影响
攻击者试图操纵、破坏或破坏系统和数据。
技术: 32
| 编号 | 名字 | 描述 |
|---|---|---|
| T1485 | 数据销毁 | 对手可能会销毁特定系统或网络上大量系统上的数据和文件,以中断系统、服务和网络资源的可用性。数据销毁可能通过覆盖本地和远程驱动器上的文件或数据,使存储的数据无法通过法医技术恢复。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017)(引用: Unit 42 Shamoon3 2018)(引用: Talos Olympic Destroyer 2018) 常见的操作系统文件删除命令如 del 和 rm 通常只删除文件的指针,而不擦除文件的内容,使文件可以通过适当的法医方法恢复。这种行为与 磁盘内容擦除 和 磁盘结构擦除 不同,因为单个文件被销毁,而不是存储磁盘的部分或磁盘的逻辑结构。 对手可能会尝试用随机生成的数据覆盖文件和目录,使其无法恢复。(引用: Kaspersky StoneDrill 2017)(引用: Unit 42 Shamoon3 2018) 在某些情况下,政治导向的图像文件已被用来覆盖数据。(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017) 为了最大限度地影响目标组织,在网络范围内中断可用性的操作中,设计用于销毁数据的恶意软件可能具有类似蠕虫的功能,通过利用其他技术如 有效账户、操作系统凭据转储 和 SMB/Windows 管理共享 在网络中传播。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017)(引用: Talos Olympic Destroyer 2018) 在云环境中,对手可能利用访问权限删除云存储对象、机器映像、数据库实例和其他对操作至关重要的基础设施,以损害组织或其客户。(引用: Data Destruction - Threat Post)(引用: DOJ - Cisco Insider) |
| T1485.001 | 生命周期触发删除 | 对手可能会修改云存储桶的生命周期策略以销毁其中存储的所有对象。 云存储桶通常允许用户设置生命周期策略,以在设定的时间段后自动迁移、归档或删除对象。(引用: AWS Storage Lifecycles)(引用: GCP Storage Lifecycles)(引用: Azure Storage Lifecycles) 如果威胁行为者具有修改这些策略的足够权限,他们可能能够一次性删除所有对象。 例如,在 AWS 环境中,具有 PutLifecycleConfiguration 权限的对手可以使用 PutBucketLifecycle API 调用将生命周期策略应用于 S3 存储桶,该策略会在一天后删除存储桶中的所有对象。(引用: Palo Alto Cloud Ransomware) 除了为了勒索和 Financial Theft 目的销毁数据外,对手还可能对存储云日志的存储桶执行此操作以进行 Indicator Removal。(引用: Datadog S3 Lifecycle CloudTrail Logs) |
| T1486 | 数据加密以产生影响 | 对手可能会加密目标系统或网络中大量系统上的数据,以中断系统和网络资源的可用性。他们可以尝试通过加密本地和远程驱动器上的文件或数据并拒绝访问解密密钥来使存储的数据不可访问。这可能是为了从受害者那里提取货币补偿以换取解密或解密密钥(勒索软件),或者在未保存或传输密钥的情况下使数据永久不可访问。(引用: US-CERT Ransomware 2016)(引用: FireEye WannaCry 2017)(引用: US-CERT NotPetya 2017)(引用: US-CERT SamSam 2018) 在勒索软件的情况下,通常会加密常见的用户文件,如 Office 文档、PDF、图像、视频、音频、文本和源代码文件(通常重命名和/或标记为特定文件标记)。对手可能需要首先采用其他行为,例如文件和目录权限修改或系统关闭/重启,以解锁和/或获取访问权限来操作这些文件。(引用: CarbonBlack Conti July 2020) 在某些情况下,对手可能会加密关键系统文件、磁盘分区和 MBR。(引用: US-CERT NotPetya 2017) 为了最大限度地影响目标组织,设计用于加密数据的恶意软件可能具有类似蠕虫的功能,通过利用其他攻击技术(如有效账户、操作系统凭据转储 和 SMB/Windows 管理共享)在网络中传播。(引用: FireEye WannaCry 2017)(引用: US-CERT NotPetya 2017) 加密恶意软件还可能利用内部篡改,例如更改受害者的壁纸,或通过向连接的打印机发送勒索信或其他消息(称为“打印轰炸”)来恐吓受害者。(引用: NHS Digital Egregor Nov 2020) 在云环境中,受损账户内的存储对象也可能被加密。(引用: Rhino S3 Ransomware Part 1) |
