ATT&CK介绍
介绍
MITRE 于 2013 年启动了 ATT&CK,以记录高级持续性威胁用于 Windows 企业网络的常见策略、技术和程序 (TTP)。
MITRE ATT&CK 是一个全球可访问的基于真实世界观察的对手战术和技术知识库。
- 战术:对手的战术目标(攻击的意图) 如:侦察,初始访问
- 技术:采取的行动(实现攻击意图的方法) 如:主机扫描,收集网络信息
- 程序:实施攻击的具体过程。 如: 使用nmap命令。
ATT&CK 知识库用作私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。
MITRE(The MITRE Corporation)是一家非营利性的美国研究和技术组织,成立于1958年,最初从麻省理工学院林肯实验室分离出来。该组织在众多关键领域为美国政府提供系统工程、研究开发和信息技术支持服务,尤其以网络安全、国防技术、航空系统、医疗保健、生物识别技术和公共政策分析等方面的研究与应用闻名。
相关成果有: Common Vulnerabilities and Exposures (CVE) 编号系统。ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)框架。
子分类
根据技术领域划分,官方分为
- ATT&CK for Enterprise 适用于windows,linux,mac,云平台相关的技术与战术部分。
- ATT&CK for Mobile 适用于应用领域的战术与技术
- ATT&CK for ICS 适用于工业控制系统领域。
应用场景
1. ATT&CK是一种构建对手仿真场景的框架。(基于真实数据得到的知识库)
- 具有适用性,适用于真实环境
- 攻击抽象,可根据战术,技术分析对手交互行为。
- 将行为与实际操作关联,可以映射到具体程序。
- 针对每个场景都提出了相应的缓解措施。
ATT&CK 成为对手仿真团队规划事件和检测团队验证其进度的首选工具。
caldera就是一款对手仿真的工具,可以模拟对手在待检测网络的一系列活动。可检测目标环境的防御能力,并可测量的显示检测能力。
2.可视化ATT&CK矩阵
用于显示环境的防御覆盖、安全产品中的检测能力。
红队攻击的技术覆盖范围等。
3.网络威胁情报
用于集成网络威胁情报 (CTI)
相对于基于指标的 CTI 摘要方法不同,ATT&CK 根据公开可用的报告记录对手群体行为概况。
具体内容
14个战术。
企业级的ATT&CK有的战术包括侦察(Reconnaissance)、资源开发(Resource Development)、初始访问(Initial Access)、执行(Execution)、持久性(Persistence)、权限提升(Privilege Escalation)、防御绕过(Defense Evasion)、凭证访问(Credential Access)、发现(Discovery)、横向移动(Lateral Movement)、收集(Collection)、命令与控制(Command and Control)、外泄(Exfiltration)和影响(Impact)
reconnaissance /rɪˈkɑːnɪsns/ 侦察
对手正试图收集他们可以用来规划未来行动的信息。这包括像扫描受害者、在数据库中查找、收集受害者人员的信息,以及收集他们为了行动成功所需要各种信息。
Resource Development 资源开发
是对手开始将这些侦察情报发现转化为支持他们行动所需的资源。这包括像编写恶意软件、注册域名、购买 VPN 等服务。
Initial Access 初始访问。
初始访问包括了对手获得企业内部初步立足点的各种入口向量技术。这些可能包括像网络钓鱼、对手进入供应链、对手采取进入环境的第一步的各种手段。
Execution 执行。
执行包括了导致对手控制的代码在受害者系统上运行的技术。这些可能是像缓冲区溢出,或者仅仅是用户点击了恶意软件。
Persistence 持久性。
持久性是对手用来保持对系统的访问的技术。这可能是在系统重启后,也可能是在凭据变更或其他可能切断他们访问的中断之后。因此,这些可能是确保恶意软件在重启后重新启动,确保未来尝试进入环境的访问权限开放,以及对手为了确保他们能够以后再次进入而做的任何其他事情。
Privilege Escalation /ˈprɪvəlɪdʒ/ /ˌeskəˈleɪʃn/ 提权。
