资源开发
攻击者试图建立和维护攻击所需的资源。
技术: 47
| 编号 | 名字 | 描述 |
|---|---|---|
| T1583 | 获取基础设施 | 对手可能会购买、租赁、租用或获取可用于目标的基础设施。存在多种用于托管和协调对手操作的基础设施解决方案。基础设施解决方案包括物理或云服务器、域和第三方网络服务。(引用: TrendmicroHideoutsLease) 一些基础设施提供商提供免费试用期,使基础设施获取成本有限甚至免费。(引用: Free Trial PurpleUrchin) 此外,僵尸网络也可以租用或购买。 使用这些基础设施解决方案可以使对手发起、启动和执行操作。解决方案可能有助于对手操作与被视为正常的流量混合,例如联系第三方网络服务或获取支持代理的基础设施,包括来自住宅代理服务的基础设施。(引用: amnesty_nso_pegasus)(引用: FBI Proxies Credential Stuffing)(引用: Mandiant APT29 Microsoft 365 2022) 根据实施情况,对手可能会使用难以物理追溯到他们的基础设施,并利用可以快速配置、修改和关闭的基础设施。 |
| T1583.001 | 域名 | 对手可能会劫持域名和/或子域名,以便在目标过程中使用。域名注册劫持是指在未经原注册人许可的情况下更改域名注册。(引用: ICANNDomainNameHijacking) 对手可能会访问列为域名所有者的人的电子邮件账户。然后,对手可以声称忘记密码以更改域名注册。其他可能性包括通过社会工程获取域名注册帮助台的访问权限,利用续订过程中的漏洞,或妥协允许管理域名的云服务(例如,AWS Route53)。(引用: Krebs DNS Hijack 2019) 子域名劫持可能发生在组织具有指向不存在或已停用资源的DNS条目时。在这种情况下,对手可能会控制子域名,以利用与该域名相关的信任进行操作。(引用: Microsoft Sub Takeover 2020) 妥协域名的对手还可能通过在其控制下创建恶意子域名而进行域名阴影操作,同时保留任何现有的DNS记录。由于服务不会中断,恶意子域名可能会长时间不被注意到。(引用: Palo Alto Unit 42 Domain Shadowing 2022) |
| T1583.001 | 域名 | 对手可能会劫持域名和/或子域名,以便在目标过程中使用。域名注册劫持是指在未经原注册人许可的情况下更改域名注册。(引用: ICANNDomainNameHijacking) 对手可能会访问列为域名所有者的人的电子邮件账户。然后,对手可以声称忘记密码以更改域名注册。其他可能性包括通过社会工程获取域名注册帮助台的访问权限,利用续订过程中的漏洞,或妥协允许管理域名的云服务(例如,AWS Route53)。(引用: Krebs DNS Hijack 2019) 子域名劫持可能发生在组织具有指向不存在或已停用资源的DNS条目时。在这种情况下,对手可能会控制子域名,以利用与该域名相关的信任进行操作。(引用: Microsoft Sub Takeover 2020) 妥协域名的对手还可能通过在其控制下创建恶意子域名而进行域名阴影操作,同时保留任何现有的DNS记录。由于服务不会中断,恶意子域名可能会长时间不被注意到。(引用: Palo Alto Unit 42 Domain Shadowing 2022) |
| T1583.002 | DNS 服务器 | 对手可能会妥协第三方 DNS 服务器,这些服务器可以在目标过程中使用。在后续妥协活动中,对手可能会利用 DNS 流量执行各种任务,包括命令和控制(例如:应用层协议)。对手可能会妥协第三方 DNS 服务器以支持操作,而不是设置自己的 DNS 服务器。 通过妥协 DNS 服务器,对手可以更改 DNS 记录。这种控制可以允许对手重定向组织的流量,促进对手的收集和凭证访问工作。(引用: Talos DNSpionage Nov 2018)(引用: FireEye DNS Hijack 2019) 此外,对手可能会利用这种控制与数字证书结合使用,将流量重定向到对手控制的基础设施,模仿正常的受信任网络通信。(引用: FireEye DNS Hijack 2019)(引用: Crowdstrike DNS Hijack 2019) 对手还可能能够在不提醒 DNS 服务器实际所有者的情况下,静默创建指向恶意服务器的子域。(引用: CiscoAngler)(引用: Proofpoint Domain Shadowing) |
| T1583.002 | DNS 服务器 | 对手可能会妥协第三方 DNS 服务器,这些服务器可以在目标过程中使用。在后续妥协活动中,对手可能会利用 DNS 流量执行各种任务,包括命令和控制(例如:应用层协议)。对手可能会妥协第三方 DNS 服务器以支持操作,而不是设置自己的 DNS 服务器。 通过妥协 DNS 服务器,对手可以更改 DNS 记录。这种控制可以允许对手重定向组织的流量,促进对手的收集和凭证访问工作。(引用: Talos DNSpionage Nov 2018)(引用: FireEye DNS Hijack 2019) 此外,对手可能会利用这种控制与数字证书结合使用,将流量重定向到对手控制的基础设施,模仿正常的受信任网络通信。(引用: FireEye DNS Hijack 2019)(引用: Crowdstrike DNS Hijack 2019) 对手还可能能够在不提醒 DNS 服务器实际所有者的情况下,静默创建指向恶意服务器的子域。(引用: CiscoAngler)(引用: Proofpoint Domain Shadowing) |
| T1583.004 | 服务器 | 对手可能会破坏可在目标过程中使用的第三方服务器。使用服务器允许对手阶段性、启动和执行操作。在后期妥协活动中,对手可能会利用服务器执行各种任务,包括命令和控制。(引用: TrendMicro EarthLusca 2022) 对手可能会破坏第三方服务器以支持操作,而不是购买服务器或虚拟专用服务器。 对手还可能破坏 Web 服务器以支持水坑攻击,如驱动器式妥协,或破坏电子邮件服务器以支持网络钓鱼操作。 |