| T1489 | 服务停止 | 对手可能会停止或禁用系统上的服务,使这些服务对合法用户不可用。停止关键服务或进程可能会抑制或停止对事件的响应,或帮助对手实现其总体目标,对环境造成损害。(引用: Talos Olympic Destroyer 2018)(引用: Novetta Blockbuster) 对手可能通过禁用对组织至关重要的单个服务来实现这一点,例如MSExchangeIS,这将使Exchange内容不可访问。(引用: Novetta Blockbuster) 在某些情况下,对手可能会停止或禁用许多或所有服务,使系统无法使用。(引用: Talos Olympic Destroyer 2018) 服务或进程可能不允许在运行时修改其数据存储。对手可能会停止服务或进程,以便对服务的数据存储进行数据破坏或影响加密数据。(引用: SecureWorks WannaCry Analysis) |
| T1490 | 抑制系统恢复 | 对手可能会删除或移除内置数据并关闭旨在帮助恢复损坏系统的服务,以防止恢复。(引用: Talos Olympic Destroyer 2018)(引用: FireEye WannaCry 2017) 这可能会拒绝访问可用的备份和恢复选项。 操作系统可能包含有助于修复损坏系统的功能,例如备份目录、卷影副本和自动修复功能。对手可能会禁用或删除系统恢复功能,以增强数据销毁和影响的数据加密的效果。(引用: Talos Olympic Destroyer 2018)(引用: FireEye WannaCry 2017) 此外,对手可能会禁用恢复通知,然后破坏备份。(引用: disable_notif_synology_ransom) 对手已使用多种本机Windows实用程序禁用或删除系统恢复功能: * vssadmin.exe 可用于删除系统上的所有卷影副本 - vssadmin.exe delete shadows /all /quiet * Windows管理工具 可用于删除卷影副本 - wmic shadowcopy delete * wbadmin.exe 可用于删除Windows备份目录 - wbadmin.exe delete catalog -quiet * bcdedit.exe 可用于通过修改引导配置数据禁用自动Windows恢复功能 - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no * REAgentC.exe 可用于禁用Windows恢复环境(WinRE)修复/恢复选项 * diskshadow.exe 可用于删除系统上的所有卷影副本 - diskshadow delete shadows all (引用: Diskshadow) (引用: Crytox Ransomware) 在网络设备上,对手可能利用磁盘擦除删除备份固件映像并重新格式化文件系统,然后系统关闭/重启重新加载设备。结合起来,这些活动可能使网络设备完全无法操作并抑制恢复操作。 对手还可能删除连接到其网络的“在线”备份 - 无论是通过网络存储介质还是通过同步到云服务的文件夹。(引用: ZDNet Ransomware Backups 2020) 在云环境中,对手可能禁用版本控制和备份策略,并删除快照、数据库备份、机器映像和设计用于灾难恢复场景的对象的先前版本。(引用: Dark Reading Code Spaces Cyber Attack)(引用: Rhino Security Labs AWS S3 Ransomware) |
| T1491 | 篡改 | 对手可能会修改企业网络内部或外部可用的视觉内容,从而影响原始内容的完整性。篡改的原因包括传递信息、恐吓或声称(可能是虚假的)入侵信用。令人不安或冒犯的图像可能作为篡改的一部分使用,以引起用户的不适,或迫使其遵守附带的信息。 |
