(zhǔn)以產(chǎn)生所需的效果；招敵評(píng)估效果（美國國防部，2007年）稱為“鏈”，因?yàn)槿魏尾蛔愣紩?huì)中斷整個(gè)過程。完整性或可用性。入侵殺傷鏈定義為reconnaissance偵察，weaponization武器化，deliveryexploitation利用，installation安裝，commandandcontrol命令和控制（C2）以及actionsonobjectives對目標(biāo)采取的行動(dòng)。關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)攻擊（CNA）或計(jì)算機(jī)網(wǎng)絡(luò)間諜活動(dòng)（CNE），對這些殺傷鏈階段的定義如下：Reconnaissance偵察-郵件列表。Weaponization武器化-通常通過自動(dòng)化工具（武器化工具）將遠(yuǎn)程訪問木馬與對可交付有效載荷的利用相結(jié)合。諸如Adobe文檔格式（PDF）或MicrosoftOffice文檔之類的客戶端應(yīng)用程序數(shù)據(jù)文件越來越多地用作可交付使用的武器。Delivery交付-將武器傳輸?shù)侥繕?biāo)環(huán)境。洛克希德·馬丁計(jì)算機(jī)事件響應(yīng)團(tuán)隊(duì)（LM-CIRT）在2004年至2010年間觀察到，APT對武器有效載荷的三種最普遍的傳遞媒介是電子郵件附件，網(wǎng)站和USB可移動(dòng)媒體。Exploitation漏洞利用-洞，但也可以更簡單地利用用戶自身或利用可自動(dòng)執(zhí)行代碼的操作系統(tǒng)功能。Installation安裝-在受害系統(tǒng)上安裝遠(yuǎn)程訪問特洛伊木馬或后門程序可使攻擊者在環(huán)境中保持持久性。CommandandControl命令和控制（C2）-通常，受感染的主機(jī)必須向Internet控制器服務(wù)器發(fā)送信標(biāo)，以建立C2APT件尤其需要手動(dòng)交互，而不是自動(dòng)進(jìn)行活動(dòng)。一旦建立了C2通道，入侵者就可以在目標(biāo)環(huán)境中“手動(dòng)操作”鍵盤。Actionsonobjectives針對目標(biāo)的行動(dòng)-只有在經(jīng)過前六個(gè)階段之后，入侵者才能采取行動(dòng)以實(shí)現(xiàn)其原始目標(biāo)。通常，此目標(biāo)是數(shù)據(jù)受害者盒，以用作跳躍點(diǎn)來危害其他系統(tǒng)并在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)。CoursesofActionTable1:CoursesofActionMatrixIntrusionReconstructionFigure3:LatephasedetectionFigure4:EarlierphasedetectionCampaignAnalysisCaseStudyIntrusionAttempt1IntrusionAttempt2IntrusionAttempt35小結(jié)將投資優(yōu)先考慮為能力缺口，并充當(dāng)衡量防御者行動(dòng)有效性的框架。當(dāng)防御者考慮風(fēng)險(xiǎn)的威脅部分以增強(qiáng)對APT的抵御能力時(shí)，他們可以將這些行為者的堅(jiān)持變成責(zé)任，從而降低對手每次入侵嘗試成功的可能性。計(jì)算機(jī)間諜活動(dòng)下的入侵殺傷鏈模型。入侵可能代表了更廣泛的問題類別。這項(xiàng)研究可能與其他學(xué)科（例如IED對策）強(qiáng)烈重疊。實(shí)戰(zhàn)指南\h/articles/14991作者：程度ATT&CK框架作為安全領(lǐng)域繼承KillChain的安全攻防框架，在全世界的信息安全領(lǐng)域正在如火如荼的發(fā)揮著影響。通過GoogleTrends可以看出在最近兩年的熱度呈指數(shù)級(jí)增長。圖1：ATT&CK框架的熱度增長趨勢ATT&CK框架早在2014年就已提出，但當(dāng)時(shí)的框架還比較簡單。圖2：2014年時(shí)的ATT&CK框架目前，這個(gè)框架還在不斷演進(jìn)，在今年10月份的ATT&CKcon2.0大會(huì)上，披露的更新內(nèi)容如下：圖3：ATT&CK框架的新增內(nèi)容（數(shù)字解讀）值得一提的是，ATT&CK框架中加入了云相關(guān)方面的一些支持：圖4：ATT&CK新增云支持該框架不像其它理論只是提供理論指導(dǎo)作用，這個(gè)框架的可落地性很強(qiáng)。理論學(xué)習(xí)使用ATT&CK?Navigator項(xiàng)目對于的學(xué)習(xí)是第一步的，首先需要介紹的就是ATT&CK?Navigator給人的壓力更小，而且具有良好的交互性。通過簡單地點(diǎn)擊鼠標(biāo)，就能學(xué)習(xí)到很多知識(shí)，這個(gè)項(xiàng)目主要是為之后的工作有很好的標(biāo)記作用。這個(gè)項(xiàng)目比較好用的幾個(gè)功能都是篩選類的功能，比如你可以根據(jù)不同的APT組織以及惡意軟件進(jìn)行篩選，可以看出組織和惡意軟件使用的Technique，并進(jìn)行著色，這樣就可以很明顯看出來這個(gè)組織的攻擊使用技術(shù)。圖5：APT29使用的攻擊技術(shù)同時(shí)也可以根據(jù)不同的需求，保存為其它格式導(dǎo)出，包括Json、Excel以及SVG，也支持根據(jù)平臺(tái)和階段進(jìn)行選擇。圖6：根據(jù)平臺(tái)和階段進(jìn)行選擇從上圖可以看出，ATT&CK框架支持三種常見系統(tǒng)Windows、Linux和MacOS，最近還新增了對云安全的支持，包括了國外主流的三個(gè)公有云、Azure和GCP，同時(shí)還加入了一些SaaS安全框架AzureAD、Office365SaaS。雖然框架中有關(guān)云計(jì)算的內(nèi)容并不多，但也是一種有價(jià)值的嘗試。云安全的這塊針對云平臺(tái)更像是CSPM產(chǎn)品解決的問題，SaaS安全的是CASB題。這里不詳細(xì)描述，之后會(huì)有另外一篇文章說明。這個(gè)項(xiàng)目主要關(guān)注的是pre-attack和attack-enterprise的內(nèi)容，包括mobile這塊是有單獨(dú)的項(xiàng)目支持。守結(jié)果。圖7：紅藍(lán)對抗攻守圖還有一種用法是對目前安全產(chǎn)品的技術(shù)有效性進(jìn)行coverage的評(píng)估，如下圖所示：圖8：EDR產(chǎn)品安全技術(shù)覆蓋度ATT&CK?的CARET項(xiàng)目CARET項(xiàng)目是CAR（CyberAnalyticsRepository）項(xiàng)目的演示版本，有助于理解CAR這個(gè)項(xiàng)目表達(dá)的內(nèi)容。CAR這個(gè)項(xiàng)目主要是分析攻擊行為，并如何檢測的一個(gè)項(xiàng)目，在BlueTeam中詳細(xì)介紹。這里，介紹一下CARET的網(wǎng)絡(luò)圖。該圖從左到右分為五個(gè)部分：APT團(tuán)體、攻擊技術(shù)、分析技術(shù)、數(shù)據(jù)模型、Sensor或者Agent。APT組織從左到右，安全團(tuán)隊(duì)從右到左，在“分析”這一列進(jìn)行交匯。APT組織使用攻擊技術(shù)進(jìn)行滲透，安全團(tuán)隊(duì)利用安全數(shù)據(jù)進(jìn)行數(shù)據(jù)分類并進(jìn)行分析，在“分析”環(huán)節(jié)進(jìn)行碰撞。圖9：CARET網(wǎng)絡(luò)圖最左側(cè)兩列已在上文有所介紹，此處不再贅述。我們從最右側(cè)的Sensor開始分析。Sensor主要是用于數(shù)據(jù)收集，基本是基于sysmon、autoruns等windows下的軟件來收集信息。