收集
攻击者试图收集目标数据。
技术: 40
| 编号 | 名字 | 描述 |
|---|---|---|
| T1005 | 来自本地系统的数据 | 对手可能会搜索本地系统资源,例如文件系统和配置文件或本地数据库,以在外传之前找到感兴趣的文件和敏感数据。 对手可能会使用命令和脚本解释器,例如cmd以及网络设备CLI,这些工具具有与文件系统交互以收集信息的功能。(引用: show_run_config_cmd_cisco) 对手还可能在本地系统上使用自动化收集。 |
| T1025 | 来自可移动媒体的数据 | 对手可能会搜索他们已妥协的计算机上的连接可移动媒体,以查找感兴趣的文件。在外传之前,可以从连接到受感染系统的任何可移动媒体(光盘驱动器、USB 存储器等)中收集敏感数据。可能正在使用交互式命令外壳,并且可以使用 cmd 中的常见功能来收集信息。 一些对手还可能在可移动媒体上使用自动化收集。 |
| T1039 | 来自网络共享驱动器的数据 | 对手可能会在他们已妥协的计算机上搜索网络共享,以查找感兴趣的文件。敏感数据可以通过当前系统可访问的共享网络驱动器(主机共享目录、网络文件服务器等)从远程系统收集,然后进行外传。可能会使用交互式命令外壳,并且可能使用cmd中的常见功能来收集信息。 |
| T1056 | 输入捕获 | 对手可能会使用捕获用户输入的方法来获取凭证或收集信息。在正常系统使用期间,用户通常会向各种不同的位置提供凭证,例如登录页面/门户或系统对话框。输入捕获机制可能对用户透明(例如,凭证API挂钩)或依赖于欺骗用户将输入提供给他们认为是合法服务的内容(例如,Web门户捕获)。 |
| T1056.001 | 键盘记录 | 对手可能会记录用户的按键,以在用户输入凭据时拦截凭据。当操作系统凭据转储无效时,键盘记录可能会用于获取新访问机会的凭据,并且可能需要对手在系统上拦截按键一段时间才能成功捕获凭据。为了增加快速捕获凭据的可能性,对手还可能执行诸如清除浏览器Cookie以强制用户重新认证系统的操作。(引用: Talos Kimsuky Nov 2021) 键盘记录是最常见的输入捕获类型,具有多种拦截按键的方法。(引用: Adventures of a Keystroke) 一些方法包括: * 挂钩用于处理按键的API回调。与凭据API挂钩不同,这主要关注用于处理按键数据的API函数。 * 从硬件缓冲区读取原始按键数据。 * Windows注册表修改。 * 自定义驱动程序。 * 修改系统镜像可能为对手提供挂钩到网络设备操作系统的机会,以读取登录会话的原始按键。(引用: Cisco Blog Legacy Device Attacks) |
| T1056.002 | GUI输入捕获 | 对手可能会模仿常见的操作系统GUI组件,以看似合法的提示来提示用户输入凭据。当执行需要比当前用户上下文中存在的权限更高的程序时,操作系统通常会提示用户输入适当的凭据,以授权任务的提升权限(例如:绕过用户帐户控制)。 对手可能会模仿此功能,以看似合法的提示来提示用户输入凭据,原因有很多,例如需要额外访问权限的假安装程序或假恶意软件删除套件。(引用: OSX Malware Exploits MacKeeper) 这种类型的提示可以通过各种语言收集凭据,例如AppleScript(引用: LogRhythm Do You Trust Oct 2014)(引用: OSX Keydnap malware)(引用: Spoofing credential dialogs)和PowerShell。(引用: LogRhythm Do You Trust Oct 2014)(引用: Enigma Phishing for Credentials Jan 2015)(引用: Spoofing credential dialogs) 在Linux系统上,对手可能会从恶意shell脚本或命令行启动对话框,提示用户输入凭据(即Unix Shell)。(引用: Spoofing credential dialogs) 对手还可能模仿常见的软件认证请求,例如来自浏览器或电子邮件客户端的请求。这也可能与用户活动监控(即,浏览器信息发现和/或应用程序窗口发现)配对,以在用户自然访问敏感站点/数据时伪造提示。 |
| T1056.003 | Web 门户捕获 | 对手可能会在外部门户(例如 VPN 登录页面)上安装代码,以捕获和传输尝试登录服务的用户的凭据。例如,受损的登录页面可能会在用户登录服务之前记录提供的用户凭据。 这种输入捕获的变体可能在利用合法管理访问权限后进行,以作为通过外部远程服务和有效帐户保持网络访问的备用措施,或作为通过利用外部 Web 服务进行初始妥协的一部分。(引用: Volexity Virtual Private Keylogging) |