| T1583.004 | 服务器 | 对手可能会破坏可在目标过程中使用的第三方服务器。使用服务器允许对手阶段性、启动和执行操作。在后期妥协活动中,对手可能会利用服务器执行各种任务,包括命令和控制。(引用: TrendMicro EarthLusca 2022) 对手可能会破坏第三方服务器以支持操作,而不是购买服务器或虚拟专用服务器。 对手还可能破坏 Web 服务器以支持水坑攻击,如驱动器式妥协,或破坏电子邮件服务器以支持网络钓鱼操作。 |
| T1583.005 | 僵尸网络 | 对手可能会妥协大量第三方系统,形成一个僵尸网络,在目标过程中使用。僵尸网络是一个受感染系统的网络,可以被指示执行协调任务。(引用: Norton Botnet) 对手可能会通过妥协大量第三方系统来构建自己的僵尸网络,而不是从booter/stresser服务购买/租用僵尸网络。(引用: Imperva DDoS for Hire) 对手还可能接管现有的僵尸网络,例如将僵尸重定向到对手控制的C2服务器。(引用: Dell Dridex Oct 2015) 拥有僵尸网络后,对手可能会执行后续活动,如大规模网络钓鱼或分布式拒绝服务(DDoS)。 |
| T1583.005 | 僵尸网络 | 对手可能会妥协大量第三方系统,形成一个僵尸网络,在目标过程中使用。僵尸网络是一个受感染系统的网络,可以被指示执行协调任务。(引用: Norton Botnet) 对手可能会通过妥协大量第三方系统来构建自己的僵尸网络,而不是从booter/stresser服务购买/租用僵尸网络。(引用: Imperva DDoS for Hire) 对手还可能接管现有的僵尸网络,例如将僵尸重定向到对手控制的C2服务器。(引用: Dell Dridex Oct 2015) 拥有僵尸网络后,对手可能会执行后续活动,如大规模网络钓鱼或分布式拒绝服务(DDoS)。 |
| T1583.006 | Web 服务 | 对手可能会妥协访问可以在目标过程中使用的第三方 Web 服务。存在各种流行的网站供合法用户注册 Web 服务,例如 GitHub、Twitter、Dropbox、Google、SendGrid 等。对手可能会尝试接管合法用户对 Web 服务的访问,并将该 Web 服务用作支持网络操作的基础设施。此类 Web 服务可以在对手生命周期的后期阶段被滥用,例如在命令和控制(Web 服务)、通过 Web 服务外传或网络钓鱼期间。使用 Google 或 Twitter 提供的常见服务使对手更容易隐藏在预期的噪音中。通过利用 Web 服务,特别是当访问是从合法用户那里窃取时,对手可以使其操作难以追踪。此外,利用被妥协的基于 Web 的电子邮件服务可能允许对手利用与合法域相关的信任。 |
| T1583.006 | Web 服务 | 对手可能会妥协访问可以在目标过程中使用的第三方 Web 服务。存在各种流行的网站供合法用户注册 Web 服务,例如 GitHub、Twitter、Dropbox、Google、SendGrid 等。对手可能会尝试接管合法用户对 Web 服务的访问,并将该 Web 服务用作支持网络操作的基础设施。此类 Web 服务可以在对手生命周期的后期阶段被滥用,例如在命令和控制(Web 服务)、通过 Web 服务外传或网络钓鱼期间。使用 Google 或 Twitter 提供的常见服务使对手更容易隐藏在预期的噪音中。通过利用 Web 服务,特别是当访问是从合法用户那里窃取时,对手可以使其操作难以追踪。此外,利用被妥协的基于 Web 的电子邮件服务可能允许对手利用与合法域相关的信任。 |
| T1583.007 | 无服务器 | 对手可能会入侵无服务器云基础设施,例如Cloudflare Workers、AWS Lambda函数或Google Apps Scripts,这些基础设施可以在目标过程中使用。通过利用无服务器基础设施,对手可以更难将操作中使用的基础设施归因于他们。 一旦被入侵,无服务器运行时环境可以用来直接响应受感染的机器或将流量代理到对手控制的命令和控制服务器。(引用: BlackWater Malware Cloudflare Workers)(引用: AWS Lambda Redirector)(引用: GWS Apps Script Abuse 2021) 由于这些函数生成的流量将显示来自常见云提供商的子域,因此可能难以与普通流量区分开来——使其更容易隐藏基础设施。(引用: Detecting Command & Control in the Cloud)(引用: BlackWater Malware Cloudflare Workers) |
| T1583.007 | 无服务器 | 对手可能会入侵无服务器云基础设施,例如Cloudflare Workers、AWS Lambda函数或Google Apps Scripts,这些基础设施可以在目标过程中使用。通过利用无服务器基础设施,对手可以更难将操作中使用的基础设施归因于他们。 一旦被入侵,无服务器运行时环境可以用来直接响应受感染的机器或将流量代理到对手控制的命令和控制服务器。(引用: BlackWater Malware Cloudflare Workers)(引用: AWS Lambda Redirector)(引用: GWS Apps Script Abuse 2021) 由于这些函数生成的流量将显示来自常见云提供商的子域,因此可能难以与普通流量区分开来——使其更容易隐藏基础设施。(引用: Detecting Command & Control in the Cloud)(引用: BlackWater Malware Cloudflare Workers) |