數(shù)據(jù)模型受到CybOX威脅描述語言影響，對威脅分為三元組（對象、行為和字段）進(jìn)行描述，對象分為9種：驅(qū)動(dòng)、文件、流、模塊、進(jìn)程、注冊表、服務(wù)、線程、用戶sessionsensor或者agent要收集哪些數(shù)據(jù)、怎樣組織數(shù)據(jù)，也為安全分析奠定了基礎(chǔ)。“分析”有偽代碼表示。Red使用RedCanary?AtomicRedTeam項(xiàng)目紅隊(duì)使用框架是比較直截了當(dāng)?shù)膱鼍?，可以根?jù)框架的技術(shù)通過腳本的自動(dòng)化攻擊，這里重點(diǎn)推薦RedCanary公司的AtomicRed項(xiàng)目，也是目前Github上Star最多的關(guān)于的項(xiàng)目。MITRE與RedCanary的關(guān)系已經(jīng)非常密切，MITRE的項(xiàng)目CALDERA也是類似的項(xiàng)目，但是場景和腳本的豐富度離這家新興的MDR公司還是有差距，在今年SANS的CTI以看出。圖10：MITRE與RedCanary的用例數(shù)量示意圖這個(gè)項(xiàng)目使用起來也好上手，首先搭建相關(guān)環(huán)境，然后選擇相關(guān)的測試用例，包括Windows、Linux以及MacOS的用例，然后可以根關(guān)入侵技術(shù)，如果沒有發(fā)現(xiàn)需要進(jìn)行檢測技術(shù)的改進(jìn)情況。最后，可以根據(jù)這個(gè)過程反復(fù)操作，能夠得到一個(gè)入侵檢測進(jìn)步的進(jìn)展圖，最終可以更好的覆蓋的整個(gè)攻擊技術(shù)圖。圖11：入侵檢測進(jìn)展示意圖其它紅隊(duì)的模擬攻擊項(xiàng)目更新較少，也可以參考Endgame的RTA項(xiàng)目、Uber的Metta項(xiàng)目。比較好的實(shí)踐是自己的攻擊測試庫，可以基于RedCanary的項(xiàng)目，然后結(jié)合其它的測試項(xiàng)目，同時(shí)可以結(jié)合自身來完善這個(gè)自己的紅隊(duì)攻擊測試庫，可以根據(jù)實(shí)際情況不斷進(jìn)行測試和回歸測試，可以讓安全攻擊水準(zhǔn)達(dá)到一個(gè)比較好的水平。ATTACK-Tools項(xiàng)目這個(gè)項(xiàng)目有兩個(gè)重要作用：第一是用作模擬攻擊的計(jì)劃工具；第二是用作擬攻擊的計(jì)劃工具這個(gè)角度來介紹。以APT3為例（好尷尬，是美國分析中國的APT組織），先不考慮地緣政治因素，只考慮技術(shù)層面。首先，分析一個(gè)APT組織的行為報(bào)告就較為復(fù)雜，國內(nèi)也是只有為數(shù)不多的幾個(gè)比較有技術(shù)實(shí)力的公司每年在分析APT為；然后，基于這些攻擊技術(shù)抽象成模擬這些組織攻擊的內(nèi)容更是復(fù)雜。從下圖可以看出，模擬APT3有三個(gè)步驟，但其實(shí)前面還有個(gè)重要的步驟——工具選擇。圖12：APT3模擬計(jì)劃示意圖簡單，但該項(xiàng)目根據(jù)框架，充分展示了對APT組織的模擬攻擊計(jì)劃覆蓋了哪些技術(shù)。圖13：ATT&CK?View示意圖這類示意圖可以很好地將APT組織或者軟件的行為按照ATT&CK框架表示出來，能夠做好更全面的模擬攻擊。關(guān)于ATT&CK?DataModel這個(gè)內(nèi)容更多的是把ATT&CK的內(nèi)容根據(jù)關(guān)系數(shù)據(jù)庫設(shè)計(jì)模式導(dǎo)入，以便按照不同維度進(jìn)行查詢和篩選。BlueTeam使用ATT&CK?CAR項(xiàng)目CAR（CyberAnalyticsRepository）安全分析庫項(xiàng)目主要是針對的威脅檢測和追蹤。上面的CARET項(xiàng)目就是CAR的UI可視化項(xiàng)目，可以更利于CAR項(xiàng)目的理解。這個(gè)項(xiàng)目主要基于四點(diǎn)考慮：根據(jù)擊者行為確認(rèn)要收集的數(shù)據(jù)；確認(rèn)數(shù)據(jù)收集主體sensor的數(shù)據(jù)收集能力。后面三個(gè)方面與CARET項(xiàng)目圖示中的Analytics、DataModel、Sensor相對應(yīng)。這個(gè)分析庫是由對每一項(xiàng)攻擊技術(shù)的具體分析構(gòu)成的。我們以該分析庫中最新一條的分析內(nèi)容為例：CAR-2019-08-001:CredentialDumpingviaWindowsManager（通過Windows任務(wù)管理器進(jìn)行憑據(jù)轉(zhuǎn)儲(chǔ)），轉(zhuǎn)儲(chǔ)任務(wù)管理器中的授權(quán)信息這一安全問題進(jìn)行檢測。分析中還包含單元測試部分：圖14：單元測試示例分析中還包括三種檢測方式：偽代碼、splunk下的sysmon的代碼實(shí)現(xiàn)、及EQL大增強(qiáng)藍(lán)隊(duì)的檢測能力。圖15：實(shí)現(xiàn)方式示例CAR這個(gè)架構(gòu)可以作為藍(lán)隊(duì)很好的內(nèi)網(wǎng)防守架構(gòu)，但是畢竟是理論架構(gòu)，內(nèi)容豐富度上比較欠缺。Endgame?EQL項(xiàng)目EQL（EventQueryLanguage）是一種威脅事件查詢語言，可以對安全事件進(jìn)行序列化、歸集及分析。如下圖所示，該項(xiàng)目可以進(jìn)行事件日志的收集，不局限于終端數(shù)據(jù)，還可以是網(wǎng)絡(luò)數(shù)據(jù)，比如有國外使用sysmon這種windows下的原生數(shù)據(jù)，也有osquery類型的基本的緩存數(shù)據(jù)，也有BRO/Zeek的開源NIDS的數(shù)據(jù)，這些數(shù)據(jù)對接個(gè)EQL語言進(jìn)行統(tǒng)一分析。圖16：EQL語言示意圖這個(gè)語言的形式有shell類型PS2，也有l(wèi)ib類型。比較局限的是要輸入Json為sql語言和shell的結(jié)合體。既有sql的條件查詢和聯(lián)合查詢，也有內(nèi)置函數(shù)，同時(shí)也有shell的管道操作方式，有點(diǎn)類似于splunk的SPL（SearchProcessingLanguage）語言。這個(gè)語言本質(zhì)上屬于ThreatHunting（威脅捕獲）領(lǐng)域，因?yàn)檫@個(gè)領(lǐng)域目前也比較受關(guān)注，后面還會(huì)有文章專門講解。該語言在開源領(lǐng)域影響力較大，尤其是跟ATT&CK的結(jié)合比較好，除了提供語言能力外，還有很多跟TTPs結(jié)合的分析腳本。DeTT&CT項(xiàng)目DeTT&CT（DEtectTechniques&CombatThreats）項(xiàng)目，主要是幫助藍(lán)隊(duì)利用框架提高安全防御水平。用于幫助防御團(tuán)隊(duì)評(píng)估日志質(zhì)量、檢測覆蓋度的工具，可以通過yaml文件填寫相關(guān)的技術(shù)水平，通過腳本進(jìn)行評(píng)估，自動(dòng)導(dǎo)出Navigator以識(shí)別的文件，導(dǎo)入之后可以自動(dòng)標(biāo)記，也可以通過excel導(dǎo)出，很快的看出關(guān)于數(shù)據(jù)收集、數(shù)據(jù)質(zhì)量、數(shù)據(jù)豐富度（透明度）、檢測方式等的覆蓋度。圖17：數(shù)據(jù)收集質(zhì)量示意圖CTI（CyberThreatIntelligence）Team使用框架的創(chuàng)建及更新都是來源于威脅情報(bào)?？蚣苁峭{情報(bào)抽象的最高層次，從戰(zhàn)術(shù)、技術(shù)和步驟（TTPs）攻擊層面。下圖是威脅情報(bào)內(nèi)容對于黑客的“痛苦金字塔”。總體來講，威脅情報(bào)分析得越透徹，黑客攻擊繞過的難度就越高。最高級(jí)別是TTP的檢測，這是因?yàn)槿绻軌驅(qū)崿F(xiàn)黑客行為的檢測，基本就很容易定位黑客組織；如果只是能夠?qū)崿F(xiàn)hash、IP、DNS則很容易被黑客繞過。