| T1056.004 | 凭据API挂钩 | 对手可能会挂钩Windows应用程序编程接口(API)函数以收集用户凭据。恶意挂钩机制可能会捕获包含揭示用户认证凭据参数的API调用。(引用: Microsoft TrojanSpy:Win32/Ursnif.gen!I Sept 2017) 与键盘记录不同,此技术专注于包含揭示用户凭据参数的API函数。挂钩涉及拦截这些函数的调用,并可以通过以下方式实现: * 挂钩过程,拦截并在响应事件(如消息、按键和鼠标输入)时执行指定代码。(引用: Microsoft Hook Overview)(引用: Elastic Process Injection July 2017) * 导入地址表(IAT)挂钩,通过修改进程的IAT,其中存储了指向导入API函数的指针。(引用: Elastic Process Injection July 2017)(引用: Adlice Software IAT Hooks Oct 2014)(引用: MWRInfoSecurity Dynamic Hooking 2015) * 内联挂钩,覆盖API函数中的第一个字节以重定向代码流。(引用: Elastic Process Injection July 2017)(引用: HighTech Bridge Inline Hooking Sept 2011)(引用: MWRInfoSecurity Dynamic Hooking 2015) |
| T1074 | 数据分阶段 | 对手可能会在外传之前将收集的数据分阶段存储在中央位置或目录中。数据可以保存在单独的文件中,也可以通过技术(例如 归档收集的数据)合并到一个文件中。可以使用交互式命令外壳,并且可以使用 cmd 和 bash 中的常见功能将数据复制到分阶段位置。(引用: PWC Cloud Hopper April 2017) 在云环境中,对手可能会在外传之前将数据分阶段存储在特定实例或虚拟机中。对手可能会 创建云实例 并在该实例中分阶段存储数据。(引用: Mandiant M-Trends 2020) 对手可能会选择在外传之前将受害者网络中的数据分阶段存储在集中位置,以最大限度地减少与其 C2 服务器建立连接的次数,并更好地规避检测。 |
| T1074.001 | 本地数据暂存 | 对手可能会在外传之前将收集的数据暂存在本地系统的中央位置或目录中。数据可以保存在单独的文件中,也可以通过归档收集的数据等技术合并到一个文件中。可能会使用交互式命令外壳,并且可以使用 cmd 和 bash 中的常见功能将数据复制到暂存位置。 对手还可能会在系统的各种可用格式/位置中暂存收集的数据,包括本地存储数据库/存储库或 Windows 注册表。(引用: Prevailion DarkWatchman 2021) |
| T1074.002 | 远程数据暂存 | 对手可能会在外传之前将从多个系统收集的数据暂存在一个系统的中央位置或目录中。数据可以保存在单独的文件中,也可以通过归档收集的数据等技术合并到一个文件中。可能会使用交互式命令外壳,并且可以使用 cmd 和 bash 中的常见功能将数据复制到暂存位置。 在云环境中,对手可能会在特定实例或虚拟机中暂存数据,然后再进行外传。对手可能会创建云实例并在该实例中暂存数据。(引用: Mandiant M-Trends 2020) 通过在外传之前将数据暂存在一个系统上,对手可以减少与其 C2 服务器的连接次数,从而更好地规避检测。 |
| T1113 | 屏幕捕获 | 对手可能会尝试捕获桌面的屏幕截图,以在操作过程中收集信息。屏幕捕获功能可能作为远程访问工具的一部分包含在内,用于后期妥协操作。通过本机实用程序或API调用(如CopyFromScreen、xwd或screencapture)通常也可以进行屏幕截图。(引用: CopyFromScreen .NET)(引用: Antiquated Mac Malware) |
| T1114 | 电子邮件收集 | 对手可能会针对用户电子邮件以收集敏感信息。电子邮件可能包含敏感数据,包括商业秘密或个人信息,这些信息对对手来说可能非常有价值。电子邮件还可能包含有关正在进行的事件响应操作的详细信息,这可能允许对手调整其技术以保持持久性或规避防御。(引用: TrustedSec OOB Communications)(引用: CISA AA20-352A 2021) 对手可以从邮件服务器或客户端收集或转发电子邮件。 |