| T1583.008 | 恶意广告 | 对手可能会购买在线广告,这些广告可以被滥用来向受害者分发恶意软件。广告可以被购买以在特定位置在线植入和有利地定位工件,例如在搜索引擎结果中显著位置。这些广告可能使用户更难区分实际搜索结果和广告。(引用: spamhaus-malvertising) 购买的广告还可以使用广告网络的功能针对特定受众,可能进一步利用搜索引擎和流行网站固有的信任。 对手可能会购买广告和其他资源来帮助向受害者分发包含恶意代码的工件。购买的广告可能试图冒充或伪装知名品牌。例如,这些伪装的广告可能会诱骗受害者点击广告,然后将他们发送到一个恶意域,该域可能是包含特洛伊木马版本的广告软件的官方网站的克隆。(引用: Masquerads-Guardio)(引用: FBI-search) 对手创建恶意域和购买广告的努力也可能在规模上自动化,以更好地抵抗清理工作。(引用: sentinelone-malvertising) 恶意广告可能用于支持驱动目标和驱动妥协,如果广告包含感染目标系统的网络浏览器的代码/漏洞,可能需要用户的有限交互。(引用: BBC-malvertising) 对手还可能采用多种技术来规避广告网络的检测。例如,对手可能会动态路由广告点击,将自动爬虫/策略执行器流量发送到良性站点,同时验证潜在目标,然后将从真实广告点击中推荐的受害者发送到恶意页面。因此,这种感染向量可能会隐藏在广告网络以及任何未通过点击广告到达恶意站点的访问者之外。(引用: Masquerads-Guardio) 其他技巧,例如故意拼写错误以避免品牌声誉监控,也可能用于规避自动检测。(引用: spamhaus-malvertising) |
| T1584 | 妥协基础设施 | 对手可能会妥协可以在目标过程中使用的第三方基础设施。基础设施解决方案包括物理或云服务器、域名、网络设备和第三方 Web 和 DNS 服务。对手可能会妥协基础设施并在对手生命周期的其他阶段使用它,而不是购买、租赁或租用基础设施。(引用: Mandiant APT1)(引用: ICANNDomainNameHijacking)(引用: Talos DNSpionage Nov 2018)(引用: FireEye EPS Awakens Part 2) 此外,对手可能会妥协大量机器以形成他们可以利用的僵尸网络。 使用妥协的基础设施允许对手阶段性、启动和执行操作。妥协的基础设施可以帮助对手操作与被视为正常的流量(例如与高信誉或受信任站点的联系)融合。例如,对手可能会利用妥协的基础设施(可能还结合数字证书)进一步融合并支持阶段性信息收集和/或网络钓鱼活动。(引用: FireEye DNS Hijack 2019) 此外,对手还可能妥协基础设施以支持代理和/或代理服务。(引用: amnesty_nso_pegasus)(引用: Sysdig Proxyjacking) 通过使用妥协的基础设施,对手可能会使其行为难以追溯到他们。在目标之前,对手可能会妥协其他对手的基础设施。(引用: NSA NCSC Turla OilRig) |
| T1584.003 | 虚拟专用服务器 | 对手可能会租用虚拟专用服务器(VPS),以在目标过程中使用。存在各种云服务提供商会将虚拟机/容器作为服务出售。通过使用VPS,对手可以使其操作难以物理追踪到他们。使用云基础设施还可以使对手更容易快速配置、修改和关闭其基础设施。 获取VPS以用于对手生命周期的后期阶段(如命令和控制)可以使对手受益于与高信誉云服务提供商相关的普遍性和信任。对手还可能从以最少注册信息租赁VPS而闻名的VPS服务提供商处获取基础设施,从而更匿名地获取基础设施。(引用: TrendmicroHideoutsLease) |
| T1584.003 | 虚拟专用服务器 | 对手可能会租用虚拟专用服务器(VPS),以在目标过程中使用。存在各种云服务提供商会将虚拟机/容器作为服务出售。通过使用VPS,对手可以使其操作难以物理追踪到他们。使用云基础设施还可以使对手更容易快速配置、修改和关闭其基础设施。 获取VPS以用于对手生命周期的后期阶段(如命令和控制)可以使对手受益于与高信誉云服务提供商相关的普遍性和信任。对手还可能从以最少注册信息租赁VPS而闻名的VPS服务提供商处获取基础设施,从而更匿名地获取基础设施。(引用: TrendmicroHideoutsLease) |
| T1584.008 | 网络设备 | 对手可能会妥协第三方网络设备,这些设备可以在目标过程中使用。网络设备,例如小型办公室/家庭办公室(SOHO)路由器,可能会被妥协,其中对手的最终目标不是初始访问到该环境——而是利用这些设备来支持额外的目标。 一旦对手获得控制,妥协的网络设备可以用于发起额外的操作,例如托管网络钓鱼活动的有效负载(即,链接目标)或启用执行内容注入操作所需的访问。对手还可能能够从妥协的网络设备中收集可重用的凭据(即,有效帐户)。 对手通常会针对面向互联网的边缘设备和相关网络设备,这些设备通常不支持强大的主机防御。(引用: Mandiant Fortinet Zero Day)(引用: Wired Russia Cyberwar) 妥协的网络设备可以用于支持后续的命令和控制活动,例如通过已建立的代理和/或僵尸网络网络隐藏基础设施。(引用: Justice GRU 2024) |
| T1585 | 建立账户 | 对手可能会创建和培养可以在目标过程中使用的服务账户。对手可以创建账户,用于建立一个身份以进一步操作。身份开发包括开发公共信息、存在、历史和适当的关联。这种开发可以应用于社交媒体、网站或其他可以在操作过程中引用和审查以验证其合法性的信息。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 对于包含社会工程的操作,使用在线身份可能很重要。这些身份可能是虚构的或冒充真实的人。身份可能存在于单个站点或多个站点(例如:Facebook、LinkedIn、Twitter、Google、GitHub、Docker Hub等)。建立身份可能需要开发额外的文档,使其看起来真实。这可能包括填写个人资料信息、发展社交网络或包含照片。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 建立账户还可以包括创建电子邮件提供商的账户,这些账户可能直接用于钓鱼获取信息或网络钓鱼。(引用: Mandiant APT1) 此外,建立账户可能允许对手滥用免费服务,例如注册试用期以获取基础设施用于恶意目的。(引用: Free Trial PurpleUrchin) |
