TA0040 Impack 影响

image-20211128124846158.png

对手试图操纵、中断或破坏您的系统和数据。

影响包括攻击者用来通过操纵业务和操作流程来破坏可用性或破坏完整性的技术。用于影响的技术可能包括破坏或篡改数据。在某些情况下，业务流程看起来不错，但可能已被更改以使对手的目标受益。攻击者可能会使用这些技术来实现其最终目标或为泄露机密提供掩护。

T1531 Account Access Removal 删除账户访问权限

描述

攻击者可能会通过禁止合法用户访问正常使用的帐户来使系统和网络资源不可用。用户帐户可能会被删除、锁定或操纵（例如：更改的凭据）以删除对帐户的访问权限。

检测

DS0026 Active Directory

DS0002 User Account

1、进程监控来监控涉及删除帐户或更改密码的二进制文件的执行和命令行参数，例如使用Net

2、Windows 事件日志也可以记录攻击者试图删除对帐户的访问权限相关的活动，可以重点关注以下事件ID

• 事件 ID 4723 - 尝试更改帐户密码
• 事件 ID 4724 - 尝试重置帐户密码
• 事件 ID 4726 - 用户帐户被删除
• 事件 ID 4740 - 用户帐户被锁定

T485 Data Destruction 销毁数据

描述

攻击者可能会破坏特定系统上或网络上大量的数据和文件，以中断系统、服务和网络资源的可用性。数据破坏很可能通过覆盖本地和远程驱动器上的文件或数据，使取证技术无法恢复存储的数据。常见的操作系统文件删除命令，例如del并且rm通常只删除指向文件的指针而不擦除文件本身的内容，使文件可以通过适当的取证方法恢复. 此行为不同于磁盘内容擦除和磁盘结构擦除 因为单个文件被破坏，而不是存储磁盘的部分或磁盘的逻辑结构。

攻击者可能会尝试用随机生成的数据覆盖文件和目录，使其无法恢复。在某些情况下，政治导向的图像文件被用来覆盖数据。

为了在以网络范围可用性中断为目标的运营中最大限度地影响目标组织，旨在破坏数据的恶意软件可能具有蠕虫状特征，通过利用有效帐户、操作系统凭证转储和SMB/ Windows 管理员共享。

在云环境中，攻击者可能会利用访问权限来删除云存储、云存储帐户、机器映像和其他对运营至关重要的基础设施，从而损害组织或其客户。

缓解措施

M1053 Data Backup 数据备份

考虑实施 IT 灾难恢复计划，其中包含可用于恢复组织数据的定期数据备份程序。确保备份存储在系统外，并免受攻击者可能用来访问和破坏备份以防止恢复的常用方法。(数据隔离，异地多备)

检测

1、使用进程监控来监控可能涉及数据销毁活动的二进制文件的执行和命令行参数，例如SDelete。

2、监视可疑文件的创建以及高度异常的文件修改活动。特别是在用户目录和C:\Windows\System32\.

3、在云环境中，在短时间内发生异常的大容量删除事件（例如AWS 中的DeleteDBCluster和DeleteGlobalCluster事件）或大量数据删除事件（例如 ）DeleteBucket可能表明存在可疑活动。

T1486 Data Encrypted for Impact 加密数据以造成影响

描述

攻击者可能会加密目标系统或网络中大量系统上的数据，以中断系统和网络资源的可用性。他们可以通过加密本地和远程驱动器上的文件或数据并拒绝访问解密密钥来尝试使存储的数据无法访问。这样做可能是为了从受害者那里获得金钱补偿，以换取解密或解密密钥（勒索软件），或者在未保存或传输密钥的情况下使数据永久无法访问。在勒索软件的情况下，通常会加密 Office 文档、PDF、图像、视频、音频、文本和源代码文件等常见用户文件。在某些情况下，攻击者可能会加密关键系统文件、磁盘分区和 MBR。

为了最大限度地影响目标组织，设计用于加密数据的恶意软件可能具有类似蠕虫的功能，通过利用其他攻击技术（如有效帐户、操作系统凭据转储和SMB/Windows 管理员共享）在网络中传播。（参考WannaCry的行为特征）

在云环境中，受感染帐户中的存储对象也可能被加密。

缓解措施：

M1040 Behavior Prevention on Endpoint 终端行为预防（使用EDR设备）

M1053 Data Backup 数据备份

检测：

1、使用进程监控来监控参与数据销毁活动的二进制文件的执行和命令行参数，例如 vssadmin、wbadmin 和 bcdedit。监视可疑文件的创建以及异常的文件修改活动。特别是在用户目录中查找大量文件修改。

