为什么要还技术债？

1. T1063：安全软件发现 | 战术：发现

安全软件发现(T1063)是2019年ATT&CK榜单上中最流行的技术。作为发现战术的一部分，T1063表示对手了解已经部署的安全控制，同时，它也是防御逃避战术的重要前奏。这种技术在被恶意软件家族广泛使用。

T1063 的实施：

• 常见的远程访问工具(如njRAT)可以列出安全软件，例如使用基于Windows的WMIC来标识受害者计算机上安装的防病毒产品并获取防火墙详细信息。
• Empire是一个开源、跨平台远程管理和后开发框架，它也能够枚举目标计算机上流行的防病毒软件。

T1063的缓解：

T1063难以缓解，因为该技术是对合法网络操作的滥用。但是，如果具有内置功能的远程访问工具直接与Windows API交互以收集信息，则可以进行检测。收集何时请求数据的信息可以揭示不良行为。

2. T1027：混淆文件或信息 | 战术：防御躲避

攻击者采用的主要躲避方法之一是通过混淆加密或以其他方式操纵文件的结构让检测或后续研究更得更加困难。

T1027的实施：

• 某些PowerShell模块(例如Empire框架或“Don’t Kill My Cat ”载荷逃避工具中的模块)能够运行“Invoke-Obfuscation”命令来在Base64中编码文件或字符串。
• 许多著名的恶意软件家族都依靠混淆来逃避检测。例如，在2018年12月，Emotet在以圣诞节贺卡为主题的网络钓鱼活动使用了混淆的VBA代码。

T1027的缓解：

除非混淆过程留下的痕迹可以通过签名检测到，否则T1027的检测非常具有挑战性。不过，如果无法检测到混淆本身，防御者仍然可能检测到创建混淆文件的恶意活动(如果该方法用于在文件系统上写入，读取或修改文件)。另外，可以在网络层检测到初始访问载荷中使用的混淆。此外，网络入侵检测系统(IDS)和电子邮件网关过滤也可以识别压缩或加密的附件与脚本。

3. T1055：进程注入 | 战术：防御闪避

进程注入(T1055)是一种在进程的地址空间内运行自定义代码的技术。它是防御规避，特权升级以及(某些情况下)驻留会用到的一种技术。T1055利用合法进程进行隐藏，因此非常流行，这些合法进程包括但不限于：动态链接库(DLL)注入、便携式可执行注入、ptrace系统调用、VDSO劫持等。

T1055的实施：

威胁组织Turla曾对C2通信的合法进程执行了DLL注入，并使用PowerSploit将PowerShell负载有效地加载到受害系统上的随机进程中。

T1055的缓解：

通过使用端点安全解决方案和启发式工具来基于已知的行为模式识别和终止进程，从而缓解T1055。

4. T1082：系统信息发现 | 战术：发现

与T1063类似，系统信息发现(T1082)是攻击者获取有关操作系统和硬件的详细信息的另一种方式，包括版本、补丁、修补程序、服务包和体系结构等。这些信息有助于攻击者决策使用何种攻击载体。

T1082的实施：

• 像其他发现技术一样，T1082的使用会滥用合法过程来获取信息。在Windows系统中，这意味着使用“ver”、“systeminfo”和“dir”之类的命令来标识文件和目录，或者在macOS上使用“systemsetup”或“system_profiler”来提供系统、配置的详细分类、防火墙规则等。
• 尽管其中一些命令需要管理员特权，但是在任何特权升级技术之前，仍可以先使用T1082。AWS、GCP或Azure等云计算基础设施中的错误配置可以是T1082的攻击对象。

  （编辑：淮安站长网）

  【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!