视频演示 | 4种MITRE Shield主动防御技术的落地
2021-02-23 11:25:33 Author: www.freebuf.com(查看原文) 阅读量:90 收藏

都2021年了,大家肯定都听过MITRE Shield。它是MITRE 2020年发布的一个全新的主动防御知识库,内容得益于他们与攻击者周旋十年有余的攻防经验。MITRE Shield应该是有史以来第一次关于主动防御的免费知识共享,防守者将改变被动挨打的局面。

很多人都会问:这些主动防御措施怎么实现和落地?这是一个常见问题,但没有问到核心。我们实际应该思考的是:在哪里实施主动防御会实现效果最大化?

我在MITRE Shield模型中找到了4项主动防御技术来解决上面这两个问题。

筛选标准有二:

  • 实施是否简单、不会牵扯太多部门?
  • 对攻击者行为的破坏力度是否够大?

结果筛选出来的4项技术都是和活动目录相关的。活动目录已成为攻击者最喜欢的攻击媒介。在活动目录中部署主动防御措施,可以让你在攻击者行动破坏过程中取得意想不到的收获。

准备工作只有两项:能够对活动目录服务器进行一些小的更改;能够访问一台测试机器,最好没有任何网络访问限制。

MITRE Shield #1 – Decoy Account(虚假账户)

编号 DPR002

在你的活动目录中植入虚假帐户。任何与这些账户发生的交互都可视为高度可信的入侵指标。这些帐户不但可以帮助你研究攻击者的行为,还可以在攻击者枚举过程中进行误导,干扰后续攻击活动。

步骤1:设置虚假账户

将该账户设置为拥有“域管理员”权限,以此吸引攻击者。

111111111111

步骤2-日志审计设置和攻击演示

下面这个视频演示的是如何设置Windows日志审计,捕获攻击日志,同时执行攻击测试检验是否正确捕获了相应的日志。

12222222222222

检测规则:

If login_activity observed for decoy_account then raise a high priority alert.

MITRE Shield #2 – 虚假系统和虚假内容

编号  DPR0022和DPR0033

虚假系统是一种出色的主动防御工具,将攻击者的关注点从真实资产上引开。虚假内容则可以是假的文件、浏览器快捷方式等,是将攻击者引诱到虚假系统的诱饵。

步骤1:场景建立

本视频将演示如何在测试机器上设置一个web服务器,引导攻击者与之交互。我们在活动目录服务器上可公开访问的位置创建了一个浏览器快捷方式,故意让攻击者发现。

21111111111111

步骤2-日志审计设置和攻击演示

确保我们的web服务器能够记录连接日志。如果攻击者对该web服务器进行侦察和探测,我们会在webserver的日志中看到这条日志。

22222222222222

检测规则:

If REQUEST observed for /admin then raise a high priority alert.

MITRE Shield #3 – 虚假凭证

编号 DPR0024

虚假凭证是指伪造的用户名和密码,可以在活动目录等很多位置中植入。当攻击者使用时,虚假凭证就像一个无声的警报通知被攻击者,同时也能延迟攻击的有效手段。

步骤1:场景建立

在本视频中,我们创建了一个带有伪造凭证的批处理文件,并将其存储在活动目录服务器上可公开访问的位置,便于攻击者发现。

3111111111111111111

步骤2-日志审计设置和攻击演示

下面这个视频将演示如何在测试机器上设置日志审计,从而发现使用虚假凭证入侵测试机器的行为。

3222222222222222

检测规则:

If login_event is 4625 AND username is admin
Then raise a high priority alert.

MITRE Shield 4 – Pocket Litter

编号 DPR0052

Pocket Litter直译为口袋垃圾,引申意义是在系统上添加一些数据,包括文件、注册表项、历史日志、浏览器历史记录、浏览器会话等等用户数据,让攻击者对目标系统和用户更加信以为真。和虚假内容有重叠,但Pocket Litter范围更加广泛,比如还包括安装的应用、源码等。

步骤1:场景建立

在下面的视频中,我们将在测试机器上创建一个文件共享,并在活动目录服务器上可公开访问的位置中植入此文件共享的快捷方式,故意让攻击者去发现。

41111111111

步骤2-日志审计设置和攻击演示

下面我们将演示如何在测试计算机上设置文件共享的日志审计,从而捕获尝试访问计算机上文件共享的行为。

42222222222222

检测规则:

If login_event is 5140 AND share_name contains shared_folder_name
Then raise a high priority alert.

为什么演示时选择SYSVOL文件夹?

SYSVOL是存储域公共文件服务器副本的共享文件夹,因此这些文件夹可供环境中的所有用户访问。随着时间流逝,这些文件夹会累积很多攻击者感兴趣的文件和脚本。一旦攻击者浏览,我们就有可能通过这些文件夹对攻击者进行重定向。而普通用户要求浏览此文件夹的情况很少见。

总结

本文主要还是抛砖引玉,希望通过个人思考让大家看到主动防御的真正价值。

参考来源:

https://www.smokescreen.io/four-mitre-shield-techniques-you-can-implement-in-2021/


文章来源: https://www.freebuf.com/articles/network/264068.html
如有侵权请联系:admin#unsafe.sh