ATT&CK v10版本战术实战研究—持久化(一）

一、前言

“在网络安全的世界里，白帽子与黑帽子之间无时无刻都在进行着正与邪的对抗，似乎永无休止。正所谓，道高一尺魔高一丈，巨大的利益驱使着个人或组织利用技术进行不法行为，花样层出不穷，令人防不胜防。”

为了更好得应对这些攻击手段，就需要做到了解对手。俗话说：知己知彼，方能百战不殆。MITRE ATT&CK™就提供了全球范围的黑客的攻击手段和技术知识点，并把 APT 组织或恶意工具使用到的攻击手段一一对应，便于从根源上解决问题。许多公司和政府部门都会从中提取信息，针对遇到的威胁建立安全体系或模型。我们作为安全从业人员，如果能够掌握MITRE ATT&CK™如此庞大的知识体系，对以后的工作和对抗来说，就像是拥有了一个武器库，所向披靡。

当然，这么一个庞大的体系是不可能一蹴而就的。我们可以依照MITRE ATT&CK™的框架，从持久化这一点开始。本文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段，其中的原理是什么，是怎样实现的，安全运维人员如何及时发现，我们应该从哪些方面预防和检测。

二、测试环境

• 靶机操作系统：Windows 7

• 终端威胁检测工具：SiAgent

三、网络拓扑

四、关于SiAgent

4.1 SiAgent介绍

SiAgent是一个用于 Windows、OS X（macOS）、Linux 和 FreeBSD 的操作系统检测软件。这样使得操作系统分析和监控变得既高效又直观。

4.2 SiAgent能做什么

包括但不限于基线设备监控，软件基线，用户基线，配置基线，容器基线等等安全基线的检查与监控。可与安全管理平台进行连接与联动，在最大化的解决了终端的安全隐患的同时，仍然能保持极低的性能消耗，减少不必要的性能开支。

五、相关案例

5.1 辅助功能镜像劫持

5.1.1 简介

在注册表中创建一个辅助功能的注册表项，并根据镜像劫持的原理添加键值，实现系统在未登录状态下，通过快捷键运行自己的程序。