| T1491.001 | 内部篡改 | 对手可能会篡改组织内部的系统,试图恐吓或误导用户,从而破坏系统的完整性。这可能采取修改内部网站或直接替换用户系统桌面壁纸的形式。(引用: Novetta Blockbuster) 令人不安或冒犯的图像可能作为内部篡改的一部分使用,以引起用户的不适,或通过附带的信息施加压力。由于内部篡改系统会暴露对手的存在,它通常在完成其他入侵目标后进行。(引用: Novetta Blockbuster Destructive Malware) |
| T1491.002 | 外部篡改 | 对手可能会篡改组织外部的系统,以试图传递信息、恐吓或误导组织或用户。外部篡改可能最终导致用户不信任系统,并质疑/否定系统的完整性。外部网站是篡改的常见受害者;通常被对手和黑客组织攻击,以推动政治信息或传播宣传。(引用: FireEye Cyber Threats to Media Industries)(引用: Kevin Mandia Statement to US Senate Committee on Intelligence)(引用: Anonymous Hackers Deface Russian Govt Site) 外部篡改可能被用作触发事件的催化剂,或作为对组织或政府采取行动的回应。同样,网站篡改也可能被用作未来攻击的准备或前兆,例如驱动器式攻击。(引用: Trend Micro Deep Dive Into Defacement) |
| T1495 | 固件损坏 | 对手可能会覆盖或损坏系统BIOS或附加到系统的设备中的固件内容,以使其无法操作或无法启动,从而拒绝使用设备和/或系统。(引用: Symantec Chernobyl W95.CIH) 固件是从硬件设备上的非易失性存储器加载和执行的软件,用于初始化和管理设备功能。这些设备可能包括主板、硬盘或显卡。 一般来说,对手可能会操纵、覆盖或损坏固件,以拒绝使用系统或设备。例如,损坏负责加载操作系统的网络设备的固件可能会使网络设备无法操作。(引用: dhs_threat_to_net_devices)(引用: cisa_malware_orgs_ukraine) 根据设备的不同,此攻击还可能导致数据销毁。 |
| T1496 | 资源劫持 | 对手可能会利用被劫持系统的资源来完成资源密集型任务,这可能会影响系统和/或托管服务的可用性。 资源劫持可能采取多种不同的形式。例如,对手可能会: * 利用计算资源进行加密货币挖矿 * 将网络带宽出售给代理网络 * 生成SMS流量以获取利润 * 滥用基于云的消息服务发送大量垃圾邮件 在某些情况下,对手可能会同时利用多种资源劫持类型。(引用: Sysdig Cryptojacking Proxyjacking 2023) |
| T1496.001 | 计算劫持 | 对手可能利用被劫持系统的计算资源来完成资源密集型任务,这可能会影响系统和/或托管服务的可用性。 计算劫持的一个常见目的是验证加密货币网络的交易并赚取虚拟货币。对手可能消耗足够的系统资源,以负面影响和/或导致受影响的机器变得无响应。(引用: Kaspersky Lazarus Under The Hood Blog 2017) 服务器和基于云的系统是常见目标,因为它们具有高潜在可用资源,但用户端点系统也可能被妥协并用于计算劫持和加密货币挖矿。(引用: CloudSploit - Unused AWS Regions) 容器化环境也可能成为目标,因为通过暴露的API进行部署的容易性,以及通过在环境或集群中部署或妥协多个容器来扩展挖矿活动的潜力。(引用: Unit 42 Hildegard Malware)(引用: Trend Micro Exposed Docker APIs) 此外,一些加密货币挖矿恶意软件会识别并杀死竞争恶意软件的进程,以确保其不与资源竞争。(引用: Trend Micro War of Crypto Miners) |
| T1496.002 | 带宽劫持 | 对手可能会利用被劫持系统的网络带宽资源来完成资源密集型任务,这可能会影响系统和/或托管服务的可用性。 对手还可能使用利用系统网络带宽的恶意软件作为僵尸网络的一部分,以促进网络拒绝服务攻击和/或播种恶意种子。(引用: GoBotKR) 另外,他们可能通过将受害者的网络带宽和IP地址出售给代理服务来进行代理劫持。(引用: Sysdig Proxyjacking) 最后,他们可能进行互联网范围的扫描,以识别更多的目标进行攻击。(引用: Unit 42 Leaked Environment Variables 2024) 除了可能产生的财务成本或可用性中断外,如果受害者的带宽被用于非法活动,这种技术还可能造成声誉损害。(引用: Sysdig Proxyjacking) |