圖18：痛苦金字塔威脅情報(bào)項(xiàng)目分為四個(gè)部分：戰(zhàn)略級(jí)、戰(zhàn)術(shù)級(jí)、運(yùn)營級(jí)和技術(shù)級(jí)。我們目前的技術(shù)主要集中在運(yùn)營級(jí)和技術(shù)級(jí)。而各個(gè)級(jí)別都具有重大指導(dǎo)作用。圖19：ENISA的CTI項(xiàng)目圖Sigma項(xiàng)目Sigma項(xiàng)目是一個(gè)SIEM的特征庫格式項(xiàng)目。該項(xiàng)目可以直接使用sigma格式進(jìn)行威脅檢測的描述，可以進(jìn)行共享，也可以進(jìn)行不同SIEM系統(tǒng)的格式轉(zhuǎn)換。下圖展示了simga主要解決的問題場景。圖20：Sigma用途示意圖Sigma的描述方式是使用yaml格式表示，比較容易理解。比如windows下使用sysmon檢測webshell，如下圖所示。圖21：使用sysmon檢測webshell的示例還有專門針對sigma的editor，可以方便地編寫相關(guān)的威脅檢測規(guī)則。Sigma還可以將自身格式的規(guī)則轉(zhuǎn)換到一些主流的SIEM系統(tǒng)中直接使用，這個(gè)工具目前可以支持的系統(tǒng)如下圖所示：圖22：Sigma支持的系統(tǒng)Sigma的規(guī)則在ATT&CK框架中的覆蓋度如下圖所示，也是覆蓋了一部分的檢測規(guī)則：圖23：Sigma規(guī)則在ATT&CK框架中的覆蓋度MISP項(xiàng)目惡意軟件信息共享平臺(tái)MISP（MalwareInformationSharingPlatform）歐盟在資助這個(gè)項(xiàng)目。使用這個(gè)系統(tǒng)是通過安裝一個(gè)實(shí)例達(dá)到的，可以理解為，威脅情報(bào)中心會(huì)定期同步威脅事件給每個(gè)實(shí)例。每個(gè)子節(jié)點(diǎn)的實(shí)例也可以創(chuàng)建新的事件，形成新的威脅情報(bào)發(fā)送到威脅情報(bào)中心。也可以查看歷史的威脅情報(bào)記錄，也可以導(dǎo)出相關(guān)的數(shù)據(jù)，同時(shí)也支持API方式。雖然這個(gè)項(xiàng)目相對比較復(fù)雜，但功能較多，適合比較成熟使用威脅情報(bào)的單位。圖24：MISP威脅情報(bào)平臺(tái)示意圖misp-galaxy這個(gè)項(xiàng)目中目前已經(jīng)集成了ATT&CK框架，可以將MISP中的數(shù)據(jù)映射到ATT&CK框架中。CSO使用CSO作為安全的最終負(fù)責(zé)人，當(dāng)然上面3個(gè)組的工作內(nèi)容都得大致清晰，更重要的是知道如何評(píng)估，并且利用安全防護(hù)能力。AtomicThreatCoverage項(xiàng)目該項(xiàng)目的重點(diǎn)組成部分其實(shí)是上面提到的兩個(gè)項(xiàng)目——RedCanary?AtomicRed和Sigma檢測。響應(yīng)使用ES和Hive進(jìn)行分析。這個(gè)項(xiàng)目更像是個(gè)組織型項(xiàng)目，真正看重在企業(yè)的落地情況。當(dāng)然這個(gè)架構(gòu)不一定是最優(yōu)的架構(gòu)，可能我會(huì)在響應(yīng)方面要加上EQL的內(nèi)容。圖25：AtomicThreatCoverage項(xiàng)目示意圖這個(gè)架構(gòu)更像是某個(gè)企業(yè)內(nèi)部的一種使用場景：紅隊(duì)模擬攻擊，藍(lán)隊(duì)檢測攻擊并做出響應(yīng)，此外還有一些緩解措施。CSO可以利用ATT&CK框架在內(nèi)部不斷演練，按照ATT&CK的覆蓋度來看到安全能力的改進(jìn)情況。與以往每個(gè)團(tuán)隊(duì)的消息不對稱，各司其職又沒有統(tǒng)一的目標(biāo)相比，該框架將3個(gè)團(tuán)隊(duì)結(jié)合起來，讓其按照升安全防護(hù)能力的目的。ATT&CK的常見使用場景這里就介紹到這里了，如下圖所示：圖26：ATT&CK的常見使用場景常見的內(nèi)容是模擬攻擊、評(píng)估和提高防御能力、威脅情報(bào)提取和建模、威脅評(píng)估和分析。ATT&CK框架涵蓋的內(nèi)容還有很多沒有介紹，比如Pre-ATT&CK、mobile、ICS、Evaluation、SOCAssessment及Sightings等等。我們希望與大家攜手努力，共同研究這個(gè)來源于真實(shí)場景的安全框架，為提高安全能力、維護(hù)網(wǎng)絡(luò)安全貢獻(xiàn)綿薄之力。\hanquanneican@163.com。一文看懂框架以及使用場景實(shí)例\h/post/id/187998Google趨勢顯示，這個(gè)帶著奇怪的“＆”符號(hào)的詞語——ATT＆CK非常受歡迎。但是，MITREATT＆CK?的內(nèi)涵是什么呢？為什么網(wǎng)絡(luò)安全專家應(yīng)該關(guān)注ATT＆CK呢？過去12個(gè)月中，對MITREATT＆CK的搜索熱度顯著增長一、ATT&CK框架背景介紹MITRE是美國政府資助的一家研究機(jī)構(gòu)，該公司于1958年從MIT分離出來，并參與了許多商業(yè)和最高機(jī)密項(xiàng)目。其中包括開發(fā)中交通管制系統(tǒng)和機(jī)載雷達(dá)系統(tǒng)。MITRE在美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的資助下從事了大量的網(wǎng)絡(luò)安全實(shí)踐。MITRE在2013年推出了模型，它是根據(jù)真實(shí)的觀察數(shù)據(jù)來描述和分類對抗行為。表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）他機(jī)制都非常有用。MITRE的目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。在過去的一年中，MITRE業(yè)中廣受歡迎。簡單來說，ATT&CK是MITRE提供的“對抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識(shí)庫。會(huì)詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對于防御者來說很重要。這極大地幫助了安全人員更快速地了些內(nèi)容，才能減輕或檢測由于入侵技術(shù)濫用造成的影響。這時(shí)候，ATT&CK場景示例就派上用場了。針對每種技術(shù)都有具體場景示例，說明攻擊者是如何通過某一惡意軟件或行動(dòng)方案來利用該技術(shù)的。每個(gè)示例都采用Wikipedia安全研究團(tuán)隊(duì)發(fā)表的文章。因此如果中沒有直接提供內(nèi)容，通常可以在這些鏈接的文章中找到。因此，現(xiàn)在很多企業(yè)都開始研究ATT&CK，在這一過程中通常會(huì)看到企業(yè)組織采用兩種方法。首先是盤點(diǎn)其安全工具，讓安全廠商提供一份對照覆蓋范圍的映射圖。盡管這是最簡單、最快速的方法，但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式緩解其中一部分技術(shù)，并不意味著攻擊者無法以其它方式濫用這項(xiàng)技術(shù)。二、MITREATT＆CK與KillChain的對比總體來說，ATT&CK模型是在洛克希德-馬丁公司提出的KillChain目前模型分為三部分，分別是PRE-ATT&CK，ATT&CKforEnterprise和forMobile。其中PRE-ATT&CK覆蓋KillChain模型的前兩個(gè)階段，包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。forEnterprise覆蓋KillChain的后五個(gè)階段，ATT&CKforEnterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分。