滲透测试ATTCK攻击模型三（Initial Access 初始访问）

攻击者试图进入目标网络，使用目标网络对外暴露的各种入口在目标网络中获得立足点。获得初始访问立足点的技术主要包括网络钓鱼或利用对外开放的web服务上的漏洞等。攻击者在获得立足点后可进行持久化和权限提升操作（例如：使用外部远程服务、获取有效账户等）或修改密码进行限制目标拥有者使用。

T1189 Drive-by Compromise 水坑攻击

T1190 Exploit Public-Facing Application 利用公开漏洞

T1133 External Remote Services 外部远程服务

T1200 Hardware Additions 利用硬件入侵

T1566 Phishing 网络钓鱼（入侵）

T1091 Replication Through Removable Media 使用可移动媒体

T1195 Supply Chain Compromise 供应链恶意篡改

T1199 Trusted Relationship 利用授信关系

T1078 Valid Accounts 利用合法账户

T1189 Drive-by Compromise 水坑攻击

攻击者会对目标的上网活动规律进行侦查，寻找目标经常访问且存在安全漏洞的网站，利用网站漏洞进行恶意脚本注入（XSS），当目标访问被入侵的网站后可能会触发恶意脚本，攻击者可以利用浏览器运行恶意脚本来获得关键信息或进行更深层次的攻击。

水坑工具与利用公开程序漏洞不同，恶意脚本是运行在目标用户本地的客户端程序中，可以直接访问目标的内部网络。

T1190 Exploit Public-Facing Application 利用公开漏洞

攻击者会利用目标所使用的软件、数据库、中间件、第三方库中未修补的漏洞进行攻击，这些漏洞的主要来源有公开的漏洞数据库、社交媒体、社区论坛、以及开源代码库等。

相关工具：CVE、CNVD、CNNVD、exploit-db

T1133 External Remote Services 外部远程服务

攻击者可能会利用目标网络对外的提供的远程服务，对目标网络进行初始访问或在目标网络中建立持久化访问，攻击者通常会通过凭证嫁接或入侵到目标网络后从用户处获取远程访问凭证。

常见的远程服务主要包括：VPN、Citrix、SSH、Windows远程桌面、TeamViewer、向日葵、EasyConnect等。

除远程服务外Docker API、Kubernetes API、Consul API等，也可为攻击者提供远程能力。

防御措施：收集身份验证日志和后续活动轨迹信息，进行异常访问分析。

T1200 Hardware Additions 利用硬件入侵

如果攻击者可以近距接触目标，则可以将入侵硬件加入到目标网络或系统中，常见的入侵方式有Wifi、蓝牙、USB设备、射频信道（RF）等。

攻击者在接入目标系统后可以使用网络窃听、中间人、按键注入、DMA读取内核内存等方式进行攻击。

相关工具：Wireshark，Cain，Hak5工具包

防御措施：对网络进行监控及时发现不应该存在的网络设备或计算机系统，对新添加的硬件进行检查防止非法硬件的加入。

T1566 Phishing 网络钓鱼（入侵）

所有的鱼叉式网络钓鱼都是针对特定个人发起的，社会工程学攻击。

防御措施：网络入侵检测和电子邮件网关是有效的防御手段，检查邮件中的URL可以识别已知恶意网站，引爆室可以自动跳转到邮件中包含的站点检查潜在的恶意脚本。

T1566.001 Spearphishing Attachment 鱼叉式钓鱼附件

鱼叉式钓鱼附件是指向用户发送包含恶意附件的电子邮件，并依靠用户执行文件文件进行攻击。钓鱼附件的格式通常为Office文档、可执行文件、PDF文件、压缩包等，攻击者会在邮件描述中给出一个让用户执行附件的合理理由，说明为什么要打开文件，并且解释为什么要绕过系统保护。

攻击者通常会使用加密的压缩文件来躲避邮箱的防御系统，也会修改文件扩展名或图标使可执行文件看起来像一个文档用于诱导用户打开。

T1566.002 Spearphishing Link 鱼叉式钓鱼链接

鱼叉式钓鱼链接属于网页钓鱼的一种特殊变种，是在邮件内容中包含恶意网址或XSS脚本的邮件。钓鱼链接与钓鱼附件不同，在邮件中不保护恶意附件，可以更好的躲避邮箱的防御系统。

攻击者通常会在邮件中包含一个经过伪装的恶意文件下载地址，或通过嵌入带有XSS工具脚本的图片，当用户下载文件或通过浏览器阅读邮件时就会受到攻击。

T1566.003 Spearphishing via Service 通过服务进行鱼叉式网络钓鱼

通过服务进行鱼叉钓鱼是指，使用第三方服务向目标用户发送钓鱼邮件，而不是直接向目标发送企业邮件，由于目标可能和第三方服务之间存在一定的信任或能引起目标更大的兴趣。

常见方法：

攻击者会建立虚假社交账号，向目标发送招聘邮件，这样可以有一个合理的理由向目标用户询问一些关键信息。

攻击者使用虚假社交账号与目标产生融洽关系，根据目标用户的兴趣发送有针对性内容的邮件，由于是目标用户所期望的东西所以更有可能打开邮件中包含恶意文件，由于与目标已建立融洽关系，所以内容可能会发送到目标工作电脑上的个人邮箱，这样可以绕开企业邮箱对邮件的防御，甚至可以诱导目标用户在打开恶意文件时进行防御躲避操作。

