软件供应链攻击技术矩阵


资源

开发

初始

 入侵  

执行

持久

控制

权限

提升

躲避

防御

获取合法凭据访问

探测

发现

横向

攻击

收集

数据

窃取

危害
主动扫描账户创建

利用有效帐户

利用命令和脚本解释器

利用有效帐户

有效帐户

伪装

凭据转储

帐户发现

第三方软件部署工具

静态未加密数据

攻击者限制数据传输大小

资源劫持

收集目标主机信息账户入侵

外部远程服务

利用第三方软件部署工具

帐户操作

绕过用户帐户控制

损害防御机制或组件

暴力破解

密码策略发现

内置钓鱼攻击

传输时未加密的数据

绕过出站流量限制

数据破坏

收集目标身份信息恶意开发

利用授信关系

用户执行

创建账户

操作访问令牌

操作访问令牌

览器中间人

权限组发现

备用身份验证材料盗取

弱加密

web hook

数据操作

收集目标组织信息恶意获取

路过式攻击

容器安全

操作访问令牌

滥用权限提升控制机制

受信任的开发人员工具(内容需扩展)【重新考虑

强制身份验证


远程服务
源代码Dos网络拒绝服务攻击
网络钓鱼获取信息受损的合法工件网络钓鱼SQL 注入计划任务/作业利用软件漏洞提权解混淆/解码文件或信息不安全凭据
有效账户

无服务器工作负载配置错误
扫描公共制品或信息对开源存储库的恶意代码贡献窃取账户命令注入浏览器扩展高权限用户存储库中植入恶意依赖备用身份验证材料盗取密码存储凭据泄露
跨存储库推送植入物


发现使用的开源依赖项
利用面向公众的应用程序漏洞跨站点脚本固件修改
修改操作系统预启动伪造网络凭据






Typosquatting运行时后门外部远程服务
利用漏洞规避防御窃取Kerberos票证






组合仿冒包管理器威胁添加云凭证
滥用权限提升控制机制web会话cookie窃取






依赖关系混淆恶意工件执行植入容器镜像
清除防御指标窃取或伪造身份验证证书






第三方组件/扩展中的漏洞
代码中的后门
Saas蔓延窃取应用程序token令牌






品牌劫持
植入僵尸实例
配置错误日志泄露






影子IT
部署密钥

CI/CD日志中的密码






库劫持











暴露的公共制品或信息











CI/CD 威胁











恶意模块注入










软件供应链攻击技术矩阵

一个利用软件供应链攻击事件分析所得的技术矩阵,本技术矩阵基于事件分析、MITRE ATT&CK对抗战术和技术知识库以及OSC&R开放框架

本框架将软件供应链攻击中攻击者可能用到的战术、技术加以总结并尽可能与MITRE ATT&CK知识库对应起来,以此提供一种全面系统的方式来了解攻击者的行为与技术
软件供应链

软件供应链与供应链的流程类似:一个软件是由多个组件组成,涉及到软件供应商、软件开发人员、团队和其他公司的内部与外部系统。软件供应链指在软件开发中所涉及到的组件、开发流程、投入生产和最终软件产品分发的过程。