一、引言

在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术（一）及（二）知识，本期我们为大家介绍ATT&CK 14项战术中持久化战术（三）涉及的剩余子技术，后续会陆续介绍其他战术内容，敬请关注。

二、ATT&CK v12简介

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

2022年10月25日发布的ATT&CK v12版本更新了适用于企业、移动设备和 ICS（工业控制系统）框架的技术、组和软件。v12最大的变化是在ATT&CK中增加了ICS的检测，描述了检测各种ICS技术的方法，每种方法都与特定的数据源和数据组件相关联，检测功能既利用了传统的主机和基于网络的采集，也利用了ICS特定的来源，如资产和运营数据库等。

ATT&CK v12 for Enterprise包含14个战术、193个技术、401个子技术、135个组织、718个软件。

ATT&CK战术全景图（红框为持久化战术）

三、持久化战术

3.1 概述

持久化包括攻击者用来在重新启动、更改凭据和其他中断期间保持对系统的访问的技术，例如替换或劫持合法代码或添加启动代码。

持久化战术包括19种技术，前几期给大家介绍了前12项技术，本期为大家逐一介绍最后7项技术。

3.2 修改身份验证过程（T1556）

攻击者可以修改身份验证机制和流程，以访问用户凭据或启用不必要的对账户的访问。身份验证过程通过机制处理，例如Windows上的本地安全身份验证服务器(LSASS)进程和安全帐户管理器(SAM)等。

攻击者可能会恶意篡改身份验证过程，以泄露凭据或绕过身份验证机制。泄露的凭据可用于绕过访问控制，并持续访问远程系统和外部可用服务。

修改身份验证过程技术包含7项子技术，介绍如下：

3.2.1 域控制器验证（T1556.001）

攻击者可能会修改域控制器上的身份验证过程，以绕过典型的身份验证机制访问账户。

恶意软件可用于在域控制器上的身份验证过程中注入虚假凭据，目的是创建用于访问任何用户的帐户或凭据的后门。经过身份验证的访问可以实现对单因素身份验证环境中的主机或资源的无限制访问。

3.2.2 密码过滤器DLL（T1556.002）

攻击者可能会将恶意密码过滤器动态链接库(Dll)注册到身份验证过程中，以便在验证用户凭据时获取这些凭据。

Windows密码过滤器是域和本地帐户的密码策略强制机制。过滤器作为Dll实现，其中包含根据密码策略验证潜在密码的方法。

攻击者可以注册恶意密码过滤器，以从本地计算机或整个域获取凭据。要执行正确的验证，过滤器必须从LSA接收纯文本凭据。每次发出密码请求时，恶意密码过滤器都会收到这些纯文本凭据。

3.2.3 可插入的身份验证模块（T1556.003）

攻击者可修改可插入的身份验证模块（PAM）以访问用户凭据或非法访问帐户。PAM是一个由配置文件、库和可执行文件组成的模块化系统，用于指导许多服务的身份验证。

攻击者可能会修改PAM系统的组件以创建后门。对PAM系统的恶意修改也可被利用以窃取凭据。

3.2.4 网络设备认证（T1556.004）

攻击者可以使用补丁系统镜像来硬编码操作系统中的密码，从而绕开网络设备上本地帐户的本地身份验证机制。在验证尝试时，插入的代码将首先检查用户输入的是否是密码。如果是，则授予访问权限。否则，植入的代码将传递凭据以验证潜在有效的凭据。

3.2.5 可逆加密（T1556.005）

攻击者可能会利用Active Directory身份验证加密属性以访问windows系统上的凭据。可逆密码加密属性指定是启用还是禁用帐户的可逆密码加密。默认情况下，此属性处于禁用状态。如果启用该属性，则攻击者可能会创建或更改的密码的明文。攻击者需要如下四个组件可以解密密码：

来自Activedirectory用户结构用户参数的加密密码（G$RADIUSCHAP）

也来自userParameters的16字节随机生成的值(G$RADIUSCHAPKEY)

全球LSA秘密(G$MSRADIUSCHAPKEY)