2、在某些情况下，监视异常的内核驱动程序安装活动有助于检测。

3、在云环境中，监视指示存储对象已被副本异常替换的事件。

T1565 Data Manipulation 操纵数据

描述

攻击者可能会插入、删除或操纵数据以操纵外部结果或隐藏活动。通过操纵数据，攻击者可能会试图影响业务流程、组织理解或决策制定。

修改的类型及其将产生的影响取决于目标应用程序和过程以及对手的目标和目的。对于复杂的系统，攻击者可能需要特殊的专业知识，并可能需要访问与系统相关的专用软件，这通常是通过长时间的信息收集活动获得的，以便产生预期的影响。

缓解措施：

M1041 Encrypt Sensitive Information 加密敏感信息

对敏感信息加密存储

M1030 Network Segmentation 网络分割

根据安全等级划分不同的网络，执行特定的安全策略

M1029 Remote Data Storage 远程数据存储

IT灾备

M1022 Restrict File and Directory Permissions 限制文件和目录权限

最小权限原则

检测：

1、在适用的情况下，检查重要文件哈希、位置和修改是否存在可疑/意外值。

2、对于涉及数据传输的一些关键过程，手动或带外完整性检查可能有助于识别被操纵的数据。（校验hash）

子技术1: T1565.001 Stored Data Manipulation 操纵存储的数据

描述

攻击者可能会插入、删除或操纵静态数据，以操纵外部结果或隐藏活动。通过操纵存储的数据，攻击者可能会试图影响业务流程、组织理解和决策制定。

存储的数据可能包括各种文件格式，例如 Office 文件、数据库、存储的电子邮件和自定义文件格式。修改的类型及其将产生的影响取决于数据的类型以及对手的目标。对于复杂的系统，攻击者可能需要特殊的专业知识，并可能需要访问与系统相关的专用软件，这通常是通过长时间的信息收集活动获得的，以便产生预期的影响。

缓解措施

M1041 Encrypt Sensitive Information 加密敏感信息

对敏感信息加密存储

M1029 Remote Data Storage 远程数据存储

IT灾备

M1022 Restrict File and Directory Permissions 限制文件和目录权限

最小权限原则

检测

在适用的情况下，检查重要文件哈希、位置和修改是否存在可疑/意外值。

子技术2: T1565.002 Transmitted Data Manipulation 操纵传输的数据

描述

攻击者可能会在传输到存储或其他系统的途中更改数据，以操纵外部结果或隐藏活动。通过操纵传输的数据，攻击者可能会试图影响业务流程、组织理解和决策制定。

可以通过网络连接或系统进程之间进行操作，在这种情况下，有机会部署拦截和更改信息的工具。修改的类型及其将产生的影响取决于目标传输机制以及对手的目标和目的。对于复杂的系统，攻击者可能需要特殊的专业知识，并可能需要访问与系统相关的专用软件，这通常是通过长时间的信息收集活动获得的，以便产生预期的影响。

缓解措施

M1041 Encrypt Sensitive Information 加密敏感信息

检测

如果没有适当的工具，检测通过网络传递的数据操作可能很困难。在某些情况下，完整性验证检查（例如文件散列）可能会在关键文件通过网络时用于它们。对于涉及数据传输的一些关键过程，手动或带外完整性检查可能有助于识别被操纵的数据。

子技术3: T1565.003 Runtime Data Manipulation 运行时数据操纵

描述

攻击者可能会修改系统，以便在数据被访问和显示给最终用户时对其进行操作。通过操纵运行时数据，攻击者可能会试图影响业务流程、组织理解和决策制定。

攻击者可能会更改用于显示数据的应用程序二进制文件，以引起运行时操作。攻击者也可能进行更改默认文件关联和伪装以产生类似的效果。修改的类型及其将产生的影响取决于目标应用程序和过程以及对手的目标和目的。对于复杂的系统，攻击者可能需要特殊的专业知识，并可能需要访问与系统相关的专用软件，这通常是通过长时间的信息收集活动获得的，以便产生预期的影响。

