初始访问
攻击者试图进入目标网络。
技术: 21
| 编号 | 名字 | 描述 |
|---|---|---|
| T1078 | 有效账户 | 对手可能会获取和滥用现有账户的凭据,作为获得初始访问、持久性、权限提升或规避防御的一种手段。被破坏的凭据可能用于绕过系统内各种资源上的访问控制,甚至可能用于对远程系统和外部可用服务(如 VPN、Outlook Web Access、网络设备和远程桌面)的持久访问。(引用: volexity_0day_sophos_FW) 被破坏的凭据还可能授予对手对特定系统的更高权限或对网络中受限区域的访问权限。对手可能选择不使用恶意软件或工具,而是利用这些凭据提供的合法访问权限,使其存在更难被检测到。 在某些情况下,对手可能会滥用不活跃的账户:例如,那些属于不再是组织成员的个人的账户。使用这些账户可能使对手能够规避检测,因为原账户用户不会在场,无法识别其账户上发生的任何异常活动。(引用: CISA MFA PrintNightmare) 由于本地、域和云账户在系统网络中的权限重叠,对手可能能够跨账户和系统进行横向移动,以达到高水平的访问(即域或企业管理员),从而绕过企业内部设置的访问控制。(引用: TechNet Credential Theft) |
| T1078.001 | 默认帐户 | 对手可能会获取和滥用默认帐户的凭据,作为获得初始访问、持久性、权限提升或防御规避的一种手段。默认帐户是内置于操作系统中的帐户,例如 Windows 系统上的来宾或管理员帐户。默认帐户还包括其他类型系统、软件或设备上的默认工厂/提供商设置帐户,包括 AWS 中的 root 用户帐户和 Kubernetes 中的默认服务帐户。(引用:Microsoft 本地帐户 2019 年 2 月)(引用:AWS Root 用户)(引用:Kubernetes 威胁矩阵) 默认帐户不仅限于客户端机器,还包括为设备(如网络设备和计算机应用程序)预设的帐户,无论它们是内部的、开源的还是商业的。安装后未更改的预设用户名和密码组合的设备对组织构成严重威胁,因为它们是对手的容易目标。同样,对手还可能利用公开披露或被盗的 私钥 或凭据材料,通过 远程服务 合法连接到远程环境。(引用:Metasploit SSH 模块) |
| T1078.002 | 域账户 | 对手可能会获取和滥用域账户的凭据,作为获得初始访问、持久性、权限提升或规避防御的一种手段。(引用: TechNet Credential Theft) 域账户是由Active Directory域服务管理的账户,访问和权限配置在属于该域的系统和服务中。域账户可以覆盖用户、管理员和服务。(引用: Microsoft AD Accounts) 对手可能通过各种手段(如操作系统凭据转储或密码重用)来妥协域账户,其中一些具有高权限,从而访问域的特权资源。 |
| T1078.003 | 本地账户 | 对手可能获取和滥用本地账户的凭据,作为获得初始访问、持久性、权限提升或规避防御的手段。本地账户是组织为用户、远程支持、服务或单个系统或服务的管理配置的账户。 本地账户也可能被滥用以提升权限并通过操作系统凭据转储收集凭据。密码重用可能允许在网络上的一组机器上滥用本地账户,以实现权限提升和横向移动。 |
| T1091 | 通过可移动媒体复制 | 对手可能会通过将恶意软件复制到可移动媒体并利用插入系统时自动运行功能来移动到系统,可能是那些断开连接或隔离网络的系统。在横向移动的情况下,这可能通过修改存储在可移动媒体上的可执行文件或通过复制恶意软件并将其重命名为看起来像合法文件来欺骗用户在另一系统上执行它。在初始访问的情况下,这可能通过手动操作媒体、修改用于最初格式化媒体的系统或修改媒体本身的固件来实现。 如果通过USB连接移动设备,也可能用于感染PC。(引用: Exploiting Smartphone USB ) 这种感染可能通过设备(Android、iOS等)和在某些情况下通过USB充电线缆实现。(引用: Windows Malware Infecting Android)(引用: iPhone Charging Cable Hack) 例如,当智能手机连接到系统时,它可能类似于USB连接的磁盘驱动器。如果移动设备上有与连接系统兼容的恶意软件,恶意软件可能会感染机器(特别是如果启用了自动运行功能)。 |