| T1496.003 | 短信泵送 | 对手可能会利用消息服务进行短信泵送,这可能会影响系统和/或托管服务的可用性。(引用: Twilio SMS Pumping) 短信泵送是一种电信欺诈类型,威胁行为者首先从电信提供商处获得一组电话号码,然后利用受害者的消息基础设施向该组中的号码发送大量短信。通过生成发送到其电话号码集的短信流量,威胁行为者可能会从电信提供商处获得付款。(引用: Twilio SMS Pumping Fraud) 威胁行为者通常使用公开可用的网页表单,例如一次性密码(OTP)或帐户验证字段,以生成短信流量。这些字段可能在后台使用 Twilio、AWS SNS 和 Amazon Cognito 等服务。(引用: Twilio SMS Pumping)(引用: AWS RE:Inforce Threat Detection 2024) 响应大量请求,短信费用可能会增加,通信渠道可能会变得不堪重负。(引用: Twilio SMS Pumping) |
| T1496.004 | 云服务劫持 | 对手可能会利用被劫持的软件即服务 (SaaS) 应用程序来完成资源密集型任务,这可能会影响托管服务的可用性。 例如,对手可能会利用电子邮件和消息服务,如 AWS 简单电子邮件服务 (SES)、AWS 简单通知服务 (SNS)、SendGrid 和 Twilio,以发送大量垃圾邮件/ 网络钓鱼 电子邮件和短信。(引用: Invictus IR DangerDev 2024)(引用: Permiso SES Abuse 2023)(引用: SentinelLabs SNS Sender 2024) 另外,他们可能通过利用反向代理劫持云托管的 AI 模型的能力来进行 LLM 劫持。(引用: Sysdig LLMJacking 2024)(引用: Lacework LLMJacking 2024) 在某些情况下,对手可能会利用受害者已经使用的服务。在其他情况下,特别是当服务是更大云平台的一部分时,他们可能首先启用该服务。(引用: Sysdig LLMJacking 2024) 利用 SaaS 应用程序可能会导致受害者产生巨大的财务成本、用尽服务配额,并影响可用性。 |
| T1498 | 网络拒绝服务 | 对手可能会执行网络拒绝服务 (DoS) 攻击,以降低或阻止用户对目标资源的可用性。网络 DoS 可以通过耗尽服务依赖的网络带宽来执行。示例资源包括特定网站、电子邮件服务、DNS 和基于 Web 的应用程序。对手已被观察到出于政治目的进行网络 DoS 攻击(Citation: FireEye OpPoisonedHandover February 2016),并支持其他恶意活动,包括分散注意力(Citation: FSISAC FraudNetDoS September 2012)、黑客活动和敲诈。(Citation: Symantec DDoS October 2014) 当由于指向资源或资源依赖的网络连接和网络设备的恶意流量量而导致系统的网络连接带宽容量耗尽时,将发生网络 DoS。例如,对手可能会向由具有 1Gbps 互联网连接的网络托管的服务器发送 10Gbps 的流量。此流量可以由单个系统或分布在互联网上的多个系统生成,这通常称为分布式 DoS (DDoS)。 为了执行网络 DoS 攻击,多个方面适用于多种方法,包括 IP 地址欺骗和僵尸网络。 对手可能使用攻击系统的原始 IP 地址,或伪造源 IP 地址,使攻击流量更难追溯到攻击系统,或启用反射。这可以通过减少或消除通过网络防御设备的源地址过滤的有效性来增加防御者防御攻击的难度。 对于试图饱和提供网络的攻击,请参见端点拒绝服务。 |
