威胁类别 | 威胁名称 | 威胁描述 |
初始化访问威胁 | 系统攻破 | 攻击者通常将web浏览器作为攻击目标,利用正在访问网站的用户攻破系统,或者使用受损网站获取应用访问令牌。 |
利用公共访问的软件漏洞 | 攻击者利用公共访问的计算机或程序的漏洞(bug、故障或设计缺陷),以引起非预期或非预期的行为。这些应用程序通常是网站,包括数据库、标准服务(如SMB或SSH)、网络设备管理和管理协议以及任何其他具有公共访问开放套接字的应用程序,如web服务器和相关服务。 | |
网络钓鱼 | 攻击者发送网络钓鱼消息来访问受害者系统。 | |
可信网络连接 | 攻击者通过可信第三方的网络连接访问目标,这些连接可能不受保护,或者比标准的网络访问机制受到的审查少。 | |
合法账户 | 攻击者通过获取和滥用现有帐户的凭据作为初始化访问、持久性、提权或防御规避的手段。泄露的凭据用于绕过对网络内系统上各种资源的访问控制,甚至可用于对远程系统和外部可用服务(如VPN、远程桌面)的持久访问。泄露的凭据还可能授予攻击者对特定系统或访问网络受限区域的更大权限。攻击者可以选择不将恶意软件或工具与这些凭据提供的合法访问结合使用,以使其更难检测到其存在。 | |
持久化威胁 | 账户控制 | 攻击者操纵帐户以保持对受害者系统的访问。帐户操纵包括保留对已泄露帐户访问权限的操作,例如修改凭据或权限组。这些操作还可能包括设计用于颠覆安全策略的帐户活动,例如执行迭代密码更新以绕过密码持续时间策略并保留受损凭据的生命周期。为了创建或操纵帐户,攻击者必须在系统或域上拥有足够的权限。 |
账户创建 | 攻击者可以创建一个帐户来保持对受害者系统的访问。如果具有足够的访问级别,还可以使用创建此类帐户来建立辅助凭据访问,而不需要在系统上部署持久的远程访问工具。 | |
在云环境中,攻击者可能会创建只能访问特定服务的帐户,降低被发现的机会。 | ||
植入容器镜像 | 攻击者植入带有恶意代码的云容器映像以建立持久性。如果配置工具始终使用最新映像,则可以提供持久访问。 | |
启动办公软件 | 攻击者利用办公软件实现持久性。 | |
合法账户 | 同上述(初始化访问威胁)合法账户,不再重复赘述。 | |
提权威胁 | 域策略修改 | 攻击者修改域的配置设置以逃避防御或升级域环境中的权限。攻击者甚至可以临时修改域策略,执行恶意操作,然后恢复更改以规避检测机制。 |
合法账户 | 同上述(初始化访问威胁)合法账户,不再重复赘述。 | |
防御规避威胁 | 域策略修改 | 同上述(提权威胁)域策略修改,不再重复赘述。 |
防御削弱 | 攻击者恶意修改受害者环境的组件,以阻碍或禁用防御机制。例如,削弱防火墙和反病毒等预防性防御,削弱用来审核活动和识别恶意行为的检测能力。这也可能跨越本机防御以及用户和管理员安装的补充功能。 | |
修改云基础设施 | 攻击者恶意修改云帐户的计算服务基础设施以逃避防御。例如,创建、删除或修改一个或多个组件,例如计算实例、虚拟机和快照。通过修改基础设施组件获得的权限可以进行访问绕过,允许攻击者逃避检测并移除其存在的证据。 | |
未使用/不支持的区域 | 云服务提供商通常在各地提供基础设施,以提高性能、提供冗余,并允许客户满足法规遵从性要求。客户通常会只使用可用区域的一个子集,防御机制可能不会主动监视其他区域。攻击者在未使用的地理服务区域创建云实例以逃避检测。 | |
备用身份验证 | 攻击者使用备用身份验证,例如密码哈希、Kerberos票据和程序访问令牌,在云环境中横向移动并绕过正常的系统访问控制。 | |
合法账户 | 同上述(初始化访问威胁)合法账户,不再重复赘述。 | |
凭据访问威胁 | 暴力破解 | 攻击者在不知道帐户密码的情况下,使用重复或迭代机制猜测密码。 |
伪造web凭据 | web应用程序和服务(托管在云SaaS环境或内部部署服务器)通常使用会话cookie、令牌等来验证和授权用户访问,攻击者伪造这些访问web应用程序的凭据访问web资源。 | |
窃取程序访问令牌 | 攻击者窃取用户程序访问令牌,作为获取访问远程系统和资源的凭据的手段。这可以通过社会工程实现,通常需要用户操作来授予访问权限。 | |
