第4步：構建場景

時間：2022-03-27 10:42:01 | 來源：網絡推廣

時間：2022-03-27 10:42:01 來源：網絡推廣

傳統(tǒng)的滲透測試側重于突出攻擊者可能在某個時間段會利用不同類型系統(tǒng)上的哪些漏洞。MITRE的對抗模擬方法不同于這些傳統(tǒng)方法。其目標是讓紅隊成員執(zhí)行基于特定或許多已知攻擊者的行為和技術，以測試特定系統(tǒng)或網絡的防御效果。對抗模擬演習由小型的重復性活動組成，這些活動旨在通過系統(tǒng)地將各種新的惡意行為引入環(huán)境，來改善和測試網絡上的防御能力。進行威脅模擬的紅隊與藍隊緊密合作(通常稱為紫隊)，以確保進行深入溝通交流，這對于快速磨練組織機構的防御能力至關重要。因此，與全范圍的滲透測試或以任務目標為重點的紅隊相比，對抗模擬測試測試速度更快、測試內容更集中。

隨著檢測技術的不斷發(fā)展成熟，攻擊者也會不斷調整其攻擊方法，紅藍對抗的模擬方案也應該圍繞這種思想展開。大多數(shù)真正的攻擊者都有特定的目標，例如獲得對敏感信息的訪問權限。因此，在模擬對抗期間，也可以給紅隊指定特定的目標，以便藍隊能夠針對最可能的對抗技術對網絡防御和功能進行詳細測試。

1.場景規(guī)劃

為了更好地執(zhí)行對抗模擬方案，需要白隊傳達作戰(zhàn)目標，而又不向紅隊或藍隊泄露測試方案的詳細信息。白隊應該利用其對藍隊的了解情況以及針對威脅行為的分析來檢測差距，并根據(jù)藍隊所做的更改或需要重新評估的內容來制定對抗模擬計劃。白隊還應確定紅隊是否有能力充分測試對抗行為。如果沒有，白隊應該與紅隊合作解決存在的差距，包括可能需要的任何工具開發(fā)、采購和測試。對抗模擬場景可對抗計劃為基礎，傳達要求并與資產所有者和其它利益相關者進行協(xié)調。

模擬場景可以是詳細的命令腳本，也可以不是。場景規(guī)劃應該足夠詳細，足以指導紅隊驗證防御能力，但也應該足夠靈活，可以讓紅隊在演習期間根據(jù)需要調整其行動，以測試藍軍可能未曾考慮過的行為變化。由于藍隊的防御方案也可能已經很成熟，可以涵蓋已知的威脅行為，因此紅隊還必須能夠自由擴展，不僅僅局限于單純的模擬。通過由白隊決定應該測試哪些新行為，藍隊可能不知道要進行哪些特定活動，而紅隊可以不受對藍隊功能假設的影響，因為這可能會影響紅隊做出決策。白隊還要繼續(xù)向紅隊通報有關環(huán)境的詳細信息，以便通過對抗行為全面測試檢測能力。

2.場景示例

舉個例子，假設在Windows操作系統(tǒng)環(huán)境中，紅隊采用的工具提供了一個訪問點和C2通道，攻擊者通過交互式shell命令與系統(tǒng)進行交互。藍隊已部署了Sysmon作為探針，對過程進行持續(xù)監(jiān)控并收集相關數(shù)據(jù)。此場景的目標是基于Sysmon從網絡端點中收集數(shù)據(jù)來檢測紅隊的入侵行為。

場景詳情：

1) 為紅隊確定一個特定的最終目標。例如，獲得對特定系統(tǒng)、域帳戶的訪問權，或收集要滲透的特定信息。

2) 假設已經入侵成功，讓紅隊訪問內部系統(tǒng)，以便于觀察滲透后的行為。紅隊可以在環(huán)境中的一個系統(tǒng)上執(zhí)行加載程序或RAT，模擬預滲透行為，并獲得初始立足點，而不考慮先前的了解、訪問、漏洞利用或社會工程學等因素。

3) 紅隊必須使用ATTCK模型中的發(fā)現(xiàn)技術來了解環(huán)境并收集數(shù)據(jù)，以便進一步行動。

4) 紅隊將憑證轉儲到初始系統(tǒng)上，并嘗試定位周圍還有哪些系統(tǒng)的憑證可以利用。

5) 紅隊橫向移動，直到獲得目標系統(tǒng)、賬戶、信息為止。

使用ATTCK作為對抗模擬指南，為紅隊制定一個明確的計劃。技術選擇的重點是基于在已知的入侵活動中通常使用的技術，來實現(xiàn)測試目標，但是允許紅隊在技術使用方面進行一些更改，采用一些其它行為。

3.場景實現(xiàn)

上述場景示例的具體實現(xiàn)步驟如下所示：

1) 模擬攻擊者通過白隊提供的初始訪問權限后，獲得了執(zhí)行權限。以下內容可以表示攻擊者可以使用通用的、標準化的應用層協(xié)議(如HTTP、HTTPS、SMTP或DNS)進行通信，以免被發(fā)現(xiàn)。例如遠程連接命令，會被嵌入到這些通信協(xié)議中。

2) 建立連接后，通過遠程訪問工具啟動反彈shell命令界面：

3) 通過命令行界面執(zhí)行執(zhí)行技術：

4) 獲得了足夠的信息后，可以根據(jù)需要，自由執(zhí)行其它戰(zhàn)術和技術。以下技術是基于ATTCK的建議措施，以建立持久性或通過提升權限來建立持久性。獲得足夠的權限后，使用Mimikatz轉儲憑據(jù)，或嘗試使用鍵盤記錄器獲取憑據(jù)，捕獲的用戶輸入信息。

5) 如果獲得了憑據(jù)并且通過發(fā)現(xiàn)技術對系統(tǒng)有了全面的了解，就可以嘗試橫向移動來實現(xiàn)該方案的主要目標了。

6) 根據(jù)需要使用上文提到的技術，繼續(xù)橫向移動，獲取并滲透目標敏感信息。建議使用以下ATTCK技術來收集和提取文件：