T1091 Replication Through Removable Media 使用可移动媒体

攻击者在攻击没有网络连接或使用气隙网络（Air-Gapped Networks）的目标时，可能会将带有恶意程序的可移动媒体插入到目标系统上，利用自动执行程序、诱导用户执行恶意程序、修改用于初始化的媒体固件等方法执行恶意程序。

T1195 Supply Chain Compromise 供应链恶意篡改

供应链恶意篡改是指最终消费者在收到产品前对产品或交付机制进行操纵，以达到篡改数据或系统的目的，供应链的篡改可能发生在供应链的任何阶段：

操纵开发工具
操纵开发环境
操纵开源或私有源码库
操纵开源依赖中的源码
操纵软件更新/分发机制
篡改系统镜像
用被篡改的版本替换合法软件
向合法分销商销售被篡改过的产品
拦截装运

虽然恶意篡改可能发生在任何阶段，但攻击者通常会专注于在软件更新/分发中对合法软件进行恶意篡改。被恶意篡改的软件可能会分发给广泛的消费者，但攻击者一般会有针对性的对特定消费者采取策略。

防御措施：对于软件可以通过文件哈希或软件指纹进行验证，并在部署前进行测试，检查是否有可疑活动。对于硬件需要进行物理检查，查找潜在的恶意篡改。

T1195.001 Compromise Software Dependencies and Development Tools 篡改依赖软件和开发工具

许多应用程序中依赖的开源项目可能会成为向软件添加恶意代码的一种手段。

T1195.002 Compromise Software Supply Chain篡改供应链软件

常见的篡改方式主要有，操作应用程序源码、操纵该软件的更新/分发机制、用篡改后的版本替换合法版本。

T1195.003 Compromise Hardware Supply Chain 篡改供应链硬件

通过修改硬件的固件信息可以达到将后门程序插入到消费者网络，硬件后门可以插入各种设备，如服务器、工作站、网络设施或外围设备。

T1199 Trusted Relationship 利用授信关系

攻击者可能会入侵能够接触到被攻击目标的组织，利用第三方组织与被攻击目标的授信连接，访问目标网络，这种连接通常受到的审查较少。

组织经常会授权第二或第三方外部访问权限，以便允许他们管理内部系统，这些授信组织主要有IT服务承包商、托管供应商、基础设施承包商等。第三方所能访问的权限一般会局限于正在维护的基础设施内，但可能与其它基础设施在同一网络中，攻击者可以利用此连接对网络内其它基础设施进行攻击。

T1078 Valid Accounts 利用合法账户

攻击者可以使用凭据访问战术（TA0006）中的技术窃取特定用户或服务帐户的凭据，或者通过社会工程在其侦察过程中更早地捕获凭据，以获得初始访问权。

窃取的凭据可以用来绕过对网络内系统上各种资源的访问控制，甚至可以用于对远程系统和外部可用服务(如 VPNs、Outlook Web access 和远程桌面)的持久访问。窃取的凭据还可能授予攻击者对特定系统或受限区域网络的更多特权。攻击者可能会选择不使用恶意软件或工具，使用窃取的凭证提供的合法访问权限，从而使检测它们的存在变得更加困难。

系统或硬件预置的用户名密码在设备安装后如果没有进行修改，攻击者就可以合法的访问这些系统和设备。

账户凭据如果在跨系统网络的权限中存在重叠，攻击者可能会进行跨账号和系统切换，以达到较高的访问级别(即绕过企业内设置的访问控制）

T1078.001 Default Accounts 默认账户

默认帐户是那些内置到操作系统中的帐户，比如Windows系统上的访客或管理员帐户，或者其他类型的系统、软件或设备上的默认工厂/供应商帐户。

T1078.002 Domain Accounts 域账户

域帐户是由"Active Directory"域服务管理的，其中访问和权限是跨属于该域的系统和服务配置的。

T1078.003 Local Accounts 本地账户

本地帐户是由组织为用户、远程支持、系统服务或服务的管理而配置的帐户。

T1078.004 Cloud Accounts 云账户

云帐户是由组织创建和配置的，供用户、远程支持、服务使用，或用于管理云服务提供商或SaaS应用程序中的资源。

云账户与域账户类似，云账户的泄漏可能使攻击者更容易在内网中进行横向移动。

声明：本文仅作为信息安全和攻防演练技术的研究与学习使用，请勿用于其他用途，任何未经授权的测试、入侵及破坏均属违法违规行为，如使用本文内涉及的技术从事违法违规行为，由此所产生的一切后果均有读者自行承担，与本文作者无关！