| T1133 | 外部远程服务 | 对手可能会利用外部远程服务来初始访问和/或在网络中保持持久性。远程服务如 VPN、Citrix 和其他访问机制允许用户从外部位置连接到内部企业网络资源。通常有远程服务网关来管理这些服务的连接和凭据认证。服务如 Windows Remote Management 和 VNC 也可以外部使用。(引用: MacOS VNC software for Remote Desktop) 使用服务的 Valid Accounts 通常是一个要求,这些凭据可以通过凭据钓鱼或在入侵企业网络后从用户那里获取。(引用: Volexity Virtual Private Keylogging) 访问远程服务可以作为操作期间的冗余或持久访问机制。 也可以通过不需要认证的暴露服务获得访问。在容器化环境中,这可能包括暴露的 Docker API、Kubernetes API 服务器、kubelet 或 Web 应用程序如 Kubernetes 仪表板。(引用: Trend Micro Exposed Docker Server)(引用: Unit 42 Hildegard Malware) |
| T1189 | 驱动式妥协 | 对手可能通过用户在正常浏览过程中访问网站来获得系统访问权限。使用此技术时,通常会针对用户的网络浏览器进行利用,但对手也可能使用被破坏的网站进行非利用行为,例如获取应用程序访问令牌。 存在多种将利用代码传递到浏览器的方法(即,驱动式目标),包括: * 合法网站被破坏,对手注入某种形式的恶意代码,如JavaScript、iFrames和跨站脚本攻击 * 从公共可写云存储桶提供给合法网站的脚本文件被对手修改 * 通过合法广告提供商支付并投放恶意广告(即,恶意广告) * 内置的Web应用程序接口被用于插入任何其他类型的对象,这些对象可以用于显示Web内容或包含在访问客户端上执行的脚本(例如,论坛帖子、评论和其他用户可控的Web内容)。 通常,对手使用的网站是特定社区访问的网站,例如政府、特定行业或地区,目标是基于共同兴趣破坏特定用户或用户组。这种有针对性的活动通常被称为战略性网络妥协或水坑攻击。有几个已知的例子发生过这种情况。(引用: Shadowserver Strategic Web Compromise) 典型的驱动式妥协过程: 1. 用户访问用于托管对手控制内容的网站。 2. 脚本自动执行,通常搜索浏览器和插件的版本以查找潜在的易受攻击版本。 * 用户可能需要通过启用脚本或活动网站组件并忽略警告对话框来协助此过程。 3. 发现易受攻击的版本后,将利用代码传递到浏览器。 4. 如果利用成功,它将使对手在用户系统上执行代码,除非存在其他保护措施。 * 在某些情况下,在初始扫描后需要第二次访问网站才能传递利用代码。 与利用公共应用程序不同,此技术的重点是利用客户端端点上的软件在访问网站时。这通常会使对手访问内部网络上的系统,而不是可能位于DMZ中的外部系统。 对手还可能使用被破坏的网站将用户引导到设计用于窃取应用程序访问令牌的恶意应用程序,例如OAuth令牌,以访问受保护的应用程序和信息。这些恶意应用程序已通过合法网站上的弹出窗口传递。(引用: Volexity OceanLotus Nov 2017) |
| T1190 | 利用面向公众的应用程序 | 对手可能尝试利用互联网面向主机或系统中的弱点以初始访问网络。系统中的弱点可能是软件漏洞、临时故障或配置错误。 被利用的应用程序通常是网站/网络服务器,但也可以包括数据库(如SQL)、标准服务(如SMB或SSH)、网络设备管理和管理协议(如SNMP和Smart Install)以及任何其他具有互联网可访问开放套接字的系统。(引用: NVD CVE-2016-6662)(引用: CIS Multiple SMB Vulnerabilities)(引用: US-CERT TA18-106A Network Infrastructure Devices 2018)(引用: Cisco Blog Legacy Device Attacks)(引用: NVD CVE-2014-7169) 根据被利用的漏洞,这也可能涉及利用漏洞进行防御规避或利用客户端执行漏洞。 