ATT&CK v10版本战术介绍—资源开发

一、引言

在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究，通过实战场景验证行之有效的检测规则、防御措施，本期我们为大家介绍ATT&CK 14项战术中资源开发战术，后续会陆续介绍其他战术内容，敬请关注。

二、ATT&CK v10简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据源和数据组件对象，这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息，同时将它们构建为新的 ATT&CK 数据源对象。

ATT&CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件，一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据，包括 ID、定义、可以收集它的位置（收集层）、可以在什么平台上找到它，突出显示构成数据源的相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种（子）技术，这些技术可以用该特定数据检测到。在个别（子）技术上，数据源和组件已从页面顶部的元数据框重新定位，以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台，包括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。

 ATT&CK战术全景图（红框为资源开发战术）

三、资源开发战术

3.1 概述

资源主要是攻击者为了成功攻击而获取的资源，这些资源包括基础设施，账号，攻击能力等。资源开发是获取资源能力的技术。

资源开发包括涉及对手创建、购买或损害/窃取可用于支持目标定位的资源的技术。这些资源包括基础设施、账户或能力。攻击者可以利用这些资源，例如使用购买的域来支持命令和控制，将电子邮件帐户作为初始访问的一部分进行网络钓鱼，或者窃取代码签名证书以实现防御规避。

3.2 获取基础设施（T1583）

攻击者可能会购买、租赁或租用基础设施，包括物理或云服务器、域名、第三方Web服务和僵尸网络。

获取基础设施技术包含6个子技术：域名、DNS服务器、虚拟专用服务器、服务器、僵尸网络、网络服务。

3.2.1 域名（T1583.001）

3.2.1.1 战术描述

购买域名用于网络钓鱼、妥协及命令控制，攻击者可能会选择与合法域名相似的域名，包括通过使用同形字或使用不同的顶级域 (TLD)。攻击者还可以使用国际化域名 (IDN) 创建视觉上相似的相似域名以用于操作。每个域名注册商都维护一个可公开查看的数据库，该数据库显示每个注册域名的联系信息。私人 WHOIS 服务显示替代信息，例如他们自己的公司数据，而不是域的所有者。攻击者可能会使用此类私人 WHOIS 服务来掩盖有关谁拥有购买的域的信息。攻击者可能会通过使用不同的注册信息和购买不同域名注册商的域名。

3.2.1.2 举例

• 可信任的域名

    www.secisland.com

• 攻击者获取并使用的域名

    www.secis1and.com

    www.5ecisland.com

    www.secisl4nd.com

    www.secisland.com.cn

    www.secisland.net

     ……

3.2.1.3 防御建议

1.  通过主动网络流量探测或者互联网扫描主动发现攻击者获得的基础设施，包括连接到公共 Internet的各种类型的资源和服务器的信息。

2.  通过对接威胁情报中心判断源是否是威胁设施。

3. 将最相似的域名提前注册，避免被攻击者使用。

3.2.2 DNS服务器（T1583.002）

3.2.2.1 战