forMobile包含適用于移動(dòng)設(shè)備的戰(zhàn)術(shù)和技術(shù)。但是，ATT&CK的戰(zhàn)術(shù)跟洛克希德·目標(biāo)。沒有一種戰(zhàn)術(shù)比其它戰(zhàn)術(shù)更重要。企業(yè)組織必須對當(dāng)前覆蓋范圍進(jìn)行分析，評(píng)估組織面臨的風(fēng)險(xiǎn)，并采用有意義措施來彌合差距。除了在KillChain戰(zhàn)術(shù)上更加細(xì)化之外，ATT＆CK還描述了可以在每個(gè)階段使用的技術(shù)，而KillChain則沒有這些內(nèi)容。三、ATT＆CK框架的使用從視覺角度來看，MITRE矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部，每列下面列出了單獨(dú)的技術(shù)。一個(gè)攻擊序列按照戰(zhàn)術(shù)，至少包含一個(gè)技術(shù)，并且通過從左側(cè)（初始訪問）向右側(cè)（影響）了一個(gè)完整的攻擊序列。一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如，攻擊者可能同時(shí)嘗試魚叉式網(wǎng)絡(luò)釣魚攻擊中的釣魚附件和釣魚鏈接。ATT＆CK矩陣頂部為攻擊戰(zhàn)術(shù)，每列包含多項(xiàng)技術(shù)戰(zhàn)術(shù)按照邏輯分布在多個(gè)矩陣中，并以“初始訪問”的一項(xiàng)技術(shù)。中的每種技術(shù)都有唯一的ID號(hào)碼，例如，此處所使用的技術(shù)。矩陣中的下一個(gè)戰(zhàn)術(shù)是“執(zhí)行”。在該戰(zhàn)術(shù)下，有“用戶執(zhí)行/T1204”技術(shù)。該技術(shù)描述了在用戶執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中，您將遇到“提升特權(quán)”、“橫向移動(dòng)”和“滲透”之類的戰(zhàn)術(shù)。攻擊者無需使用矩陣頂部所示的所有12發(fā)現(xiàn)的幾率。例如，對手使用電子郵件中傳遞的魚叉式網(wǎng)絡(luò)釣魚鏈接對CEO行政助理的憑據(jù)進(jìn)行“初始訪問”。獲得管理員的憑據(jù)后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠(yuǎn)程系統(tǒng)。接下來可能是在Dropbox文件夾中尋找敏感數(shù)據(jù)，管理員對此也有訪問權(quán)限，因此無需提升權(quán)限。然后攻擊者通過將文件從Dropbox下載到攻擊者的計(jì)算機(jī)來完成收集。攻擊示例（攻擊中使用了不同戰(zhàn)術(shù)中的技術(shù)）導(dǎo)航工具是一個(gè)很有用的工具，可用于映射針對技術(shù)的控制措施?？梢蕴砑硬煌膶?，來顯示特定的檢測控制措施久化的解決方案。下文，筆者將針對ATT&CK框架中的12種戰(zhàn)術(shù)的中心思想以及如何緩解和檢測戰(zhàn)術(shù)中的某些技術(shù)進(jìn)行一些解讀。01、初始訪問盡管ATT&CK并不是按照任何線性順序排列的，但初始訪問是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)。對于企業(yè)來說，該戰(zhàn)術(shù)是從PRE-ATT&CK到ATT&CK的理想過渡點(diǎn)。攻擊者會(huì)使用不同技術(shù)來實(shí)現(xiàn)初始訪問技術(shù)。例如，假設(shè)攻擊者使用Spearphishing（魚叉式）附件。附件本身將利用某種類型的漏洞來實(shí)現(xiàn)該級(jí)別的訪問，例如PowerShell或其技術(shù)和方法可用于減輕和檢測每種技術(shù)的濫用情況。此外，安全人員也可以將和CIS控制措施相結(jié)合，這將發(fā)揮更大作用。對于初始訪問這種戰(zhàn)術(shù)，我認(rèn)為其中三項(xiàng)CIS能發(fā)揮極大作用?？刂拼胧?：控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶或讓管理員打開spearphishing加輕松?？刂拼胧?：電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用?？刂拼胧?6測網(wǎng)絡(luò)中有效帳戶濫用的功能。初始訪問是攻擊者將在企業(yè)環(huán)境中的落腳點(diǎn)。想要盡早終止攻擊，那么“初始訪問”了CIS控制措施并且正在開始采用的方法，這將會(huì)很有用。02、執(zhí)行在對手在進(jìn)攻中所采取的所有戰(zhàn)術(shù)中，應(yīng)用最廣泛的戰(zhàn)術(shù)莫過于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時(shí)，他們都會(huì)選擇“執(zhí)行”松查找其惡意可執(zhí)行文件。此外，對于命令行界面或PowerShell術(shù)。這些類型的技術(shù)對攻擊者的威力在于，終端上已經(jīng)安裝了上述技術(shù)，而且很少會(huì)刪除。系統(tǒng)管理員和高級(jí)用戶每天都依賴其中一些內(nèi)置工具。中的緩解控制措施甚至聲明了，這些控制措施也無法刪除上述技術(shù)，只能對其進(jìn)行審計(jì)。而攻擊者所依賴的就是，終端上安裝采用了這些技術(shù)，因此要獲得對攻擊者的優(yōu)勢，只能對這些技術(shù)進(jìn)行審計(jì)，然后將它們相關(guān)數(shù)據(jù)收集到中央位置進(jìn)行審核?？赡芊稿e(cuò)。如果企業(yè)當(dāng)前正在應(yīng)用CIS關(guān)鍵安全控制措施，該戰(zhàn)術(shù)與控制措施2——無法防護(hù)自己未知的東西，因此，第一步是要了解自己的財(cái)產(chǎn)。要正確利用ATT&CK，企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會(huì)給企業(yè)組織帶來的額外風(fēng)險(xiǎn)。在這個(gè)環(huán)節(jié)中，可以采用一些安全廠商的資產(chǎn)清點(diǎn)工具，例如青藤等主機(jī)安全廠商都能提供詳細(xì)的軟件資產(chǎn)清單。03、持久化人員采取重啟、更改憑據(jù)等措施后，持久化仍然可以讓計(jì)算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。例如注冊表Run鍵、啟動(dòng)文件夾是最常用的技術(shù)，這些注冊表鍵或文件系統(tǒng)位置在每次啟動(dòng)計(jì)算機(jī)時(shí)都會(huì)執(zhí)行。因此攻擊者在啟動(dòng)諸如Web瀏覽器或MicrosoftOffice等常用應(yīng)用時(shí)開始獲得持久化。此外，還有使用“鏡像劫持（IFEO）注入”的原理添加鍵值，實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過快捷鍵運(yùn)行自己的程序。在所有戰(zhàn)術(shù)中，筆者認(rèn)為持久化是最應(yīng)該關(guān)注的戰(zhàn)術(shù)之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會(huì)重技術(shù)相比，使用持久化攻擊應(yīng)該相對容易一些。04、提升權(quán)限所有攻擊者都會(huì)對提權(quán)愛不釋手，利用系統(tǒng)漏洞達(dá)到root使用，Hooking和進(jìn)程注入就是兩個(gè)示例。該戰(zhàn)術(shù)中的許多技術(shù)都是針對被攻擊的底層操作系統(tǒng)而設(shè)計(jì)，要緩解可能很困難。提出“應(yīng)重點(diǎn)防止對抗工具在活動(dòng)鏈中的早期階段運(yùn)行，并重點(diǎn)識(shí)別隨后的惡意行為。”這意味著需要利用縱深防御來防止感染病毒，例如終端的外圍防御或應(yīng)用白名單。