之前学习了一些攻击组织、病毒的分析检测,也学习了高频攻击技术的分析检测,那么还应该对一些典型的攻击技术进行分析,以总结他们的规律,改进模型。
一、基于本地账户的初始访问
初始访问指的是使用各种登陆载体在网络中获得初始访问立足点的技术,比如攻击漏洞,鱼叉攻击等。能使用有效凭证和外部远程服务,或者更改密码让原本的用户无法登录,能导致持久化。
T1078.003本地账户:
攻击者通过获取利用本地账户凭证,实现访问初始化、持久化、权限提升、防御逃跑。
攻击者会在windows操作系统中创建具有管理员权限的账户,为了隐藏踪迹它们也会使用清楚命令。
二、基于WMI执行攻击技术
执行包括在本地执行以及远程执行。
T1047windows管理规范:
windows管理规范(WMI)是一种windows管理功能,可以为windows系统组件的本地和远程访问提供相同的环境(用于比如说远程办公)
WMI依赖本地和远程访问的WMI服务,以及远端访问的服务器消息块(SMB)和远程过程调用服务(RPCS),RPCS通过135端口运作。
攻击者利用WMI与本地和远程系统进行交互,并且将其作执行许多攻击战术的手段,比如搜集信息、横向移动。
三、基于浏览器插件实现持久化
四、基于进程注入实现提权
五、基于Rootkit实现防御绕过
六、基于暴力破解获得凭证访问权限
七、基于操作系统程序发现系统服务
八、基于SMB实现横向移动
九、自动化搜集内网数据
十、通过命令与控制通道传递攻击载荷
十一、成功窃取数据
十二、通过停止服务造成危害