| T1498.001 | 直接网络洪流 | 对手可能通过直接向目标发送大量网络流量来尝试造成拒绝服务(DoS)。这种DoS攻击还可能减少目标系统和网络的可用性和功能。直接网络洪流是指使用一个或多个系统向目标服务的网络发送大量网络数据包。几乎任何网络协议都可以用于洪流。无状态协议如UDP或ICMP常被使用,但有状态协议如TCP也可以使用。 僵尸网络通常用于对网络和服务进行网络洪流攻击。大型僵尸网络可以从分布在全球互联网的系统生成大量流量。对手可能有资源建立和控制自己的僵尸网络基础设施,或者可能租用现有僵尸网络的时间进行攻击。在一些最严重的分布式DoS(DDoS)情况下,使用了如此多的系统来生成洪流,以至于每个系统只需发送少量流量即可产生足够的流量来饱和目标网络。在这种情况下,将DDoS流量与合法客户端区分开来变得极其困难。僵尸网络已被用于一些最引人注目的DDoS洪流攻击中,例如2012年针对美国主要银行的一系列事件。(引用: USNYAG IranianBotnet March 2016) |
| T1498.002 | 反射放大 | 对手可能会尝试通过向目标反射大量网络流量来造成拒绝服务 (DoS)。这种类型的网络 DoS 利用托管并将响应发送到给定伪造源 IP 地址的第三方服务器中介。这个第三方服务器通常称为反射器。对手通过向反射器发送带有受害者伪造地址的数据包来完成反射攻击。类似于直接网络泛洪,可能会使用多个系统来进行攻击,或者可能会使用僵尸网络。同样,可能会使用一个或多个反射器将流量集中到目标上。(引用: Cloudflare ReflectionDoS May 2017) 这种网络 DoS 攻击还可能降低目标系统和网络的可用性和功能。 反射攻击通常利用响应大于请求的协议来放大其流量,通常称为反射放大攻击。对手可能能够生成比发送到放大器的请求大几个数量级的攻击流量增加。此增加的程度将取决于许多变量,例如相关协议、使用的技术以及实际产生攻击流量放大的放大服务器。两个突出的协议是 DNS(引用: Cloudflare DNSamplficationDoS) 和 NTP(引用: Cloudflare NTPamplifciationDoS),尽管已经记录了其他几种协议的使用。(引用: Arbor AnnualDoSreport Jan 2018) 特别是,memcache 协议显示出强大的协议,放大大小高达请求数据包的 51,200 倍。(引用: Cloudflare Memcrashed Feb 2018) |
| T1499 | 端点拒绝服务 | 对手可能会执行端点拒绝服务 (DoS) 攻击,以降低或阻止用户对服务的可用性。端点DoS可以通过耗尽托管这些服务的系统资源或利用系统导致持久崩溃状态来执行。示例服务包括网站、电子邮件服务、DNS和基于Web的应用程序。对手已被观察到出于政治目的进行DoS攻击(引用: FireEye OpPoisonedHandover February 2016),并支持其他恶意活动,包括分散注意力(引用: FSISAC FraudNetDoS September 2012)、黑客活动和敲诈。(引用: Symantec DDoS October 2014) 端点DoS在不饱和提供访问服务的网络的情况下拒绝服务的可用性。对手可以针对托管用于提供服务的系统上的应用程序堆栈的各个层。这些层包括操作系统 (OS)、服务器应用程序(如Web服务器、DNS服务器、数据库)以及位于其上的(通常是基于Web的)应用程序。攻击每一层需要不同的技术,利用各自组件独特的瓶颈。DoS攻击可以由单个系统或分布在互联网上的多个系统生成,这通常称为分布式DoS (DDoS)。 为了对端点资源执行DoS攻击,多个方面适用于多种方法,包括IP地址欺骗和僵尸网络。 对手可能使用攻击系统的原始IP地址,或伪造源IP地址,使攻击流量更难追溯到攻击系统,或启用反射。这可以通过减少或消除通过网络防御设备的源地址过滤的有效性来增加防御者防御攻击的难度。 僵尸网络通常用于对网络和服务进行DDoS攻击。大型僵尸网络可以从分布在全球互联网的系统生成大量流量。对手可能有资源来构建和控制自己的僵尸网络基础设施,或可能租用现有僵尸网络的时间来进行攻击。在一些最严重的DDoS情况下,使用了如此多的系统来生成请求,以至于每个系统只需发送少量流量即可产生足够的流量来耗尽目标的资源。在这种情况下,将DDoS流量与合法客户端区分开来变得极其困难。僵尸网络已被用于一些最引人注目的DDoS攻击中,例如2012年针对美国主要银行的一系列事件。(引用: USNYAG IranianBotnet March 2016) 在使用流量操纵的攻击中,全球网络中的某些点(如高流量网关路由器)可能会修改数据包,并导致合法客户端执行代码,将网络数据包以高流量指向目标。这种能力以前用于网络审查的目的,其中客户端HTTP流量被修改为包含生成DDoS代码的JavaScript引用,以压倒目标Web服务器。(引用: ArsTechnica Great Firewall of China) 对于试图饱和提供网络的攻击,请参见网络拒绝服务。 |