對于超出基線。例如CIS基線提供了詳細(xì)的分步指南，指導(dǎo)企業(yè)如何加固系統(tǒng)，抵御攻擊。應(yīng)對此類攻擊戰(zhàn)術(shù)另一個(gè)辦法是審計(jì)日志記錄。當(dāng)攻擊者采用其中某些技術(shù)時(shí)，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對主機(jī)側(cè)的日志，如果能夠記錄服務(wù)器的所有運(yùn)維命令，進(jìn)行存證以及實(shí)時(shí)審計(jì)。例如，實(shí)時(shí)審計(jì)運(yùn)維人員在服務(wù)器上操作步驟，一旦發(fā)現(xiàn)不合規(guī)行為可以進(jìn)行實(shí)時(shí)告警，也可以作為事后審計(jì)存證。也可以將數(shù)據(jù)信息對接給SOC系統(tǒng)。05、防御繞過到目前為止，該戰(zhàn)術(shù)所擁有的技術(shù)是MITREATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個(gè)有趣之處是某些惡意軟件，例如勒索軟件，對防御繞過毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。一些技術(shù)可以騙過防病毒文件刪除和修改注冊表都是可以利用的技術(shù)。當(dāng)然防御者可以通過監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會(huì)讓入侵無處遁形。06、憑據(jù)訪問毫無疑問，攻擊者最想要的憑據(jù)，尤其是管理憑據(jù)。如果攻擊者可以登錄，為什么要用0Day入房子，如果能夠找到鑰匙開門，沒人會(huì)愿意砸破窗戶方式進(jìn)入。在明文文件、數(shù)據(jù)庫甚至注冊表中。攻擊者入侵一個(gè)系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見。監(jiān)視有效帳戶的使用情況。在很多情況下，是通過有效賬戶發(fā)生的數(shù)據(jù)泄露。當(dāng)然最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。即使存在針對雙重驗(yàn)證的攻擊，有雙重驗(yàn)證（2FA）可以確保破解密碼的攻擊者在訪問環(huán)境中的關(guān)鍵數(shù)據(jù)時(shí)，仍會(huì)遇到另一個(gè)障礙。07、發(fā)現(xiàn)“發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。它與洛克希德·馬丁網(wǎng)絡(luò)KillChain的偵察階段有很多相似之處。組織機(jī)構(gòu)要正常運(yùn)營業(yè)務(wù)，肯定會(huì)暴露某些特定方面的內(nèi)容。到對手的活動(dòng)。通過監(jiān)視，可以跟蹤用戶是否正在訪問不應(yīng)訪問的文檔。正常現(xiàn)象，并為預(yù)期行為設(shè)定基準(zhǔn)時(shí)，會(huì)在嘗試使用這一戰(zhàn)術(shù)時(shí)有所幫助。08、橫向移動(dòng)尋找其它攻擊目標(biāo)。攻擊者通常會(huì)先尋找一個(gè)落腳點(diǎn)，然后開始在各個(gè)系統(tǒng)中移動(dòng)，尋找更高的訪問權(quán)限，以期達(dá)成最終目標(biāo)。也將有助于限制橫向移動(dòng)。遵循CIS控制措施14——基于需要了解受控訪問是一個(gè)很好的切入點(diǎn)。除此之外，還應(yīng)遵循控制措施4——控制管理員權(quán)限的使用。正在濫用有效憑據(jù)。除了監(jiān)視身份驗(yàn)證日志外，審計(jì)日志也很重要。域控制器上的事件ID4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據(jù)傳遞攻擊?；蛘撸绻粽邽E用遠(yuǎn)程桌面協(xié)議，審計(jì)日志將提供有關(guān)攻擊者計(jì)算機(jī)的信息。09、收集“收集”這些技術(shù)的實(shí)際指導(dǎo)。實(shí)際上，大多數(shù)都是含糊其辭，稱使用應(yīng)用白名單，或者建議在生命周期的早期階段阻止攻擊者。上的敏感數(shù)據(jù)以及網(wǎng)絡(luò)上其它地方的數(shù)據(jù)。了解企業(yè)存儲(chǔ)敏感數(shù)據(jù)的位置，并采用適當(dāng)?shù)目刂拼胧┘右员Ｗo(hù)。這個(gè)過程遵循CIS控制措施14——基于需要了解受控訪問,防止數(shù)據(jù)落入敵手。對于極其敏感的數(shù)據(jù)，可查看更多的日志記錄，了解哪些人正在訪問該數(shù)據(jù)以及他們正在使用該數(shù)據(jù)做什么。10、命令和控制于每種命令和控制，攻擊者都是從遠(yuǎn)程位置訪問網(wǎng)絡(luò)。因此了解網(wǎng)絡(luò)上發(fā)生的事情對于解決這些技術(shù)至關(guān)重要。使用80和443等端口來嘗試混入網(wǎng)絡(luò)噪音中。在這種情況下，企業(yè)需要使用邊界防火墻來提供威脅情報(bào)數(shù)據(jù)，識(shí)別惡意URL和IP地址。雖然這不會(huì)阻止所有攻擊，但有助于過濾一些常見的惡意軟件。分析。例如Splunk等工具為識(shí)別惡意命令和控制流量提供了良好的方案。11、數(shù)據(jù)滲漏通常對數(shù)據(jù)逐漸滲出沒有興趣。與“收集”戰(zhàn)術(shù)一樣，該戰(zhàn)術(shù)對于如何緩解攻擊者獲取公司數(shù)據(jù)，幾乎沒有提供指導(dǎo)意見。在數(shù)據(jù)通過網(wǎng)絡(luò)滲漏的情況下，建立網(wǎng)絡(luò)入侵檢測或預(yù)防系統(tǒng)有助于識(shí)別何時(shí)傳輸數(shù)據(jù)，尤其是在攻擊者竊取大量數(shù)據(jù)（庫）的情況下。此外，盡管DLP成本高昂，程序復(fù)雜，但可以確定敏感數(shù)據(jù)何時(shí)會(huì)泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的，所以部署一個(gè)縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù)，那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動(dòng)器的訪問權(quán)限，例如USB限，即可禁用他們裝載外部驅(qū)動(dòng)器的功能。要正確地解決這個(gè)戰(zhàn)術(shù)，首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。如果這些數(shù)據(jù)還在，可以按照CIS控制措施14——基于需要了解受控訪問，來確保數(shù)據(jù)安全。之后，按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說明了解如何監(jiān)視試圖訪問數(shù)據(jù)的用戶。12、影響但可能已經(jīng)更改為有利于對手的目標(biāo)。這些技術(shù)可能被對手用來完成他們的最終目標(biāo)，或者為機(jī)密泄露提供掩護(hù)。文件或數(shù)據(jù)使存儲(chǔ)的數(shù)據(jù)無法恢復(fù)。針對這類破壞可以考慮實(shí)施IT災(zāi)難恢復(fù)計(jì)劃，其中包含用于進(jìn)行可用于還原組織數(shù)據(jù)的常規(guī)數(shù)據(jù)備份的過程。四、ATT&CK使用場景在各種日常環(huán)境中都很有價(jià)值。開展任何防御活動(dòng)時(shí)，可以應(yīng)用分類法，參考攻擊者及其行為。不僅為可以使用多種方式來使用MITRE。下文是一些常見的主要場景：對抗模擬ATT＆CK可用于創(chuàng)建對抗性模擬場景，測試和驗(yàn)證針對常見對抗技術(shù)的防御方案。紅隊(duì)/滲透測試活動(dòng)紅隊(duì)、紫隊(duì)和滲透測試活動(dòng)的規(guī)劃、執(zhí)行和報(bào)告可以使用ATT＆CK，以便防御者和報(bào)告接收者以及其內(nèi)部之間有一個(gè)通用語言。