如果应用程序托管在基于云的基础设施和/或容器化环境中,那么利用它可能导致底层实例或容器的妥协。这可以为对手提供访问云或容器API的路径(例如,通过云实例元数据API),通过逃逸到主机利用容器主机访问,或利用弱身份和访问管理策略。 对手还可能利用边缘网络基础设施和相关设备,特别是那些不支持强大主机防御的设备。(引用: Mandiant Fortinet Zero Day)(引用: Wired Russia Cyberwar) 对于网站和数据库,OWASP前10名和CWE前25名突出了最常见的基于Web的漏洞。(引用: OWASP Top 10)(引用: CWE top 25) |
| T1195 | 供应链妥协 | 对手可能在最终消费者收到产品之前操纵产品或产品交付机制,以实现数据或系统妥协。 供应链妥协可以发生在供应链的任何阶段,包括: * 操纵开发工具 * 操纵开发环境 * 操纵源代码库(公共或私有) * 操纵开源依赖项中的源代码 * 操纵软件更新/分发机制 * 受感染的系统镜像(多个案例中在工厂感染的可移动媒体)(引用: IBM Storwize)(引用: Schneider Electric USB Malware) * 用修改版本替换合法软件 * 向合法分销商销售修改/伪造产品 * 拦截运输 虽然供应链妥协可以影响硬件或软件的任何组件,但对手希望获得执行权限时,通常会专注于在软件分发或更新渠道中添加恶意内容。(引用: Avast CCleaner3 2018)(引用: Microsoft Dofoil 2018)(引用: Command Five SK 2011) 目标可能是特定的受害者集,或者恶意软件可能分发给广泛的消费者,但仅在特定受害者上继续进行其他战术。(引用: Symantec Elderwood Sept 2012)(引用: Avast CCleaner3 2018)(引用: Command Five SK 2011) 作为许多应用程序依赖项使用的流行开源项目也可能成为目标,以便向依赖项的用户添加恶意代码。(引用: Trendmicro NPM Compromise) |
| T1195.001 | 妥协软件依赖项和开发工具 | 对手可能会在最终消费者接收之前操纵软件依赖项和开发工具,以实现数据或系统妥协。应用程序通常依赖于外部软件才能正常运行。作为依赖项使用的流行开源项目可能成为目标,以便向依赖项的用户添加恶意代码。(引用: Trendmicro NPM Compromise) 目标可能特定于所需的受害者集,或分发给广泛的消费者,但仅在特定受害者上继续进行其他策略。 |
| T1195.002 | 妥协软件供应链 | 对手可能会在最终消费者收到应用软件之前操纵该软件,以实现数据或系统妥协。软件供应链的妥协可以通过多种方式进行,包括操纵应用程序源代码、操纵该软件的更新/分发机制,或用修改版本替换已编译的发布版本。 目标可能是特定的受害者集,也可能分发给广泛的消费者,但仅对特定受害者采取额外的策略。(引用: Avast CCleaner3 2018)(引用: Command Five SK 2011) |
| T1195.003 | 妥协硬件供应链 | 对手可能会在最终消费者收到产品之前操纵产品中的硬件组件,以实现数据或系统妥协。通过在供应链中修改硬件或固件,对手可以在消费者网络中插入后门,这可能难以检测,并使对手对系统具有高度控制。硬件后门可能插入到各种设备中,例如服务器、工作站、网络基础设施或外围设备。 |
