Part1 前言
大家好,我是ABC_123。前期分享了《伊朗APT组织入侵美国政府内网全过程揭秘(上篇)》,吸粉不少,谢谢大家。美国政府关于伊朗APT攻击事件的英文分析报告中给出了相关的ATT&CK矩阵列表,本篇文章就在此基础上,分享一下关于此次APT事件的ATT&CK矩阵攻击链分析,文中对很多网上的翻译错误进行了纠正。欢迎关注我的公众号"ABC123安全研究实验室"。
Part2 ATT&CK矩阵介绍
我2018年在北京时,曾经尝试基于ATT&CK矩阵去编写攻击行为检测规则,当时我就发现了这个框架在攻击行为分析上的不足,很多攻击行为、技术细节无法找到对应的ID编号,因而APT技术细节没法体现。当时还认为ATT&CK矩阵恐怕是没法解决这个问题,因为APT攻击手段成百上千,不可能用一个图表归纳概括。但是没想到在2020年7月,ATT&CK矩阵提出了“子技术”的概念,将整个框架几乎重构,巧妙地解决了精细化问题,使得ATT&CK矩阵的发展往前迈了一大步,形成了一个庞大的攻防对抗知识库,不得不佩服相关人员的创造思维。“子技术”是什么意思呢?比如说进程注入的编号是T1055,但是进程注入的子技术分很多种:动态链接库注入的编号是T1055.001,线程劫持注入的编号是T1055.003。
以下这张图是ATT&CK矩阵攻击战术列表的中文翻译版,涵盖了从初始访问一直到窃取数据的整个流程,部分中文翻译结果,在不同的APT案例应用中会有所不同,大家要灵活地对待中文翻译结果,灵活地进行修改。横轴是战术,纵轴是技术及子技术,每个技术都有单独的ID编号,都带有网页链接,点开后可以看到每一项技术的详细介绍。这里需要注意的是,ATT&CK矩阵并没有规定战术的前后顺序,也不需要每次APT攻击都包括所有10几个战术。毕竟对于真实的APT攻击来说,越少的战术,越不容易被发现。
Part3 APT相关ATT&CK矩阵
首先放一张我做的图,把伊朗APT组织入侵美国政府的关键节点都给着色标注显示了,可以看到该组织采用了哪些技战术手法,文章后半部分会有详细讲解。以下这张图参考了之前在qax时,“猛哥”做的翻译图表,我在此基础上做了一些修改。
Part4 ATT&CK战术/阶段
美国政府官方的英文分析报告,从ATT&CK攻击矩阵的10几个战术中筛选了8个战术,对整个APT攻击流程进行描述和分析。
初始访问
官方描述:攻击者使用这一战术在企业环境中建立初始据点,手段包括鱼叉式网络钓鱼、公开的应用程序漏洞、供应链失陷等。
如下所示,伊朗APT组织通过“初始访问”战术中的“利用面向公众的应用程序”技术(Log4j2框架的代码执行漏洞)建立了初始据点。
执行
官方描述:攻击者在入侵活动中应用最广泛的战术莫过于“执行”。攻击者在使用恶意软件、勒索软件或进行APT攻击时,都会选择“执行”这个战术。
如下所示,伊朗APT组织通过PowerShell脚本解释器获取命令执行权限。
持久化
官方描述:持久化也就是权限维持,该战术中包括攻击者用来保持对目标系统访问权限的技术,因为攻击者会遇到主机重新启动或者凭据更改等丢失权限的情况。
如下所示,伊朗APT组织通过更改管理员密码、添加本地账户、添加仿冒域管理员账户、计划任务、启用默认账号等手段,持久化控制内网权限。
权限提升
官方描述:涵盖攻击者用来在系统或网络上获得更高级别权限和访问权限的技术和活动,实现这一目标的技术包括利用系统错误配置及漏洞。
对于"权限提升"战术,美国官方报告中并没有体现,推测是没有发现相关的攻击行为。这里我结合之前的APT报告,推测伊朗APT组织会使用“权限提升”战术中的"Bypass UAC"、"系统提权漏洞利用"、"有效账户&窃取凭证"等技术手段达到权限提升目的。
防御绕过