缓解措施

M1030 Network Segmentation 网络分割

M1022 Restrict File and Directory Permissions 限制文件和目录权限

检测

检查重要的应用程序二进制文件哈希、位置和修改是否存在可疑/意外值。

T1491 Defacement

描述

攻击者可能会修改企业网络内部或外部可用的视觉内容。污损的原因包括传递信息、恐吓或声称（可能是虚假的）入侵的功劳。令人不安或令人反感的图像可能会被用作Defacement的一部分，以引起用户不适，或迫使他们遵守伴随的消息。

缓解措施

M1053 Data Backup 数据备份

检测

1、监控内部和外部网站是否有计划外的内容更改。

2、监视应用程序日志中可能表明尝试或成功利用的异常行为。（监控日志）

3、使用深度数据包检查来查找常见漏洞利用流量的工件，例如 SQL 注入。（IDPS）

子技术1: T1491.001 Internal Defacement 内部污染

描述：

攻击者可能会破坏组织内部的系统，以试图恐吓或误导用户。这可能采取修改内部网站的形式，或通过更换桌面墙纸直接修改用户系统。[1]令人不安或令人反感的图像可能会被用作内部污损的一部分，以引起用户不适，或迫使用户遵守附带的消息。由于内部破坏系统暴露了对手的存在，它通常发生在其他入侵目标已经完成之后。（对桌面，图标等内部资源进行修改，发生在渗透成功之后，有宣誓主权，示威之意，例如Lazarus Group会修改受害者桌面，熊猫烧香病毒会修改受害者系统图标）

缓解措施：

M1053 Data Backup 数据备份

检测：

1、监控内部和外部网站是否有计划外的内容更改。

2、监视应用程序日志中可能表明尝试或成功利用的异常行为。（监控日志）

3、使用深度数据包检查来查找常见漏洞利用流量的工件，例如 SQL 注入。（IDPS）

4、Web 应用程序防火墙可能会检测到试图利用的不当输入。（WAF）

子技术2: T1491.002 External Defacement 外部污染

描述

攻击者可能会破坏组织外部的系统，以试图传递消息、恐吓或以其他方式误导组织或用户。面向外部的网站是污损的常见受害者；经常成为对手和黑客组织的目标，以推动政治信息或传播宣传。 外部污损可用作触发事件的催化剂，或作为对组织或政府采取的行动的回应。同样，网站篡改也可能被用作未来攻击（例如Drive-by Compromise ）的设置或前兆。

缓解措施：

M1053 Data Backup 数据备份

检测：

1、监控内部和外部网站是否有计划外的内容更改。

2、监视应用程序日志中可能表明尝试或成功利用的异常行为。（监控日志）

3、使用深度数据包检查来查找常见漏洞利用流量的工件，例如 SQL 注入。（IDPS）

4、Web 应用程序防火墙可能会检测到试图利用的不当输入。（WAF）

T1561 Disk Wipe 擦除磁盘

描述

攻击者可能会修改企业网络内部或外部可用的视觉内容。污损的原因包括传递信息、恐吓或声称（可能是虚假的）入侵的功劳。令人不安或令人反感的图像可能会被用作Defacement的一部分，以引起用户不适，或迫使他们遵守伴随的消息。

缓解措施

M1053 Data Backup 数据备份

检测

1、监控内部和外部网站是否有计划外的内容更改。（对比网站hash）

2、监视应用程序日志中可能表明尝试或成功利用的异常行为。（监控日志）

3、使用深度数据包检查来查找常见漏洞利用流量的工件，例如 SQL 注入。（IDPS）

4、Web 应用程序防火墙可能会检测到试图利用的不当输入。（WAF）

T1499 Endpoint Denial of Service 终端拒绝服务

描述

攻击者可能会执行端点拒绝服务 (DoS) 攻击，以降低或阻止对用户的服务可用性。端点 DoS 可以通过耗尽这些服务托管的系统资源或利用系统导致持续崩溃条件来执行。示例服务包括网站、电子邮件服务、DNS 和基于 Web 的应用程序。已经观察到攻击者出于政治目的并支持其他恶意活动，包括分散注意力、黑客行为和敲诈勒索而进行 DoS 攻击。

端点 DoS 拒绝服务的可用性，但不会使用于提供对服务的访问的网络饱和。攻击者可以针对托管在用于提供服务的系统上的应用程序堆栈的各个层。这些层包括操作系统 (OS)、服务器应用程序（例如 Web 服务器、DNS 服务器、数据库）以及位于它们之上的（通常基于 Web 的）应用程序。攻击每一层需要不同的技术，这些技术利用了各个组件独有的瓶颈。DoS 攻击可能由分布在 Internet 上的单个系统或多个系统产生，这通常称为分布式 DoS (DDoS)。