| T1199 | 信任关系 | 对手可能会破坏或利用有权访问目标受害者的组织。通过信任的第三方关系访问滥用现有的连接,这些连接可能没有受到保护或比标准机制获得的访问更少受到审查。 组织通常会授予第二或第三方外部提供商更高的访问权限,以允许他们管理内部系统以及基于云的环境。这些关系的一些示例包括IT服务承包商、托管安全提供商、基础设施承包商(例如HVAC、电梯、物理安全)。第三方提供商的访问权限可能仅限于维护的基础设施,但可能存在于与企业其余部分相同的网络中。因此,其他方用于访问内部网络系统的有效账户可能会被破坏并使用。(引用: CISA IT Service Providers) 在Office 365环境中,组织可能会授予Microsoft合作伙伴或经销商委派的管理员权限。通过破坏合作伙伴或经销商账户,对手可能能够利用现有的委派管理员关系或向客户发送新的委派管理员邀请,以获得受害者租户的管理控制权。(引用: Office 365 Delegated Administration) |
| T1200 | 硬件添加 | 对手可能会将计算机配件、网络硬件或其他计算设备引入系统或网络,作为获取访问权限的向量。与仅通过可移动存储(即 通过可移动媒体复制)连接和分发有效载荷不同,更强大的硬件添加可以用于引入系统的新功能和/或特性,然后可以被滥用。 虽然公开参考威胁行为者使用的情况很少,但许多红队/渗透测试人员利用硬件添加进行初始访问。可以利用商业和开源产品,具有被动网络监听、网络流量修改(即 中间人攻击)、按键注入、通过 DMA 读取内核内存、向现有网络添加新的无线访问等功能。(引用: Ossmann Star Feb 2011)(引用: Aleks Weapons Nov 2015)(引用: Frisk DMA August 2016)(引用: McMillan Pwn March 2012) |
| T1566 | 网络钓鱼 | 对手可能会发送网络钓鱼消息以获取对受害者系统的访问权限。所有形式的网络钓鱼都是电子传递的社会工程。网络钓鱼可以是有针对性的,称为鱼叉式网络钓鱼。在鱼叉式网络钓鱼中,对手将针对特定个人、公司或行业。更一般地,对手可以进行非针对性的网络钓鱼,例如大规模恶意软件垃圾邮件活动。 对手可能会向受害者发送包含恶意附件或链接的电子邮件,通常以在受害者系统上执行恶意代码为目的。网络钓鱼也可以通过第三方服务进行,例如社交媒体平台。网络钓鱼还可能涉及社会工程技术,例如冒充可信来源,以及规避技术,例如删除或操纵被滥用发送消息的被破坏账户的电子邮件或元数据/头部(例如,电子邮件隐藏规则)。(引用: Microsoft OAuth Spam 2022)(引用: Palo Alto Unit 42 VBA Infostealer 2014) 另一种实现此目的的方法是伪造或欺骗(引用: Proofpoint-spoof)发件人的身份,这可以用来欺骗人类接收者以及自动化安全工具,(引用: cyberproof-double-bounce) 或通过将目标作为现有电子邮件线程的一部分,包括恶意文件或链接(即“线程劫持”)。(引用: phishing-krebs) 受害者还可能收到指示他们拨打电话号码的网络钓鱼消息,在那里他们被引导访问恶意URL、下载恶意软件,(引用: sygnia Luna Month)(引用: CISA Remote Monitoring and Management Software) 或在其计算机上安装对手可访问的远程管理工具(即,用户执行)。(引用: Unit42 Luna Moth) |
| T1566.001 | 鱼叉式网络钓鱼附件 | 对手可能会发送带有恶意附件的鱼叉式网络钓鱼消息,以获取可在目标过程中使用的敏感信息。鱼叉式网络钓鱼信息试图欺骗目标泄露信息,通常是凭据或其他可操作的信息。鱼叉式网络钓鱼信息通常涉及社会工程技术,例如冒充有理由收集信息的来源(例如:建立帐户或妥协帐户)和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,对手将文件附加到鱼叉式网络钓鱼电子邮件中,通常依赖于收件人填写信息然后返回文件。(引用: Sophos Attachment)(引用: GitHub Phishery) 鱼叉式网络钓鱼电子邮件的文本通常试图提供一个合理的理由,说明为什么应该填写文件,例如来自业务伙伴的信息请求。对手还可能使用先前侦察工作的信息(例如:搜索开放网站/域或搜索受害者拥有的网站)来制作有说服力和可信的诱饵。 |
