本手册涉及的核心概念是ATT&CK模型,这是一种由MITRE Corporation开发的攻击框架,用于对攻击者在渗透和入侵过程中使用的手法、技术和程序进行分类和描述。ATT&CK手册将网络安全的视角从防御转向了攻击者的行为,为安全团队提供了一个参考模型,帮助他们理解攻击者的手段,从而更好地构建防御体系和检测策略。
手册内容涵盖了网络攻击的各个阶段,包括入口点、命令执行、持久化、权限提升、绕过防御、获取凭证、基础信息收集、横向渗透、命令控制和信息窃取等。
在“入口点(InitialAccess)”部分,文档首先介绍了水坑攻击的分析方法,这种攻击通过分析目标的上网活动规律,识别目标经常访问的网站的漏洞,并利用这些漏洞植入恶意代码,以此实现攻击目的。水坑攻击的实现方式包括但不限于注入JavaScript、iframe跨站脚本,以及内置Web应用程序接口,用于插入恶意广告链接或重定向用户访问的站点到攻击者控制的恶意站点。页面嵌入的存储型XSS脚本,可以获取用户的cookie信息,获取登录用户的信息,甚至可以截屏和获取网页源代码。
“执行(Execution)”部分可能涉及通过各种手段执行攻击代码,例如编写具有恶意功能的javascript语句来获取敏感数据。
关于“phpstudybackdoor”,文档提及了phpStudy这一软件存在的后门问题。攻击者在phpstudy 2016、2018等版本中植入了后门代码,导致使用这些软件的用户面临安全风险。后门代码被隐藏在特定的dll模块中,通过notepad等文本编辑工具,可以通过搜索特定的代码模式来检测后门是否存在。
手册的结构按照ATT&CK框架的十项矩阵进行了组织。每一个矩阵代表了攻击者的一个特定行动领域,例如:
- 持久化(Persistence):攻击者在系统中保持其存在的技术,以便能够在后续阶段继续操作。
- 权限提升(Privilege Escalation):提升攻击者在系统中的权限,使其能够执行更高级的操作。
- 绕过防御(Defense Evasion):绕过系统安全机制,减少被检测的机会。
- 凭证访问(Credential Access):获取有效凭据,如用户名和密码。
- 发现(Discovery):收集关于目标环境的信息,如网络布局、用户和组信息等。
- 横向移动(Lateral Movement):在已感染的网络内扩散,深入到其他系统。
- 命令与控制(C&C):攻击者与受感染系统之间进行通信的机制。
- 信息窃取(Exfiltration):将窃取的数据从目标网络传输到攻击者控制的服务器。
手册还强调了安全团队在使用此手册时应当遵循的道德和法律义务,即仅限于合法的安全技术竞技和防御使用,严禁用于任何非法目的。本手册的许可协议为“知识共享署名-非商业性使用-相同方式共享4.0国际许可协议”,即Copyleft协议。
由于文档内容存在OCR扫描的识别错误和漏识别情况,手册中可能会有些许文字错误,但总体上不影响核心内容的理解。手册的目的是提供一个详尽的参考资料,帮助网络安全从业者在对抗实际网络攻击时能够更好地识别和应对攻击者使用的各种技术和策略。
- 1
- 2
前往页