为了对端点资源执行 DoS 攻击，有几个方面适用于多种方法，包括 IP 地址欺骗和僵尸网络。

攻击者可能会使用攻击系统的原始 IP 地址，或欺骗源 IP 地址，使攻击流量更难追溯到攻击系统或启用反射。这会降低或消除网络防御设备上源地址过滤的有效性，从而增加防御者防御攻击的难度。

僵尸网络通常用于对网络和服务进行 DDoS 攻击。大型僵尸网络可以从遍布全球互联网的系统中产生大量流量。攻击者可能拥有建立和控制自己的僵尸网络基础设施的资源，或者可能在现有僵尸网络上租用时间进行攻击。在 DDoS 的一些最糟糕的情况下，使用了很多系统来生成请求，每个系统只需要发送少量流量即可产生足够的流量来耗尽目标的资源。在这种情况下，将 DDoS 流量与合法客户端区分开来变得极其困难。

在使用流量操纵的情况下，全球网络中的某些点（例如高流量网关路由器）可能会更改数据包并导致合法客户端执行将网络数据包大量导向目标的代码。这种类型的功能以前用于网络审查，其中客户端 HTTP 流量被修改为包含对 JavaScript 的引用，该引用生成 DDoS 代码以压倒目标 Web 服务器。

缓解措施

M1037 Filter Network Traffic 过滤网络流量

利用CDN或专门从事 DoS 缓解的提供商提供的服务来过滤服务上游的流量。通过阻止发起攻击的源地址、阻止目标端口或阻止用于传输的协议来过滤边界流量。要防御 SYN 泛洪，请启用 SYN Cookie。

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

3、除了网络级别的检测之外，端点日志记录和检测也可用于检测。以 Web 应用程序为目标的攻击可能会在 Web 服务器、应用程序服务器和/或数据库服务器中生成可用于识别攻击类型的日志。

4、从外部监控终端 DoS 可能针对的服务的可用性。

子技术1: T499.001 OS Exhaustion Flood 操作系统耗尽泛洪

描述

攻击者可能会以操作系统 (OS) 为目标进行 DoS 攻击，因为 (OS) 负责管理系统上的有限资源。这些攻击不需要耗尽系统上的实际资源，因为它们可以简单地耗尽操作系统自我施加的限制，以防止整个系统因对其容量的过度需求而不堪重负。

存在不同的实现方式，包括 TCP 状态耗尽攻击，例如 SYN 泛洪和 ACK 泛洪。对于 SYN 泛洪，发送了过多的 SYN 数据包，但 3 次 TCP 握手从未完成。因为每个操作系统都有允许的最大并发 TCP 连接数，这会很快耗尽系统接收新 TCP 连接请求的能力，从而阻止访问服务器提供的任何 TCP 服务。

ACK 泛洪利用 TCP 协议的有状态特性。大量的 ACK 数据包被发送到目标。这会强制操作系统在其状态表中搜索已建立的相关 TCP 连接。由于 ACK 数据包用于不存在的连接，因此操作系统必须搜索整个状态表以确认不存在匹配项。当需要对大量数据包执行此操作时，计算要求可能会导致服务器变得缓慢和/或无响应，因为它必须执行消除恶意 ACK 数据包的工作。这大大减少了可用于提供目标服务的资源。

缓解措施

M1037 Filter Network Traffic 过滤网络流量

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

子技术2: T1499.002 Service Exhaustion Flood 服务耗尽泛洪

描述

攻击者可能会针对系统提供的不同网络服务进行 DoS。攻击者通常以 DNS 和 Web 服务为目标，但也有其他目标。Web 服务器软件可以通过多种方式受到攻击，其中一些方式普遍适用，而另一些方式则特定于用于提供服务的软件。

这种类型的攻击的一个例子被称为简单的 HTTP 泛洪，攻击者向 Web 服务器发送大量 HTTP 请求以压倒它和/或在它上面运行的应用程序。这种洪水依赖原始数据量来实现目标，耗尽了受害软件提供服务所需的各种资源中的任何一种。

