网络威胁框架演进
0x01 Cyber Kill Chain
检测防御
0x02 NSA-TCTF框架
NSA-TCTF框架(Technical Cyber Threat Framework,技术性网空威胁框架): NSA于2018年提出的TCTF框架,对攻击意图、作业阶段、行动特征的拆解与刻画
0x03 ATT&CK框架
MITRE-ATT&CK框架 (Common Knowledge base of Adversary Tactics and Techniques,对手战术技术公共知识库): 从现实网络威胁中提炼出攻击行动的具体信息,构造了丰富的攻击者战术技术知识库
| 攻击阶段 | 对应英文 | 描述 | 检测项 |
|---|---|---|---|
| 1. 初始访问 | Initial Access | 通过各种漏洞、攻击入口进入网络 | 暴力破解、异常登录、web攻击、服务漏洞、未授权访问、配置缺陷,钓鱼、供应链攻击、可信账户登录 |
| 2. 投递执行 | Execution | 恶意代码、软件投递并执行 | 主动非法外连、恶意软件落盘、可疑文件传输、异常脚本及指令执行,用户恶意链接、文档执行 |
| 3. 持久化控制 | Persistence | 持久化,保持立足点 | 可疑定时任务、异常启动项,webshell、rootkit、反弹shell、可疑账户创建、各类持久化后门 |
| 4. 权限提升 | Privilege Escalation | 获取更高级别权限 | 内核、系统、服务组件提权,漏洞利用程序,进程注入,LD_PRELOAD劫持,容器提权及逃逸 |
| 5. 防御规避 | Defense Evasion | 杀软、检测设备绕过,避免被发现 | 文件编码、混淆,文件、进程隐藏,安全设备禁用修改,系统文件、命令替换,预加载文件篡改,agent异常离线,日志及历史命令清除,有效账户利用,进程注入 |
| 6. 凭证访问 | Credential Access | 窃取账户和密码 | 输入记录,密码喷洒攻击,中间人攻击,修改身份验证过程,网络嗅探,系统凭证转储,登录凭证抓取 |
| 7. 环境发现 | Discovery | 所处系统及内部网络环境发现,便于进一步横向渗透 | 内网信息收集,账号发现、文件目录发现、网络服务扫描、共享服务发现、网络嗅探、权限发现、服务组件及安全软件发现、虚拟化/沙盒环境发现 |
| 8. 横向移动 | Lateral Movement | 当前环境穿越,多个目标访问 | 内网扫描、端口转发、远程服务利用、远程服务会话劫持、蠕虫病毒、横向工具转移、软件部署工具 |
| 9. 数据采集 | Collection | 目标数据收集 | 存档数据、剪贴板、数据库、网络共享等数据收集,数据分段暂存及传输,输入捕捉,中间人攻击 |
| 10. 命令与控制 | Command and Control | 与目标系统持续通信与控制 | 远控木马、异常连接、数据编码及混淆、加密通道、协议隧道、多跳代理、域前置、DGA域名 |
| 11. 数据窃取 | Exfiltration | 目标数据窃取 | 敏感文件访问及泄漏、数据库导出,通过C2通道、网络及物理介制窃取数据,代码存储库窃取、云存储迁移,可信账号劫持及利用 |
| 12. 影响破坏 | Impact | 操纵、中断或破坏系统和数据 | 数据销毁、加密、损坏,账户访问权限删除,拒绝服务,磁盘擦除,服务停止等 |
0xFF 参考资源
- Gaining_the_Advantage_Cyber_Kill_Chain
- Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform
- LM-White-Paper-Defendable-Architectures
- LM-White-Paper-Threat-Driven-Approach
- CTR_NSA-CSS-TECHNICAL-CYBER-THREAT-FRAMEWORK_V2
- https://attack.mitre.org/matrices/enterprise/linux/
- https://attack.mitre.org/tactics/enterprise/
- https://attack.mitre.org/mitigations/enterprise/
- Gaining_the_Advantage_Cyber_Kill_Chain.pdf