一、背景

ATT&CK攻擊矩陣(Enterprise)共有11列，將不同環節、不同打擊目標的攻擊技術分別拆分并歸納，這對于防守方有很大的借鑒意義，SOC可以將安全設備、防御手段、檢測規則、情報等的覆蓋能力映射在矩陣中，從而感知當前SOC的檢測和防御能力，并規劃未來的前進方向。

然而ATT&CK矩陣不是銀彈，這里也有很多問題值得思考:

(一)防御和檢測能力的矩陣覆蓋評估，應該是0和1嗎？

(二)針對某個技術環節，當前已經能夠完全防御或檢測了，未來是否不需要再關注、投入人力了？

(三)針對某個攻擊技術，企業不同區域環境(總部和分支、各種供應商、BYOD)是否具有相同的防御和檢測能力？

(四)矩陣中的11列，對于防守方的資源投入來說，是否具有相同的重要程度？如果不同，優先順序是怎么樣的？

(五)矩陣每一列中的不同技術、子技術，對于防守方的資源投入來說，是否具有相同的重要程度？如果不同，優先順序是怎么樣的？

本系列文章，筆者將詳細分析ATT&CK矩陣的技術，并深入討論每個技術，以及針對這些技術，企業環境應該做出的防御和檢測部署。

本篇文章，讓我們進入ATT&CK矩陣的第三列：Intial Access，詳細分析其中的技術有哪些，涉及企業安全工作建設中的哪些內容。

二、技術總體介紹

(一)Drive-by Compromise

主要思路是水坑攻擊，筆者上一篇文章已經詳細介紹過這個技術及SOC做防御需要收集的日志，請參考https://www.freebuf.com/articles/es/336620.html.

(二)Exploit Public-Facing Application

直譯為"利用面向公眾的應用程序"，翻譯過來就很好理解了，其實就是廣大滲透測試者、眾多CTF競賽中最常見的攻擊方式，攻擊對外暴漏的服務(任意外網可訪問的系統)，具體包含的攻擊目標不限于：Web系統、郵件服務、VPN服務、負載均衡。其中最喜聞樂見的應該是Web系統，由于各種語言、框架、組件層出不窮，針對性的漏洞也是一批又一批，可以說是給了安全工作者牢靠的飯碗。

同時，企業對Web系統攻防對抗的投入，應該是資源占比最大的，下一代防火墻、WAF、流量分析設備、HIDS、RASP等等安全設備、應用、機制，都很好的保護著面向公眾的應用程序。

(三)External Remote Services

外部遠程服務，主要指的是企業開放給內部員工、供應商的外部服務，如VPN、API、SSH服務、RDP服務、Citrix等云桌面、郵件系統等等。這些服務通常有針對性的服務對象，所以可以做一定的限制，如限定源IP訪問、MFA、端口敲門技術(參考ATT&CK-T1205.001)、MAC綁定等。

(四)Hardware Additions

添加硬件到目標環境中，主要是物理滲透的場景，比如物理接觸目標機器，通過PE系統進入機器完成攻擊；在目標公司大廳扔一個U盤、BadUSB進行釣魚等等。

(五)Phishing

釣魚，筆者認為，是HW等各種攻防對抗中，最簡單易行且殺傷力最強的攻擊手段。釣魚郵件漫山遍野，企業環境中不配置一個商用的郵件網關和Exchange防病毒模塊，都不好意思說自己是重視安全的。

SPF、DKIM、DMARC、郵件防病毒模塊一樣不落，面對APT級別的攻擊者時有用嗎？沒有用！對郵件投遞做白名單限制，限制附件后綴，不允許投遞可執行文件、不允許投遞加密的壓縮包，但攻擊者還可以通過釣魚頁面釣魚(參考gophish框架)，無論進行多少安全意識培訓，我們都要堅信，普通用戶一定會中招的。

然而，釣魚只能通過郵件嗎？并不是。郵件的投遞流程可以被企業完全監控、控制、回溯分析，但是其他途徑就不一定了。微信、QQ、釘釘等等各種IM訊軟件，一樣可以進行釣魚，且防御成本巨大。前段時間搜狐發生的釣魚事件，攻擊者采用了二維碼這種新的方式，看到二維碼，正常人的反應都是拿出微信掃一掃，這個"掃一掃"的后續過程，安全防御人員完全不可控，是真的防不勝防。

