鑽石舞台

Part1 前言

大家好，我是ABC_123。前期分享了《伊朗APT組織入侵美國政府內網全過程揭秘（上篇）》，吸粉不少，謝謝大家。美國政府關於伊朗APT攻擊事件的英文分析報告中給出了相關的ATT&CK矩陣列表，本篇文章就在此基礎上，分享一下關於此次APT事件的ATT&CK矩陣攻擊鏈分析，文中對很多網上的翻譯錯誤進行了糾正。歡迎關注我的公眾號"ABC123安全研究實驗室"。

Part2 ATT&CK矩陣介紹

我2018年在北京時，曾經嘗試基於ATT&CK矩陣去編寫攻擊行為檢測規則，當時我就發現了這個框架在攻擊行為分析上的不足，很多攻擊行為、技術細節無法找到對應的ID編號，因而APT技術細節沒法體現。當時還認為ATT&CK矩陣恐怕是沒法解決這個問題，因為APT攻擊手段成百上千，不可能用一個圖表歸納概括。但是沒想到在2020年7月，ATT&CK矩陣提出了「子技術」的概念，將整個框架幾乎重構，巧妙地解決了精細化問題，使得ATT&CK矩陣的發展往前邁了一大步，形成了一個龐大的攻防對抗知識庫，不得不佩服相關人員的創造思維。「子技術」是什麼意思呢？比如說進程注入的編號是T1055，但是進程注入的子技術分很多種：動態鏈接庫注入的編號是T1055.001，線程劫持注入的編號是T1055.003。

以下這張圖是ATT&CK矩陣攻擊戰術列表的中文翻譯版，涵蓋了從初始訪問一直到竊取數據的整個流程，部分中文翻譯結果，在不同的APT案例應用中會有所不同，大家要靈活地對待中文翻譯結果，靈活地進行修改。橫軸是戰術，縱軸是技術及子技術，每個技術都有單獨的ID編號，都帶有網頁鏈接，點開後可以看到每一項技術的詳細介紹。這裡需要注意的是，ATT&CK矩陣並沒有規定戰術的前後順序，也不需要每次APT攻擊都包括所有10幾個戰術。畢竟對於真實的APT攻擊來說，越少的戰術，越不容易被發現。

Part3 APT相關ATT&CK矩陣

首先放一張我做的圖，把伊朗APT組織入侵美國政府的關鍵節點都給着色標註顯示了，可以看到該組織採用了哪些技戰術手法，文章後半部分會有詳細講解。以下這張圖參考了之前在qax時，「猛哥」做的翻譯圖表，我在此基礎上做了一些修改。

Part4 ATT&CK戰術/階段

美國政府官方的英文分析報告，從ATT&CK攻擊矩陣的10幾個戰術中篩選了8個戰術，對整個APT攻擊流程進行描述和分析。

初始訪問

官方描述：攻擊者使用這一戰術在企業環境中建立初始據點，手段包括魚叉式網絡釣魚、公開的應用程序漏洞、供應鏈失陷等。

如下所示，伊朗APT組織通過「初始訪問」戰術中的「利用面向公眾的應用程序」技術（Log4j2框架的代碼執行漏洞）建立了初始據點。

執行

官方描述：攻擊者在入侵活動中應用最廣泛的戰術莫過於「執行」。攻擊者在使用惡意軟件、勒索軟件或進行APT攻擊時，都會選擇「執行」這個戰術。

如下所示，伊朗APT組織通過PowerShell腳本解釋器獲取命令執行權限。

持久化

官方描述：持久化也就是權限維持，該戰術中包括攻擊者用來保持對目標系統訪問權限的技術，因為攻擊者會遇到主機重新啟動或者憑據更改等丟失權限的情況。

如下所示，伊朗APT組織通過更改管理員密碼、添加本地賬戶、添加仿冒域管理員賬戶、計劃任務、啟用默認賬號等手段，持久化控制內網權限。

權限提升

官方描述：涵蓋攻擊者用來在系統或網絡上獲得更高級別權限和訪問權限的技術和活動，實現這一目標的技術包括利用系統錯誤配置及漏洞。

對於"權限提升"戰術，美國官方報告中並沒有體現，推測是沒有發現相關的攻擊行為。這裡我結合之前的APT報告，推測伊朗APT組織會使用「權限提升」戰術中的"Bypass UAC"、"系統提權漏洞利用"、"有效賬戶&竊取憑證"等技術手段達到權限提升目的。