| T1114.001 | 本地电子邮件收集 | 对手可能会在本地系统上收集用户电子邮件以获取敏感信息。包含电子邮件数据的文件可以从用户的本地系统中获取,例如Outlook存储或缓存文件。 Outlook在本地以扩展名为.ost的离线数据文件存储数据。Outlook 2010及更高版本支持高达50GB的.ost文件大小,而早期版本的Outlook支持高达20GB。(引用: Outlook File Sizes) Outlook 2013(及更早版本)中的IMAP账户和POP账户使用Outlook数据文件(.pst)而不是.ost,而Outlook 2016(及更高版本)中的IMAP账户使用.ost文件。这两种类型的Outlook数据文件通常存储在C:\Users\<username>\Documents\Outlook Files或C:\Users\<username>\AppData\Local\Microsoft\Outlook。(引用: Microsoft Outlook Files) |
| T1114.002 | 远程电子邮件收集 | 对手可能会针对 Exchange 服务器、Office 365 或 Google Workspace 收集敏感信息。对手可能会利用用户的凭证并直接与 Exchange 服务器交互,以从网络内部获取信息。对手还可能访问外部 Exchange 服务、Office 365 或 Google Workspace,以使用凭证或访问令牌访问电子邮件。工具如MailSniper可以用来自动搜索特定关键字。 |
| T1114.003 | 电子邮件转发规则 | 对手可能会设置电子邮件转发规则以收集敏感信息。对手可能会滥用电子邮件转发规则来监视受害者的活动、窃取信息,并进一步获取有关受害者或受害者组织的情报,以用于进一步的攻击或操作。(引用: US-CERT TA18-068A 2018) 此外,即使管理员重置了被破坏的凭据,电子邮件转发规则也可以让对手保持对受害者电子邮件的持续访问。(引用: Pfammatter - Hidden Inbox Rules) 大多数电子邮件客户端允许用户创建收件箱规则以执行各种电子邮件功能,包括转发到不同的收件人。这些规则可以通过本地电子邮件应用程序、Web 界面或命令行界面创建。消息可以转发给内部或外部收件人,并且没有限制此规则的范围。管理员也可以为用户帐户创建转发规则,具有相同的考虑和结果。(引用: Microsoft Tim McMichael Exchange Mail Forwarding 2)(引用: Mac Forwarding Rules) 组织内的任何用户或管理员(或具有有效凭据的对手)都可以创建规则以自动将所有接收的消息转发给另一个收件人、根据发件人将电子邮件转发到不同的位置等。对手还可以利用 Microsoft Messaging API (MAPI) 修改规则属性,使其隐藏且在 Outlook、OWA 或大多数 Exchange 管理工具中不可见。(引用: Pfammatter - Hidden Inbox Rules) 在某些环境中,管理员可能能够启用组织范围内而不是单个收件箱上的电子邮件转发规则。例如,Microsoft Exchange 支持传输规则,这些规则根据用户指定的条件评估组织接收的所有邮件,然后对符合这些条件的邮件执行用户指定的操作。(引用: Microsoft Mail Flow Rules 2023) 滥用此类功能的对手可能能够启用对组织接收的所有或特定邮件的转发。 |
| T1115 | 剪贴板数据 | 对手可能会收集用户在应用程序内或应用程序之间复制信息时存储在剪贴板中的数据。 例如,在Windows上,对手可以使用clip.exe或Get-Clipboard访问剪贴板数据。(引用: MSDN Clipboard)(引用: clip_win_server)(引用: CISA_AA21_200B) 此外,对手可能会监视然后替换用户的剪贴板数据(例如,传输数据操纵)。(引用: mining_ruby_reversinglabs) macOS和Linux也有命令,如pbpaste,可以抓取剪贴板内容。(引用: Operating with EmPyre) |
| T1119 | 自动化收集 | 一旦在系统或网络中建立,对手可能会使用自动化技术收集内部数据。执行此技术的方法可能包括使用命令和脚本解释器按特定时间间隔搜索和复制符合设定标准(如文件类型、位置或名称)的信息。 在基于云的环境中,对手还可能使用云API、数据管道、命令行界面或提取、转换和加载(ETL)服务自动收集数据。(引用: Mandiant UNC3944 SMS Phishing 2023) 此功能也可以内置于远程访问工具中。 此技术可能结合使用其他技术,如文件和目录发现和横向工具传输来识别和移动文件,以及云服务仪表板和云存储对象发现来识别云环境中的资源。 |
