ATT&CK 红队战术漫谈-haya（51页）.pdf

1、hayaATT&CK红队战术漫谈 haya 木星安全实验室 红队负责人 Github:https:/ Blog:hayasec.me 红蓝对抗与红队武器化ABOUT ME今天聊点啥？ATT&CK与红队攻击战术漫谈ATT&CK矩阵(站在攻击者的视角来描述攻击中各阶段用到的技术的模型)初始访问执行攻击权限维持权限提升防 御绕 过凭 据获 取数据披露横向移动目 标数 据收 集内 网数 据窃 出偷渡式攻击外部程序攻击硬件植入USB复制鱼叉式附件鱼叉式钓鱼供应链攻击可信关系有效帐户命令行界面编译HTML文件控制面板项动态数据交换通过API执行通过模块加载执行利用客户端执行图形用户界面LSASS驱动本地作

2、业任务计划任务脚本执行服务执行签名二进制代理签名脚本代理执行文件名后的空格第三方软件Trap程序可信的开发工具用户执行WMIWin远程管理XSL脚本处理 辅助功能账户操纵Shimming应用验证包BITS任务浏览器扩展更改默认文件关联组件固件COM劫持创建账号DLL顺序劫持Dylib劫持外部远程服务文件系统权限隐藏文件和目录挂钩虚拟机技术IFEO注入内核模块和扩展LSASS驱动启动Agent启动守护进程本地作业调度访问令牌操作辅助功能Bypass UACDLL搜索劫持Dylib劫持漏洞提权EWM注入文件系统权限挂钩IFEO注入启动守护进程新服务路径拦截Plist修改端口监视器进程注入SID历史

3、注入任务计划服务注册表权限启动项Sudo缓存有效账户Web Shell账户操纵Bash历史暴力破解凭证转储文件凭证注册表凭证凭证漏洞利用强制认证输入捕获输入提示LLMNR投毒网络嗅探密码筛选器DLL私钥安全内存双因素拦截帐户发现应用窗口发现浏览器书签发现文件和目录发现网络服务扫描网络共享发现密码策略发现外围设备发现权限组发现进程发现查询注册表远程系统发现安全软件发现系统信息发现网络配置发现网络连接发现系统用户发现系统服务发现系统时间发现访问令牌操作BITS任务二进制填充绕过UAC清除命令历史代码签名组件固件COM劫持控制面板项DLL侧载禁用安全工具EWM注入文件删除文件权限修改隐藏用户隐藏窗口

4、IFEO注入指标拦截从主机移除指标间接命令执行安装根证书InstallUtil程序LC_MAIN劫持AppleScript消息应用部署软件分布式对象模型远程服务漏洞利用登陆脚本PtHPtT远程桌面协议远程文件复制可移动媒体复制SSH劫持共享Webroot污染共享内容第三方软件Win管理员共享Win远程管理远程服务音频捕获自动化收集剪贴板数据数据整合存储库数据本地系统数据网络驱动器数据可移动媒体数据电子邮件收集输入捕获浏览器中间人截屏视频捕获 自动化透传数据压缩数据加密数据传输大小限制透传的备用协议C2通道进行透传网络介质透传物理介质透传周期传输 常用端口可移动媒体通信代理传输自定义协议数据编码

5、数据混淆域前置备用信道多段信道多层加密 影 响消 除账户权限删除数据销毁磁盘擦除终端拒绝服务固件损坏拒绝系统恢复资源劫持服务停止数据传输操作 命 令控 制 红队作战攻击重要步骤 战术中用到的技术点 工具改造与武器化初始访问TA0001初始接入策略代表攻击者用于在网络中取得初始立足点的(攻击)向量打点?初始访问:打点薄弱防护系统，边缘业务同C段同ISP关键集权系统供应链.注册表注册表计划任务计划任务初始访问：钓鱼攻击载荷格式？投递方式？社工话术？利用方式？初始访问:免杀宏 VelvetSweatshop 诱导 白加黑执行TA0002执行策略表示造成在本地或远程系统上执行由攻击者控制的代码的技术。

6、该策略通常与初始接入一起使用，作为一旦获得访问就执行代码的手段，之后进行横向移动以扩展对网络上远程系统的访问。执行:LOLBINS https:/ C:windowsSystem32comsvcs.dll,MiniDump(Get-Process lsass).id$env:TEMPlsass-comsvcs.dmp fullHKCRmscfileshellopencommand-evil.exeSqldumper.exe 592(lsass.exe)csc.exewmic.exerundll32.exeexcel.exemshta.exeeventvwr.execmstp.exemsiexe