青藤细述ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略(7)

凭据转储是攻击者访问目标组织中的用户帐户和其他资源的共同需求。攻击者还利用转储的凭据来实现权限提升和横向移动。凭据对于攻击者而言是如此重要，以致在许多情况下，获取用户名和密码不仅是达到目的的手段，而且是攻击的整个目标。因此，在各种犯罪论坛上，凭据都是可出售的商品，并且有些网站可以追踪公开的凭据转储情况。除了将转储凭据用于出售和初始访问外，凭据是漏洞利用后的一个重要部分。一旦攻击者获得对环境的初始访问权限，通常需要某种级别的特权访问权限才能实现攻击活动中的进一步目标。虽然有很多方法可以提高特权级别，但是最有效和可靠的方法之一是使用具有特定级别权限的人员的合法凭据。
凭据可以从内存中以纯文本格式提取。监视对特定进程的访问可以为防御者提供一种检测凭据转储的方式。这种检测方法很容易产生大量误报事件，因为操作系统的内置功能也可以访问这些过程。防御者要重点关注潜在问题进程之间的交互来减少这种噪声。
检测是否存在凭据转储的另一种方法是分析常用工具，并使用其他数据源作为相关点，基于留下的指纹来制定检测策略。注册表项和文件修改就是一个很好的切入点。
写在最后
青藤云安全之前已经针对ATT&CK框架进行了一系列的介绍，有兴趣的读者可以阅读一下之前的相关文章。但是，ATT&CK框架包含了300多种技术，而且每种技术又包含多种变体。面对一个体型如此庞大的框架，可能会让人有些望而却步，一脸茫然，不知该从何处入手。本文通过对比分析MITRE ATT&CK和Red Canary总结分析的Top20攻击技术，发现其中有七项技术是重合的，突出说明了这七项攻击技术在攻击者中的普遍性，是需要防御者重点关注或是建立防御方案时的着手点。本文对这七项技术进行了简单的介绍，说明了这些技术能够得到攻击者青睐的原因所在，并给出了检测策略，希望能够为读者使用ATT&CK框架带来一些帮助。