[ATT&CK系列-应用实践类]通过ATT&CK框架完成恶意样本行为映射与WannaCry勒索病毒实践

字数 2742 2025-08-22 12:22:48

ATT&CK框架在恶意样本行为映射中的应用与实践

1. ATT&CK框架与恶意行为映射概述

ATT&CK框架是由MITRE开发的知识库，用于描述攻击者在网络攻击中使用的战术和技术。将恶意样本行为映射到ATT&CK框架中，可以使分析报告更加规范和通用。

1.1 行为映射的价值

规范化分析结果
便于跨团队和跨组织沟通
直接关联已知的缓解措施和检测方法
提高分析报告的通用性和可操作性

1.2 前提条件

要进行有效的恶意行为映射，需要满足两个前提：

详细的样本分析结果：对恶意样本有深入的分析和理解
深入的ATT&CK知识：熟悉ATT&CK各战术和技术的原理及区别

2. 恶意行为映射方法论

2.1 工具准备

使用ATT&CK Navigator工具进行行为标注和矩阵可视化：

可自定义修改ATT&CK矩阵
支持隐藏未使用的技术
可对技术进行评分和注释
支持导入/导出JSON配置文件

2.2 报告组织架构

建议的分析报告结构：

Navigator生成的自定义矩阵：直观展示样本涉及的战术和技术
战术与技术汇总表格：表格形式列出所有相关技术及详细信息
具体文字表述：详细描述每个技术的具体行为、缓解措施和检测方法

2.3 映射注意事项

在分析过程中就对行为进行分类，按ATT&CK战术初步归属
不仅要关注"做了什么"，还要关注"如何实现"
表格汇总时附加技术链接，尽可能包含缓解措施和检测方法
文字描述要提供详细上下文，说明如何判断使用了该技术

3. WannaCry勒索病毒行为映射实践

3.1 WannaCry概述

WannaCry是2017年爆发的著名勒索病毒，利用Windows SMB协议漏洞(永恒之蓝/MS17-010)传播，对文件进行加密并勒索比特币。

3.2 完整行为映射

3.2.1 攻击执行(Execution)

技术：T1047 - 利用Windows管理规范(WMI)

具体行为：

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete &

缓解措施(M)

M1040：启用攻击面减少(ASR)规则阻止WMI命令创建的进程
M1038：应用Windows Defender应用程序控制(WDAC)策略阻止wmic.exe滥用
M1018：限制WMI远程连接权限

检测方法(DS)

DS0017：监控执行的命令和参数
DS0029：监控WMI连接的网络流量
DS0005：监视新构造的WMI对象

3.2.2 持久化(Persistence)

技术：T1543.003 - 利用Windows服务

具体行为：
创建名为"mssecsvc2.0"的服务，显示名称为"Microsoft Security Center (2.0) Service"

缓解措施

M1047：使用审计工具检测特权和服务异常
M1045：通过数字签名强制执行二进制完整性

检测方法

DS0017：监控创建或修改服务的命令
DS0009：监控CreateServiceW()等API调用
DS0024：监控HKLM\System\CurrentControlSet\Services注册表项

3.2.3 防御规避(Defense Evasion)

技术1：T1222.001 - 修改Windows文件和目录权限

技术2：T1564.001 - 隐藏文件目录

具体行为：

attrib +h 
icacls . /grant Everyone:F /T /C /Q

缓解措施

M1026：确保关键文件有严格权限
M1022：限制文件和目录权限

检测方法

DS0017：监控修改ACL的命令
DS0009：监控修改文件权限的进程

3.2.4 环境发现(Discovery)

技术1：T1083 - 文件和目录发现

具体行为：
按扩展名搜索用户文件(.docx, .jpg等)，跳过.exe, .dll等系统文件

技术2：T1120 - 外围设备发现

具体行为：
每隔几秒扫描新连接的驱动器

技术3：T1018 - 远程系统发现

具体行为：
扫描本地网段查找远程系统，为后续传播做准备

技术4：T1016 - 系统网络配置发现

检测方法

DS0017：监控枚举文件和目录的命令
DS0009：监控文件API调用
DS0029：监控网络连接创建

3.2.5 横向移动(Lateral Movement)