| T1566.002 | 鱼叉式网络钓鱼链接 | 对手可能会发送带有恶意链接的鱼叉式网络钓鱼消息,以获取可在目标过程中使用的敏感信息。鱼叉式网络钓鱼信息试图欺骗目标泄露信息,通常是凭据或其他可操作的信息。鱼叉式网络钓鱼信息通常涉及社会工程技术,例如冒充有理由收集信息的来源(例如:建立账户或妥协账户)和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,恶意电子邮件包含链接,通常伴有社会工程文本,以诱使用户主动点击或复制并粘贴URL到浏览器中。(引用: TrendMictro Phishing)(引用: PCMag FakeLogin) 给定的网站可能是合法网站的克隆(例如在线或公司登录门户)或在外观上非常类似于合法网站,并且URL包含来自真实网站的元素。URL还可能通过利用URL模式中的怪癖来混淆,例如接受基于整数或十六进制的主机名格式,并自动丢弃“@”符号之前的文本:例如,hxxp://google.com@1157586937。(引用: Mandiant URL Obfuscation 2023) 对手还可能在网络钓鱼消息中嵌入“跟踪像素”、“网络错误”或“网络信标”,以验证电子邮件的接收,同时可能分析和跟踪受害者信息,例如IP地址。(引用: NIST Web Bug)(引用: Ryte Wiki) 这些机制通常显示为小图像(通常为一个像素大小)或其他方式混淆的对象,通常作为包含指向远程服务器的链接的HTML代码传递。(引用: Ryte Wiki)(引用: IAPP) 对手还可能使用所谓的“浏览器中的浏览器”(BitB)攻击来伪造完整的网站。通过生成一个带有HTML地址栏的假浏览器弹出窗口,看起来包含合法的URL(例如身份验证门户),他们可能能够提示用户输入其凭据,同时绕过典型的URL验证方法。(引用: ZScaler BitB 2020)(引用: Mr. D0x BitB 2022) 对手可以使用网络钓鱼工具包,例如EvilProxy和Evilginx2,通过代理受害者和合法网站之间的连接来执行中间人网络钓鱼。在成功登录后,受害者被重定向到合法网站,而对手捕获其会话Cookie(即,窃取Web会话Cookie)以及其用户名和密码。这可能使对手能够通过Web会话Cookie绕过MFA。(引用: Proofpoint Human Factor) 对手还可能以快速响应(QR)代码(也称为“quishing”)的形式发送恶意链接。这些链接可能会将受害者引导到凭据网络钓鱼页面。(引用: QR-campaign-energy-firm) 通过使用QR码,URL可能不会在电子邮件中暴露,因此可能不会被大多数自动电子邮件安全扫描检测到。(引用: qr-phish-agriculture) 这些QR码可能会被扫描或直接发送到用户的移动设备(即,网络钓鱼),这些设备在几个相关方面可能不太安全。(引用: qr-phish-agriculture) 例如,移动用户可能无法注意到真实和凭据收集网站之间的细微差别,因为移动设备的屏幕较小。 从假网站收集的信息通过Web表单发送给对手。对手还可能使用先前侦察工作的信息(例如,搜索开放网站/域或搜索受害者拥有的网站)来制作有说服力和可信的诱饵。 |
| T1566.003 | 通过服务的鱼叉式网络钓鱼 | 对手可能通过第三方服务发送鱼叉式网络钓鱼消息,试图访问受害者系统。通过服务的鱼叉式网络钓鱼是一种特定的鱼叉式网络钓鱼变体。它与其他形式的鱼叉式网络钓鱼不同,因为它使用第三方服务而不是直接通过企业电子邮件渠道。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,对手通过各种社交媒体服务、个人网络邮件和其他非企业控制的服务发送消息。(引用: Lookout Dark Caracal Jan 2018) 这些服务的安全策略可能比企业更宽松。与大多数鱼叉式网络钓鱼一样,目标是与目标建立关系或以某种方式引起目标的兴趣。对手会创建虚假的社交媒体账户并向员工发送潜在工作机会的消息。这样做可以合理地询问有关服务、策略和环境中运行的软件的信息。然后,对手可以通过这些服务发送恶意链接或附件。 一个常见的例子是通过社交媒体与目标建立关系,然后将内容发送到目标在其工作计算机上使用的个人网络邮件服务。这允许对手绕过工作账户上的一些电子邮件限制,并且目标更有可能打开文件,因为这是他们期望的内容。如果有效负载未按预期工作,对手可以继续正常通信并与目标一起排除故障以使其正常工作。 |