提权是对手用来在系统或网络上获得更高权限的技术。通常情况下,对手想要做的事情,通常是在其他战术中,他们需要成为管理员,他们需要成为根用户,他们需要成为系统用户,他们需要超越普通用户的身份,以便能够实现那些目标。因此,提权是对手用来获得更高权限的不同技术。
Defense Evasion /ɪˈveɪʒn/ 防御绕过
这些是对手用来避免被发现的技术,也就是避开防御者。这可能包括像将他们的文件命名得像另一个常见的系统实用程序。这可能是像隐藏他们工具的存在,使其不被计算机上运行的各种安全系统发现。任何对手试图隐藏自己不被防御者发现的行为,我们都视为防御绕过。
Credential Access /krəˈdenʃl/ 凭据访问 16项技术
凭证访问技术是用来窃取凭证,如账户名和密码。为了进入网络上的其他系统,通常是为了横向移动,或者在某些情况下为了能够进行权限提升,对手需要密码。这可以通过许多不同的方式完成。它可以是从本地系统实际转储,或者从域控制器获取。任何对手转储凭证以在系统的其他地方使用的行为,我们都视为凭证访问。
Discovery 发现 30项技术
发现技术是对手可能用来获取有关系统和内部网络的知识。这可能是他们用来弄清楚他们降落在何处的技术。对手经常在他们首次进入一个系统后四处查看,以弄清楚“嘿,我在哪里?我是在我打算去的地方吗?”他们还想要能够进行横向移动,他们想要进入其他计算机。他们可能首先需要找到那些计算机。所以对手试图查看环境中的任何信息,我们都视为发现。
Lateral Movement /ˈlætərəl/ 横向移动 9项技术
横向移动是对手用来到达网络上的远程系统的技术。所以一旦对手进入企业,他们登陆的系统通常不是他们需要的系统,以获得完全控制或实现他们的最终目标,无论是他们来窃取的信息,还是他们试图造成的破坏,他们需要在实际登陆后进入其他系统。所以横向移动是对手可能会做的技术。它可以是通过远程桌面协议到另一个系统,可以是通过安全Shell在网络中移动,也可以是通过利用漏洞进入另一台计算机。任何对手移动到另一个系统的行为都是横向移动。
Collection 收集 17项技术
收集是对手用来搜集信息和他们打算在其他目标上跟进的来源的技术。所以这些包括像整理他们准备要外泄的信息。将这些信息汇总到一个单一的档案中,转移到一个系统中。所以对手在计算机或网络中搜集信息,以便他们可以进行更进一步的活动。
Command and Control 命令与控制 16项技术
命令与控制是对手用来与他们控制的系统和网络进行通信的技术。对手通常不会坐在他们正在入侵的计算机旁边。他们在某个远程地方,可能在另一个国家,他们必须有一些方法来实际控制他们已经进入的环境。所以这些技术能够真正地与受害者网络进行对话,或者能够将命令输入和输出,都属于命令与控制的范畴。
Exfiltration /ˌeksfɪl'treɪʃən/ 数据窃取 9项技术
外泄是对手发送数据的活动。这通常是对手的主要目标之一,侵犯机密性,窃取他们本不应该接触到的信息。而具体的外泄技术通常都属于外泄类别。
Impact 危害 13项技术
大多数对手试图窃取数据,试图破坏机密性,但如果你熟悉 CIA 三要素(机密性、完整性、可用性),我们知道安全有三个不同的目标。所以危害是三要素中的另外两部分,它是可用性和完整性。这些是对手用来破坏可用性或通过操纵业务和操作流程来损害完整性的技术。这就是你们的破坏性活动和操纵性活动。比如像勒索软件这样的,它通过在最终系统上加密数据,使得人们再也无访问不了这些数据,或者像操纵传输中的数据来窃取钱财。
技术/子技术
一个技术可能在ATT&CK多个战术阶段出现,如:劫持执行流程及其所有子技术都属于持久性攻击、权限提升、防御绕过的范畴。
因此对手执行某个行为可能会有多个不同的原因。
当我们分析一个叙述性的威胁报告时,有些行为可能与ATT&CK的范围不匹配,它可能是技术领域之外的某些东西。
而且,并不是所有可能映射的行为都是对手的恶意活动。上下文对于确定这一点非常关键,以及看看对手试图完成什么。这样你就可以看看对手使用的工具,以及这是否确实是一个敌对对手的使用?他们是否试图实现ATT&CK中的某种战术?同时,也并不是每一种可能的技术都被记录在案
为了将威胁情报映射到技术,可能需要查询网站,或报告中相应的技术细节,以及上下文关联。
要分析具体的技术/子技术,需要大量的学习或分析。
这个过程中,会学习对网络攻击的知识。
但是同时,每个分析者,甚至一个情报的不同报道可能都是有偏差的。可以通过交流合作这些情况出现的原因。
浙公网安备 33010602011771号