文章目录
- 1. ATT&CK框架简介
-
- 1.1 背景
- 1.2 特点
- 1.3 与Cyber Kill Chain的关系
- 2. ATT&CK相关术语
-
- 2.1 Matrix
- 2.2 TTPs
- 2.3 痛苦金字塔
- 2.4 五大对象
- 3. ATT&CK战术及场景实践
-
- 3.1 侦察
-
- 3.1.1 主动扫描
- 3.1.2 搜索公开 站/域名(被动)
- 3.2 资源开发
-
- 3.2.1 建立账户
- 3.3 初始访问
- 3.4 执行
- 3.5 持久化
-
- 3.5.1 使用schtasks计划任务完成“持久化”战术
1. ATT&CK框架简介
1.1 背景
????MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目,开展了大量的 络安全实践。例如,MITRE公司在1999年发起了常见披露漏洞项目(CVE,Common Vulnera-bilities and Exposures)并维护至今。其后,MITRE公司还维护了常见缺陷列表(CWE,Common Weakness Enumeration)这个安全漏洞词典。
1.3 与Cyber Kill Chain的关系
2.2 TTPs
对抗一定是由下至上的,最后发展到最高层面,代表本质的行为。比如说小偷使用的工具包括起子扳手,你没收了工具可能他随时可以替换。但是如果他是左撇子,这是他惯用的很难改变的习惯,你把他的左手用什么捆起来,他的攻击成功率就大大降低
2.4 五大对象
????ATT&CK框架中主要包含五大对象:攻击组织、软件、技术/子技术、战术、缓解措施,每个对象都在一定程度上与其他对象有关。
3. ATT&CK战术及场景实践
3.1.1 主动扫描
比如说主动扫描包括扫描IP块和漏扫:
- IP扫描确定在信息收集中所找到的主机是否在线
- 根据IP地址来猜测IP段,扩大所知主机地址信息
- 通过对TCP和UDP的扫描来发现所开放端口和运行的服务
第二种:Intense scan plus UDP(nmap -sS -sU -T4 -A -v)
即UDP扫描,会发送空的UDP 头到目标的端口,如果返回ICMP端口不可到达错误就是关闭,返回响应UDP 文就是开放
-sS TCP SYN 扫描
-sU UDP 扫描
第三种:Intense scan,all TCP ports
(nmap -p 1-65536 -T4 -A -v)
扫描所有TCP端口,范围在1-65535,试图扫描所有端口的开放情况,速度比较慢。
-p 指定端口扫描范围
第四种:Intense scan,no ping
(nmap -T4 -A -v -Pn)
非ping扫描
-Pn 非ping扫描
第五种:Ping scan
(nmap -sn)
Ping 扫描
优点:速度快。
缺点:容易被防火墙屏蔽,导致无扫描结果
-sn ping扫描
第六种:Quick scan
(nmap -T4 -F)
快速的扫描
-F 快速模式。
第七种:Quick scan plus
(nmap -sV -T4 -O -F –version-light)
快速扫描加强模式
-sV 探测端口及版本服务信息。
-O 开启OS检测
–version-light 设定侦测等级为2。
第八种:Quick traceroute
(nmap -sn –traceroute)
路由跟踪
-sn Ping扫描,关闭端口扫描
-traceroute 显示本机到目标的路由跃点。
第九种:Regular scan
规则扫描
第十种:Slow comprehensive scan
(nmap -sS -sU -T4 -A -v -PE -PP -PS80,443,-PA3389,PU40125 -PY -g 53 –script all)
慢速全面扫描。
扫描结果如图
FOFA工具功能介绍
FOFA是一款空间搜索引擎,它可以通过进行 络空间测绘快速进行 络资产匹配
搜索HTTP响应头中含有“php”关键词且国家为中国的 站和IP
3.2 资源开发
3.2.1 建立账户
3.4 执行
3.5 持久化
首先create创建,/tn即taskname设置为PentestLab,指定唯一识别这个计划任务的名称
/tr即taskrun指定在这个计划时间运行的程序的路径和文件名。
/sc就是schedule,既定计划的频率,/ru就是username,指定任务在其下运行的“运行方式”就是系统账户。
bypass就是没有任何限制和提示的策略
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!