| T1123 | 音频捕获 | 对手可以利用计算机的外围设备(例如麦克风和网络摄像头)或应用程序(例如语音和视频通话服务)捕获音频录音,以监听敏感对话以收集信息。(引用: ESET Attor Oct 2019) 恶意软件或脚本可能会通过操作系统或应用程序提供的可用 API 与设备交互以捕获音频。音频文件可能会写入磁盘并在稍后进行外传。 |
| T1125 | 视频捕获 | 对手可以利用计算机的外围设备(例如集成摄像头或网络摄像头)或应用程序(例如视频通话服务)捕获视频录制以收集信息。图像也可以从设备或应用程序中捕获,可能以指定的间隔代替视频文件。 恶意软件或脚本可能会通过操作系统或应用程序提供的可用 API 与设备交互以捕获视频或图像。视频或图像文件可能会写入磁盘并稍后外传。此技术不同于屏幕捕获,因为它使用特定设备或应用程序进行视频录制,而不是捕获受害者的屏幕。 在 macOS 中,有一些不同的恶意软件样本可以记录用户的网络摄像头,例如 FruitFly 和 Proton。(引用: objective-see 2017 review) |
| T1185 | 浏览器会话劫持 | 对手可能会利用浏览器软件中的安全漏洞和固有功能来更改内容、修改用户行为并拦截信息,作为各种浏览器会话劫持技术的一部分。(引用: Wikipedia Man in the Browser) 一个具体的例子是对手将软件注入浏览器,使他们能够继承用户的cookie、HTTP会话和SSL客户端证书,然后使用浏览器作为进入已认证内联网的方式。(引用: Cobalt Strike Browser Pivot)(引用: ICEBRG Chrome Extensions) 执行基于浏览器的行为(如枢纽)可能需要特定的进程权限,例如SeDebugPrivilege和/或高完整性/管理员权限。 另一个例子涉及通过设置代理将对手的浏览器流量通过用户的浏览器进行枢纽,该代理将重定向Web流量。这不会以任何方式更改用户的流量,并且代理连接可以在浏览器关闭后立即断开。对手假设代理注入的浏览器进程的安全上下文。浏览器通常为每个打开的标签创建一个新进程,并且权限和证书分别分开。拥有这些权限,对手可以潜在地浏览任何内联网资源,例如Sharepoint或Webmail,只要浏览器具有足够的权限。浏览器枢纽还可能绕过双因素认证提供的安全性。(引用: cobaltstrike manual) |
| T1213 | 来自信息库的数据 | 对手可能利用信息库挖掘有价值的信息。信息库是允许存储信息的工具,通常用于促进用户之间的协作或信息共享,并且可以存储各种数据,这些数据可能有助于对手实现进一步的目标,例如凭据访问、横向移动或规避防御,或直接访问目标信息。对手还可能滥用外部共享功能,将敏感文档共享给组织外的接收者(即 将数据传输到云账户)。 以下是一些可能对对手有潜在价值的信息示例,并且可能在信息库中找到: * 政策、程序和标准 * 物理/逻辑网络图 * 系统架构图 * 技术系统文档 * 测试/开发凭据(即 不安全的凭据) * 工作/项目时间表 * 源代码片段 * 指向网络共享和其他内部资源的链接 * 有关业务合作伙伴和客户的联系信息或其他敏感信息,包括个人身份信息 (PII) 存储在信息库中的信息可能因特定实例或环境而异。常见的信息库包括以下内容: * 存储服务,例如 IaaS 数据库、企业数据库和更专业的平台,如客户关系管理 (CRM) 数据库 * 协作平台,例如 SharePoint、Confluence 和代码库 * 消息传递平台,例如 Slack 和 Microsoft Teams 在某些情况下,信息库的安全性配置不当,通常是由于无意中允许所有用户甚至未经身份验证的用户进行过于广泛的访问。这在云原生或云托管服务中尤其常见,例如 AWS 关系数据库服务 (RDS)、Redis 或 ElasticSearch。(引用: Mitiga)(引用: TrendMicro Exposed Redis 2020)(引用: Cybernews Reuters Leak 2022) |
| T1213.001 | Confluence | 对手可能会利用 Confluence 存储库挖掘有价值的信息。通常在开发环境中与 Atlassian JIRA 一起发现,Confluence 通常用于存储与开发相关的文档,但通常可能包含更多类别的有用信息,例如: * 政策、程序和标准 * 物理/逻辑网络图 * 系统架构图 * 技术系统文档 * 测试/开发凭据(即不安全凭据) * 工作/项目计划 * 源代码片段 * 链接到网络共享和其他内部资源 |