远程访问子身份验证DLL(RASSFM)中硬编码的静态密钥。

攻击者可以通过本地组策略编辑器、用户属性、细粒度密码策略(FGPP)或ActiveDirectory PowerShell模块设置此属性。

3.2.6 多因素认证（T1556.006）

攻击者可能会禁用或修改多因素身份验证(MFA)机制，以启用对帐户的持久访问。

根据攻击者的范围、目标和权限，可能会对单个帐户或与较大组关联的所有帐户（例如受害者网络环境中的所有域帐户）禁用MFA防御。

3.2.7 混合身份（T1556.007）

攻击者可能会修改与本地用户身份相关联的云身份验证过程，以绕过典型的身份验证机制、访问凭据并持久访问帐户。

许多组织维护在内部部署和基于云的环境之间共享的混合用户和设备身份。通过修改绑定到混合身份的身份验证过程，攻击者可以建立对云资源的持久特权访问。

3.2.8 缓解措施

3.2.9 检测

3.3 启动Office应用程序（T1137）

攻击者可能会在启动Office应用程序时，可以使用Office模板宏和加载项、Outlook规则、表单和主页等方式实现持久化。

启动Office应用程序技术包含6项子技术，介绍如下：

3.3.1 Office模板宏（T1137.001）

攻击者可能会利用Office模板获得持久性。VBA宏可以插入到基本模板中，并用于在相应的Office应用程序启动时执行代码，以便获得持久性。

攻击者还可以通过劫持应用程序的搜索顺序来更改基本模板的位置以指向自己的位置，攻击者可能需要启用宏以不受限制地执行，具体取决于使用宏的系统安全策略。

3.3.2 Office测试（T1137.002）

攻击者可能会利Office测试注册表项以获得持久性。Office测试注册表位置，允许用户指定每次启动Office应用程序时执行的任意DLL。

存在Office测试功能的用户和全局注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\PerfHKEY_LOCAL_MACHINE\Software\Microsoft\Office test\Special\Perf

攻击者可以添加此注册表项并指定恶意DLL，该DLL将在启动Office应用程序时执行。

3.3.3 Outlook表格（T1137.003）

攻击者可能会利用Outlook表单以获得持久性。Outlook表单用作Outlook邮件中的演示文稿和功能的模板，可以创建自定义Outlook表单，当恶意电子邮件由对手使用相同的自定义Outlook表单发送时，这些表单将执行代码。

一旦恶意表单被添加到用户的邮箱中，它们将在Outlook启动时加载。当攻击者向用户发送恶意电子邮件时，恶意表单将执行。

3.3.4 Outlook主页（T1137.004）

攻击者可能会利用Outlook的主页功能以获得持久性。Outlook主页功能允许在打开文件夹时加载和显示内部或外部URL。攻击者可以制作恶意HTML页面，该页面将在Outlook主页加载时执行代码。一旦恶意主页已添加到用户的邮箱，它们将在Outlook启动时加载。

3.3.5 Outlook规则（T1137.005）

攻击者可能会利用Outlook规则以获得持久性，Outlook规则允许用户定义管理电子邮件的自动行为。攻击者可以创建恶意Outlook规则，向用户发送恶意电子邮件时，这些规则可以触发代码执行。一旦恶意规则已添加到用户的邮箱，它们将在Outlook启动时加载。

3.3.6 加载项（T1137.006）

攻击者可能会利用Office加载项以获得持久性，Office加载项可用于向Office程序添加功能，包括Word/Excel加载项库(WLL/XLL)、VBA加载项、Office组件对象模型(COM)加载项、自动化加载项、VBA编辑器(VBE)、Visual Studio Tools For Office(VSTO)加载项和Outlook 等，加载项可以设置为在Office应用程序启动时执行代码。

3.3.7 缓解措施

3.3.8 检测

3.4 操作系统前启动（T1542）

攻击者可能会利用操作系统前启动机制建立持久性。在计算机的启动过程中，固件和各种启动服务在操作系统之前加载，这些程序在操作系统控制之前控制执行流程。

在操作系统前启动技术包含5项子技术，介绍如下：

3.4.1 系统固件（T1542.001）

攻击者可能会修改系统固件以建立持久性。例如BIOS（基本输入/输出系统）和统一可扩展固件接口（UEFI）或可扩展固件接口（EFI）等。

系统固件削弱了计算机的功能，并且可能被攻击者修改以执行恶意活动。

3.4.2 组件固件（T1542.002）

攻击者可能会修改组件固件以建立持久性。攻击者可能会使用复杂的手段来破坏计算机组件并安装恶意固件，这些固件将在操作系统和主系统固件或BIOS之外执行恶意代码。

3.4.3 Bootkit（T1542.003）

攻击者可以使用bootkit来持久化系统。Bootkit是一种恶意软件变体，可修改硬盘驱动器的引导扇区，包括主引导记录(MBR)和卷引导记录(VBR)。MBR是BIOS完成硬件初始化后首先加载的磁盘部分，引导加载程序的位置。对启动驱动器具有原始访问权限的攻击者可能会覆盖此区域，从而将启动期间的执行从正常启动加载程序转移到恶意代码。