技术1：T1210 - 利用远程服务

技术2：T1570 - 横向传输文件或工具

具体行为：
利用SMBv1漏洞(永恒之蓝/MS17-010)感染其他机器，传输shellcode

缓解措施

DS1051：定期更新软件补丁
DS1016：定期漏洞扫描
DS1030：网络分段
M1042：禁用不必要的服务(如SMB)

检测方法

DS0029：深度包检测SMB协议流量

3.2.6 命令与控制(Command and Control)

技术1：T1573 - 使用加密信道

技术2：T1090.003 - 使用多跳代理

具体行为：
使用Tor进行C2通信，在本地建立SOCKS5代理(127.0.0.1:9050)

C2服务器地址示例：

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion

缓解措施

M1037：过滤流向已知匿名网络的流量

检测方法

DS0029：监控不常见的数据流

3.2.7 危害影响(Impact)

技术1：T1486 - 恶劣影响的数据加密

具体行为：
使用AES和RSA加密用户文件，要求比特币赎金

加密逻辑：

AES密钥加密文件
子公钥加密AES密钥
主公钥加密子私钥(生成000000.eky)

技术2：T1490 - 禁止系统恢复

技术3：T1489 - 禁用服务

具体行为：
使用多种工具禁用恢复功能：

vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no

缓解措施

M1024：注册表权限限制
M1018：用户账户权限管理
M1022：文件权限限制

检测方法

DS0022：监控文件操作
DS0009：监控进程创建
DS0019：监控服务操作

4. 总结与最佳实践

4.1 行为映射流程总结

完成详细的样本分析
对恶意行为进行分类和初步映射
使用Navigator创建可视化矩阵
制作战术与技术汇总表格
撰写详细的技术行为描述
补充缓解措施和检测方法

4.2 最佳实践建议

分析阶段：
- 记录详细的API调用和系统修改
- 关注行为实现方式而不仅是功能
映射阶段：
- 参考官方技术描述确保准确映射
- 对不确定的技术进行交叉验证
报告阶段：
- 保持结构清晰一致
- 为技术提供官方链接便于参考
- 结合实际环境给出可行的缓解建议