| T1213.002 | Sharepoint | 对手可能利用SharePoint存储库作为挖掘有价值信息的来源。SharePoint通常包含有助于对手了解内部网络和系统结构和功能的有用信息。例如,以下是可能对对手有潜在价值的信息示例,并且可能在SharePoint上找到: * 政策、程序和标准 * 物理/逻辑网络图 * 系统架构图 * 技术系统文档 * 测试/开发凭据(即不安全凭据) * 工作/项目时间表 * 源代码片段 * 指向网络共享和其他内部资源的链接 |
| T1213.004 | 客户关系管理软件 | 对手可能会利用客户关系管理 (CRM) 软件来挖掘有价值的信息。CRM 软件用于帮助组织跟踪和管理客户互动,以及存储客户数据。 一旦对手获得受害组织的访问权限,他们可能会挖掘 CRM 软件以获取客户数据。这可能包括个人身份信息 (PII),如全名、电子邮件、电话号码和地址,以及购买历史和 IT 支持互动等附加详细信息。通过收集这些数据,对手可能能够发送个性化的网络钓鱼电子邮件,进行 SIM 卡交换,或以其他方式针对组织的客户,以实现财务收益或进一步妥协其他组织。(引用: Bleeping Computer US Cellular Hack 2022)(引用: Bleeping Computer Mint Mobile Hack 2021)(引用: Bleeping Computer Bank Hack 2020) CRM 软件可以托管在本地或云端。这些解决方案中存储的信息可能因特定实例或环境而异。CRM 软件的示例包括 Microsoft Dynamics 365、Salesforce、Zoho、Zendesk 和 HubSpot。 |
| T1213.005 | 消息应用程序 | 对手可能利用聊天和消息应用程序,如Microsoft Teams、Google Chat和Slack,来挖掘有价值的信息。 以下是一些可能对对手有潜在价值的信息示例,并且可能在消息应用程序中找到: * 测试/开发凭据(即聊天消息) * 源代码片段 * 指向网络共享和其他内部资源的链接 * 专有数据(引用: Guardian Grand Theft Auto Leak 2022) * 有关正在进行的事件响应工作的讨论(引用: SC Magazine Ragnar Locker 2021)(引用: Microsoft DEV-0537) 除了从消息应用程序中外泄数据外,对手还可能利用聊天消息中的数据来改进其目标定位——例如,通过了解更多有关环境的信息或规避正在进行的事件响应工作。(引用: Sentinel Labs NullBulge 2024)(引用: Permiso Scattered Spider 2023) |
| T1530 | 来自云存储的数据 | 对手可能会访问云存储中的数据。 许多IaaS提供商提供在线数据对象存储解决方案,如Amazon S3、Azure Storage和Google Cloud Storage。同样,SaaS企业平台如Office 365和Google Workspace通过OneDrive和Google Drive等服务为用户提供基于云的文档存储,而SaaS应用程序提供商如Slack、Confluence、Salesforce和Dropbox可能提供云存储解决方案作为其平台的外围或主要用例。 在某些情况下,如基于IaaS的云存储,没有与存储对象交互的总体应用程序(如SQL或Elasticsearch):相反,这些解决方案中的数据是通过云API直接检索的。在SaaS应用程序中,对手可能能够直接从API或后端云存储对象中收集这些数据,而不是通过其前端应用程序或界面(即,来自信息库的数据)。 对手可能会从这些云存储解决方案中收集敏感数据。提供商通常提供安全指南以帮助最终用户配置系统,但配置错误是一个常见问题。(引用: Amazon S3 Security, 2019)(引用: Microsoft Azure Storage Security, 2019)(引用: Google Cloud Storage Best Practices, 2019) 已经发生了许多事件,其中云存储未正确保护,通常是通过无意中允许未经身份验证的用户公开访问、所有用户的过度访问,甚至是任何匿名人员在不需要基本用户权限的情况下访问。 这种开放访问可能会暴露各种类型的敏感数据,如信用卡、个人身份信息或医疗记录。(引用: Trend Micro S3 Exposed PII, 2017)(引用: Wired Magecart S3 Buckets, 2019)(引用: HIPAA Journal S3 Breach, 2017)(引用: Rclone-mega-extortion_05_2021) 对手还可能获取并滥用从源代码库、日志或其他方式泄露的凭据,以访问云存储对象。 |
