SOC-200 3 攻击者方法介绍

致力于将博士后八股文解读成幼儿园一把梭。

主题：
• The Network as a Whole
• The Lockheed-Martin Cyber Kill-Chain 洛克希德 – 马丁网络杀戮链
• MITRE ATT&CK Framework

DMZ 区域

一把梭：充其量就是企业提供对外服务的一个区域（比如web服务）。最low的DMZ部署防御好吧。

Deployment Environments 部署环境（测试环境）

一把梭：纵深防御，开发与测试环境分离。置于内网中。

Core and Edge Network Devices 核心和边缘网络设备

一把梭：DMZ区域中的路由器被认为是边缘设备

Virtual Private Networks and Remote Sites 虚拟专用网络和远程网站

一把梭：地理位置A的远程员工经常使用VPN连接到地址位置B的贵司网络。

以上每种机制都在深入防御策略中发挥作用

The Lockheed-Martin Cyber Kill-Chain 洛克希德 – 马丁网络杀戮链（洛马七步杀）

没有银弹：2011，洛克希德·马丁公司的计算机科学家根据攻击行为总结的一套观察指标，仅此而已。充其量就是Excel统计。遗憾的是实际上不同组织攻击测量复杂，放到至今，无法硬套。（你保存了APT分析原文，你也可以各种“统计”）

APT（有个勾八资助，自嗨型）：例如安全研究公司FireEye（前身为Mandiant）揭示了APT1，归因于2013年在中国境外活动的网络间谍组织。(FireEye, 2013), https://www.fireeye.com/blog/threat-research/2013/02/mandiant-exposes-apt1-chinas-cyber-espionage-units.html

七步杀（没实际卵用，出场率最高的是在PPT上）：
• Reconnaissance 侦查
• Weaponization 武器化
• Delivery 八股文交付，比如马子传到受害者
• Exploitation 利用
• Installation 安装
• Command & Control (C2) 命令与控制
• Actions on Objectives 在目标上行动

案例研究1:Monero加密挖矿

Jenkins服务器的nday；下载Monero矿工的PowerShell脚本；HTTP POST到CLI目录，该目录包含获取武器化二进制文件的代码；CVE-2017-1000353 [PowerShell script]，C:Windowsminerxmr.exe; 222.184.79.11:5329（出报告时记得带上IP与端口，老铁）；生成Monero加密货币

Oracle WebLogic服务器的nday；下载Monero矿工的PowerShell脚本；HTTP POST包含获取武器化二进制文件的代码的XML；CVE-2017-10271 [PowerShell script]；C:minerxmr.exe;222.184.79.11:5319;生成Monero加密货币

不要肤浅的认为以上两者“差距不大”（文件命名，C2服务器一致，更多的指标指向同一个组织时可信度才能提升）：我TM生成个CS马子，C:家目录写贵司ID，变量命名是贵司，C2服务器指向贵司。君该做何感叹。千年冤案？

案例研究2：Petya、Mischa和GoldenEye

Petya虽然非常有效，但需要受害者付出大量努力。受害者必须打开一封包含恶意应用程序的钓鱼电子邮件，然后使用需要通过Windows用户帐户控制（UAC）弹出窗口批准的管理员权限执行。

Reconnaissance 钓鱼
Weaponization 自解压存档中的加密有效负载。受害者钥匙生成器。
Delivery 求职者的带有DropBox链接的网络钓鱼电子邮件
Exploitation 主可执行文件以管理员权限运行
Installation Setup.dll，伪造的CHKDSK加密程序
C2 支付钱包
Actions on Objectives 编码、备份、覆盖MBR。生成密钥。强制重新启动。加密MFT。

MITRE ATT&CK Framework

基于APT报告的Excel统计

Tactics, Techniques, and Sub-Techniques 战术、技术和子技术（类似七步杀，细颗粒度）
• Reconnaissance
• Resource Development
• Initial Access
• Execution
• Persistence
• Privilege Escalation
• Defense Evasion
• Credential Access
• Discovery
• Lateral Movement
• Collection
• Command and Control
• Exfiltration
• Impact

https://attack.mitre.org

案例研究1：OilRig

通过Mitre ATT&CK框架的视角，OilRig的描述如下：

初始访问 Phishing Spear-phishing attachment鱼叉钓鱼
Execution 用户执行 恶意链接
命令和脚本 PowerShell（QUADAGENT）
解释器
命令与控制 应用层协议 Web Protocols
DNS

案例研究2:APT3

40