早在2021年夏天，我们就推出了SafeBreach场景—一种基于 SafeBreach建议以及最新的野外威胁、顶级威胁组和顶级MITREATT&CK 技术来查找和执行攻击的极其简单且通用的方法。创建SafeBreachScenarios 的目的是使安全团队能够轻松发现和执行攻击，帮助他们获得对组织安全状况的完整量化视图。

此外，SafeBreachScenarios为安全团队提供了一种简单的方法，可以根据不断变化的威胁形势对组织当前的安全准备情况进行基准测试。当我们第一次发布场景时，它们可用于以下类别：

• 推荐场景——这些是 SafeBreach 为每个列出的类别运行的顶级场景的选择。

• 安全控制——这些场景允许团队通过运行每个控制类别可以阻止的攻击来验证环境中安全控制类别的覆盖范围和效率。

• 已知攻击系列——这些场景允许团队测试他们对攻击活动和元素的防御，这些攻击活动和元素已由 CISA 等组织作为警告向公众发布。

• 威胁组——这些场景允许团队针对归因于已知威胁组的攻击测试他们的安全控制，这些攻击由一组相关的入侵活动和方法定义。

• 基准方案——这些方案为您环境中的各种活动类型提供了预期安全状况的基准。

• MITRE ATT&CK – 这些场景允许团队针对 MITRE ATT&CK 框架中列出的真实攻击测试自己。

什么是新的

SafeBreachHacker's Playbook™ 是最新的已知攻击集合，包含超过25,000种破坏方法，结合了我们自己研究的实时威胁情报以及多个威胁情报提供商。SafeBreach团队致力于通过引入不仅使工具更强大而且更易于使用的特性和功能，不断改进和增强用户体验。

考虑到这一目标，我们很高兴地宣布SafeBreach平台现在能够根据MITREATT&CK 框架中的前16个TTP验证您部署的安全控制。这些TTP占2019年4月至2021年7月观察到的技术的90%。我们已将这些TTP映射到我们的整个攻击手册中，我们的客户现在可以选择运行前16个TTP或完整的MITRE覆盖场景（针对他们的垂直/行业)来测试他们对这些高级威胁的准备情况。

https://image.135editor.com/files/users/1050/10507216/202208/24522483-aC5xSB.jpg

通过映射 Top-16MITRE TTP，我们使 MITREATT&CK框架更具可操作性。我们的平台是唯一一个基于真实恶意软件行为和实际操作从黑客的角度计算真实攻击路径的持续验证平台，所有这些都以受控方式、安全和大规模运行。这使我们能够根据针对组织或行业的特定威胁概况来确定实际攻击的优先级并及时验证。

https://image.135editor.com/files/users/1050/10507216/202208/24522483-nkuFgs.jpg

排名前 16位的 TTP是什么？

了向我们的客户提供按行业/垂直领域最普遍的攻击的完整列表，SafeBreach团队参考了US-CERT警报（2019 年4 月至 2021年 7 月）、RedCanary 的2022年威胁检测报告和 MITREEngenuity 报告题为SightingsEcosystem：AData-driven Analysis of ATT&CK in theWild。然后将该列表映射到适当的垂直领域，使我们能够创建特定行业/垂直领域的场景，使客户能够针对最相关的威胁验证他们的安全控制。以下是我们团队实施的Top-16 TTP 列表（可在attack.mitre.org上获得描述）：

• T1059 – 命令和脚本解释器– 攻击者可能滥用命令和脚本解释器来执行命令、脚本或二进制文件。命令和脚本可以嵌入到作为诱饵文档或从现有 C2 下载的辅助有效负载交付给受害者的初始访问负载中。攻击者还可以通过交互式终端/shell 执行命令，以及利用各种远程服务来实现远程执行。

• T1218 – 系统二进制进程执行– 攻击者可以通过使用签名或其他受信任的二进制文件代理恶意内容的执行来绕过进程和/或基于签名的防御。此技术中使用的二进制文件通常是 Microsoft 签名的文件，表明它们要么是从 Microsoft 下载的，要么已经是操作系统的本机文件。