| T1557 | 中间人攻击 | 对手可能会尝试使用中间人攻击(AiTM)技术在两个或多个网络设备之间定位自己,以支持后续行为,如网络嗅探、传输数据操作或重放攻击(凭证访问利用)。通过滥用常见网络协议的功能,这些协议可以确定网络流量的流向(例如ARP、DNS、LLMNR等),对手可能会强制设备通过对手控制的系统进行通信,以便他们可以收集信息或执行其他操作。(引用: Rapid7 MiTM Basics) 例如,对手可能会操纵受害者的DNS设置,以启用其他恶意活动,如阻止/重定向用户访问合法网站和/或推送其他恶意软件。(引用: ttint_rat)(引用: dns_changer_trojans)(引用: ad_blocker_with_miner) 对手还可能操纵DNS并利用其位置来拦截用户凭据,包括访问令牌(窃取应用程序访问令牌)和会话Cookie(窃取Web会话Cookie)。(引用: volexity_0day_sophos_FW)(引用: Token tactics) 降级攻击也可以用来建立AiTM位置,例如通过协商不太安全、已弃用或较弱版本的通信协议(SSL/TLS)或加密算法。(引用: mitm_tls_downgrade_att)(引用: taxonomy_downgrade_att_tls)(引用: tlseminar_downgrade_att) 对手还可能利用AiTM位置尝试监视和/或修改流量,例如在传输数据操作中。对手可以设置类似于AiTM的位置,以防止流量流向适当的目的地,可能是为了削弱防御和/或支持网络拒绝服务。 |
| T1557.001 | LLMNR/NBT-NS 中毒和 SMB 中继 | 通过响应 LLMNR/NBT-NS 网络流量,对手可能会伪装成权威的名称解析源,以强制与对手控制的系统进行通信。这种活动可能用于收集或中继身份验证材料。 链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件,作为主机标识的替代方法。LLMNR 基于域名系统 (DNS) 格式,允许同一本地链路上的主机为其他主机执行名称解析。NBT-NS 通过其 NetBIOS 名称识别本地网络上的系统。(引用: Wikipedia LLMNR)(引用: TechNet NetBIOS) 对手可以通过响应 LLMNR (UDP 5355)/NBT-NS (UDP 137) 流量,伪装成受害者网络中请求主机的权威名称解析源,有效地毒害服务,使受害者与对手控制的系统通信。如果请求的主机属于需要身份验证的资源,则用户名和 NTLMv2 哈希将发送到对手控制的系统。然后,对手可以通过监控端口流量的工具或通过网络嗅探收集通过网络发送的哈希信息,并通过暴力破解离线破解哈希以获取明文密码。 在某些情况下,如果对手可以访问系统,该系统位于系统之间的身份验证路径中,或者当使用凭据的自动扫描尝试对对手控制的系统进行身份验证时,可以拦截并中继 NTLMv1/v2 哈希以访问和对目标系统执行代码。中继步骤可以与中毒结合发生,但也可以独立发生。(引用: byt3bl33d3r NTLM Relaying)(引用: Secure Ideas SMB Relay) 此外,对手可能会将 NTLMv1/v2 哈希封装到各种协议中,例如 LDAP、SMB、MSSQL 和 HTTP,以扩展并使用带有有效 NTLM 响应的多个服务。 可以使用多种工具在本地网络中毒害名称服务,例如 NBNSpoof、Metasploit 和Responder。(引用: GitHub NBNSpoof)(引用: Rapid7 LLMNR Spoofer)(引用: GitHub Responder) |
| T1557.002 | ARP 缓存中毒 | 对手可能会毒害地址解析协议 (ARP) 缓存,以将自己置于两个或多个网络设备的通信之间。这种活动可用于启用后续行为,例如 网络嗅探 或 传输数据篡改。 ARP 协议用于将 IPv4 地址解析为链路层地址,例如媒体访问控制 (MAC) 地址。(引用: RFC826 ARP) 本地网络段中的设备通过使用链路层地址进行通信。如果网络设备没有特定网络设备的链路层地址,它可能会向本地网络发送广播 ARP 请求,以将 IP 地址转换为 MAC 地址。具有相关 IP 地址的设备直接回复其 MAC 地址。发出 ARP 请求的网络设备将使用并存储该信息在其 ARP 缓存中。 对手可能会被动等待 ARP 请求来毒害请求设备的 ARP 缓存。对手可能会回复他们的 MAC 地址,从而欺骗受害者,使其相信他们正在与预期的网络设备通信。为了毒害 ARP 缓存,对手的回复必须比合法 IP 地址所有者的回复更快。对手还可能发送一个免费的 ARP 回复,恶意宣布拥有特定 IP 地址给本地网络段中的所有设备。 ARP 协议是无状态的,不需要身份验证。因此,设备可能会错误地将 IP 地址的 MAC 地址添加或更新到其 ARP 缓存中。(引用: Sans ARP Spoofing Aug 2003)(引用: Cylance Cleaver) 对手可能会使用 ARP 缓存中毒作为拦截网络流量的一种手段。这种活动可用于收集和/或中继数据,例如通过不安全、未加密协议发送的凭据。(引用: Sans ARP Spoofing Aug 2003) |