| T1586 | 妥协账户 | 对手可能会妥协可以在目标过程中使用的服务账户。对于包含社会工程的操作,使用在线身份可能很重要。与其创建和培养账户(即建立账户),对手可能会妥协现有账户。利用现有身份可能会在潜在受害者中产生一定的信任,如果他们与被妥协的身份有关系或了解。 存在多种妥协账户的方法,例如通过钓鱼获取信息收集凭据,从第三方网站购买凭据,暴力破解凭据(例如:从泄露的凭据转储中重用密码),或支付员工、供应商或业务合作伙伴以获取凭据。(引用: AnonHBGary)(引用: Microsoft DEV-0537) 在妥协账户之前,对手可能会进行侦察,以获取有关哪些账户可以妥协以进一步操作的决策信息。 身份可能存在于单个站点或多个站点(例如:Facebook、LinkedIn、Twitter、Google 等)。妥协的账户可能需要进一步开发,这可能包括填写或修改个人资料信息,进一步发展社交网络,或包含照片。 对手可能会直接利用妥协的电子邮件账户进行钓鱼获取信息或钓鱼。 |
| T1586.001 | 社交媒体账户 | 对手可能会创建和培养社交媒体账户,以在目标过程中使用。对手可以创建社交媒体账户,用于建立一个虚拟身份以进一步操作。虚拟身份开发包括公共信息、存在、历史和适当的关联的开发。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 对于包含社会工程的操作,利用社交媒体上的虚拟身份可能很重要。这些虚拟身份可能是虚构的或冒充真实的人。虚拟身份可能存在于单个社交媒体网站上或跨多个网站(例如:Facebook、LinkedIn、Twitter 等)。在社交媒体上建立虚拟身份可能需要开发额外的文档,使其看起来真实。这可能包括填写个人资料信息、发展社交网络或包含照片。 一旦开发了虚拟身份,对手可以使用它来创建与感兴趣目标的连接。这些连接可能是直接的,也可能包括尝试通过其他人进行连接。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 这些账户可能在对手生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行鱼叉式网络钓鱼)。 |
| T1586.001 | 社交媒体账户 | 对手可能会创建和培养社交媒体账户,以在目标过程中使用。对手可以创建社交媒体账户,用于建立一个虚拟身份以进一步操作。虚拟身份开发包括公共信息、存在、历史和适当的关联的开发。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 对于包含社会工程的操作,利用社交媒体上的虚拟身份可能很重要。这些虚拟身份可能是虚构的或冒充真实的人。虚拟身份可能存在于单个社交媒体网站上或跨多个网站(例如:Facebook、LinkedIn、Twitter 等)。在社交媒体上建立虚拟身份可能需要开发额外的文档,使其看起来真实。这可能包括填写个人资料信息、发展社交网络或包含照片。 一旦开发了虚拟身份,对手可以使用它来创建与感兴趣目标的连接。这些连接可能是直接的,也可能包括尝试通过其他人进行连接。(引用: NEWSCASTER2014)(引用: BlackHatRobinSage) 这些账户可能在对手生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行鱼叉式网络钓鱼)。 |
| T1586.002 | 电子邮件账户 | 对手可能会创建电子邮件账户,以在目标过程中使用。对手可以使用与电子邮件提供商创建的账户来进一步他们的操作,例如利用它们进行钓鱼获取信息或网络钓鱼。(引用: Mandiant APT1) 建立电子邮件账户还可能允许对手滥用免费服务——例如试用期——以获取基础设施用于后续目的。(引用: Free Trial PurpleUrchin) 对手还可能采取步骤围绕电子邮件账户培养一个虚拟身份,例如通过使用社交媒体账户,以增加后续行为成功的机会。创建的电子邮件账户还可以用于获取基础设施(例如:域)。(引用: Mandiant APT1) 为了减少将操作物理追溯到他们自己的机会,对手可能会使用一次性电子邮件服务。(引用: Trend Micro R980 2016) |
| T1586.002 | 电子邮件账户 | 对手可能会创建电子邮件账户,以在目标过程中使用。对手可以使用与电子邮件提供商创建的账户来进一步他们的操作,例如利用它们进行钓鱼获取信息或网络钓鱼。(引用: Mandiant APT1) 建立电子邮件账户还可能允许对手滥用免费服务——例如试用期——以获取基础设施用于后续目的。(引用: Free Trial PurpleUrchin) 对手还可能采取步骤围绕电子邮件账户培养一个虚拟身份,例如通过使用社交媒体账户,以增加后续行为成功的机会。创建的电子邮件账户还可以用于获取基础设施(例如:域)。(引用: Mandiant APT1) 为了减少将操作物理追溯到他们自己的机会,对手可能会使用一次性电子邮件服务。(引用: Trend Micro R980 2016) |
| T1586.003 | 云账户 | 云环境中的有效账户可能允许对手执行操作以实现初始访问、持久性、权限提升或防御规避。云账户是由组织创建和配置的账户,供用户、远程支持、服务或管理云服务提供商或SaaS应用程序中的资源使用。云账户可以仅存在于云中;或者,它们可能通过与其他身份源(例如Windows Active Directory)的同步或联合在本地系统和云之间混合连接。(引用: AWS Identity Federation)(引用: Google Federating GC)(引用: Microsoft Deploying AD Federation) 服务或用户账户可能通过暴力破解、网络钓鱼或各种其他手段成为对手的目标,以获得对环境的访问权限。联合或同步账户可能是对手影响本地系统和云环境的途径——例如,通过利用共享凭据登录到远程服务。高权限云账户,无论是联合、同步还是仅云账户,也可能允许通过SaaS 软件部署工具在混合连接设备上运行命令,从而转移到本地环境。 对手可能会在被破坏的云账户上创建长期的附加云凭据,以在环境中保持持久性。这些凭据还可以用于绕过多因素身份验证等安全控制。 云账户还可能能够通过环境中的各种手段获得临时提升的云访问权限或其他权限。角色分配或角色假设策略中的配置错误可能允许对手使用这些机制来利用超出账户预期范围的权限。这些超权限账户可能用于通过云API或其他方法从在线存储账户和数据库中收集敏感数据。 |