| T1499.001 | 操作系统耗尽洪流 | 对手可能会发起针对端点操作系统(OS)的拒绝服务(DoS)攻击。系统的操作系统负责管理有限的资源,并防止系统因对其容量的过度需求而不堪重负。这些攻击不需要耗尽系统上的实际资源;攻击可能只是耗尽操作系统自我施加的限制和可用资源。 实现这一目标的不同方法包括TCP状态耗尽攻击,如SYN洪流和ACK洪流。(引用: Arbor AnnualDoSreport Jan 2018) 在SYN洪流中,会发送大量SYN数据包,但从未完成三次握手。由于每个操作系统允许的并发TCP连接数是有限的,这可能很快耗尽系统接收新TCP连接请求的能力,从而阻止对服务器提供的任何TCP服务的访问。(引用: Cloudflare SynFlood) ACK洪流利用了TCP协议的有状态特性。向目标发送大量ACK数据包。这迫使操作系统在其状态表中搜索已建立的相关TCP连接。由于ACK数据包是针对不存在的连接的,操作系统将不得不搜索整个状态表以确认没有匹配项。当需要对大量数据包进行此操作时,计算要求可能导致服务器变得迟缓和/或无响应,因为它必须进行大量工作以消除恶意ACK数据包。这大大减少了提供目标服务的可用资源。(引用: Corero SYN-ACKflood) |
| T1499.002 | 服务耗尽洪水 | 对手可能会针对系统提供的不同网络服务进行拒绝服务 (DoS) 攻击。对手通常会针对 DNS 和 Web 服务的可用性,但其他服务也可能成为目标。(引用: Arbor AnnualDoSreport Jan 2018) Web 服务器软件可以通过多种方式受到攻击,其中一些适用于一般情况,而另一些则特定于用于提供服务的软件。 这种类型攻击的一个示例称为简单 HTTP 洪水,对手向 Web 服务器发送大量 HTTP 请求以压倒它和/或在其上运行的应用程序。此洪水依赖于原始流量来实现目标,耗尽受害软件提供服务所需的各种资源。(引用: Cloudflare HTTPflood) 另一种变体称为 SSL 重新协商攻击,利用 SSL/TLS 中的协议功能。SSL/TLS 协议套件包括客户端和服务器同意用于后续安全连接的加密算法的机制。如果启用了 SSL 重新协商,则可以请求重新协商加密算法。在重新协商攻击中,对手建立 SSL/TLS 连接,然后继续发出一系列重新协商请求。由于加密重新协商在计算周期上具有显著成本,因此当大量进行时,这可能会影响服务的可用性。(引用: Arbor SSLDoS April 2012) |
| T1499.003 | 应用程序耗尽洪流 | 对手可能会针对应用程序的资源密集型功能发起拒绝服务(DoS)攻击,拒绝对这些应用程序的访问。例如,Web 应用程序中的特定功能可能非常资源密集。对这些功能的重复请求可能会耗尽系统资源并拒绝访问应用程序或服务器本身。(引用: Arbor AnnualDoSreport Jan 2018) |
| T1499.004 | 应用程序或系统利用 | 对手可能会利用软件漏洞,导致应用程序或系统崩溃并拒绝用户访问。(引用: Sucuri BIND9 August 2015) 一些系统可能会在崩溃时自动重新启动关键应用程序和服务,但它们可能会被重新利用,导致持续的拒绝服务(DoS)状态。 对手可能会利用已知或零日漏洞来崩溃应用程序和/或系统,这也可能导致依赖的应用程序和/或系统处于DoS状态。崩溃或重新启动的应用程序或系统还可能具有其他影响,例如数据破坏、固件损坏、服务停止等,这可能进一步导致DoS状态并拒绝访问关键信息、应用程序和/或系统。 |
| T1529 | 系统关闭/重启 | 对手可能关闭/重启系统以中断对这些系统的访问或帮助销毁这些系统。操作系统可能包含用于启动机器或网络设备关闭/重启的命令。在某些情况下,这些命令还可以用于通过网络设备CLI(例如reload)启动远程计算机或网络设备的关闭/重启。(引用: Microsoft Shutdown Oct 2017)(引用: alert_TA18_106A) 关闭或重启系统可能会中断合法用户对计算机资源的访问,同时也会阻碍事件响应/恢复。 对手可能在以其他方式影响系统后尝试关闭/重启系统,例如磁盘结构擦除或抑制系统恢复,以加速对系统可用性的预期影响。(引用: Talos Nyetya June 2017)(引用: Talos Olympic Destroyer 2018) |