另一种变体称为 SSL 重新协商攻击，它利用 SSL/TLS 中的协议功能。SSL/TLS 协议套件包括客户端和服务器就用于后续安全连接的加密算法达成一致的机制。如果启用 SSL 重新协商，则可以请求重新协商加密算法。在重新协商攻击中，攻击者建立 SSL/TLS 连接，然后继续提出一系列重新协商请求。由于加密重新协商在计算周期中具有显着的成本，因此在批量完成时可能会影响服务的可用性。

缓解措施

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

3、除了网络级别的检测之外，端点日志记录和检测也可用于检测。以 Web 应用程序为目标的攻击可能会在 Web 服务器、应用程序服务器和/或数据库服务器中生成可用于识别攻击类型的日志。

4、从外部监控端点 DoS 可能针对的服务的可用性。

子技术3:T1499.003 Application Exhaustion Flood 应用耗尽泛洪

描述

攻击者可能会以 Web 应用程序的资源密集型功能为目标，以导致拒绝服务 (DoS)。Web 应用程序中的特定功能可能是高度资源密集型的。对这些功能的重复请求可能会耗尽系统资源并拒绝对应用程序或服务器本身的访问。

缓解措施

M1037 Filter Network Traffic 过滤网络流量

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

3、除了网络级别的检测之外，端点日志记录和检测也可用于检测。以 Web 应用程序为目标的攻击可能会在 Web 服务器、应用程序服务器和/或数据库服务器中生成可用于识别攻击类型的日志。

子技术4:T1499.004 Application or System Exploitation 应用或系统漏洞

描述

攻击者可能会利用可能导致应用程序或系统崩溃并拒绝用户使用的软件漏洞。某些系统可能会在发生崩溃时自动重新启动关键应用程序和服务，但它们很可能会被重新利用以导致持久的 DoS 条件。

缓解措施

M1037 Filter Network Traffic 过滤网络流量

检测

1、检测 Web 服务器、应用程序服务器和/或数据库服务器中可用于识别攻击类型的日志。

2、从外部监控端点 DoS 可能针对的服务的可用性。

T1495 Firmware Corruption 固件损坏

描述

攻击者可能会覆盖或损坏系统 BIOS 或连接到系统的设备中的其他固件的闪存内容，以使它们无法运行或无法启动。固件是从硬件设备上的非易失性存储器加载和执行以初始化和管理设备功能的软件。这些设备可能包括主板、硬盘驱动器或视频卡。

缓解措施:

M1046 Boot Integrity 引导完整性

检查现有 BIOS 和设备固件的完整性，以确定它是否容易受到修改。

M1026 Privileged Account Management 特权账户管理

防止对手访问特权帐户或访问更换系统固件所需的权限。

M1051 Update Software 更新软件

根据需要修补 BIOS 和其他固件，以防止成功使用已知漏洞。

检测:

可以检测到系统固件操作。记录读取/写入 BIOS 的尝试并与已知的修补行为进行比较。

T1490 Inhibit System Recovery 禁止系统恢复

描述

攻击者可能会删除或移除内置的操作系统数据，并关闭旨在帮助恢复损坏系统的服务以防止恢复。操作系统可能包含有助于修复损坏系统的功能，例如备份目录、卷影副本和自动修复功能。攻击者可能会禁用或删除系统恢复功能，以增强数据破坏和数据加密的影响。
攻击者使用了许多本机 Windows 实用程序来禁用或删除系统恢复功能：

• vssadmin.exe 可用于删除系统上的所有卷影副本 - vssadmin.exe delete shadows /all /quiet
• Windows Management Instrumentation可用于删除卷影副本 -wmic shadowcopy delete
• wbadmin.exe 可用于删除 Windows 备份目录 - wbadmin.exe delete catalog -quiet
• bcdedit.exe 可用于通过修改启动配置数据来禁用自动 Windows 恢复功能 - bcdedit.exe /set {{default}} bootstatuspolicy ignoreallfailures & bcdedit /set {{default}} recoveryenabled no

缓解措施

M1053 Data Backup 数据备份

M1028 Operating System Configuration 操作系统配置

考虑技术控制以防止禁用服务或删除涉及系统恢复的文件。

检测

1、使用进程监控来监控与禁止系统恢复相关的二进制文件的执行和命令行参数，例如 vssadmin、wbadmin 和 bcdedit。

2、Windows 事件日志，例如。指示系统目录已被删除的事件 ID 524 可能包含与可疑活动相关的条目。

3、监控系统恢复中涉及的服务的状态。监视注册表以了解与系统恢复功能相关的更改（例如：创建HKEY_CURRENT_USER\Software\Policies\Microsoft\PreviousVersions\DisableLocalPage）。

