横向运动：战术与技术

既然Mitre Att&ck几乎出现在与许多供应商的威胁搜寻和销售宣传相关的每一个 preso 中，那么看看它的未来将会是非常有趣的。我个人喜欢这个框架，我相信采用它的好处。尽管如此，我仍然持怀疑态度（我过去确实谈到了它的潜在局限性——我在那里列出的一些观点不再成立），但目前我不知道有什么更好的结构化方法来开发任何基础威胁狩猎计划。

在这篇文章中，我不会谈论框架本身，甚至不会谈论威胁搜寻或警报疲劳，而是谈论……战术。

为什么？

我们如此专注于技术，以至于我们经常忘记退后一步，看看大局。是的，你没看错，我们在这里有点“整体”，重点是战术和技术之间的关系

我在标题中提到的两种策略：横向移动和坚持，引起我的注意有两个原因：

• 我对 Windows 上的许多持久性机制进行了广泛的研究，并且非常有信心至少有 2 个，甚至 5 倍于我们所知道的这些
• 在我看来，横向运动严重“研究不足”

第一点很容易。第二个——可能更少。

我认为有一种看法（这可能只是我的偏见），在远程系统上运行代码必须使用某种神奇的独角兽技巧——已知的技巧包括：远程服务（psexec）、WMI、DCOM、WSHRemote、网络钓鱼、偷偷摸摸/老旧的漏洞利用等。

事实是，通过适当的凭据和对文件系统/注册表的远程访问，横向移动技术的数量几乎立即成为所有已知独角兽技巧+许多众所周知且可用的持久性技术的超集（在 Windows 上可能有 100+在撰写本文时）。如果您可以修改注册表、文件（例如病毒，或更改配置），或在特定位置添加新文件，那么...。您可以横向移动，但在某些情况下需要更长的时间。例如，可以添加桌面快捷方式、.local文件、.manifest 文件、幻像 DLL、插件等，或者修改许多注册表项之一并指向远程（例如通过 UNC）或本地（复制）文件。

想一想：即使在远程系统上临时交换流行的可执行文件也可能允许在例如用户打开交换的流行程序（办公室、会议应用程序、浏览器、它们不太重要的插件等）时在该系统上执行代码。天空是极限（好吧，对于没有用户参与的系统存在一些限制，使用 EDR、白名单和其他因素，但这不是重点——取决于目标，您拥有横向移动/持久性技术的全部范围使用！）。

我显然不是第一个发现“坚持可以创造横向移动”机会的人，但我不记得有任何帖子试图将其视为一个整体，尤其是关于 Mitre 框架的帖子。所描述的将相同技术用于不同目的的方法并不新鲜，但在（当前）相对较小的“独角兽”横向移动战术“武器库中添加这样的“大量”可能会显着影响我们看待战术和技术的方式。它们不是原子的、独立的，也不是由于可用性错误而被引导到我们相信的范围内（大多数谈论横向移动的人完全忽略了提供可能横向移动机会的持久性技巧）。

我认为策略作为框架的主导力量最终可能不足以代表技术集群，因为这会导致许多重复条目。也许接近它的一种方法是将技术作为防御的主导力量，然后用可用的“战术”标签标记每种技术？我不知道。这是需要更多人聚在一起讨论的事情之一……

也许有一个正在制作中的 Mitre Att&ck 2.0 将解决这种“大量”的两面性。