| T1586.003 | 云账户 | 云环境中的有效账户可能允许对手执行操作以实现初始访问、持久性、权限提升或防御规避。云账户是由组织创建和配置的账户,供用户、远程支持、服务或管理云服务提供商或SaaS应用程序中的资源使用。云账户可以仅存在于云中;或者,它们可能通过与其他身份源(例如Windows Active Directory)的同步或联合在本地系统和云之间混合连接。(引用: AWS Identity Federation)(引用: Google Federating GC)(引用: Microsoft Deploying AD Federation) 服务或用户账户可能通过暴力破解、网络钓鱼或各种其他手段成为对手的目标,以获得对环境的访问权限。联合或同步账户可能是对手影响本地系统和云环境的途径——例如,通过利用共享凭据登录到远程服务。高权限云账户,无论是联合、同步还是仅云账户,也可能允许通过SaaS 软件部署工具在混合连接设备上运行命令,从而转移到本地环境。 对手可能会在被破坏的云账户上创建长期的附加云凭据,以在环境中保持持久性。这些凭据还可以用于绕过多因素身份验证等安全控制。 云账户还可能能够通过环境中的各种手段获得临时提升的云访问权限或其他权限。角色分配或角色假设策略中的配置错误可能允许对手使用这些机制来利用超出账户预期范围的权限。这些超权限账户可能用于通过云API或其他方法从在线存储账户和数据库中收集敏感数据。 |
| T1587 | 开发能力 | 攻击者可能会构建可用于目标定位的能力。与其购买、免费下载或窃取能力,攻击者可能会在内部开发自己的能力。这是识别开发需求并构建解决方案(如恶意软件、漏洞利用和自签名证书)的过程。攻击者可能会开发能力以支持其在攻击生命周期的多个阶段中的操作。(引用:Mandiant APT1)(引用:Kaspersky Sofacy)(引用:Bitdefender StrongPity June 2020)(引用:Talos Promethium June 2020) 与合法的开发工作一样,开发能力可能需要不同的技能。所需的技能可能在内部,也可能需要外包。使用承包商可能被视为该攻击者开发能力的延伸,前提是攻击者在塑造需求方面发挥作用并保持对该能力的某种程度的独占性。 |
| T1587.001 | 恶意软件 | 对手可能会购买、窃取或下载在目标过程中使用的恶意软件。恶意软件可以包括有效负载、投放器、后期妥协工具、后门、打包器和C2协议。对手可能会获取恶意软件以支持其操作,获得控制远程机器、规避防御和执行后期妥协行为的手段。 除了从互联网下载免费恶意软件外,对手还可能从第三方实体购买这些能力。第三方实体可以包括专门从事恶意软件开发的技术公司、犯罪市场(包括恶意软件即服务,或MaaS),或个人。除了购买恶意软件外,对手还可能从第三方实体(包括其他对手)窃取和重新利用恶意软件。 |
| T1587.001 | 恶意软件 | 对手可能会购买、窃取或下载在目标过程中使用的恶意软件。恶意软件可以包括有效负载、投放器、后期妥协工具、后门、打包器和C2协议。对手可能会获取恶意软件以支持其操作,获得控制远程机器、规避防御和执行后期妥协行为的手段。 除了从互联网下载免费恶意软件外,对手还可能从第三方实体购买这些能力。第三方实体可以包括专门从事恶意软件开发的技术公司、犯罪市场(包括恶意软件即服务,或MaaS),或个人。除了购买恶意软件外,对手还可能从第三方实体(包括其他对手)窃取和重新利用恶意软件。 |
| T1587.002 | 代码签名证书 | 对手可能会购买和/或窃取代码签名证书,以在目标过程中使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码未被更改或损坏。代码签名为开发者提供了一定程度的真实性,并保证程序未被篡改。(引用: Wikipedia Code Signing) 用户和/或安全工具可能会比不签名的代码更信任签名的代码,即使他们不知道谁颁发了证书或作者是谁。 在代码签名之前,对手可能会购买或窃取代码签名证书以用于操作。代码签名证书的购买可能通过前台组织进行,或使用从先前被破坏的实体窃取的信息,使对手能够以该实体的身份向证书提供商验证。对手还可能直接从被破坏的第三方窃取代码签名材料。 |
| T1587.002 | 代码签名证书 | 对手可能会购买和/或窃取代码签名证书,以在目标过程中使用。代码签名是对可执行文件和脚本进行数字签名的过程,以确认软件作者并保证代码未被更改或损坏。代码签名为开发者提供了一定程度的真实性,并保证程序未被篡改。(引用: Wikipedia Code Signing) 用户和/或安全工具可能会比不签名的代码更信任签名的代码,即使他们不知道谁颁发了证书或作者是谁。 在代码签名之前,对手可能会购买或窃取代码签名证书以用于操作。代码签名证书的购买可能通过前台组织进行,或使用从先前被破坏的实体窃取的信息,使对手能够以该实体的身份向证书提供商验证。对手还可能直接从被破坏的第三方窃取代码签名材料。 |
| T1587.004 | 漏洞利用 | 对手可能会购买、窃取或下载可用于目标过程的漏洞利用。漏洞利用利用错误或漏洞,以在计算机硬件或软件上引起意外或未预期的行为。对手可能会找到/修改在线漏洞利用,或从漏洞利用供应商处购买它们。(引用: Exploit Database)(引用: TempertonDarkHotel)(引用: NationsBuying) 除了从互联网上下载免费漏洞利用外,对手还可能从第三方实体购买漏洞利用。第三方实体可以包括专门从事漏洞利用开发的技术公司、犯罪市场(包括漏洞利用工具包)或个人。(引用: PegasusCitizenLab)(引用: Wired SandCat Oct 2019) 除了购买漏洞利用外,对手还可能从第三方实体(包括其他对手)窃取并重新利用漏洞利用。(引用: TempertonDarkHotel) 对手可能会监控漏洞利用提供商论坛,以了解现有漏洞利用的状态以及新发现的漏洞利用。通常在发现漏洞利用和公开之间存在延迟。对手可能会针对已知进行漏洞利用研究和开发的系统,以获取这些知识用于后续操作。 对手可能会在对手生命周期的各个阶段使用漏洞利用(例如,利用公共应用程序、客户端执行漏洞利用、权限提升漏洞利用、防御规避漏洞利用、凭证访问漏洞利用、远程服务漏洞利用和应用程序或系统漏洞利用)。 |
