# Mitre ATT&CK Persistence ###### MITRE ## Persistence ### 介紹 攻擊者正試圖保持他們的立足點，本篇介紹總共19大Persistence相關技術 持久性包括對手用來保持對**系統的訪問**，**跨越重啟**、**改變憑證**和其他可能**切斷**其訪問的中斷的技術。用於持久性的技術包括任何讓他們在系統上保持立足點的訪問、行動或**配置變化**，例如替換或**劫持**合法代碼或**添加啟動代碼**。 ### 技術細項 1. Account Manipulation(帳號操作) - Add Office 365 Global Administrator Role - Additional Cloud Credentials - Exchange Email Delegate Permissions - SSH Authorized Keys - 攻擊者可能會操作帳戶以保持對受害者系統的訪問。帳戶操縱可能包括任何保留對手對被攻擊帳戶的訪問權的行動，如修改憑證或權限組。這些行動還可能包括旨在顛覆安全政策的賬戶活動，如執行反复的密碼更新以繞過密碼持續時間政策並保持被破壞的憑證的壽命。為了創建或操縱帳戶，對手必須已經在系統或域上擁有足夠的權限 2. BITS Jobs - 攻擊者可能會濫用BITS作業來持續執行或清理惡意的payload。 Windows後台智能傳輸服務（BITS）是一種通過組件對像模型（COM）公開的低頻寬、異步文件傳輸機制。 BITS通常被更新器、和其他首選在後台操作（使用可用的空閒頻寬）而不中斷其他聯網應用的應用程序所使用。文件傳輸任務是作為BITS作業實現的，它包含一個或多個文件操作隊列。 3. Boot or Logon Autostart Execution - Active Setup - Authentication Package - Kernel Modules and Extensions - LSASS Driver - Login Items - Plist Modification - Port Monitors - Print Processors - Re-opened Applications - Registry Run Keys / Startup Folder - Security Support Provider - Shortcut Modification - Time Providers - Winlogon Helper DLL - XDG Autostart Entries - Logon Script (Mac) - Logon Script (Windows) - Network Logon Script - RC Scripts - Startup Items - 攻擊者可能會配置系統設置以在系統啟動或登錄期間自動執行程序，以保持持久性或在受感染系統上獲得更高級別的特權。操作系統可能具有在系統啟動或帳戶登錄時自動運行程序的機制。這些機制可能包括自動執行放置在特別指定的目錄中或由存儲配置信息的存儲庫（例如 Windows 註冊表）引用的程序。對手可以通過修改或擴展內核的功能來實現相同的目標。 4. Boot or Logon Initialization Scripts - 攻擊者可能會使用在登錄**初始化**時自動執行的 Windows 登錄腳本來建立持久性。 Windows 允許在特定用戶或用戶組登錄系統時運行登錄腳本。這是通過```HKCU\Environment\UserInitMprLogonScript```註冊表項添加腳本路徑來完成的。 5. Browser Extensions - 攻擊者可能會濫用 Internet 瀏覽器擴展來建立對受害者係統的持久訪問。瀏覽器擴展或插件是可以添加功能和自定義 Internet 瀏覽器方面的小程序。它們可以直接安裝，也可以通過瀏覽器的應用程序商店安裝，並且通常可以訪問瀏覽器可以訪問的所有內容。 6. Compromise Client Software Binary - 攻擊者可能會修改客戶端軟體的binary以建立對系統的持久訪問。客戶端軟件使用戶能夠訪問服務器提供的服務。常見的客戶端軟件類型有 SSH 客戶端、FTP 客戶端、電子郵件客戶端和 Web 瀏覽器。 7. Create Account - Cloud Account - Domain Account - Local Account - 攻擊者可能會創建一個帳戶來維護對受害者系統的訪問。 通過足夠的訪問級別，創建此類帳戶可用於建立不需要在系統上部署持久遠程訪問工具的二級憑據訪問。 8. Create or Modify System Process - Launch Agent - Launch Daemon - Systemd Service - Windows Service - 作為持久性的一部分，攻擊者可能會創建或修改系統級進程以重複執行惡意負載。 當操作系統啟動時，它們可以啟動執行後台系統功能的進程。 在 Windows 和 Linux 上，這些系統進程被稱為服務。 在 macOS 上，稱為 Launch Daemon 和 Launch Agent 的 launchd 進程運行以完成系統初始化並加載用戶特定參數。 9. Event Triggered Execution - Accessibility Features - AppCert DLLs - AppInit DLLs - Application Shimming - Change Default File Association - Component Object Model Hijacking - Emond - Image File Execution Options Injection - LC_LOAD_DYLIB Addition - Netsh Helper DLL - PowerShell Profile - Screensaver - Trap - Unix Shell Configuration Modification - Windows Management Instrumentation Event Subscription - 攻擊者可以使用基於特定事件觸發執行的系統機制來建立持久性和/或提升特權。 各種操作系統具有監視和訂閱事件（例如登錄）或其他用戶活動（例如運行特定應用程式/binary檔）的方法。 10. External Remote Services - 攻擊者可能會利用面向外部的遠程服務來初始訪問和/或保留在網絡中。 VPN、Citrix 和其他訪問機制等遠程服務允許用戶從外部位置連接到內部企業網絡資源。 通常有遠程服務網關來管理這些服務的連接和憑據身份驗證。 Windows 遠程管理和 VNC 等服務也可以在外部使用。 