T1498 Network Denial of Service 网络拒绝服务

描述

攻击者可能会执行网络拒绝服务 (DoS) 攻击，以降低或阻止目标资源对用户的可用性。网络 DoS 可以通过耗尽服务所依赖的网络带宽来执行。示例资源包括特定网站、电子邮件服务、DNS 和基于 Web 的应用程序。已经观察到攻击者出于政治目的进行网络 DoS 攻击并支持其他恶意活动，包括分散注意力、黑客行为和勒索。

当与系统的网络连接的带宽容量因指向资源或资源所依赖的网络连接和网络设备的恶意流量而耗尽时，就会发生网络 DoS。例如，攻击者可能会将 10Gbps 的流量发送到由具有 1Gbps 互联网连接的网络托管的服务器。这种流量可以由分布在 Internet 上的单个系统或多个系统生成，这通常称为分布式 DoS (DDoS)。

执行网络 DoS 攻击的几个方面适用于多种方法，包括 IP 地址欺骗和僵尸网络。

攻击者可能会使用攻击系统的原始 IP 地址，或欺骗源 IP 地址，使攻击流量更难追溯到攻击系统或启用反射。这会降低或消除网络防御设备上源地址过滤的有效性，从而增加防御者防御攻击的难度。

对于直接针对托管系统的 DoS 攻击，请参阅端点拒绝服务。

缓解措施

M1037 Filter Network Traffic 过滤网络流量

当泛洪量超过目标网络连接的容量时，通常需要拦截上游传入的流量，以从合法流量中过滤掉攻击流量。此类防御可由ISP，CDN或专门从事 DoS 缓解的提供商提供。

根据泛洪量，本地过滤可以通过阻止发起攻击的源地址、阻止目标端口或阻止用于传输的协议来实现。

由于立即响应可能需要第三方的快速参与，因此分析与受网络 DoS 攻击影响的关键资源相关的风险，并创建灾难恢复计划/业务连续性计划以响应事件。

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

子技术1: T1498.001 Direct Network Flood 直接网络泛洪

描述

攻击者可能会尝试通过直接向目标发送大量网络流量来导致拒绝服务 (DoS)。直接网络泛洪是指使用一个或多个系统向目标服务的网络发送大量网络数据包。几乎任何网络协议都可以用于泛洪。通常使用无状态协议，例如 UDP 或 ICMP，但也可以使用有状态协议，例如 TCP。

僵尸网络通常用于对网络和服务进行网络泛洪攻击。大型僵尸网络可以从遍布全球互联网的系统中产生大量流量。攻击者可能拥有建立和控制自己的僵尸网络基础设施的资源，或者可能在现有僵尸网络上租用时间进行攻击。在分布式 DoS (DDoS) 的一些最坏情况下，使用了许多系统来生成洪水，以至于每个系统只需要发送少量流量即可产生足够的流量来使目标网络饱和。在这种情况下，将 DDoS 流量与合法客户端区分开来变得极其困难。

缓解措施

M1037 Filter Network Traffic 网络流量过滤

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在攻击开始时检测攻击。

子技术2: T498.002 Reflection Amplification 反射放大

描述

攻击者可能会试图通过向目标反射大量网络流量来导致拒绝服务。这种类型的网络 DoS 利用第三方服务器中介，该中介托管并将响应给定的欺骗源 IP 地址。这种第三方服务器通常称为反射器。攻击者通过使用受害者的欺骗地址向反射器发送数据包来完成反射攻击。与 Direct Network Floods 类似，可能会使用多个系统来进行攻击，或者可能会使用僵尸网络。同样，一个或多个反射器可用于将流量集中在目标上。

反射攻击通常利用响应大于请求的协议来放大其流量，通常称为反射放大攻击。攻击者可能会增加攻击流量，这比发送到放大器的请求大几个数量级。这种增加的程度将取决于许多变量，例如所讨论的协议、使用的技术以及实际产生攻击量放大的放大服务器。启用反射放大洪水的两个突出协议是 DNS和 NTP ，尽管已经记录了在野外使用其他几个协议。特别是，memcache 协议显示出自己是一个强大的协议，其放大大小高达请求数据包的 51,200 倍。

