https://attack.mitre.org/tactics/enterprise/
https://github.com/redcanaryco/atomic-red-team
https://github.com/nshalabi/ATTACK-Tools
https://github.com/infosecn1nja/awesome-mitre-attack
https://github.com/TravisFSmith/mitre_attack
Reconnaissance(侦查阶段)
在前期的侦查阶段Mitre给出说法是无法很好的做到主动性预防控制,具体参考如下官方链接
https://attack.mitre.org/mitigations/M1056/
链接:
https://attack.mitre.org/tactics/TA0043/
缓解措施:本节中除部分之外,所有的缓解措施,都如T1595所说,具体可参见官方的链接:https://attack.mitre.org/mitigations/M1056/
检测措施:https://attack.mitre.org/techniques/T1595/
Techniques
T1595 Active Scanning - 主动扫描
缓解措施:这个没有很好的缓解措施,只能尽量的保证敏感信息和数据减少对外暴露,缩小攻击面;
检测方式:检测的话,可以通过基于网络流量进行分析检测;
.001 Scanning IP Blocks - 扫描ip段,扫描C段ip地址
缓解措施:跟上述主动扫描一样
检测方式:同样是基于网络流量的方式进行分析检测
.002 Vulnerability Scanning - 漏洞扫描,通过扫描判断目标是否存在漏洞
缓解措施:同上
检测方式:同上
*****************************************************************
T1592 Gather Victim Host Information - 收集目标主机的相关信息
.001 Hardware - 收集目标硬件信息,类似卡,专用加密硬件,生物识别器等
.002 Software - 收集目标软件信息,包括是否安装防病毒软件,IDS,SIEM
.003 Firmware - 收集目标固件信息,类似包括,操作系统补丁,配置等
.004 Client Configurations - 客户端配置,类似收集目标是什么操作系统,哪个时区,使用的什么语言,是32位还是64位操作系统,是不是虚拟化环境等
缓解措施:同上
检测方式:同上
*****************************************************************
T1589 Gather Victim Identity Information - 收集目标身份信息
.001 Credentials - 收集目标类似账户登陆的凭据,比如RDP证书,公钥私钥证书等
.002 Email Addresses - 电子邮件信息
.003 Employee Names - 员工姓名
缓解措施:同上
检测方式:同上
*****************************************************************
T1590 Gather Victim Network Information - 收集目标网络信息
.001 Domain Properties - 域属性,这里的信息包括,域名注册人,注册地,注册商都是谁等等信息,还有对应注册人的姓名和邮箱信息
.002 DNS - 收集目标的DNS相关信息,看是否有DNS相关漏洞和泄露DNS的A记录,MX记录,还有各种子域名信息
.003 Network Trust Dependencies - 网络信任依赖,这里翻译的怪怪的,其实就是确认收集到目标信任的第三方承包商,注册商,或者信任的网络环境,IDC机房等等
.004 Network Topology - 网络拓扑,收集目标网络的路由器,交换机等各种网络相关的逻辑拓扑图信息
.005 IP Address - IP地址,收集目标存在的所有的可以被攻击的ip地址信息
.006 Network Security Appliances - 网络安全设备,判断目标部署了哪些安全设备,收集目标部署的安全设备的各种信息
缓解措施:同上
检测方式:同上
*****************************************************************
T1591 Gather Victim Org Information - 收集受害者组织信息
.001 Determine Physical Locations - 确定物理位置
.002 Business Relationships - 业务关系,这里就包括所属公司信息,还包括跟目标资产相关的供应商,IDC机房等等
.003 Identify Business Tempo - 确定业务节奏,包括目标的日常作息时间,例如:一周上几天班,购买的硬件资源和软件资源各种日期
.004 Identify Roles - 确定角色,这里其实就是收集目标例如:权限和很大的运维人员,或者大领导,或者高管等等的角色信息
缓解措施:同上
检测方式:同上
*****************************************************************
T1598 Phishing for Information - 钓鱼信息
.001 Spearphishing Service - 鱼叉式网络钓鱼服务,通过第三方形式发送鱼叉式钓鱼信息,目的是为了获取目标访问该鱼叉式钓鱼服务得到重要的凭据等
.002 Spearphishing Attachment - 鱼叉式钓鱼附件,目的跟上面一样
.003 Spearphishing Link - 鱼叉式钓鱼链接,目的跟上面一样
*****************************************************************
T1597 Search Closed Sources - 搜索封闭来源
.001 Threat Intel Vendors - 威胁Intel供应商,理解为通过威胁情报信息,或者直接花钱购买隐秘的私人信息
.002 Purchase Technical Data - 购买技术资料,这个也是一样,通过花钱的手段获取高质量的私人敏感信息,包括但不限于,暗网等灰色地带
*****************************************************************
T1596 Search Open Technical Databases - 搜索开放技术库
.001 DNS/Passive DNS - 搜索DNS相关信息
.002 WHOIS - whois信息,通过公开的whois网站查找相关域名和IP以及所有者信息
.003 Digital Certificates - 数字证书,通过一些目标网站的证书信息,来确定注册组织名称和位置等信息
.004 CDNs - 收集CDN的相关信息
.005 Scan Databases - 这个就是类似shodan这种搜索引擎
*****************************************************************
T1593 Search Open Websites/Domains - 搜索打开的网站和域名
.001 Social Media - 通过社交媒体获取目标个人信息,位置信息等等
.002 Search Engines - 通过搜索引擎获取目标个人信息,位置信息等等
*****************************************************************
T1594 Search Victim-Owned Websites - 搜索目标拥有的网站,这个意思就是收集目标经常访问的网站,看这些网站是否含有目标的重要有价值的信息
*****************************************************************
本章节中唯独钓鱼相关的缓解措施是可以通过用户培训和软件配置来进行缓解,具体官方链接如下
https://attack.mitre.org/techniques/T1598/
软件配置缓解
用户培训缓解
Resource Development(资源开发)
资源开发咋一看以为是要开发各种资源,其实可以理解为在实施攻击目标之前,准备好需要的各种缓解,例如:要进行社工的话,那么就要准备好攻击目标代用的电子邮件,需要提供服务的云主机,Web应用服务,钓鱼网站域名的申请,或者购买一些商业的漏洞扫描工具,或者是一些出名的渗透攻击框架套件,当然也可以是自己开发的,或者使用开源的都可以,总之就是在进行攻击测试之前,准备好自己所有需要的素材,材料,工具,环境等等,具体可参考官方链接
https://attack.mitre.org/tactics/TA0042/