| T1587.004 | 漏洞利用 | 对手可能会购买、窃取或下载可用于目标过程的漏洞利用。漏洞利用利用错误或漏洞,以在计算机硬件或软件上引起意外或未预期的行为。对手可能会找到/修改在线漏洞利用,或从漏洞利用供应商处购买它们。(引用: Exploit Database)(引用: TempertonDarkHotel)(引用: NationsBuying) 除了从互联网上下载免费漏洞利用外,对手还可能从第三方实体购买漏洞利用。第三方实体可以包括专门从事漏洞利用开发的技术公司、犯罪市场(包括漏洞利用工具包)或个人。(引用: PegasusCitizenLab)(引用: Wired SandCat Oct 2019) 除了购买漏洞利用外,对手还可能从第三方实体(包括其他对手)窃取并重新利用漏洞利用。(引用: TempertonDarkHotel) 对手可能会监控漏洞利用提供商论坛,以了解现有漏洞利用的状态以及新发现的漏洞利用。通常在发现漏洞利用和公开之间存在延迟。对手可能会针对已知进行漏洞利用研究和开发的系统,以获取这些知识用于后续操作。 对手可能会在对手生命周期的各个阶段使用漏洞利用(例如,利用公共应用程序、客户端执行漏洞利用、权限提升漏洞利用、防御规避漏洞利用、凭证访问漏洞利用、远程服务漏洞利用和应用程序或系统漏洞利用)。 |
| T1588 | 获取能力 | 对手可能会购买和/或窃取可以在目标过程中使用的能力。与其在内部开发自己的能力,对手可能会购买、免费下载或窃取它们。活动可能包括获取恶意软件、软件(包括许可证)、漏洞利用、证书和与漏洞相关的信息。对手可能会获取能力以支持其在对手生命周期中的各个阶段的操作。 除了从互联网上下载免费恶意软件、软件和漏洞利用外,对手还可能从第三方实体购买这些能力。第三方实体可以包括专门从事恶意软件和漏洞利用的技术公司、犯罪市场或个人。(引用: NationsBuying)(引用: PegasusCitizenLab) 除了购买能力外,对手还可能从第三方实体(包括其他对手)窃取能力。这可能包括窃取软件许可证、恶意软件、SSL/TLS和代码签名证书,或袭击封闭的漏洞或漏洞利用数据库。(引用: DiginotarCompromise) |
| T1588.002 | 工具 | 对手可能会购买、窃取或下载可用于目标过程的软件工具。工具可以是开源或闭源的,免费或商业的。工具可以被对手用于恶意目的,但(与恶意软件不同)并非旨在用于这些目的(例如:PsExec)。工具获取可能涉及采购商业软件许可证,包括红队工具如Cobalt Strike。商业软件可能通过购买、窃取许可证(或软件的许可副本)或破解试用版本获得。(引用: Recorded Future Beacon 2019) 对手可能获取工具以支持其操作,包括支持妥协后的行为执行。除了自由下载或购买软件外,对手还可能从第三方实体(包括其他对手)窃取软件和/或软件许可证。 |
| T1588.006 | 漏洞 | 对手可能会获取可在目标过程中使用的漏洞信息。漏洞是计算机硬件或软件中的弱点,可能被对手利用以导致意外或未预期的行为发生。对手可能通过搜索开放数据库或访问封闭漏洞数据库来查找漏洞信息。(引用: National Vulnerability Database) 对手可能会监控漏洞披露/数据库,以了解现有和新发现的漏洞状态。通常在发现漏洞和公开之间存在延迟。对手可能会针对已知进行漏洞研究的系统(包括商业供应商)。了解漏洞可能会导致对手搜索现有漏洞利用(即漏洞利用)或尝试自己开发一个(即漏洞利用)。 |
| T1588.007 | 人工智能 | 对手可能获得生成性人工智能工具(如大型语言模型(LLM))的访问权限,以在目标过程中辅助各种技术。这些工具可以用于告知、增强和启用各种恶意任务,包括进行侦察、创建基本脚本、协助社会工程,甚至开发有效负载。(引用: MSFT-AI) 例如,通过利用公开可用的LLM,对手实际上是在将某些任务外包或自动化给工具。使用AI,对手可以生成和生成各种书面语言的内容,用于网络钓鱼/钓鱼获取信息活动。相同的公开可用工具还可以进一步支持漏洞或其他攻击性研究,支持开发能力。AI工具还可以通过生成、改进或以其他方式增强(例如,混淆文件或信息)恶意脚本和有效负载来自动化技术任务。(引用: OpenAI-CTI) |
| T1596.003 | 数字证书 | 对手可能会创建自签名的SSL/TLS证书,这些证书可以在目标过程中使用。SSL/TLS证书旨在建立信任。它们包括有关密钥的信息、有关其所有者身份的信息以及验证证书内容正确性的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们就知道可以使用该密钥与其所有者通信。在自签名的情况下,数字证书将缺乏与第三方证书颁发机构(CA)签名相关的信任元素。 对手可能会创建自签名的SSL/TLS证书,以进一步他们的操作,例如加密C2流量(例如:非对称加密与Web协议)或甚至启用中间人攻击(如果添加到信任根目录中,即安装根证书)。 在创建数字证书后,对手可能会在其控制的基础设施上安装该证书(参见安装数字证书)。 |
| T1596.003 | 数字证书 | 对手可能会创建自签名的SSL/TLS证书,这些证书可以在目标过程中使用。SSL/TLS证书旨在建立信任。它们包括有关密钥的信息、有关其所有者身份的信息以及验证证书内容正确性的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们就知道可以使用该密钥与其所有者通信。在自签名的情况下,数字证书将缺乏与第三方证书颁发机构(CA)签名相关的信任元素。 对手可能会创建自签名的SSL/TLS证书,以进一步他们的操作,例如加密C2流量(例如:非对称加密与Web协议)或甚至启用中间人攻击(如果添加到信任根目录中,即安装根证书)。 在创建数字证书后,对手可能会在其控制的基础设施上安装该证书(参见安装数字证书)。 |