制定行為分析方案ATT＆CK可用于構(gòu)建和測試行為分析方案，以檢測環(huán)境中的對抗行為。防御差距評(píng)估ATT＆CK可以用作以行為為核心的常見對抗模型，以評(píng)估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITREATT＆CK時(shí)，大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開發(fā)某種檢測或預(yù)防控制措施。雖然這并不是一個(gè)壞主意，但是的所有可能方法。由于某種工具阻止了用另一種形式來采用這種技術(shù)，而組織機(jī)構(gòu)已經(jīng)適當(dāng)?shù)夭捎昧诉@種技術(shù)，這可能導(dǎo)致產(chǎn)生一種虛假的安全感。但是，攻擊者仍然可以成功地采用其他方式來采用該技術(shù)，但防御者卻沒有任何檢測或預(yù)防措施。SOC成熟度評(píng)估可用作一種度量，確定SOC在檢測、分析和響應(yīng)入侵方面的有效性。SOC團(tuán)隊(duì)可以參考和戰(zhàn)術(shù)。這有助于了解防御優(yōu)勢和劣勢在哪里，并驗(yàn)證緩解和檢測控制措施，并可以發(fā)現(xiàn)配置錯(cuò)誤和其他操作問題。網(wǎng)絡(luò)威脅情報(bào)收集對于網(wǎng)絡(luò)威脅情報(bào)很有用，因?yàn)槭窃谟靡环N標(biāo)準(zhǔn)方式描述對抗行為?？梢愿鶕?jù)攻擊者已知利用的中的技術(shù)和戰(zhàn)術(shù)來跟蹤攻擊主體。這為防御者提供了一個(gè)路線圖，讓他們可以對照他們的操作控制措施，查看對某些攻擊主體而言，他們在哪些方面有弱點(diǎn)，在哪些方面有優(yōu)勢。針對特定的攻擊主體，創(chuàng)建MITRE導(dǎo)航工具內(nèi)容，是一種觀察環(huán)境中對這些攻擊主體或團(tuán)體的優(yōu)勢和劣勢的好方法。還可以為STIX2.0中。ATT＆CK提供了將近70個(gè)攻擊主體和團(tuán)體的詳細(xì)信息，包括根據(jù)開放源代碼報(bào)告顯示，已知他們所使用的技術(shù)和工具。使用的通用語言，為情報(bào)創(chuàng)建過程提供了便利。如前所述，這適用于攻擊主體和團(tuán)體，但也適用于從SOC觀察到的行為。也可以通過介紹惡意軟件的行為。任何支持的威脅情報(bào)工具都可以簡化情報(bào)創(chuàng)建過程。將CK人員或管理人員變得容易得多了。如果運(yùn)營人員確切地知道什么是強(qiáng)制驗(yàn)證，并且在情報(bào)報(bào)告中看到了這一信息，則他們可能確切地知道應(yīng)該對該情報(bào)采取什么措施或已經(jīng)采取了哪些控制措施。以這種方式，實(shí)現(xiàn)對情報(bào)產(chǎn)品介紹的標(biāo)準(zhǔn)化可以大大提高效率并確保達(dá)成共識(shí)。寫在最后MITRE為大家提供了法并避免傳統(tǒng)安全工具的檢測，因此防御者不得不改變檢測和防御方式。改變了我們對IP地址和域名等低級(jí)指標(biāo)的認(rèn)知，并讓我們從行為的視角來看待攻擊者和防御措施。與過去“一勞永逸”的工具相比，檢測和預(yù)防行為之路要困難得多。此外，隨著防御者帶來新的功能，攻擊者肯定會(huì)作出相應(yīng)調(diào)整。新步伐。論溯源反制之思想\h/posts/OLZg進(jìn)論溯源反制之思想2016年4月，國家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話指出，“網(wǎng)絡(luò)安全的本質(zhì)是對抗，對抗的本質(zhì)是攻防兩端能力的較量。”是我國核心競爭力的一種優(yōu)勢；本質(zhì)上是人與人之間的對抗，而網(wǎng)絡(luò)終端、網(wǎng)絡(luò)設(shè)備、介質(zhì)以及各種工具和平臺(tái)僅僅是作為輔助手段而存在。因此如何使網(wǎng)絡(luò)安全人員合理的利用手中的各種工具和策略來提高網(wǎng)絡(luò)安全對抗水平，是培養(yǎng)“才隊(duì)伍”安全再上新高度。同年，《網(wǎng)絡(luò)安全法》頒布，出臺(tái)網(wǎng)絡(luò)安全演練相關(guān)規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)“練”。自此實(shí)戰(zhàn)化的“HW行動(dòng)”成為慣例。結(jié)合四年來HW的經(jīng)驗(yàn)，以及對近年來國內(nèi)外實(shí)戰(zhàn)對抗的總結(jié)后，我認(rèn)為要想把HW和小規(guī)模網(wǎng)絡(luò)對抗的防御工作做好，必須解決兩個(gè)問題：第一、在實(shí)戰(zhàn)對抗方案中，大部分的方案都在做“點(diǎn)”戰(zhàn)對抗中的效果，主要是將以往安全建設(shè)的方案進(jìn)行重新包裝，即：新壇裝老酒；第二、以往的方法論，包括：等保、ISMS、ITIL略及直接有效的操作方針來阻擋攻擊者。戰(zhàn)型網(wǎng)絡(luò)攻擊；具體操作指南需要根據(jù)實(shí)際業(yè)務(wù)場景和IT環(huán)境進(jìn)行細(xì)化。就目前而言，各種網(wǎng)絡(luò)安全的法律法規(guī)的出臺(tái)，網(wǎng)絡(luò)安全大檢驗(yàn)一個(gè)企業(yè)安全能力的手段。那什么樣的戰(zhàn)略戰(zhàn)術(shù)和反制手法是值得借鑒的呢，這也是對處于攻防演練中的防守方是一種考驗(yàn)。部署，常規(guī)出現(xiàn)的、容易被用戶感知的異常點(diǎn)舉例如下：網(wǎng)頁被篡改、被掛上了黑鏈、web文件丟失等數(shù)據(jù)庫被篡改、web系統(tǒng)運(yùn)行異常影響可用性、web用戶密碼被篡改等主機(jī)出現(xiàn)運(yùn)行異常反應(yīng)卡頓、文件被加密、主機(jī)系統(tǒng)出現(xiàn)其他用戶等主機(jī)流量層出現(xiàn)大量異常流量根據(jù)用戶現(xiàn)場的情況往往還需要做一些信息收集的工作比如，出現(xiàn)異常的時(shí)間點(diǎn)(非常重要)、異常服務(wù)器的主要業(yè)務(wù)情況、大致的一個(gè)網(wǎng)絡(luò)拓?fù)涫遣皇窃贒MZ區(qū)、是否可以公網(wǎng)訪問、開放了那些端口、是否有打補(bǔ)丁、使用了怎么樣的一個(gè)web技術(shù)、最近是否做過什該規(guī)避風(fēng)險(xiǎn)，采取何種策略；一個(gè)web服務(wù)器公網(wǎng)可以訪問出現(xiàn)了被掛黑鏈的事件使用框架類，那么初步可以懷疑是命令執(zhí)行漏洞了；如果一臺(tái)公網(wǎng)服務(wù)器沒有安裝補(bǔ)丁又沒有防火墻防護(hù)，administrator的密碼為P@sswrod功；后面的工作主要就是收集各種資料證明這一猜想即可。一般web類的安全事件在web常見幾個(gè)中間件的日志如下：apache的日志路徑一般配置在httpd.conf的目錄下或者位于/var/log/httpIIS的日志默認(rèn)在系統(tǒng)目錄下的Logfiles下的目錄當(dāng)中tomcat一般位于tomcat安裝目錄下的一個(gè)logs文件夾下面Nginx日志一般配置在nginx.conf或者vhost的conf文件中工欲善其事必先利其器，一般日志量都比較大。互聯(lián)網(wǎng)上還是有很多的日志檢測工具，個(gè)人不是很喜歡用主要工具還是notepad++和SublimeText跟進(jìn)收集的信息比如時(shí)間點(diǎn)這種情況，對時(shí)間點(diǎn)前后的請求日志進(jìn)行分析，一般都都能發(fā)現(xiàn)一些異常。為了方便的識(shí)別一些日志，github多，一檢查往往也會(huì)發(fā)現(xiàn)很多無效的攻擊，篩選起來反而感覺更麻煩。推薦一個(gè)小工具：web-log-parser為開源的分析web日志工具，采用python多，實(shí)在不行就自己定義好規(guī)則搞一個(gè)。