| T1557.003 | DHCP 欺骗 | 对手可能通过伪造动态主机配置协议 (DHCP) 流量并充当受害网络上的恶意 DHCP 服务器来重定向网络流量到对手拥有的系统。通过实现对手中间人 (AiTM) 位置,对手可能会收集网络通信,包括通过不安全、未加密协议传递的凭据。这也可能启用后续行为,例如网络嗅探或传输数据操纵。 DHCP 基于客户端-服务器模型,具有两种功能:从 DHCP 服务器向客户端提供网络配置设置的协议和向客户端分配网络地址的机制。(引用: rfc2131) 典型的服务器-客户端交互如下: 1. 客户端广播 DISCOVER 消息。 2. 服务器响应 OFFER 消息,其中包括可用的网络地址。 3. 客户端广播 REQUEST 消息,其中包括提供的网络地址。 4. 服务器通过 ACK 消息确认,客户端接收网络配置参数。 对手可能会在受害网络上伪装成流氓 DHCP 服务器,合法主机可能会从中接收恶意网络配置。例如,恶意软件可以充当 DHCP 服务器并向受害计算机提供对手拥有的 DNS 服务器。(引用: new_rogue_DHCP_serv_malware)(引用: w32.tidserv.g) 通过恶意网络配置,对手可能实现 AiTM 位置,通过对手控制的系统路由客户端流量,并从客户端网络收集信息。 DHCPv6 客户端可以在不分配 IP 地址的情况下接收网络配置信息,方法是向 All_DHCP_Relay_Agents_and_Servers 多播地址发送 INFORMATION-REQUEST (code 11) 消息。(引用: rfc3315) 对手可能使用其流氓 DHCP 服务器响应此请求消息,提供恶意网络配置。 对手可能还会滥用 DHCP 欺骗执行 DHCP 耗尽攻击(即,服务耗尽泛洪),通过生成许多广播 DISCOVER 消息来耗尽网络的 DHCP 分配池。 |
| T1557.004 | 恶意双胞胎 | 对手可能会托管看似合法的 Wi-Fi 接入点,以欺骗用户连接到恶意网络,从而支持后续行为,例如网络嗅探、传输数据操纵或输入捕获。(引用: Australia ‘Evil Twin’) 通过使用合法 Wi-Fi 网络的服务集标识符 (SSID),欺诈性 Wi-Fi 接入点可能会欺骗设备或用户连接到恶意 Wi-Fi 网络。(引用: Kaspersky evil twin)(引用: medium evil twin) 对手可能会提供更强的信号强度或阻止访问 Wi-Fi 接入点,以强迫或诱使受害设备连接到恶意网络。(引用: specter ops evil twin) Wi-Fi Pineapple 是一种网络安全审计和渗透测试工具,可能会在恶意双胞胎攻击中部署,以便于使用和更广泛的范围。自定义证书可能会被用来试图拦截 HTTPS 流量。 类似地,对手还可能监听客户端设备发送的探测请求,以查找已知或以前连接的网络(首选网络列表或 PNL)。当恶意接入点收到探测请求时,对手可以使用相同的 SSID 响应,以模仿受信任的已知网络。(引用: specter ops evil twin) 受害设备被引导相信响应的接入点来自其 PNL,并开始连接到欺诈网络。 登录到恶意 Wi-Fi 接入点后,用户可能会被引导到假登录页面或强制门户网页,以捕获受害者的凭据。一旦用户登录到欺诈性 Wi-Fi 网络,对手可能能够监视网络活动、操纵数据或窃取其他凭据。具有高浓度公共 Wi-Fi 接入的地点,例如机场、咖啡店或图书馆,可能成为对手设置非法 Wi-Fi 接入点的目标。 |
| T1560 | 归档收集的数据 | 对手可能会在外传之前压缩和/或加密收集的数据。压缩数据可以帮助混淆收集的数据,并最小化通过网络发送的数据量。(引用: DOJ GRU Indictment Jul 2018) 加密可以用于隐藏正在外传的信息,以避免被检测到或在防御者检查时使外传不那么显眼。 压缩和加密都是在外传之前进行的,可以使用实用程序、第三方库或自定义方法执行。 |
