ATTCK v13版本战术介绍——凭证访问（二）

编程入门行业动态更新时间:2024-10-08 20:36:43

ATTCK v13版本战术介绍——<a href=https://www.elefans.com/category/jswz/34/1770817.html style= 凭证访问（二）"/>

ATTCK v13版本战术介绍——凭证访问（二）

一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术，本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第7-12种子技术，后续会介绍凭证访问其他子技术，敬请关注。

二、ATT&CK v13简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2023年 4月25日，MITRE ATT&CK 发布了最新版本 V13，最大的变化是为ATT&CK中的一些技术添加了详细的检测指导，用于企业，移动数据源和两种新类型的更改日志（包括一个人类可读的详细更改日志，更具体地显示更新的ATT&CK对象中的更改，以及一个机器可读的JSON更改日志，其格式在ATT&CK的Github中描述）。

ATT&CK for Enterprise v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。

ATT&CK战术全景图（红框为凭证访问战术）

三、凭证访问战术

3.1 概述

凭证访问包括窃取凭证（如帐户名和密码）的技术。用于获取凭证的技术包括键盘记录或凭证转储，使用合法凭证可以让攻击者访问系统，使其更难检测。

3.2 输入捕捉（T1056）

攻击者可以捕获用户输入来获取凭据或收集信息。在系统使用期间，用户经常向各种不同的位置提供凭据，例如登录页面或系统对话框。输入捕获机制可能对用户是透明的，或者依赖于欺骗用户提供他们认为是真正服务的输入。

输入捕捉包含4项子技术，介绍如下：

3.2.1 键盘记录（T1056.001）

当用户键入凭据时，攻击者可能会记录用户击键以拦截凭据。当操作系统凭证转储工作无效时，键盘记录很可能被用来获取新的访问机会的凭证，并且可能需要攻击者在系统上拦截一段时间的击键，然后才能成功捕获凭证。

键盘记录是最常见的输入捕获类型，有许多不同的方式实现如下：

1) 用于处理击键的API回调，与凭证API不同，这只关注用于处理击键数据的API函数。

2) 从硬件缓冲区读取原始击键数据。

3) Windows注册表修改。

4) 自定义驱动程序。

5) 修改系统镜像可以为攻击者提供连接到网络设备操作系统的钩子，以读取登录会话的原始击键。

3.2.2 GUI输入捕获（T1056.002）

攻击者可能会模仿常见的操作系统GUI组件，以看似合法的提示提示用户输入凭据。当执行的程序需要比当前用户上下文中更多的特权时，操作系统通常会提示用户提供适当的凭据以授权任务的提升特权。

3.2.3 门户网站捕获（T1056.003）

攻击者可能会在外部面向门户（如VPN登录页面）上安装代码，以捕获和传输尝试登录服务的用户凭据。例如，受感染的登录页面可能会在将用户登录到服务之前记录所提供的用户凭据。

3.2.4 凭证API挂钩（T1056.004）

攻击者可能会通过Windows应用程序编程接口API函数以收集用户凭据。恶意挂钩机制可能会捕获API调用，其中包含揭示用户身份验证凭据的参数。与键盘记录不同，这种技术特别关注包含显示用户凭据的参数的API函数，挂钩涉及将调用重定向到这些函数。

3.2.5 检测

ID	数据源	数据组件	检测
DS0027	驱动	驱动负载	监控异常的内核驱动程序安装活动
DS0022	文件	文件修改	监控对文件所做的更改，以获取对访问权限和属性的意外修改
DS0009	进程	OS API执行	监控对SetWindowsHook、GetKeyState和GetAsyncKeyState的API调用
		进程创建	监控进行恶意活动的新执行进程
		进程元数据	通过将内存中的代码与相应的静态二进制代码进行比较来验证实时进程的完整性，特别是检查跳转和其他重定向代码流的指令。
DS0024	Windows注册表	Windows注册表项修改	监控对windows注册表项所做的更改以进行意外修改