連接如下：\h/JeffXue/web-log-parser在處理一些訪問訪問、網(wǎng)頁更改的時(shí)候、上傳路徑、源IP息往往都能定位到入口點(diǎn)。常見的一些入口點(diǎn)舉例如下：一些CMS的EXP，比如DiscuzEmpireSpring涉及面相對較廣。編輯器的上傳漏洞，比如知名的FCK編輯器、UEditor之類。功能性上傳過濾不嚴(yán)格，比如頭像上傳資料上傳界面一些過濾嚴(yán)格導(dǎo)致的上傳漏洞。Webadmin賬戶、或者是tomcat的managerAxis2弱口令用戶、Openfire弱口令等等同時(shí)web系統(tǒng)往往容易存在一些webshell的情況，經(jīng)常在一些上傳目錄里面找到一些webshell、明明是個(gè)JSP的網(wǎng)頁還出現(xiàn)了一個(gè)的一句話。一般需要重點(diǎn)關(guān)注一下。推薦用D盾對web系統(tǒng)的目錄進(jìn)行掃描。掃描出來的webshell時(shí)間上傳時(shí)間、文件創(chuàng)建時(shí)間、文件修改時(shí)間往往準(zhǔn)確性都比較高，一般不會(huì)去更改這個(gè)時(shí)間，用來在日志當(dāng)中排查就相對容易的多。以前一直覺得一些蠕蟲病毒都挺逗的很多傳播方法居然只是依靠暴力破解和MS17-010之類的漏洞傳播，感覺波及面應(yīng)該比較小后面才發(fā)現(xiàn)這個(gè)方法簡單粗暴反而最有效。對于Linux平臺(tái)相對安全性偏高一些，常見的幾個(gè)病毒如XorDDOS、DDG、XNote/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等信息/var/log/lastlog記錄登錄的用戶，可以使用命令lastlog查看/var/log/secure記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否/var/log/cron記錄crontab命令是否被正確的執(zhí)行g(shù)rep,sed,sort,awk幾個(gè)命令靈活運(yùn)用、關(guān)注Accepted、Failedpassword、invalid特history命令，黑客的操作了?？梢灾攸c(diǎn)看一下還剩下那些日志、或者關(guān)注一下網(wǎng)絡(luò)層面是不是還有其他的安全設(shè)置可以在流量層進(jìn)行溯源分析的。源于Linux一切皆文件與開源的特性，在溯源的過程中也有好處也有壞處，rootkit就是最麻煩的一件事情了。由于系統(tǒng)一些常用的命令明文都已經(jīng)被更改和替換，此系統(tǒng)已經(jīng)變得完全不可信，在排查溯源的過程中往往不容易發(fā)覺對安全服務(wù)的人員就有較高的技術(shù)要求了。Windows平臺(tái)下面的溯源就相對容易一些當(dāng)然主要還是依靠windows的日志一般用eventvwr命令打開事件查看器。默認(rèn)分為三類：應(yīng)用程序、安全、性統(tǒng)以evt文件形式存儲(chǔ)在%systemroot%\system32\config目錄；合理使用篩選器往往可以幫助我們更好的排查日志，比如懷疑是暴力破解入侵的篩選事件ID==4625審核失敗的日志，后續(xù)通過對時(shí)間的排查、以及源IP地址、類型與請求的頻率進(jìn)行分析來判斷是否是來源于內(nèi)網(wǎng)的暴力破解通過系統(tǒng)內(nèi)部的日志來判斷是否是惡意進(jìn)程的運(yùn)行狀態(tài)，對logontype的數(shù)值確認(rèn)就可以確認(rèn)到底是通過什么協(xié)議進(jìn)行暴力破解成功的；相對的數(shù)值關(guān)系如下：localWINDOWS_RDP_INTERACTIVE="2"localWINDOWS_RDP_UNLOCK="7"localWINDOWS_RDP_REMOTEINTERACTIVE="10"localWINDOWS_SMB_NETWORK="3"Windows系統(tǒng)的補(bǔ)丁相對重要一些，一些關(guān)鍵的補(bǔ)丁沒有打很容易遭受到攻擊成功的事件。重點(diǎn)就關(guān)注一些常見的比如ms17-010ms08-067ms16-032等安全補(bǔ)丁都是內(nèi)網(wǎng)滲透常用的攻擊包?？梢酝ㄟ^sysintemfo可以查看到當(dāng)前系統(tǒng)當(dāng)中已經(jīng)安裝的補(bǔ)丁。此外windows下面還包括很多域控的安全日志，因?yàn)閮?nèi)容太多就不再展開敘述，溯源主要還是想還原攻擊路徑，通過windows訪問關(guān)系攻擊者的攻擊鏈條，給用戶一個(gè)交代就好。數(shù)據(jù)庫系統(tǒng)也是攻擊者入口點(diǎn)的一些重災(zāi)區(qū)，常見的比如msssqlserver由于數(shù)據(jù)往往在window環(huán)境下安裝后具有較高的權(quán)限，一些用戶經(jīng)常安裝完成之后也不會(huì)怎么去加固數(shù)據(jù)庫，基于庫站分離的原則很多mssql公網(wǎng)直接就可以訪問訪問控制策略比較弱，弱口令的問題尤為突出。比如下對于mssql的sa用戶暴力破解日志，里面也記錄著客戶端的IP地址如果沒有配置相關(guān)的鎖定策略在密碼不夠嚴(yán)格的情況下容易被攻陷。攻擊者爆破成功之后啟動(dòng)xp_shell往往就可以以高權(quán)限執(zhí)行系統(tǒng)命令，拿到了一個(gè)windows的shell豈不是為所欲為。Linux平臺(tái)下面還有一個(gè)redisDDG挖礦、WatchDog挖礦等病毒都主要利用redis未授權(quán)訪問執(zhí)行命令，從互聯(lián)網(wǎng)拉取挖礦程序?qū)懭雜sh的公鑰等功能?？匆姳镜亻_放了6379端口的時(shí)候還是需要重點(diǎn)關(guān)注這個(gè)問題，多向用戶咨詢一下使用情況查看一下默認(rèn)配置。還有一些常用的系統(tǒng)比如mysql數(shù)據(jù)庫暴力破解提權(quán)一套裝、未授權(quán)訪問漏洞、釣魚郵件、破解軟件后門、惡意的office宏、office碼執(zhí)行漏洞、郵箱缺陷、VPN配置缺陷等情況都可能是攻擊者的入口點(diǎn)具體情況需要結(jié)合用戶當(dāng)前的情況具體進(jìn)行排查。和競爭奠定了基礎(chǔ)。欺騙方面蜜罐本身就是一個(gè)欺騙類的產(chǎn)品，攻擊對抗中蜜罐可以模仿各種各樣的網(wǎng)站-俗稱高仿真，可以將客戶的網(wǎng)站系統(tǒng)復(fù)制或者“克隆”方式來欺騙黑客從而保護(hù)了真實(shí)的業(yè)務(wù)系統(tǒng)，還可以在業(yè)務(wù)系統(tǒng)的同一網(wǎng)段上進(jìn)行部署蜜罐來達(dá)到混淆欺騙黑客的作用。真所謂“真亦假，真若假時(shí)假亦真”;誘捕方面利用人們慣用的方式“大面積撒網(wǎng)，重點(diǎn)撈魚”的思維，在網(wǎng)絡(luò)上廣發(fā)“誘餌”么媒體平臺(tái)上發(fā)布一些信息，從而來增加被捕獲并且進(jìn)行攻擊的概率。因?yàn)楹诳驮谛畔⑹占臅r(shí)候，一定會(huì)對目標(biāo)機(jī)器進(jìn)行大量的信息收集之后再去確認(rèn)收集到的信息是否準(zhǔn)確，而收集到信息有真有假包含了“誘餌”信息，黑客如果沒有辨別清楚隨意觸發(fā)信息地址或者誘餌所設(shè)計(jì)的機(jī)制，容易導(dǎo)致落入蜜網(wǎng)。seo搜索引擎刷排名，使得誘餌文件內(nèi)容可以在百度上排名靠前，增加攻擊概率，可以值得一試。其他誘餌比如Pdf、rar等格式的文件，rar格式的文件的某軟件可以設(shè)置下載自動(dòng)解綁木馬等。拖延方面業(yè)務(wù)系統(tǒng)各方面的不足爭取到了寶貴空間，也為“大部???的撤離”爭取了最后的時(shí)間。