(六)Replication Through Removable Media

通過可移動媒體進行復制，主要指通過USB等可移動設備，將惡意程序投遞到目標機器上，然后通過各種自動執行的技術，完成惡意程序的執行。

(七)Supply Chain Compromise

供應鏈攻擊，很容易理解的攻擊方式，攻陷企業中使用的上游硬件設備，比如芯片級別的后門；攻陷企業中使用的軟件源，例如之前發生的PYPI倉庫投毒，如果你Python包的引用，不小心將requests寫成了request，那么很遺憾，你的電腦甚至你同事的電腦，可能已經是別人的了。

(八)Trusted Relationship

通過信任關系攻擊，通常企業會有或多或少的供應商，承包不同的服務內容，而供應商通常需要訪問部分或全部的內部系統，授權給供應商是難以避免的，和供應商之間的"信任"關系，到底能不能信任呢？

今年年初的LAPSUS$組織，就高調對外公布：他們就是通過"買"、"騙"的方式，直接獲取企業用戶或供應商的賬號，通過鈔能力簡單的完成Initial Access。所以權限控制也是很重要的。

(九)Valid Accounts

有效賬戶，如同"無論進行多少安全意識培訓，我們都要堅信，普通用戶一定會中招的"這個結論一樣，我們還要堅信，企業環境中的賬號密碼，一定會暴漏給攻擊者，也就是說攻擊者一定能夠獲取到企業環境中某些系統的賬號密碼。

為什么這么肯定？

首先，弱口令難以根除，即使制定了復雜的密碼策略，也一定會有聰明的用戶巧妙得繞過密碼策略設置一些"弱口令"，比如設置密碼策略為必須有大寫字母、小寫字母、數字、特殊符號，且長度不小于8位，似乎已經是一個很強的策略了，然而一定會有用戶設置密碼為:"Aa123!@#"，顯然這個密碼是符合我們設定的高復雜度密碼策略的，但是這個密碼弱嗎？很弱！隨便找一個攻擊者常用的字典中，都一定會有它。

其次，不同的系統復用相同的密碼是大多數用戶的使用習慣，這也很好理解，因為如果沒有onepassword一類的工具，我們是無法用人腦記住大量不同密碼的(除非把密碼記錄在一個txt文件中，然后把這個文件放在桌面，沒錯，攻擊者最喜歡你通過這種方式記錄密碼，嘿嘿嘿)，不同系統使用同一個密碼，就容易導致外部系統密碼泄露在社工庫(無法保證所有系統都加鹽加密存儲密碼，也不能保證加鹽加密總是有效的)，從而等同于泄露了公司系統的密碼。

三、歸納和延伸

(一)Initial Access內容歸納

這個環節的攻擊技術目標是什么？通過上述介紹，不難看出，其實就是紅隊常說的"打點"。雖然一次攻擊中，不一定會用到ATT&CK矩陣中的每一列技術，但是這11列技術依然是按照先后順序排列的，Initial Access技術完成攻擊后，就會到Execution環節，Execution是什么？是惡意程序的執行，所以在執行前的一步，攻擊的目標其實就是接觸目標環境、投遞惡意樣本，投遞了才能執行嘛。

(二)攻擊技術延伸

ATT&CK中Initial Access中的9個技術(Techniques)，整體可以總結為如下表中的6個類型，那么這些不同類型的攻擊技術具體有哪些攻擊程序(Procedures)、應該如何防御(Mitigations)、應該如何檢測(Detection)呢？接下來我們開始詳細分析。

1.釣魚

釣魚方式多種多樣，基于郵件、IM軟件、客服等多種投遞渠道，通過釣魚頁面獲取密碼、通過附件投遞惡意程序等多種利用方式，假冒獵頭、HR欺騙員工，假冒客戶、供應商欺騙客服等多種社工類型。