| T1531 | 账户访问移除 | 对手可能通过禁止合法用户访问账户来中断系统和网络资源的可用性。账户可能被删除、锁定或操作(例如:更改凭据)以移除对账户的访问。对手还可能随后注销和/或执行系统关闭/重启以设置恶意更改。(引用: CarbonBlack LockerGoga 2019)(引用: Unit42 LockerGoga 2019) 在Windows中,Net实用程序、Set-LocalUser和Set-ADAccountPasswordPowerShell cmdlets可能被对手用来修改用户账户。在Linux中,可以使用passwd实用程序更改密码。账户也可以通过组策略禁用。 使用勒索软件或类似攻击的对手可能首先执行此行为和其他影响行为,例如数据销毁和篡改,以在完成数据加密以产生影响目标之前阻碍事件响应/恢复。 |
| T1561 | 磁盘擦除 | 对手可能会擦除或破坏特定系统或网络中大量系统上的原始磁盘数据,以中断系统和网络资源的可用性。通过直接写入磁盘数据,对手可能会尝试覆盖磁盘数据的部分内容。对手可能会选择擦除任意部分的磁盘数据和/或擦除磁盘结构,如主引导记录(MBR)。可能会尝试完全擦除所有磁盘扇区。 为了在网络范围内中断可用性,最大限度地影响目标组织,使用的擦除磁盘的恶意软件可能具有类似蠕虫的特性,通过利用其他技术如有效帐户、操作系统凭证转储和SMB/Windows 管理共享在网络中传播。(引用: Novetta Blockbuster Destructive Malware) 在网络设备上,对手可能会使用网络设备 CLI命令如erase擦除设备上的配置文件和其他数据。(引用: erase_cmd_cisco) |
| T1561.001 | 磁盘内容擦除 | 对手可能会擦除特定系统或网络中大量系统上的存储设备内容,以中断系统和网络资源的可用性。 对手可能会部分或完全覆盖存储设备的内容,使数据通过存储接口无法恢复。(引用: Novetta Blockbuster)(引用: Novetta Blockbuster Destructive Malware)(引用: DOJ Lazarus Sony 2018) 对手可能会擦除磁盘内容的任意部分,而不是擦除特定的磁盘结构或文件。要擦除磁盘内容,对手可能需要直接访问硬盘以覆盖任意大小的磁盘部分,使用随机数据。(引用: Novetta Blockbuster Destructive Malware) 对手还被观察到利用第三方驱动程序如RawDisk直接访问磁盘内容。(引用: Novetta Blockbuster)(引用: Novetta Blockbuster Destructive Malware) 这种行为与数据销毁不同,因为擦除的是磁盘的部分而不是单个文件。 为了最大限度地影响目标组织,在网络范围内中断可用性的操作中,设计用于擦除磁盘内容的恶意软件可能具有类似蠕虫的功能,通过利用其他技术如有效账户、操作系统凭据转储和SMB/Windows管理共享在网络中传播。(引用: Novetta Blockbuster Destructive Malware) |
| T1561.002 | 磁盘结构擦除 | 对手可能会破坏或擦除硬盘上启动系统所需的磁盘数据结构;针对特定关键系统或网络中的大量系统,以中断系统和网络资源的可用性。 对手可能会通过覆盖主引导记录(MBR)或分区表等结构中的关键数据,使系统无法启动。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017)(引用: Unit 42 Shamoon3 2018) 磁盘结构中包含的数据可能包括用于加载操作系统的初始可执行代码或磁盘上文件系统分区的位置。如果这些信息不存在,计算机将无法在启动过程中加载操作系统,从而使计算机不可用。磁盘结构擦除可以单独执行,也可以与磁盘内容擦除一起执行,如果擦除磁盘的所有扇区。 在网络设备上,对手可能使用网络设备CLI命令如format重新格式化文件系统。(引用: format_cmd_cisco) 为了最大限度地影响目标组织,旨在破坏磁盘结构的恶意软件可能具有类似蠕虫的特性,通过利用其他技术如有效帐户、操作系统凭证转储和SMB/Windows管理共享在网络中传播。(引用: Symantec Shamoon 2012)(引用: FireEye Shamoon Nov 2016)(引用: Palo Alto Shamoon Nov 2016)(引用: Kaspersky StoneDrill 2017) |