干擾方面然而，在毛主席《論持久戰(zhàn)》一書中比較分析了敵我雙方的差異，如敵人武器先進(jìn)我們武器落后、敵人退步我們進(jìn)步、敵人寡助我們多助等，在面對抗日戰(zhàn)爭中敵我雙方矛盾基本特點(diǎn)及其在戰(zhàn)爭進(jìn)程中強(qiáng)弱優(yōu)劣的互相轉(zhuǎn)化過程中蘊(yùn)含和貫穿著一個(gè)基本思想，即戰(zhàn)爭力量強(qiáng)弱優(yōu)劣的互相轉(zhuǎn)化和戰(zhàn)爭是否能夠勝利，要靠人的努力才能實(shí)現(xiàn)，即要發(fā)揮人的主觀能動(dòng)性。所以，《論持久戰(zhàn)》在講武器與人的關(guān)系時(shí)明確指出：“武器是戰(zhàn)爭的重要的因素，但不是決定的因素，決定的因素是人不是物。即藍(lán)方（防守方），御狀態(tài)，現(xiàn)如今欺騙防御理念的提出，推動(dòng)了網(wǎng)絡(luò)安全事業(yè)又邁入了一個(gè)新階段，闡述了該思想下防守方由戰(zhàn)略被動(dòng)防御轉(zhuǎn)為戰(zhàn)略主動(dòng)防御的角色轉(zhuǎn)換。而該理念的推動(dòng)下產(chǎn)生的產(chǎn)物就是蜜罐技術(shù)的推進(jìn)，讓更多的企業(yè)和廠商等看到了新的春天，新的希望，所謂的是“柳暗花明又一村”。蜜罐的使用不斷地突出其優(yōu)勢所在，將拖延戰(zhàn)術(shù)、欺騙戰(zhàn)術(shù)、反制戰(zhàn)術(shù)等等靈活應(yīng)用；同時(shí)也考驗(yàn)設(shè)計(jì)部署者的能力和對敵方是否了解“知己知彼，百戰(zhàn)不殆”；敵方的取向決定了防守的動(dòng)向，目前一些企業(yè)都會(huì)買一些流量檢測設(shè)備、日志設(shè)備、還有蜜罐的設(shè)備等等。在正式攻防對抗之前敵方（攻擊方）那么這個(gè)時(shí)候防守方自然也是盡己可能排查自己內(nèi)外環(huán)境所存在的漏洞點(diǎn)進(jìn)行修復(fù)加固。攻擊過程一般都是由小到大、由淺入深的形式展開，基本上都是先是探測站點(diǎn)信息，逐次進(jìn)行打點(diǎn)升級(jí)。那這個(gè)時(shí)候呢，防守方的設(shè)備上一定會(huì)顯示相關(guān)檢測的日志信息。逐條分析濾出敵方的攻擊思維，還可以根據(jù)所爆出的漏洞利用的名稱，大致判斷對方常用的攻擊手法。根據(jù)對方攻擊的頻率感知平臺(tái)、情報(bào)平臺(tái)等等。當(dāng)敵方攻擊防守方時(shí)候肯定不會(huì)使用真實(shí)的IP地址，所以當(dāng)防守方的設(shè)備上留下的IP不盡然是真實(shí)IP，需要不停地去明辨真實(shí)IP不斷分析進(jìn)行精準(zhǔn)狠的定位打擊，防守方可以根據(jù)敵方IP進(jìn)行反制溯源。根據(jù)日志信息精準(zhǔn)判斷不斷地進(jìn)行攻擊敵方的攻擊IP直到敵方不在攻擊為止，為什么這樣說呢，因?yàn)閿撤讲辉诠舻臅r(shí)候可能已經(jīng)更換了IP防守再次攻擊也沒有任何意義了，除非能找到與之相關(guān)的一些信息來增添敵方畫像的可能?！墩摮志脩?zhàn)》中的十六字方針戰(zhàn)略：“我退,敵駐我擾敵僻我打,敵退我追”具有借鑒意義。使用不斷干擾敵方戰(zhàn)略戰(zhàn)術(shù)的手段，讓敵方不能夠從容鎮(zhèn)定地完成攻擊路徑和攻擊鏈條，那么防守方的目的就達(dá)到了，一定程度上延緩了敵方進(jìn)攻的思路和思維方式，打破了敵方既定的戰(zhàn)略部署，使得敵方不得不重新調(diào)整方案。此時(shí)敵方的心理已經(jīng)被徹底打破了，會(huì)不停地攻擊來自防守方攻擊的地址，這樣很容易形成膠著之勢。比如：撒一些“苗”即誘餌，待山花爛漫之時(shí)，綻放出最美的“笑魘”，有心栽花花不開，無心插柳柳成蔭。。。誘餌的設(shè)置無疑就是天上掉下來的大肥肉或者大毒藥，敵方需要“火眼金睛”來區(qū)別對待它的到來，否則等來的是一顆斃命的??；在反制愈演愈烈的今天，由被動(dòng)到主動(dòng)的角色轉(zhuǎn)換，由保守到開放的姿態(tài)。蜜罐的發(fā)展彌補(bǔ)了這一優(yōu)勢不足的弱點(diǎn)，增添了這一亮點(diǎn)屬于錦上添花。發(fā)揮蜜罐反制優(yōu)勢的特點(diǎn)在于或者說利用一些反制的木馬、JS、XSS、PDF、Word等等，遠(yuǎn)控?cái)撤匠銎洳灰夤テ洳粋?；還可以給敵方種馬沒事的時(shí)候瞎逛逛啥的，還可以扔給敵方一個(gè)炸彈或者鎖機(jī)馬、鎖文件等等，“思想有多遠(yuǎn)就能走多遠(yuǎn)”；蜜罐像地雷，讓敵人處處驚心動(dòng)魄；蜜罐像陷阱，讓敵方步步為營?？谷諔?zhàn)爭中的地雷戰(zhàn)，看似一馬平川其實(shí)前進(jìn)道路充滿驚悚；還有獵人捕捉獵物時(shí)候會(huì)設(shè)置各種各樣的陷阱便命。暗示，給我方隊(duì)員以鼓舞和信心。所以在網(wǎng)絡(luò)攻防對抗中挑戰(zhàn)的不僅僅是戰(zhàn)略戰(zhàn)術(shù)的配合更多的是心理學(xué)的范疇。(五)：威懾反制能力建設(shè)\h/articles/10044南京，孝陵衛(wèi)。2018年12月美國網(wǎng)絡(luò)威懾與溯源反制能力建設(shè)階段跨越年～2018年，在這個(gè)階段美國的國家戰(zhàn)略逐漸從“積極防御”轉(zhuǎn)變?yōu)椤肮敉亍眰€(gè)階段，美國政府不但發(fā)布了多個(gè)網(wǎng)絡(luò)威懾相關(guān)戰(zhàn)略政策，同時(shí)也開展了一系列的相關(guān)具體行動(dòng)項(xiàng)目。、網(wǎng)絡(luò)威懾與反制相關(guān)政策年7月14日美國國防部發(fā)布首份《網(wǎng)絡(luò)空間行動(dòng)戰(zhàn)略》。盡管國防部強(qiáng)調(diào)新戰(zhàn)略重在防御，即加強(qiáng)美軍及重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安能導(dǎo)致網(wǎng)絡(luò)空間軍事化，并引發(fā)網(wǎng)絡(luò)軍備競賽。2015年4月23日，美國公布了國防部新版網(wǎng)絡(luò)戰(zhàn)略。作為年7月首版《網(wǎng)絡(luò)行動(dòng)戰(zhàn)略》的升級(jí)版，這份文件旨在劃定未來5網(wǎng)絡(luò)行動(dòng)的新目標(biāo)，而其中最值得關(guān)注的3個(gè)關(guān)鍵詞——威懾、進(jìn)攻、同盟，則代表了美軍網(wǎng)絡(luò)力量的發(fā)展方向。新戰(zhàn)略聲稱，為阻止網(wǎng)絡(luò)攻擊，必須制定實(shí)施全面的網(wǎng)絡(luò)威懾戰(zhàn)略，“在網(wǎng)絡(luò)惡意行為發(fā)生前威懾此類行為”。為有效實(shí)施威懾，美應(yīng)具備以下能力：一是通過政策宣示展現(xiàn)反擊態(tài)度；二是形成強(qiáng)大的防御能力，保護(hù)國防部和整個(gè)國家免受復(fù)雜網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)“拒止”威懾；三是提高網(wǎng)絡(luò)系統(tǒng)的恢復(fù)能力，確保國防部網(wǎng)絡(luò)即使遭受攻擊后也能繼續(xù)運(yùn)轉(zhuǎn)，以降低對手網(wǎng)絡(luò)攻擊的成功幾率。2018年9月18日，美國國防部公布了《2018出了建立更具殺傷力的力量、網(wǎng)絡(luò)空間競爭及威懾、強(qiáng)化聯(lián)盟和合作伙伴關(guān)系、改革國防部、以及培養(yǎng)人才等五條具體戰(zhàn)略方針?！?018相互促進(jìn)的活動(dòng)將使國防部能夠在網(wǎng)絡(luò)空間領(lǐng)域競爭、威懾并取勝。北京，軟件園深秋。2018年11月、溯源與反制主要行動(dòng)在網(wǎng)絡(luò)進(jìn)攻方面，存在美國國家全局（NSA）和美國中央情報(bào)局（CIA）身影的Stuxnet工業(yè)病毒和WannaCry勒索病毒都對全球網(wǎng)絡(luò)Mitre開發(fā)KillChain和Att&CK模型，促進(jìn)威脅情報(bào)標(biāo)準(zhǔn)Stix/Ta