雖然攻擊方式多種多樣，屬于"易攻難守"的領域，但是我們安全工作者也不能躺平，該做的努力還是要做的：

a.加固郵件基礎設施，如SPF、DKIM、DMARC、郵件防病毒模塊、沙箱檢測(盡量安全左移)、YARA檢測

b.加固網絡基礎設施，如禁用不支持MFA的網絡協議，如POP等

c.加固用戶瀏覽器，可以參考瀏覽器隔離方案

d.堅持不懈的進行用戶安全意識培訓

e.常態化內部釣魚及宣貫

f.制定好用戶被釣魚后的應急預案，盡量通過SOAR自動化

g.制定針對釣魚郵件的SIEM檢測規則(如果讀者對這部分感興趣，之后可以單獨寫一篇文章進行介紹)

h.給盡量多的應用系統啟用MFA，對于無法啟用MFA的系統或用戶，應該做到專門的監控。雖然MFA也不是萬全之策，通過TLS劫持的反向代理做中間人，依然可以完成攻擊，但安全本身就是在做對抗，你有張良計，我有過墻梯

g.威脅情報，將釣魚信息中的URL、文件哈希等信息對接威脅情報進行分析，并根據分析結果決定后續的轉發策略

2.水坑攻擊

水坑攻擊是基于瀏覽器的攻擊方式，將受害者引誘到一個失陷的網站，然后通過一系列重定向，重定向到一個漏洞利用頁面，該頁面中部署瀏覽器&瀏覽器插件的利用工具，直接投遞payload到受害者機器。

水坑攻擊其實是一種復雜、難度高的攻擊方式，是比較不常見的攻擊方式，而瀏覽器隔離的方案可以完美應對針對瀏覽器的攻擊：用戶通過瀏覽器web代理上網，瀏覽器代理進行頁面的解析和渲染，把最終畫面呈現給用戶終端，如果瀏覽器存在漏洞又訪問到了攻擊者的惡意頁面，也只是在web代理中執行，不會影響到用戶的終端。

另外即使不使用瀏覽器隔離方案，水坑攻擊也會存在大量的攻擊特征，對于企業防御工作來說，這和防御普通的惡意程序、反連木馬、竊密木馬、挖礦軟件、勒索病毒等的工作內容是一致的，這也是防守者和攻擊者視角的不同，防御是以攻擊面做針對性的策略，而攻擊則是以攻擊點、攻擊向量為切入點。

3.可移動媒體設備

可移動媒體的攻擊主要有兩種，一種是物理接觸用戶機器，PE系統進入機器或者通過BadUSB攻陷機器，這種攻擊方式需要攻擊者能夠潛入企業環境，通常是比較困難的，也就不再詳細分析。另一種是欺騙用戶將攻擊者的可移動設備插入自己的電腦，而后通過自動運行、自動播放等方式完成惡意程序的投遞和執行，這種攻擊方式不需要攻擊者本人接觸目標機器，所以相對而言比較容易完成，以下主要討論這種攻擊方式。

實現攻擊的方式有很多，舉例如下：

(1)通過autorun.inf實現其他可執行文件的自動運行。

(2)通過自動播放(autoplay)的方式實現惡意程序的執行。

(3)在可移動設備中放置可執行文件，欺騙用戶點擊，例如：

a.雙重擴展名，例如a.pdf.exe，讓受害者誤以為是一個pdf文件而完成點擊。

b.通過unicode 202E將文件名進行鏡像顯示，欺騙受害者點擊。

(4)將網絡設備偽裝成一個U盤(也可以是充電寶，甚至充電器)，實現流量劫持、鍵盤記錄等功能。

防御策略也有很多，比如：

a.直接通過組策略禁止使用可移動設備，基于序列號做白名單放通。

b.域內啟用applocker，指定精細化的控制策略，限制惡意程序的執行。

c.使用針對USB的安全防護軟件。

……

當然物理接觸也不局限于使用可移動媒體設備，還有接入企業wifi后進行ARP投毒、DNS欺騙、TLS中間人劫持、LLMNR投毒獲取Net-NTLM Hash進行爆破等等方式……

4.互聯網邊界漏洞

對于邊界服務的防護，需要企業投入大量的人力物力和時間才能做好，不再詳細展開敘述，以下進行簡單舉例：

a.軟件應用打補丁

b.操作系統打補丁

c.部署WAF、下一代防火墻、流量分析等安全設備

d.運營安全設備的策略

e.處理安全設備的告警

f.針對0-day漏洞進行及時有效的響應

5.供應鏈攻擊

6.社工獲取權限