4.3 扩展应用

ATT&CK行为映射不仅可用于恶意样本分析，还可应用于：

威胁情报报告标准化
安全产品能力评估
红队演练方案设计
安全防御策略优化

通过将分析结果映射到ATT&CK框架，可以使安全工作更加系统化和可操作化，提高整体安全防御能力。

ATT&CK框架在恶意样本行为映射中的应用与实践 1. ATT&CK框架与恶意行为映射概述 ATT&CK框架是由MITRE开发的知识库，用于描述攻击者在网络攻击中使用的战术和技术。将恶意样本行为映射到ATT&CK框架中，可以使分析报告更加规范和通用。 1.1 行为映射的价值规范化分析结果便于跨团队和跨组织沟通直接关联已知的缓解措施和检测方法提高分析报告的通用性和可操作性 1.2 前提条件要进行有效的恶意行为映射，需要满足两个前提：详细的样本分析结果：对恶意样本有深入的分析和理解深入的ATT&CK知识：熟悉ATT&CK各战术和技术的原理及区别 2. 恶意行为映射方法论 2.1 工具准备使用 ATT&CK Navigator 工具进行行为标注和矩阵可视化：可自定义修改ATT&CK矩阵支持隐藏未使用的技术可对技术进行评分和注释支持导入/导出JSON配置文件 2.2 报告组织架构建议的分析报告结构： Navigator生成的自定义矩阵：直观展示样本涉及的战术和技术战术与技术汇总表格：表格形式列出所有相关技术及详细信息具体文字表述：详细描述每个技术的具体行为、缓解措施和检测方法 2.3 映射注意事项在分析过程中就对行为进行分类，按ATT&CK战术初步归属不仅要关注"做了什么"，还要关注"如何实现" 表格汇总时附加技术链接，尽可能包含缓解措施和检测方法文字描述要提供详细上下文，说明如何判断使用了该技术 3. WannaCry勒索病毒行为映射实践 3.1 WannaCry概述 WannaCry是2017年爆发的著名勒索病毒，利用Windows SMB协议漏洞(永恒之蓝/MS17-010)传播，对文件进行加密并勒索比特币。 3.2 完整行为映射 3.2.1 攻击执行(Execution) 技术：T1047 - 利用Windows管理规范(WMI) 具体行为：缓解措施(M) M1040：启用攻击面减少(ASR)规则阻止WMI命令创建的进程 M1038：应用Windows Defender应用程序控制(WDAC)策略阻止wmic.exe滥用 M1018：限制WMI远程连接权限检测方法(DS) DS0017：监控执行的命令和参数 DS0029：监控WMI连接的网络流量 DS0005：监视新构造的WMI对象 3.2.2 持久化(Persistence) 技术：T1543.003 - 利用Windows服务具体行为：创建名为"mssecsvc2.0"的服务，显示名称为"Microsoft Security Center (2.0) Service" 缓解措施 M1047：使用审计工具检测特权和服务异常 M1045：通过数字签名强制执行二进制完整性检测方法 DS0017：监控创建或修改服务的命令 DS0009：监控CreateServiceW()等API调用 DS0024：监控HKLM\System\CurrentControlSet\Services注册表项 3.2.3 防御规避(Defense Evasion) 技术1 ：T1222.001 - 修改Windows文件和目录权限技术2 ：T1564.001 - 隐藏文件目录具体行为：缓解措施 M1026：确保关键文件有严格权限 M1022：限制文件和目录权限检测方法 DS0017：监控修改ACL的命令 DS0009：监控修改文件权限的进程 3.2.4 环境发现(Discovery) 技术1 ：T1083 - 文件和目录发现具体行为：按扩展名搜索用户文件(.docx, .jpg等)，跳过.exe, .dll等系统文件技术2 ：T1120 - 外围设备发现具体行为：每隔几秒扫描新连接的驱动器技术3 ：T1018 - 远程系统发现具体行为：扫描本地网段查找远程系统，为后续传播做准备技术4 ：T1016 - 系统网络配置发现检测方法 DS0017：监控枚举文件和目录的命令 DS0009：监控文件API调用 DS0029：监控网络连接创建 3.2.5 横向移动(Lateral Movement) 技术1 ：T1210 - 利用远程服务技术2 ：T1570 - 横向传输文件或工具具体行为：利用SMBv1漏洞(永恒之蓝/MS17-010)感染其他机器，传输shellcode 缓解措施 DS1051：定期更新软件补丁 DS1016：定期漏洞扫描 DS1030：网络分段 M1042：禁用不必要的服务(如SMB) 检测方法 DS0029：深度包检测SMB协议流量 3.2.6 命令与控制(Command and Control) 技术1 ：T1573 - 使用加密信道技术2 ：T1090.003 - 使用多跳代理具体行为：使用Tor进行C2通信，在本地建立SOCKS5代理(127.0.0.1:9050) C2服务器地址示例：缓解措施 M1037：过滤流向已知匿名网络的流量检测方法 DS0029：监控不常见的数据流 3.2.7 危害影响(Impact) 技术1 ：T1486 - 恶劣影响的数据加密具体行为：使用AES和RSA加密用户文件，要求比特币赎金加密逻辑： AES密钥加密文件子公钥加密AES密钥主公钥加密子私钥(生成000000.eky) 技术2 ：T1490 - 禁止系统恢复技术3 ：T1489 - 禁用服务具体行为：使用多种工具禁用恢复功能：缓解措施 M1024：注册表权限限制 M1018：用户账户权限管理 M1022：文件权限限制检测方法 DS0022：监控文件操作 DS0009：监控进程创建 DS0019：监控服务操作 4. 总结与最佳实践 4.1 行为映射流程总结完成详细的样本分析对恶意行为进行分类和初步映射使用Navigator创建可视化矩阵制作战术与技术汇总表格撰写详细的技术行为描述补充缓解措施和检测方法 4.2 最佳实践建议分析阶段：记录详细的API调用和系统修改关注行为实现方式而不仅是功能映射阶段：参考官方技术描述确保准确映射对不确定的技术进行交叉验证报告阶段：保持结构清晰一致为技术提供官方链接便于参考结合实际环境给出可行的缓解建议 4.3 扩展应用 ATT&CK行为映射不仅可用于恶意样本分析，还可应用于：威胁情报报告标准化安全产品能力评估红队演练方案设计安全防御策略优化通过将分析结果映射到ATT&CK框架，可以使安全工作更加系统化和可操作化，提高整体安全防御能力。