| T1565 | 数据操纵 | 对手可能会插入、删除或操纵数据,以影响外部结果或隐藏活动,从而威胁数据的完整性。(引用: Sygnia Elephant Beetle Jan 2022) 通过操纵数据,对手可能试图影响业务流程、组织理解或决策。 修改的类型及其影响取决于目标应用程序和过程以及对手的目标和目的。对于复杂系统,对手可能需要特殊的专业知识,并可能需要通过长期的信息收集活动获得与系统相关的专业软件,以实现预期的影响。 |
| T1565.001 | 存储数据操纵 | 对手可能会插入、删除或操纵静态数据,以影响外部结果或隐藏活动,从而威胁数据的完整性。(引用: FireEye APT38 Oct 2018)(引用: DOJ Lazarus Sony 2018) 通过操纵存储的数据,对手可能会尝试影响业务流程、组织理解和决策。 存储的数据可能包括各种文件格式,如 Office 文件、数据库、存储的电子邮件和自定义文件格式。修改的类型及其影响取决于数据的类型以及对手的目标和目的。对于复杂系统,对手可能需要特殊的专业知识,并可能需要访问与系统相关的专用软件,这通常通过长期的信息收集活动获得,以实现预期的影响。 |
| T1565.002 | 传输数据篡改 | 对手可能会在数据传输到存储或其他系统的过程中篡改数据,以影响外部结果或隐藏活动,从而威胁数据的完整性。(引用: FireEye APT38 Oct 2018)(引用: DOJ Lazarus Sony 2018) 通过篡改传输的数据,对手可能试图影响业务流程、组织理解和决策。 篡改可能通过网络连接或系统进程之间进行,在有机会部署工具拦截和更改信息的地方。修改的类型及其影响取决于目标传输机制以及对手的目标和目的。对于复杂系统,对手可能需要特殊的专业知识,并可能需要通过长期的信息收集活动获得与系统相关的专业软件,以实现预期的影响。 |
| T1565.003 | 运行时数据操纵 | 对手可能会修改系统以在访问和显示给最终用户时操纵数据,从而威胁数据的完整性。(引用: FireEye APT38 Oct 2018)(引用: DOJ Lazarus Sony 2018) 通过操纵运行时数据,对手可能试图影响业务流程、组织理解和决策。 对手可能会更改用于显示数据的应用程序二进制文件,以导致运行时操纵。对手还可能进行更改默认文件关联和伪装以产生类似效果。修改的类型及其影响取决于目标应用程序和过程以及对手的目标和目的。对于复杂系统,对手可能需要特殊的专业知识,并可能需要访问与系统相关的专用软件,这通常通过长期的信息收集活动获得,以实现预期的影响。 |
| T1657 | 金融盗窃 | 攻击者可能会通过勒索、社会工程、技术盗窃或其他手段从目标手中窃取金钱资源,以获取自身的经济利益,而牺牲受害者使用这些资源的利益。金融盗窃是几种流行活动类型的最终目标,包括勒索软件敲诈勒索、(引文:FBI-ransomware)、商业电子邮件泄露 (BEC) 和欺诈、(引文:FBI-BEC)、“杀猪”、“(引文:wired-pig butchering) 银行黑客攻击、(引文:DOJ-DPRK Heist) 和利用加密货币网络。(引文:BBC-Ronin) 攻击者可能会 入侵账户 进行未经授权的资金转移。(引文:互联网犯罪报告 2022) 在商业电子邮件泄露或电子邮件欺诈的情况下,攻击者可能会利用可信实体的 模仿。一旦社会工程学成功,受害者就会被欺骗将钱汇到对手控制的金融账户中。(引文:FBI-BEC) 这就有可能在涉及金融盗窃的事件中造成多名受害者(即账户被盗以及最终的金钱损失)。(引文:VEC) 例如,当对手在 数据加密以产生影响 (引文:NYT-Colonial) 和 数据渗漏 之后要求受害者付款,然后威胁说,如果不向对手付款,就会向公众泄露敏感数据,这时就可能发生勒索软件敲诈。(引文:Mandiant-leaks) 对手可能会使用专门的泄密网站来分发受害者数据。(引文:Crowdstrike-leaks) 由于潜在的巨大业务影响金融盗窃,攻击者可能会滥用金融盗窃的可能性并寻求金钱利益来转移对其真正目标(例如 数据破坏 和业务中断)的注意力。(引文:AP-NotPetya) |