防禦繞過

官方描述：防禦繞過是指攻擊者用來避免在整個攻擊過程中被防禦措施發現的技術。防禦繞過使用的技術包括卸載/禁用安全軟件、混淆/加密數據和各種執行腳本。

如下所示，伊朗APT組織通過向Windows Defender添加排除規則解決殺軟及防護軟件問題，並且及時刪除了Powershell腳本，防止後期觸發殺軟。

憑證訪問

官方描述：由於合法憑證可以讓攻擊者訪問更多系統，獲取更多的權限，且攻擊行為難以被發現。所以這個戰術的目標是使用暴力攻擊、鍵盤記錄和內存密碼dump等技術來竊取賬號密碼。

如下所示，伊朗APT組織使用Mimikatz工具提取操作系統密碼，嘗試轉存LSASS進程獲取內存憑證，從而達到「憑證訪問」的戰術目的。

信息收集

官方描述：該戰術描述了攻擊者用來獲取相關內部網絡環境及架構信息的技術，攻擊者對獲取的網絡信息進行分析，從而決定下一步如何進行「橫向移動」。

如下所示，伊朗APT組織通過執行ping 8.8.8.8等命令收集內網信息，通過PowerShell命令收集內網域環境信息，為下一步「橫向移動」做準備。

橫向移動

官方描述：該戰術可以理解為內網橫向操作，包括從網絡上某個被攻陷的主機移動到另一個新系統的過程，作為獲取更多信息，擴大內網戰果的一種手段。

如下所示，伊朗APT組織主要使用RDP登錄結合前面獲取到的憑據實現「橫向移動」戰術，獲取更多內網權限。

數據採集

官方描述：該戰術指攻擊者用於收集信息的技術，並且從中收集與貫徹攻擊者目的相關的信息來源，包括瀏覽器、音頻、視頻以及電子郵件，常見的收集方法包括捕獲屏幕截圖和鍵盤輸入等。

根據推測，伊朗APT組織在內網多個主機上獲取了很多的敏感數據，但是美國官方的報告中沒有體現出來，估計是怕引起輿論壓力。所以這裡就不敘述了，但不影響整個APT流程的分析。

命令控制

官方描述：這屬於攻擊者嘗試與目標網絡上受其控制的系統進行通信的技術組成，採用的技術包括數據混淆、協議隧道和流量信號。說白了就是C2，就是攻擊者從外部網絡訪問內部網絡。

如下所示，伊朗APT組織使用Ngrok代理工具對內網進行控制，在此過程中還使用了Psexec、Mimikatz等工具達到內網控制目的。

數據竊取

官方描述：該戰術處於攻擊周期的收尾階段，包括攻擊者用來從目標網絡中竊取敏感數據，同時通過壓縮和加密避免流量檢測的技術。

對於這個戰術手法美國政府的報告給出的ATT&CK矩陣沒有體現，但我個人覺得APT組織已經獲取到域控權限，竊取數據如同囊中取物，報告沒有體現還是為了規避輿論壓力。所以在前面的ATT&CK矩陣圖上，我自己加了相關條目。

影響破壞

官方描述：攻擊者為實現最終目標而使用的技術，例如破壞可用性或損害敏感數據和目標操作的完整性。比如公司的業務流程看起來很正常，但是有些敏感數據已經被篡改了。

從美國政府公布的官方英文報告分析，伊朗APT組織是達到了一定的目的，否則也不會請出美國國家網絡安全和基礎設施安全局（CISA）與聯邦調查局（FBI）兩個機構來分析調查。

Part5 總結

1. ATT&CK矩陣的知識庫非常龐大，已經成為一個行業標準在各個領域得到應用，紅隊、藍隊、安全產品測試、APT分析、威脅情報分析等等都可以從中汲取營養，不能以「非對即錯」的標準去衡量它。

2. 在過去的10年中，相繼出現了各種攻防對抗分析框架，但是目前只有ATT&CK矩陣一直更新迭代得到廣泛應用。

3. 我在查看美國政府公開的對伊朗APT組織的Log4j2攻擊事件分析報告時，明顯感覺給出的ATT&CK矩陣列表不全，我想可能是擔心有些入侵行為寫出來引起輿論壓力吧，這恰好從側面反映出ATT&CK矩陣的作用了。

專注於網絡安全技術分享，包括紅隊攻防、0day審計、APT追蹤、藍隊分析、滲透測試、代碼審計等。每周一篇，99%原創，敬請關注

Contact me: 0day123abc#gmail.com(replace # with @)