| T1608 | 阶段能力 | 对手可能会上传、安装或以其他方式设置可在目标过程中使用的能力。为了支持他们的操作,对手可能需要将他们开发的能力 (开发能力) 或获得的能力 (获取能力) 阶段性地部署在他们控制的基础设施上。这些能力可能会部署在对手之前购买/租用的基础设施上 (获取基础设施) 或被他们以其他方式妥协的基础设施上 (妥协基础设施)。能力也可以部署在 Web 服务上,例如 GitHub 或 Pastebin,或在用户可以轻松配置应用程序的平台即服务 (PaaS) 提供商上。(引用: Volexity Ocean Lotus November 2020)(引用: Dragos Heroku Watering Hole)(引用: Malwarebytes Heroku Skimmers)(引用: Netskope GCP Redirection)(引用: Netskope Cloud Phishing) 能力的阶段性部署可以帮助对手进行许多初始访问和妥协后的行为,包括但不限于: * 部署必要的 Web 资源以进行 驱动器式妥协 当用户浏览到站点时。(引用: FireEye CFR Watering Hole 2012)(引用: Gallagher 2015)(引用: ATT ScanBox) * 部署 Web 资源以用于鱼叉式网络钓鱼链接目标。(引用: Malwarebytes Silent Librarian October 2020)(引用: Proofpoint TA407 September 2019) * 将恶意软件或工具上传到受害者网络可访问的位置,以启用 入口工具传输。(引用: Volexity Ocean Lotus November 2020) * 安装先前获取的 SSL/TLS 证书以用于加密命令和控制流量(例如:非对称加密 与 Web 协议)。(引用: DigiCert Install SSL Cert) |
| T1608.001 | 上传恶意软件 | 对手可能会将恶意软件上传到第三方或对手控制的基础设施,以便在目标过程中访问。恶意软件可以包括有效负载、下载器、后期妥协工具、后门和各种其他恶意内容。对手可能会上传恶意软件以支持其操作,例如通过将其放置在可通过互联网访问的Web服务器上,使其在受害者网络中可用,以启用工具传输。 恶意软件可能被放置在对手先前购买/租用的基础设施上(获取基础设施)或被他们以其他方式妥协的基础设施上(妥协基础设施)。恶意软件还可以在Web服务上进行阶段性存储,例如GitHub或Pastebin,或托管在星际文件系统(IPFS)上,其中分散的内容存储使得删除恶意文件变得困难。(引用: Volexity Ocean Lotus November 2020)(引用: Talos IPFS 2022) 对手可能会将后门文件(如应用程序二进制文件、虚拟机映像或容器映像)上传到第三方软件商店或存储库(例如:GitHub、CNET、AWS社区AMI、Docker Hub)。受害者可能会通过用户执行直接下载/安装这些后门文件。伪装可能会增加用户错误执行这些文件的机会。 |
| T1608.002 | 上传工具 | 对手可能会将工具上传到第三方或对手控制的基础设施,以便在目标过程中访问。工具可以是开源或闭源的,免费或商业的。工具可以被对手用于恶意目的,但(与恶意软件不同)并非旨在用于这些目的(例如:PsExec)。对手可能会上传工具以支持他们的操作,例如通过将其放置在可通过互联网访问的 Web 服务器上,使其在受害者网络中可用,以启用工具传输。 工具可能被放置在对手先前购买/租用的基础设施上(获取基础设施)或被他们以其他方式妥协的基础设施上(妥协基础设施)。(引用: Dell TG-3390) 工具还可以在 Web 服务上进行阶段性存储,例如对手控制的 GitHub 仓库,或在使用户能够轻松配置应用程序的 Platform-as-a-Service 提供商上。(引用: Dragos Heroku Watering Hole)(引用: Malwarebytes Heroku Skimmers)(引用: Intezer App Service Phishing) 对手可以通过让受损的受害者机器直接从第三方托管位置(例如:非对手控制的 GitHub 仓库)下载工具,包括工具的原始托管站点,来避免上传工具的需要。 |
| T1608.003 | 安装数字证书 | 对手可能会安装SSL/TLS证书,以便在目标过程中使用。SSL/TLS证书是可以安装在服务器上的文件,用于在系统之间启用安全通信。数字证书包含有关密钥的信息、有关其所有者身份的信息以及验证证书内容正确的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们就知道可以使用该密钥与其所有者进行安全通信。证书可以上传到服务器,然后可以配置服务器使用该证书以启用与其的加密通信。(引用: DigiCert Install SSL Cert) 对手可能会安装SSL/TLS证书,以进一步推进他们的操作,例如加密C2流量(例如:非对称加密与Web协议)或增加凭证收集站点的可信度。数字证书的安装可能发生在多种服务器类型上,包括Web服务器和电子邮件服务器。 对手可以获取数字证书(参见数字证书)或创建自签名证书(参见数字证书)。然后可以将数字证书安装在对手控制的基础设施上,这些基础设施可能已被获取(获取基础设施)或先前被妥协(妥协基础设施)。 |
| T1608.004 | 驱动目标 | 对手可能会准备一个操作环境,以感染在正常浏览过程中访问网站的系统。通过浏览到对手控制的网站,端点系统可能会被妥协,如在驱动器式攻击中。在这种情况下,通常会针对用户的Web浏览器进行利用(通常在登陆网站后不需要额外的用户交互),但对手也可能设置网站进行非利用行为,如应用程序访问令牌。在驱动器式攻击之前,对手必须准备资源,以便向浏览到对手控制网站的用户提供利用。驱动器内容可以在对手控制的基础设施上准备,这些基础设施已被获取(获取基础设施)或先前被妥协(妥协基础设施)。 对手可能会上传或注入恶意Web内容,如JavaScript,到网站中。(引用: FireEye CFR Watering Hole 2012)(引用: Gallagher 2015) 这可以通过多种方式完成,包括: * 将恶意脚本插入网页或其他用户可控的Web内容,如论坛帖子 * 修改从公共可写云存储桶提供给网站的脚本文件 * 制作恶意Web广告并通过合法广告提供商购买网站上的广告空间(即,恶意广告) 除了准备内容以利用用户的Web浏览器外,对手还可能准备脚本内容以分析用户的浏览器(如在收集受害者主机信息中),以确保其在尝试利用之前是易受攻击的。(引用: ATT ScanBox) 被对手妥协并用于准备驱动器的网页可能是特定社区访问的网页,如政府、特定行业或地区,目标是基于共同兴趣妥协特定用户或用户集。这种类型的目标活动称为战略性Web妥协或水坑攻击。 对手可能会在获取基础设施(域)期间购买类似于合法域的域(例如:同形异义字、拼写错误、不同顶级域等),以帮助促进驱动器式攻击。 |