| T1586.003 | 云账户 | 云环境中的有效账户可能允许对手执行操作以实现初始访问、持久性、权限提升或防御规避。云账户是由组织创建和配置的账户,供用户、远程支持、服务或管理云服务提供商或SaaS应用程序中的资源使用。云账户可以仅存在于云中;或者,它们可能通过与其他身份源(例如Windows Active Directory)的同步或联合在本地系统和云之间混合连接。(引用: AWS Identity Federation)(引用: Google Federating GC)(引用: Microsoft Deploying AD Federation) 服务或用户账户可能通过暴力破解、网络钓鱼或各种其他手段成为对手的目标,以获得对环境的访问权限。联合或同步账户可能是对手影响本地系统和云环境的途径——例如,通过利用共享凭据登录到远程服务。高权限云账户,无论是联合、同步还是仅云账户,也可能允许通过SaaS 软件部署工具在混合连接设备上运行命令,从而转移到本地环境。 对手可能会在被破坏的云账户上创建长期的附加云凭据,以在环境中保持持久性。这些凭据还可以用于绕过多因素身份验证等安全控制。 云账户还可能能够通过环境中的各种手段获得临时提升的云访问权限或其他权限。角色分配或角色假设策略中的配置错误可能允许对手使用这些机制来利用超出账户预期范围的权限。这些超权限账户可能用于通过云API或其他方法从在线存储账户和数据库中收集敏感数据。 |
| T1598.004 | 语音鱼叉式网络钓鱼 | 对手可能会使用语音通信最终获得对受害者系统的访问权限。语音鱼叉式网络钓鱼是鱼叉式网络钓鱼的一种特定变体。它与其他形式的鱼叉式网络钓鱼不同,因为它使用操纵用户通过电话或其他形式的语音通信提供系统访问权限。鱼叉式网络钓鱼通常涉及社会工程技术,例如冒充可信来源(例如冒充)和/或为接收者制造紧迫感或警报。 所有形式的网络钓鱼都是电子传递的社会工程。在这种情况下,对手不会直接向受害者发送恶意软件,而是依赖用户执行进行传递和执行。例如,受害者可能会收到网络钓鱼消息,指示他们拨打一个电话号码,在那里他们被引导访问恶意 URL、下载恶意软件,(引用: sygnia Luna Month)(引用: CISA Remote Monitoring and Management Software) 或在其计算机上安装对手可访问的远程管理工具(远程访问软件)。(引用: Unit42 Luna Moth) 对手还可能将语音钓鱼与多因素认证请求生成结合使用,以诱骗用户透露 MFA 凭据或接受身份验证提示。(引用: Proofpoint Vishing) |
| T1659 | 内容注入 | 对手可能通过在线网络流量向系统注入恶意内容,以访问并持续与受害者通信。与诱使受害者访问托管在被妥协网站上的恶意有效负载(即,驱动器式攻击后跟驱动器式妥协)不同,对手可能通过妥协的数据传输通道初始访问受害者,在这些通道中他们可以操纵流量和/或注入自己的内容。这些妥协的在线网络通道还可以用于向已妥协的系统传递额外的有效负载(即,工具传输)和其他数据。(引用: ESET MoustachedBouncer) 对手可能通过多种方式向受害者系统注入内容,包括: * 从中间,对手位于合法在线客户端-服务器通信之间(注意: 这类似但不同于中间人攻击,后者描述了仅在企业环境内的AiTM活动)(引用: Kaspersky Encyclopedia MiTM) * 从侧面,恶意内容被注入并作为对合法在线服务器请求的虚假响应竞赛到客户端(引用: Kaspersky ManOnTheSide) 内容注入通常是妥协的上游通信通道的结果,例如在互联网服务提供商(ISP)级别的“合法拦截”。(引用: Kaspersky ManOnTheSide)(引用: ESET MoustachedBouncer)(引用: EFF China GitHub Attack) |