MBR将引导过程的控制传递给VBR。与MBR的情况类似，对启动驱动器具有原始访问权限的攻击者可能会覆盖VBR以将启动期间的执行转移到恶意代码。

3.4.4 RommonKit（T1542.004）

攻击者可能会利用ROM监视器（ROMMON），通过加载带有恶意代码的未经授权的固件来提供持久访问。

攻击者可以使用恶意代码在本地或远程升级ROMMON镜像，并重新启动设备，以覆盖现有的ROMMON镜像。

3.4.5 TFTP启动（T1542.005）

Netbooting是引导序列中的一个选项，可用于集中、管理和控制设备镜像。攻击者可能会利用Netbooting从TFTP服务器加载未经授权的网络设备操作系统。

攻击者可以操纵网络设备上的配置，指定使用恶意TFTP服务器，该服务器可以与修改系统映像一起使用，以便在设备启动或重置时加载修改后的镜像。未经授权的镜像允许对手修改设备配置，向设备添加恶意功能，并引入后门以保持对网络设备的控制。

3.4.6 缓解措施

3.4.7 检测

3.5 利用计划任务（T1053）

攻击者可能会利用计划任务功能在系统启动时或定期重复执行恶意代码以实现持久性。

利用计划任务技术包含5项子技术，介绍如下：

3.5.1 At（T1053.002）

攻击者可能会利用at程序来执行任务调度，以初始或重复执行恶意代码。At程序用于在指定的时间和日期调度任务。

3.5.2 Cron（T1053.003）

攻击者可能会利用cron程序来执行任务调度，以初始或重复执行恶意代码来实现持久性。cron程序是基于时间的作业调度程序，Crontab文件包含要运行的cron条目的时间表和指定的执行时间。

3.5.3 计划任务（T1053.005）

攻击者可能会利用Windows任务计划程序来执行任务计划，以初始或重复执行恶意代码来实现持久性。有多种方法可以访问Windows中的任务计划程序：Schtasks程序可以直接在命令行上运行；也可以通过控制面板的管理员工具部分内的GUI打开任务计划程序；攻击者使用Windows任务计划程序的.NET包装器；攻击者使用Windows netapi32库创建计划任务。

攻击者还可能创建"隐藏"计划任务，这些任务可能对用于枚举任务的defender工具和手动查询不可见。具体来说，攻击者可以通过删除关联的安全描述符(SD)注册表值从schtasks或查询和任务计划程序中隐藏任务，也可以使用其他方法来隐藏任务，例如更改关联注册表项中的元数据等。

3.5.4 SystemD计时器（T1053.006）

攻击者可能会利用systemd计时器来执行任务调度，以初始或重复执行恶意代码。Systemd定时器是控制服务的定时器，Systemd计时器可以通过systemctl命令行实用程序远程激活，程序通过SSH运行。

攻击者可以使用systemd计时器在系统启动时或按计划执行恶意代码以实现持久性。使用特权路径安装的计时器可用于维护根级别持久性。攻击者还可以安装用户级计时器以实现用户级持久性。

3.5.5 容器编排任务（T1053.007）

攻击者可能会利用容器编排工具（如Kubernetes）提供的任务调度功能部署带有恶意代码的容器。容器编排任务在特定的日期和时间运行这些自动化任务。

在Kubernetes中，CronJob可用于调度运行一个或多个容器以执行特定任务的任务。因此，攻击者可以利用CronJob来计划在集群内的各个节点中执行恶意代码任务的部署。

3.5.6 缓解措施

3.5.7 检测

3.6 利用服务器软件（T1505）

攻击者可能会利用服务器的合法可扩展开发功能来建立对系统的持久访问。 服务器应用程序包括允许开发人员编写和安装软件或脚本以扩展主应用程序功能。 攻击者可能安装恶意组件来扩展和利用服务器应用程序。

利用服务器软件技术包含5项子技术，介绍如下：

3.6.1 SQL存储过程（T1505.001）

攻击者可能会利用SQL存储过程来建立对系统的持久访问。SQL存储过程是可以保存和重用的代码，存储过程可以通过sql语句使用过程名称或通过定义的事件调用数据库。

攻击者可能会制造恶意存储过程，这些过程可以在SQL数据库服务器中提供持久性机制。

3.6.2 传输代理（T1505.002）

攻击者可能会利用Microsoft传输代理来建立对系统的持久访问。Microsoft Exchange传输代理可以对通过传输管道的电子邮件进行操作，以执行各种任务。

攻击者可以注册恶意传输代理，以便在Exchange Server中提供可由攻击者指定的电子邮件事件触发的持久性机制。

3.6.3 WebShell（T1505.003）

攻击者可利用web shell为web服务器设置后门，以建立对系统的持久访问。 Webshell是放置在可公开访问的Web服务器上的Web脚本，允许攻击者使用Web服务器作为网关。Web shell可以在承载Web服务器的系统上提供一组要执行的函数或命令行界面。