11. Hijack Execution Flow - COR_PROFILER - DLL Search Order Hijacking - DLL Side-Loading - Dylib Hijacking - Dynamic Linker Hijacking - Executable Installer File Permissions Weakness - Path Interception by PATH Environment Variable - Path Interception by Search Order Hijacking - Path Interception by Unquoted Path - Services File Permissions Weakness - Services Registry Permissions Weakness - 攻擊者可能會通過劫持操作系統運行程序的方式來執行自己的payload。劫持執行流程可能是為了持久化，因為這種劫持的執行可能會隨著時間的推移再次發生。 攻擊者還可以使用這些機制來提升特權或逃避防禦，例如應用程式控制或其他執行限制。 12. Implant Internal Image - 攻擊者可能會使用惡意代碼植入雲或容器映像檔，以在獲得對環境的訪問權限後建立持久性。 亞馬遜網絡服務 (AWS) 亞馬遜機器映像 (AMI)、Google雲端伺服器(GCP) 映像和 Azure 映像以及流行的容器運行時（如 Docker）都可以植入或安裝後門。 與上傳惡意軟體不同，該技術側重於攻擊者在受害者環境中的註冊表中植入圖像。 根據基礎設施的供應方式，如果指示基礎設施供應工具始終使用最新映像，則這可以提供持久訪問。 13. Modify Authentication Process - Domain Controller Authentication - Network Device Authentication - Password Filter DLL - Pluggable Authentication Modules - 攻擊者可能會修改身份驗證機制和流程以訪問用戶憑據或啟用對帳戶的其他無根據訪問。 身份驗證過程由機制處理，例如 Windows 上的本地安全身份驗證服務器 (LSASS) 過程和安全帳戶管理器 (SAM)、基於 Unix 的系統上的可插入身份驗證模塊 (PAM) 和 MacOS 系統上的授權插件，負責 用於收集、存儲和驗證憑據。 通過修改身份驗證過程，攻擊者可以在不使用有效帳戶的情況下對服務或系統進行身份驗證。 14. Office Application Startup - Add-ins - Office Template Macros - Office Test - Outlook Forms - Outlook Home Page - Outlook Rules - 攻擊者可能會利用基於 Microsoft Office 的應用程式在初創公司之間保持持久性。 Microsoft Office 是企業網絡中基於 Windows 的操作系統上相當常見的應用程序套件。 當基於 Office 的應用程序啟動時，有多種機制可以與 Office 一起使用以實現持久性； 這可以包括使用 Office 巨集和插件。 15. Pre-OS Boot - Bootkit - Component Firmware - ROMMONkit - System Firmware - TFTP Boot - 攻擊者可能會濫用 Pre-OS Boot 作為在系統上建立持久性的一種方式。 在機器啟動過程中，韌體和各種啟動服務會在操作系統之前加載。 這些程式在操作系統取得控制權之前控制執行流程。 16. Scheduled Task/Job - At (Linux) - At (Windows) - Container Orchestration Job - Cron - Scheduled Task - Systemd Timers - 攻擊者可能會濫用任務調度功能來促進惡意程式碼的初始或重複執行。 所有主要操作系統中都存在實用程序，用於安排在指定日期和時間執行的程序或腳本。 如果滿足正確的身份驗證，也可以在遠程系統上安排任務（例如：Windows 環境中的 RPC 和文件和印表機共享）。 在遠程系統上安排任務通常需要成為遠程系統上管理員或其他特權組的成員。 17. Server Software Component - IIS Components - SQL Stored Procedures - Transport Agent - Web Shell - 攻擊者可能會濫用服務器的合法可擴展開發功能來建立對系統的持久訪問。 企業服務器應用程式可能包括允許開發人員編寫和安裝軟體或腳本以擴展主應用程序功能的功能。 攻擊者可能會安裝惡意元件來擴展和濫用服務器應用程序。 18. Traffic Signaling - Port Knocking - 攻擊者可能運用網路流量用於持久性或命令和控制的惡意功能。列，例如打開關閉的端口或執行惡意任務。 這可能採用在開放端口之前發送一系列具有某些特徵的數據包的形式，攻擊者可將其用於命令和控制。 通常這一系列的數據包包括嘗試連接到預定義的關閉port，但可能涉及不尋常的標誌、特定字符串或其他獨特的特徵。程式完成後，打開port可以由基於主機的防火牆來完成，也可以由自定義軟體來實現。 19. Valid Accounts - Cloud Accounts - Default Accounts - Domain Accounts - Local Accounts - 攻擊者可能獲得併濫用現有賬戶的憑證，作為獲得初始訪問權、持久性、特權升級或防禦規避的手段。被破壞的憑證可能被用來繞過對網絡內系統的各種資源的訪問控制，甚至可能被用來持續訪問遠程系統和外部可用的服務，如VPN、Outlook Web Access和遠程桌面。被破壞的憑證還可能授予對手對特定係統的更大特權或對網絡限制區域的訪問權。對手可能會選擇不使用惡意軟件或工具與這些憑證提供的合法訪問相結合，以使他們的存在更難被發現。 ### 減緩方式 1. 多因子認證機制 2. 網路流量監控 3. 系統安全組態檔設定 4. 特權帳號管理 5. 更新最新版本的系統及服務 6. 數位簽章確保檔案**完整性** 7. 保護域控制服務(Windows AD、LDAP) 8. 定期安全稽核 9. 限制安裝軟體 10. 限制檔案及目錄權限 11. 使用者帳號管理 12. 限制從外網存取資源 13. 關閉或刪除不必要的服務 ### 偵測 - 檔案新增、修改 - 登入session - 監控daemon - 監控網路流量 - 應用程式 log - 行程建立、 - API執行 - WMI建立 - Windows Registry建立、修改、刪除