| T1608.005 | 链接目标 | 对手可能会设置链接引用的资源,以便在目标过程中使用。对手可能依赖用户点击恶意链接以泄露信息(包括凭据)或获得执行权限,如 恶意链接。链接可用于鱼叉式网络钓鱼,例如发送带有社会工程文本的电子邮件,以诱使用户主动点击或复制并粘贴 URL 到浏览器。在进行信息钓鱼(如 鱼叉式网络钓鱼链接)或系统初始访问(如 鱼叉式网络钓鱼链接)之前,对手必须设置鱼叉式网络钓鱼链接的链接目标资源。 通常,链接目标的资源将是一个 HTML 页面,可能包含一些客户端脚本,例如 JavaScript,以决定向用户提供什么内容。对手可能会克隆合法站点以作为链接目标,这可能包括克隆合法 Web 服务或组织登录页面,以在 鱼叉式网络钓鱼链接 期间收集凭据。(引用: Malwarebytes Silent Librarian October 2020)(引用: Proofpoint TA407 September 2019) 对手还可能 上传恶意软件 并让链接目标指向用户下载/执行的恶意软件。 对手可能会购买类似于合法域名的域名(例如:同形异义字、拼写错误、不同的顶级域名等)在获取基础设施期间 (域名) 以帮助进行 恶意链接。 对手可以编写链接以掩盖真实目的地,以通过滥用 URL 架构欺骗受害者并提高钓鱼的有效性。(引用: Kaspersky-masking)(引用: mandiant-masking) 对手还可以使用链接缩短服务和平台即服务提供商上的免费或付费账户来托管链接目标,同时利用这些提供商的广泛信任域来避免被阻止,同时将受害者重定向到恶意页面。(引用: Netskope GCP Redirection)(引用: Netskope Cloud Phishing)(引用: Intezer App Service Phishing)(引用: Cofense-redirect) 此外,对手可能通过唯一生成的 URI/URL(包括一次性、单次使用链接)提供各种恶意链接。(引用: iOS URL Scheme)(引用: URI)(引用: URI Use)(引用: URI Unique) 最后,对手可能利用星际文件系统 (IPFS) 的去中心化特性来托管难以删除的链接目标。(引用: Talos IPFS 2022) |
| T1608.006 | SEO投毒 | 攻击者可能会毒化影响搜索引擎优化(SEO)的机制,以进一步诱使潜在受害者访问其分阶段的能力。搜索引擎通常根据购买的广告以及其网络爬虫和算法计算的网站排名/分数/声誉向用户显示结果。(引用: Atlas SEO)(引用: MalwareBytes SEO) 为了帮助促进路过式攻击,攻击者可能会分阶段内容,明确操纵SEO排名,以推广托管其恶意负载的网站(如路过式目标)在搜索引擎中。SEO排名投毒可能涉及各种技巧,例如将关键词(包括隐藏文本形式)填充到受感染的网站中。这些关键词可能与目标受害者的兴趣/浏览习惯相关,也可能是更广泛的季节性热门话题(如选举、趋势新闻)。(引用: ZScaler SEO)(引用: Atlas SEO) 除了互联网搜索引擎(如Google),攻击者还可能旨在操纵特定站点内搜索(如GitHub)以欺骗用户访问供应链攻击诱饵。站点内搜索将根据其自己的算法和指标(如流行度)对搜索结果进行排名,这些指标可能被恶意行为者针对和操纵。(引用: Chexmarx-seo)(引用: Checkmarx-oss-seo) 攻击者还可能购买或植入指向分阶段能力的传入链接,以提高网站的计算相关性和声誉。(引用: MalwareBytes SEO)(引用: DFIR Report Gootloader) SEO投毒还可能结合规避重定向和其他伪装机制(如测量鼠标移动或基于浏览器用户代理、用户语言/本地化设置或HTTP标头提供内容),以便在避免防御者审查的同时提供SEO输入。(引用: ZScaler SEO)(引用: Sophos Gootloader) |
| T1650 | 获取访问权限 | 对手可能会购买或以其他方式获取对目标系统或网络的现有访问权限。各种在线服务和初始访问代理网络可用于出售对先前被破坏系统的访问权限。(引用: Microsoft Ransomware as a Service)(引用: CrowdStrike Access Brokers)(引用: Krebs Access Brokers Fortune 500) 在某些情况下,对手团体可能会形成合作伙伴关系,共享彼此的被破坏系统。(引用: CISA Karakurt 2022) 对被破坏系统的立足点可能采取多种形式,例如对种植的后门(例如 Web Shell)的访问或通过 外部远程服务 建立的访问。在某些情况下,访问代理会在被破坏的系统中植入“负载”,供付费客户安装额外的恶意软件。(引用: Microsoft Ransomware as a Service) 通过利用现有的访问代理网络,而不是开发或获取自己的初始访问能力,对手可以减少在目标网络上获得立足点所需的资源,并将精力集中在妥协的后期阶段。对手可能优先获取已确定缺乏安全监控或具有高权限的系统,或属于特定行业的组织的系统。(引用: Microsoft Ransomware as a Service)(引用: CrowdStrike Access Brokers) 在某些情况下,购买 IT 承包、软件开发或电信等行业的组织的访问权限可能允许对手通过 受信任关系、多因素认证拦截 甚至 供应链妥协 来妥协其他受害者。 注意: 虽然此技术与其他行为(如 购买技术数据 和 凭证)不同,但它们通常会结合使用(尤其是在获取的立足点需要 有效账户 的情况下)。 |