Question

作为红队，我们并不太关心攻击的起源。相反，我们想了解攻击事件采用的战术、技术和工具。例如，在查看公共资源时，我们搜索到了 FireEye 公司的详细攻击分析报告。通过学习 FireEye 公司的分析报告，我们掌握了恶意软件使用的战术、技术和工具，主要使用了 Office 文件、JavaScript 和 PowerShell 规避技术。这样，我们可以采用类似的攻击行动，检测您的公司是否可以发现这种攻击行为。

MITRE 公司的攻击战术、技术和基本知识列表将 APT 攻击进行了详细分类。列表中包括所有类型攻击采用的战术、技术和工具。

Windows APT 攻击战术、技术和基本知识如表 1.1 所示。

表 1.1

长期控制	权限提升	防御规避	凭证获取	探测
访问特性	管理访问令牌	管理访问令牌	管理账户	账户发现
AppCert Dlls	访问特性	二进制填充	暴力破解	应用程序发现
AppInit Dlls	AppCert Dlls	用户账号控制规避	凭证导出	文件和目录发现
应用程序兼容	AppInit Dlls	代码签名	文件中凭证	扫描网络服务
鉴权包	应用程序兼容	组件固件	漏洞利用	网络共享发现
Bootkit	用户账号控制规避	组件对象模型劫持	强制鉴权	外围设备发现
浏览器扩展	Dll 搜索顺序劫持	Dll 搜索顺序劫持	钩子	权限分组发现

MITRE 公司还提供了 Mac（见表 1.2）和 Linux 的知识列表。现在，我们将根据搜集到的关于 TTP/工具/方法的所有数据，制定一个攻击方案，应用于被攻击者的公司。开展这些类型的红队攻击行动将为公司提供真实的攻击场景和防御场景。

MacOS APT 攻击战术、技术和基本知识见表 1.2。

表 1.2

初始控制	执行	长期控制	权限提升	防御规避	凭证获取
突破驱动	AppleScript	.bash_profile 和.bashrc	Dylib 劫持	二进制填充	Bash 历史命令
公开访问应用程序漏洞利用	命令行接口	浏览器扩展	漏洞利用提升权限	清空历史命令	暴力破解
硬件植入	客户应用程序漏洞利用	创建账户	运行守护进程	代码签名	文件中凭证
鱼叉式网络钓鱼附件	图形用户接口	Dylib 劫持	Plist 修改	禁用安全工具	漏洞利用从而获取凭证
鱼叉式网络钓鱼快捷方式	Launchctl	隐藏文件和目录	进程注入	利用漏洞从而规避防御	输入捕获
鱼叉式网络钓鱼服务	本地任务计划	核心模块和扩展	Setuid 和 setgid	文件删除	输入提示