窃取web会话Cookie | 攻击者窃取web应用程序或服务会话Cookie,不需要凭据即可绕过身份验证,访问应用程序或服务。 | |
未安全存储的凭据 | 攻击者可以搜索受损系统,寻找不安全存储的凭据,包括纯文本文件(例如Bash历史)、操作系统或特定于应用程序的存储库(例如注册表中的凭证)或其他专用文件/工件(例如私钥)。 | |
侦测威胁 | 账户侦测 | 攻击者获取系统或环境中的帐户列表。此信息可以帮助攻击者确定利用哪些帐户来辅助后续行为。 |
云基础设施侦测 | 攻击者可侦测基础设施即服务(IaaS)环境中可用的资源,包括计算服务资源(实例、虚拟机和快照等)以及其他服务的资源(存储、数据库服务等)。 | |
云服务仪表盘 | 攻击者使用云服务仪表板和窃取的凭证,从云环境中获取有用的信息,例如特定的服务、资源和功能。例如,GCP命令中心可用于查看所有资产、发现潜在安全风险,查找公共IP地址和开放端口。 | |
云服务侦测 | 在获得访问权限后,攻击者可能会尝试枚举系统上运行的云服务。这些云服务包括但不局限于平台即服务(PaaS)、基础设施即服务(IaaS)或软件即服务(SaaS)。 | |
网络服务扫描 | 攻击者获取在远程主机上运行的服务的列表,包括可能易受远程软件攻击的服务。获取这些信息的方法包括端口扫描和漏洞扫描,或使用系统自带工具进行扫描。 | |
权限组侦测 | 攻击者可以尝试查找组和权限设置。此信息可以帮助攻击者确定哪些用户帐户或帐户组可用、用户在特定组中的成员身份以及哪些用户和组具有更高的权限。 | |
软件侦测 | 攻击者获取安装在系统或云环境中的软件和软件版本的列表。攻击者可以在自动发现过程中使用来自软件发现的信息来支撑后续行为。例如,攻击者是否完全感染目标或尝试特定的行动。 | |
系统信息侦测 | 攻击者获取有关操作系统和硬件的详细信息,包括版本、修补程序、修补程序、服务包和体系结构。攻击者可以在自动发现过程中使用系统信息发现的信息来支撑后续行为。例如,攻击者是否完全感染目标或尝试特定的行动。 | |
横向移动 | 内部网络钓鱼 | 在同一组织内的其他用户具备访问云环境中的帐户或系统权限,攻击者可以使用内部网络钓鱼来获取更多信息或利用这些用户进行攻击。内部网络钓鱼是一种多阶段攻击,通过使用以前安装的恶意软件控制用户的设备或通过破坏用户的帐户凭据来拥有电子邮件帐户。攻击者利用可信的内部帐户来增加诱骗目标落入网络钓鱼企图的可能性。 |
备用身份验证 | 同上述(防御规避威胁)备用身份验证,不再重复赘述。 | |
支撑信息收集 | 收集云存储信息 | 攻击者从不安全的云存储访问数据对象。 |
数据暂存 | 在云环境中,攻击者可能会先在特定实例或虚拟机中暂存数据,然后再进行过滤。攻击者可以创建云实例并在该实例中暂存数据。 | |
邮件信息收集 | 攻击者可能会以用户电子邮件为目标来收集敏感信息。电子邮件可能包含对攻击者有价值的敏感数据,包括商业秘密或个人信息。攻击者可以从邮件服务器或客户端收集或转发电子邮件。 | |
渗出威胁 | 将数据传输到云帐户 | 攻击者将数据(包括云环境的备份)传输到同一云提供商上控制的另一个云帐户来过滤数据,以避免典型的文件传输、下载和基于网络的过滤检测。这种传输利用现有的云提供商API和云提供商的内部地址空间来混入正常通信量或避免通过外部网络接口进行数据传输。通过正常文件传输或通过命令和控制通道监视到云环境外部的大型传输的防御系统可能不会监视到数据传输到同一云提供商内的另一个帐户。 |
破坏和摧毁威胁 | 破坏可视化信息 | 攻击者可以修改网络内部或外部可用的可视化界面内容。 |
终端拒绝服务 | 攻击者执行终端拒绝服务攻击,耗尽承载云服务的系统资源,降低或阻止向用户提供服务的可用性。 | |
网络拒绝服务 | 攻击者执行网络拒绝服务攻击,耗尽服务所依赖的网络带宽,以降低或阻止目标资源对用户的可用性。 | |
资源劫持 | 扩展的系统资源能够解决影响系统或托管服务可用性的资源密集型问题,攻击者这些系统资源。 |
努力打造“有特色、高水平、国际化”的网络安全思想高地。