量子位|如何发现威胁的蛛丝马迹？，网络空间危机四伏云风发自凹非寺量子位编辑|QbitAI核心

云风发自凹非寺量子位编辑|QbitAI
核心技术是强国之匙，当今世界，信息技术的迅猛发展特别是互联网技术的广泛应用，极大地促进了全球的经济文化发展。但与此同时，技术是一把“双刃剑” ，网络安全也正临新挑战。
首次采用“万人在线”的云会议模式的第八届互联网安全大会（ISC2020），为全球万千参会者打造永不闭幕的云上安全交流平台。 8月13日-16日的技术日多个论坛中，更是行业领军专家、全球技术大咖等齐聚“云端“ ，共同探讨等保2.0时代，网络空间测绘、ATT&CK安全能力衡量、安全分析技术、XDR分析检测等信息技术领域，构筑网络安全建设”合规之路“ 。
网络空间对抗升级， ATT&CK框架构建安全基石
ATT&CK作为近几年最火的攻击框架，对于安全行业的实际检测有很强的指导性价值。它覆盖的攻击技术非常庞杂和具体，大概有200多项技术点。而随着对抗的升级，域安全在红蓝对抗中越来越重要。
基于此，青藤云安全COO程度以“ATT&CK高频攻击技术的分析与检测”为议题，围绕ATT&CK技术使用频率、攻击技术检测分析框架、ATT&CK技术需要收集的数据类型频率分布、ATT&CK数据源与事件日志、ValidAccount攻击等进行了深度探讨。

文章图片
其中， ATT&CK高频技术方面还对ValidAccount攻击、Powershell攻击、Masquerading攻击、CredentialDumping攻击、ScheduledTask攻击等五方面进行了详细的介绍和分析。
1、ValidAccount攻击
程度提出，攻击者会使?利?漏洞获取凭证访问的权限技术来窃取?个特定?户或服务账户的?户名密码或凭证，或者是通过社会?程学侦查获得特定?户或服务账户的?户名密码或证书，从?获得初始访问的权限。而攻击者可能使?的账户分为三类：默认账户、本地账户和域账户。

文章图片
针对入侵分析，程度提出攻击者通过其他?段获取的邮箱账号可以作为持久化的?种?段，可直接登陆到系统，然后新建?个隐藏账号来实现持久化。

文章图片
针对检测分析，程度列举出两类不同的数据源。
异常登陆，可监测所有登录时间，是否在非正常时间和非正常地点登录。
账号变更，可监测所有账号的新增，修改。
数据源为账号变更事件、异常登录事件

文章图片
Windows系统：监视创建LSASS.exe的Windows日志，验证LSASS是否作为受保护进程启动；监视程序执行的进程和命令行参数。例如PowerSploit的Invoke-Mimikatz模块；监控域控制器日志以查找可能与DCSync相关的复制请求和其他未安排的活动；监视来自与已知域控制器无关的IP的网络协议和其他复制请求。
Linux：要获取存储在内存中的密码和哈希，进程必须在/proc文件系统中打开要分析的进程的映射文件。该文件存储在/proc/maps路径下，其中目录的唯一的pid；AuditD监控工具，在许多Linux发行版中都提供，可用于监视在proc文件系统中打开此文件的恶意进程，警告pid ，进程名称和此类程序的参数。
数据源为进程监控，进程命令行参数， API监控， PowerShell日志
2、Powershell攻击
程度提出，攻击者可以使用PowerShell执行许多操作，包括信息发现和执行恶意代码。例如，使用Start-Processcmdlet运行恶意的可执行文件，使用Invoke-Commandcmdlet在本地或远程计算机上执行命令。