3.6.4 IIS组件（T1505.004）

攻击者可在IIS服务器上运行恶意代码以建立持久性。攻击者可以安装恶意ISAPI扩展和过滤器来修改流量，在受损机器上执行命令，ISAPI扩展和筛选器可以访问所有IIS web请求和响应。例如，攻击者可能会利用这些机制来修改HTTP响应，以便将恶意命令分发到以前包含的主机。攻击者还可能安装恶意IIS模块来修改流量。

3.6.5 终端服务DLL（T1505.005）

攻击者可能会利用终端服务的组件来实现对系统的持久访问。终端服务允许服务器通过RDP向客户端传输完整的交互式图形用户界面。

攻击者可以修改或替换终端服务DLL以启用对受害主机的持久访问，修改这个DLL可以执行任意的有效载荷。

3.6.6 缓解措施

3.6.7 检测

3.7 使用流量（T1205）

攻击者可以使用流量隐藏开放端口或其他恶意功能，例如打开封闭端口或执行恶意代码，在打开一个端口之前发送一系列恶意数据包，攻击者可以使用该端口进行命令和控制。

攻击者也可能与已经打开的端口通信，但在该端口上侦听的服务只会响应命令或触发其他恶意功能。

在网络设备上，攻击者可以使用精心设计的数据包来为设备提供的标准服务启用网络设备身份验证，还可以用于打开诸如telnet的封闭服务端口，或者用于触发设备上的恶意软件能力。

攻击者也可以使用LAN唤醒功能来打开已关闭电源的系统。LAN唤醒是一种硬件功能，它允许断电系统通过向其发送数据包来打开或唤醒它。一旦系统通电，它可能成为横向移动的目标。

利用流量技术包含2项子技术，介绍如下：

3.7.1 端口试探（T1205.001）

攻击者可以使用端口试探来隐藏打开端口。为了启用端口，攻击者向预定义的关闭端口程序发送一系列尝试连接，程序完成后，打开端口通常由基于主机的防火墙完成，但也可以通过自定义软件实现。

端口试探技术既用于动态打开侦听端口，也用于启动不同系统到侦听服务器的连接。

3.7.2 Socket过滤器（T1205.002）

攻击者可以将过滤器连接到网络套接字，可监控并激活后门。通过提升权限，攻击者可以使用libpcap库等功能打开套接字并安装过滤器，以确定某些类型的数据是否可以通过套接字。过滤器可能适用于通过指定的网络接口的所有流量，当网络接口接收到匹配过滤条件的数据包时，可以在主机上触发操作，例如激活反向shell。

3.7.3 缓解措施

3.7.4 检测

3.8 利用有效账户（T1078）

攻击者可以获取和利用现有帐户的凭据，作为获得初始访问、持久性、特权升级或逃避防御的手段。 泄露的凭据可用于绕过访问控制，用于持久访问远程系统和外部可用服务，受威胁的凭据也可能授予攻击者对特定系统的更多特权。

在系统网络中，本地、域和云帐户的权限重叠是值得关注的，因为攻击者可能跨帐户和系统访问，以达到较高的访问级别。

利用有效账户技术包含4项子技术，介绍如下：

3.8.1 默认账户（T1078.001）

攻击者可获取并利用默认帐户的凭据，作为获得初始访问、持久性、特权升级或防御逃避的手段。默认帐户是操作系统或其他设备内置的帐户，预置用户名和密码不修改的话很容易成为攻击者的目标。

3.8.2 域账户（T1078.002）

攻击者可获取并利用域帐户凭据，作为获得初始访问、持久性、特权升级或逃避防御的手段。域帐户是由Active Directory域服务管理的帐户，其中访问和权限是跨属于该域的系统和服务配置的。域帐户可以覆盖用户、管理员和服务。

3.8.3 本地账户（T1078.003）

攻击者可获取并利用本地帐户的凭据，作为获得初始访问、持久性、特权升级或防御逃避的手段。本地帐户是由组织配置的帐户，供用户、远程支持、服务在系统上管理。

3.8.4 云账户（T1078.004）

攻击者可获取并利用云帐户的凭据，作为获得初始访问、持久性、特权升级或防御逃避的手段。云帐户是由组织创建和配置的帐户，供用户、远程支持、服务、云服务提供商或SaaS应用程序内的资源管理使用。

云帐户的受损凭据可用于从在线存储帐户和数据库中获取敏感数据。与域帐户类似，对云帐户的入侵可能使攻击者更容易在环境中横向移动。

3.8.5 缓解措施

3.8.6 检测

四、总结

本期主要介绍了持久化战术（三），涉及最后7项理论技术，下期将给大家介绍持久化战术（三）理论技术对应的实战研究场景，敬请关注。