官方描述:防御绕过是指攻击者用来避免在整个攻击过程中被防御措施发现的技术。防御绕过使用的技术包括卸载/禁用安全软件、混淆/加密数据和各种执行脚本。
如下所示,伊朗APT组织通过向Windows Defender添加排除规则解决杀软及防护软件问题,并且及时删除了Powershell脚本,防止后期触发杀软。
凭证访问
官方描述:由于合法凭证可以让攻击者访问更多系统,获取更多的权限,且攻击行为难以被发现。所以这个战术的目标是使用暴力攻击、键盘记录和内存密码dump等技术来窃取账号密码。
如下所示,伊朗APT组织使用Mimikatz工具提取操作系统密码,尝试转存LSASS进程获取内存凭证,从而达到“凭证访问”的战术目的。
信息收集
官方描述:该战术描述了攻击者用来获取相关内部网络环境及架构信息的技术,攻击者对获取的网络信息进行分析,从而决定下一步如何进行“横向移动”。
如下所示,伊朗APT组织通过执行ping 8.8.8.8等命令收集内网信息,通过PowerShell命令收集内网域环境信息,为下一步“横向移动”做准备。
横向移动
官方描述:该战术可以理解为内网横向操作,包括从网络上某个被攻陷的主机移动到另一个新系统的过程,作为获取更多信息,扩大内网战果的一种手段。
如下所示,伊朗APT组织主要使用RDP登录结合前面获取到的凭据实现“横向移动”战术,获取更多内网权限。
数据采集
官方描述:该战术指攻击者用于收集信息的技术,并且从中收集与贯彻攻击者目的相关的信息来源,包括浏览器、音频、视频以及电子邮件,常见的收集方法包括捕获屏幕截图和键盘输入等。
根据推测,伊朗APT组织在内网多个主机上获取了很多的敏感数据,但是美国官方的报告中没有体现出来,估计是怕引起舆论压力。所以这里就不叙述了,但不影响整个APT流程的分析。
命令控制
官方描述:这属于攻击者尝试与目标网络上受其控制的系统进行通信的技术组成,采用的技术包括数据混淆、协议隧道和流量信号。说白了就是C2,就是攻击者从外部网络访问内部网络。
如下所示,伊朗APT组织使用Ngrok代理工具对内网进行控制,在此过程中还使用了Psexec、Mimikatz等工具达到内网控制目的。
数据窃取
官方描述:该战术处于攻击周期的收尾阶段,包括攻击者用来从目标网络中窃取敏感数据,同时通过压缩和加密避免流量检测的技术。
对于这个战术手法美国政府的报告给出的ATT&CK矩阵没有体现,但我个人觉得APT组织已经获取到域控权限,窃取数据如同囊中取物,报告没有体现还是为了规避舆论压力。所以在前面的ATT&CK矩阵图上,我自己加了相关条目。
影响破坏
官方描述:攻击者为实现最终目标而使用的技术,例如破坏可用性或损害敏感数据和目标操作的完整性。比如公司的业务流程看起来很正常,但是有些敏感数据已经被篡改了。
从美国政府公布的官方英文报告分析,伊朗APT组织是达到了一定的目的,否则也不会请出美国国家网络安全和基础设施安全局(CISA)与联邦调查局(FBI)两个机构来分析调查。
Part5 总结
1. ATT&CK矩阵的知识库非常庞大,已经成为一个行业标准在各个领域得到应用,红队、蓝队、安全产品测试、APT分析、威胁情报分析等等都可以从中汲取营养,不能以“非对即错”的标准去衡量它。
2. 在过去的10年中,相继出现了各种攻防对抗分析框架,但是目前只有ATT&CK矩阵一直更新迭代得到广泛应用。
3. 我在查看美国政府公开的对伊朗APT组织的Log4j2攻击事件分析报告时,明显感觉给出的ATT&CK矩阵列表不全,我想可能是担心有些入侵行为写出来引起舆论压力吧,这恰好从侧面反映出ATT&CK矩阵的作用了。
专注于网络安全技术分享,包括红队攻防、0day审计、APT追踪、蓝队分析、渗透测试、代码审计等。每周一篇,99%原创,敬请关注
Contact me: 0day123abc#gmail.com(replace # with @)