| T1560.001 | 通过实用程序归档 | 对手可能会使用实用程序在外传之前压缩和/或加密收集的数据。许多实用程序包括压缩、加密或以更易于/更安全的格式传输数据的功能。 对手可能会滥用各种实用程序在外传之前压缩或加密数据。一些第三方实用程序可能是预安装的,例如Linux和macOS上的tar或Windows系统上的zip。 在Windows上,diantz或makecab可以用于将收集的文件打包成一个柜文件(.cab)。diantz还可以用于从远程位置下载和压缩文件(即远程数据暂存)。(引用: diantz.exe_lolbas) Windows上的xcopy可以使用各种选项复制文件和目录。此外,对手可能会使用certutil在外传之前对收集的数据进行Base64编码。 对手还可能使用第三方实用程序,例如7-Zip、WinRAR和WinZip,来执行类似的活动。(引用: 7zip Homepage)(引用: WinRAR Homepage)(引用: WinZip Homepage) |
| T1560.002 | 通过库归档 | 对手可能会使用第三方库压缩或加密在外传之前收集的数据。许多库可以归档数据,包括Python rarfile (引用: PyPI RAR)、libzip (引用: libzip) 和 zlib (引用: Zlib Github)。大多数库都包含加密和/或压缩数据的功能。 一些归档库预安装在系统上,例如macOS和Linux上的bzip2,以及Windows上的zip。请注意,库与实用程序不同。库可以在编译时链接,而实用程序需要生成子shell或类似的执行机制。 |
| T1560.003 | 通过自定义方法归档 | 对手可能会使用自定义方法压缩或加密在外传之前收集的数据。对手可能会选择使用自定义归档方法,例如使用没有外部库或实用程序引用的 XOR 或流密码进行加密。也使用了知名压缩算法的自定义实现。(引用: ESET Sednit Part 2) |
| T1593.003 | 代码库 | 对手可能会利用代码库收集有价值的信息。代码库是存储源代码并自动化软件构建的工具/服务。它们可能托管在内部或第三方网站上,如 Github、GitLab、SourceForge 和 BitBucket。用户通常通过 Web 应用程序或命令行实用程序(如 git)与代码库交互。 一旦对手获得对受害者网络或私有代码库的访问权限,他们可能会收集敏感信息,例如专有源代码或包含在软件源代码中的不安全凭据。访问软件源代码可能允许对手开发漏洞利用,而凭据可能提供使用有效账户访问其他资源的权限。(引用: Wired Uber Breach)(引用: Krebs Adobe) 注意: 这与代码库不同,后者侧重于通过公共代码库进行侦察。 |
| T1602 | 来自配置库的数据 | 对手可能从配置库中收集与管理设备相关的数据。配置库由管理系统使用,以配置、管理和控制远程系统上的数据。配置库还可以促进设备的远程访问和管理。 对手可能会以收集大量敏感系统管理数据为目标。配置库中的数据可能通过各种协议和软件暴露,并且可以存储各种数据,其中许多可能与对手的发现目标一致。(引用: US-CERT-TA18-106A)(引用: US-CERT TA17-156A SNMP Abuse 2017) |
| T1602.001 | SNMP(MIB转储) | 攻击者可能会针对管理信息库(MIB)以收集和/或挖掘在使用简单网络管理协议(SNMP)管理的网络中的有价值信息。 MIB是一个配置存储库,存储通过SNMP访问的变量信息,形式为对象标识符(OID)。每个OID标识一个可以读取或设置的变量,并允许通过远程修改这些变量来执行主动管理任务,如配置更改。SNMP可以为管理员提供对其系统的深入了解,例如系统信息、硬件描述、物理位置和软件包(引用:SANS Information Security Reading Room Securing SNMP Securing SNMP)。MIB还可能包含设备操作信息,包括运行配置、路由表和接口详细信息。 攻击者可能使用SNMP查询直接从SNMP管理的设备收集MIB内容,以收集允许攻击者构建网络地图并促进未来定向利用的网络信息。(引用:US-CERT-TA18-106A)(引用:Cisco Blog Legacy Device Attacks) |
| T1602.002 | 网络设备配置转储 | 对手可能会访问网络配置文件以收集有关设备和网络的敏感数据。网络配置是包含确定设备操作参数的文件。设备通常在操作时存储配置的内存副本,并在设备重置后加载到非易失性存储中的单独配置。对手可以检查配置文件以揭示有关目标网络及其布局、网络设备及其软件或识别合法帐户和凭据的信息,以供以后使用。 对手可以使用常见的管理工具和协议,例如简单网络管理协议 (SNMP) 和智能安装 (SMI) 访问网络配置文件。(引用: US-CERT TA18-106A Network Infrastructure Devices 2018)(引用: Cisco Blog Legacy Device Attacks) 这些工具可用于从配置存储库查询特定数据或配置设备以导出配置以供以后分析。 |