初始化访问,是攻击者对目标入侵的立足点。攻击利用点主要包括系统、服务、第三方应用的漏洞,目标服务薄弱的安全防护措施,以及目标服务相关的内部人员、技术支持、信任伙伴等有关接触和联系者。

0x1 Drive-by Compromise

概念
路过式攻击:指的是攻击者利用用户正常访问和浏览网站来获取系统访问权限。攻击者通常利用此技术针对用户的web浏览器来实施漏洞攻击。他们也可能会侵入网站进行非攻击行为,例如获取应用程序访问令牌。路过式攻击在这里应该是包括水坑攻击和路过式下载。

水坑攻击(Water Holing):是指黑客通过分析攻击目标的网络活动规律,寻找攻击目标经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待攻击目标访问该网站时实施攻击。

路过式下载(Drive-by download): 用户不知道的情况下下载间谍软件、计算机病毒或者任何恶意软件。路过式下载可能发生在用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹出式窗口的时候。

防护建议
1.应用隔离和沙箱
2.漏洞利用防护
3.Web内容限制
4.软件更新

检测建议
1.URL黑名单、携带可疑参数
2.恶意脚本检测
3.异常的进程、文件写入等行为检测

0x2 Exploit Public-Facing Application

概念
面向公众应用的利用:通过利用系统、Web应用、中间件、数据库、相关服务存在的漏洞进行入侵。

防护建议

1.应用隔离和沙箱
2.漏洞利用防护
3.网络分区
4.特权账号管理
5.软件更新
6.漏洞扫描

检测建议
1.日志监控
2.网络数据包检查
3.Web应用防火墙检测

0x3 External Remote Services

概念
外部远程服务 :VPN、Citrix等远程服务以及其它访问机制允许用户从外部访问企业内部网络资源。通常有远程服务网关来管理这些服务连接和凭据认证。Windows远程管理等服务也可以在外部使用。 攻击者可能会通过凭据欺骗或入侵企业网络从用户侧获取凭据的方式来获得有效账号权限。进而访问公司内网。

防护建议
1.特性/程序禁用或删除
2.网络资源访问限制
3.多因子认证
4.网络分区

检测建议
1.根据最佳实践检测攻击者使用有效账号来应对远程服务身份认证的行为。
2.收集认证日志并分析异常访问模式,活动窗口以及正常工作时间之外的访问。

0x4 Hardware Additions

概念
硬件添加: 攻击者通过计算机配件、计算机或网络硬件作为载体接入系统从而获得执行权限
防护建议
1.限制网络资源访问
2.限制硬件安装
检测建议
1.可借助资产管理系统来发现本不应该接入的计算机系统或者网络设备。
2.可使用终端探针来检测通过USB接口、雷电接口以及其他外设接口添加的硬件。

0x5 Replication Through Removable Media

概念
通过移动存储进行复制: 攻击者可能会通过拷贝恶意软件到移动存储介质然后插入系统并利用Autorun功能来执行恶意软件,从而进入到系统。
防护建议
1.禁用或删除相关功能或程序
2.限制硬件安装
检测建议
1.监控移动存储介质上的文件访问
2.检测移动存储介质插入后或由用户启动时从此介质上执行的进程

0x6 Spearphishing Attachment

概念
鱼叉式钓鱼附件是网络钓鱼的一种特殊变体。它与其他形式的鱼叉式钓鱼攻击不同之处在于它以附件形式将恶意文件附加到电子邮件中。 附件可能有多种文件类型如Microsoft Office系列文件,可执行文件,PDF文件或者归档文件。用户打开附件(甚至点击通过了安全确认)后,攻击负载会利用系统漏洞执行或者直接在系统上执行。
防护建议
1.杀毒程序
2.网络入侵防御
3.附件类型限制
4.用户培训
检测建议
1.可使用网络入侵防御系统(IPS)和邮件网关可以用来检测传输中的带恶意附件的钓鱼邮件
2.杀毒软件可以检测到电子邮件服务器或用户计算机上存储的恶意文件和附件

0x7 Spearphishing Link

概念

鱼叉式钓鱼链接是网络钓鱼的一种特殊变体。它与其他形式的鱼叉式钓鱼攻击不同之处在于它在电子邮件中提供链接来下载恶意软件,而不是以附件形式将恶意文件附加到电子邮件中。这样可以逃避邮件附件检查。
防护建议
1.Web内容限制
2.用户培训
检测建议
1.URL黑名单检测
2.沙箱

0x8 Spearphishing via Service

概念
通过服务进行鱼叉式钓鱼攻击是使用第三方服务来实现网络钓鱼攻击。
防护建议
1.杀毒程序
2.Web内容限制
3.用户培训
检测建议
1.杀毒软件检测下载的恶意文件
2.端点检测或网络检测可检测“客户端执行利用”及“脚本编程”攻击技术相关恶意事件

0x9Supply Chain Compromise

概念
供应链攻击是指攻击者在用户得到交付物之前,通过篡改产品或者产品交付机制从而攻击数据或者系统。
供应链攻击可以在供应链的任何阶段发生,比如:

· 篡改开发工具
· 篡改开发环境
· 篡改源代码仓库(公开或私有的)
· 篡改依赖的开源代码
· 篡改软件的更新/分发机制
· 感染系统镜像(已经有多起可移动介质在工厂中即被感染的案例)
· 用修改过的版本替换合法软件
· 向合法的软件分销商销售篡改/假冒的产品
· 装运过程中拦截

防护建议
1.软件更新
2.漏洞扫描
检测建议
1.哈希校验
2.动态行为检测

0x10 Trusted Relationship

概念
攻击者可能会破坏或利用能够接触到目标受害者的组织。通过受信任的第三方关系进行访问目标。
防护建议
1.网络分区
2.用户账户控制
检测建议
监控第二方和第三方提供商以及其他可作为网络访问手段的受信任实体的活动

0x11 Valid Accounts

概念
攻击者可能会使用凭据访问技术窃取特定用户或服务账号的凭据,或者在侦察过程的早期通过社会工程捕获凭据以获得首次访问权限。 攻击者可以使用三种账号:默认账号、本地账号和域账号。
防护建议
1.应用程序开发人员指南
2.审核
3.网络流量过滤
4.多因子认证
5.密码策略
6.特权账号管理
7.用户账户管理
检测建议
1.在整个企业中为外部可访问的服务配置可靠、一致的账号活动审核策略。查看是否有跨系统的可疑的共享账号(用户、管理员或服务账号)行为。
2.定期审核域账号和本地系统账号来查看是否有攻击者为持久性所创建的账号。