• T1543 – 创建或修改系统进程– 作为持久性的一部分，攻击者可能会创建或修改系统级进程以重复执行恶意负载。当操作系统启动时，它们可以启动执行后台系统功能的进程。可以使用管理员权限创建服务、守护程序或代理，但在 root/SYSTEM 权限下执行。攻击者可以利用此功能创建或修改系统进程以提升权限。

• T1053 – 计划任务/作业– 攻击者可能滥用任务计划功能来促进恶意代码的初始或重复执行。攻击者可能会使用任务调度在系统启动时执行程序或按计划执行程序以实现持久性。这些机制也可以被滥用以在指定帐户（例如具有提升的权限/特权的帐户）的上下文下运行进程。

• T1003 – 操作系统凭证转储– 攻击者可能会尝试转储凭证以从操作系统和软件获取帐户登录和凭证材料，通常采用哈希或明文密码的形式。然后可以使用凭证来执行横向移动和访问受限信息。

• T1055 – 进程注入– 攻击者可能会将代码注入到进程中，以逃避基于进程的防御以及可能提升权限。进程注入是一种在单独的活动进程的地址空间中执行任意代码的方法。在另一个进程的上下文中运行代码可能允许访问该进程的内存、系统/网络资源以及可能提升的权限。通过进程注入执行也可能逃避安全产品的检测，因为执行在合法进程下被屏蔽。

• T1027 – 混淆文件或信息– 攻击者可能试图通过加密、编码或以其他方式混淆系统或传输中的内容，使可执行文件或文件难以被发现或分析。这是可以跨不同平台和网络用来规避防御的常见行为。

• T1105 – 入口工具转移– 攻击者可能会将工具或其他文件从外部系统转移到受感染的环境中。工具或文件可以通过命令和控制通道或通过 ftp 等替代协议从外部攻击者控制的系统复制到受害者网络。一旦出现，攻击者还可能在受感染环境中的受害设备之间传输/传播工具（即横向工具传输）。

• T1569 – 系统服务– 攻击者可能滥用系统服务或守护程序来执行命令或程序。攻击者可以通过在本地或远程与服务交互或创建服务来执行恶意内容。

• T1036 – 伪装– 对手可能会尝试操纵其工件的功能，以使它们对用户和/或安全工具显得合法或良性。当为了逃避防御和观察而操纵或滥用合法或恶意对象的名称或位置时，就会发生伪装。这可能包括操纵文件元数据、诱骗用户错误识别文件类型以及提供合法的任务或服务名称。

• T1574 – 劫持执行流程– 攻击者可能通过劫持操作系统运行程序的方式来执行自己的恶意负载。劫持执行流可能是为了持久性，因为这种劫持执行可能会随着时间的推移再次发生。攻击者也可能使用这些机制来提升特权或逃避防御，例如应用程序控制或其他执行限制。

• T1090 – 代理– 攻击者可以使用连接代理来引导系统之间的网络流量，或者充当与命令和控制服务器进行网络通信的中介，以避免直接连接到他们的基础设施。

• T1562 – 削弱防御– 攻击者可能恶意修改受害者环境的组件，以阻碍或禁用防御机制。这不仅涉及削弱防火墙和防病毒等预防性防御，还涉及防御者可用于审计活动和识别恶意行为的检测功能。

• T1021 – 远程服务– 攻击者可以使用有效帐户登录专门设计用于接受远程连接的服务，例如 telnet、SSH 和 VNC。然后，攻击者可以作为登录用户执行操作。

• T1095 – 非应用层协议– 攻击者可能使用非应用层协议在主机和 C2 服务器之间或网络中受感染的主机之间进行通信。

• T1047 – Windows Management Instrumentation – 攻击者可能滥用 Windows Management Instrumentation (WMI) 来执行恶意命令和有效负载。攻击者可以使用 WMI 与本地和远程系统交互，并将其用作执行各种行为的手段，例如为发现收集信息以及作为横向移动的一部分远程执行文件。

公司名称：北京哲想软件有限公司

北京哲想软件官方网站：cogitosoft.com

北京哲想软件微信公众平台账号：cogitosoftware

北京哲想软件微博：哲想软件

北京哲想软件邮箱：sales@ cogitosoft.com

销售（俞先生）联系方式： 86（010）68421378

微信：18610247936     QQ：368531638