注（由于反射型Dos的存在，导致很多正常服务的服务器被误判为攻击机器）

缓解措施

M1037 Filter Network Traffic 网络流量过滤

检测

1、典型的网络吞吐量监控工具（例如 netflow、SNMP 和自定义脚本）可用于检测网络流量的突然增加。

2、对网络流量的实时、自动化和定性研究可以识别一种协议类型的突然激增，可用于在反射放大 DoS 事件开始时检测它

T1496 Resource Hijacking 资源劫持

描述

资源劫持的一个常见目的是进行挖矿并赚取虚拟货币。攻击者可能会消耗大量的系统资源，给受影响机器的可用性带来严重的负面效应。服务器和基于云的系统是常见的目标，因为这些机器可用资源的潜力很大，但用户终端系统也可能受到损害并用于资源劫持和加密货币挖掘。由于通过公开的 API 布署挖矿程序以及在环境或集群中部署多个容器来挖矿很容易，容器化的环境也可能成为目标。

此外，一些加密货币挖掘恶意软件会终止竞争恶意软件的进程，以确保它不会竞争资源。

检测

1、考虑监控进程资源使用情况，以确定与恶意劫持计算机资源（例如 CPU、内存和图形处理资源）相关的异常活动。

2、监控与加密货币挖掘软件相关的网络资源的可疑使用。

3、监视本地系统上可能表明危害和资源使用情况的常见加密挖掘软件进程名称和文件。

4、（IDPS有针对挖矿协议的规则，在生产环境下出现挖矿流量可以确定为恶意行为）

5、利用威胁情报服务，对矿产IP，Domain进行监控。

T1489 Service Stop 停止服务

描述

攻击者可能会停止或禁用系统上的服务，以使合法用户无法使用这些服务。停止关键服务或流程可以抑制或停止对事件的响应，或有助于攻击者实现对环境造成破坏的总体目标。

攻击者可以通过禁用对组织非常重要的个别服务来实现这一点，例如MSExchangeIS，这将使 Exchange 内容无法访问。在某些情况下，攻击者可能会停止或禁用许多或所有服务，从而使系统无法使用。服务或进程可能不允许在运行时修改其数据存储。攻击者可能会停止服务或进程，以便对Exchange 和 SQL Server 等服务的数据存储进行数据破坏或加密数据。

缓解措施

M1030 Network Segmentation 网络分割

在与生产环境不同的网络上运行入侵检测、分析和响应系统，以减少攻击者看到和干扰关键响应功能的机会。

M1022 Restrict File and Directory Permissions 限制文件和目录权限

确保适当的流程和文件权限到位，以防止攻击者禁用或干扰关键服务。

M1024 Restrict Registry Permissions 限制注册表权限

确保适当的注册表权限到位，以防止攻击者禁用或干扰关键服务。

M1018 User Account Management 用户账户管理

限制用户帐户和组的权限，以便只有经过授权的管理员才能与服务更改和服务配置进行交互。

检测

1、监视进程和命令行参数以查看关键进程是否终止或停止运行。

2、监视与高重要性服务相对应的服务和启动程序的修改编辑。查找与已知软件、补丁周期等无关的服务更改。Windows 服务信息存储在注册表中，地址为HKLM\SYSTEM\CurrentControlSet\Services。Systemd 服务单元文件存储在 /etc/systemd/system、/usr/lib/systemd/system/ 和 /home/.config/systemd/user/ 目录中，以及相关的符号链接。

3、更改服务二进制路径或更改为禁用的服务启动类型可能是可疑的。

4、具有内置功能的远程访问工具可以直接与 Windows API 交互，以在典型系统实用程序之外执行这些功能。例如，ChangeServiceConfigW可能被攻击者用来阻止服务启动。[1]

T1529 System Shutdown/Reboot 关闭/重启系统

描述

攻击者可能会关闭/重新启动系统以中断对这些系统的访问或帮助破坏这些系统。操作系统可能包含启动机器关机/重启的命令。在某些情况下，这些命令还可用于启动远程计算机的关闭/重新启动。关闭或重新启动系统可能会中断合法用户对计算机资源的访问。

攻击者可能会在以其他方式（例如磁盘结构擦除或禁止系统恢复）影响系统后尝试关闭/重新启动系统，以加速对系统可用性的预期影响。

检测

1、使用进程监控来监控关闭或重启系统所涉及的二进制文件的执行和命令行参数。

2、Windows 事件日志还可以指定与关机/重启相关的活动，例如。事件 ID 1074 和 6006。