前言:

在2019年3月的RSA大会中,有超过10个议题讨论将ATT&CK用于攻击行为建模[1][2]、改进网络防御[3][4]、威胁狩猎[5]、红蓝对抗复盘[6]、攻击检测[7][8][9]方面的研究和分析,ATT&CK成为了此次大会中最热门的议题之一。在2019年6月的Gartner Security & Risk Management Summit会议中,ATT&CK被F-Secure评为十大关注热点[10]。ATT&CK俨然成为了2019年网络空间安全的一个火爆技术话题. 但到底和安全又有什么关系呢?确实需要从开始深入了解.

一、ATT&CK

1.1、MITRE介绍

MITRE:是一个非盈利组织,管理联邦政府资助的研发中心(FFRDCs),支持几个美国政府机构.其中CVE(漏洞数据库)- Common Vulnerabilities and Exposures(CVE)就是由MITRE维护;而本文介绍的ATT&CK工具/框架也是由其维护.

1.2、ATT&CK概述

官方介绍:

MITRE ATT&CK™ (Adversarial Tactics, Techniques, and Common Knowledge)is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community.

MITRE ATT&CK(全称:Adversarial Tactics, Techniques, and Common Knowledge)是基于现实世界的观察结果而提供的可在全球范围内获取的针对性战术和技术的知识库;ATT&CK知识库被应用于政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础.

1.3、ATT&CK模型

目前ATT&CK模型分为三部分:PRE-ATT&CK、ATT&CK for Enterprise、ATT&CK for Mobile,后续还会添加ATT&CK for Cloud.


ATT&CK在KillChain的覆盖情况
1.3.1、PRE-ATT&CK

PRE-ATT&CK:覆盖攻击链模型的前两个阶段;包含:优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力和分段能力.

1.3.2、ATT&CK for Enterprise

ATT&CK for Enterprise:覆盖攻击链的后五个阶段;包含:访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制.


ATT&CK包含的战术
1.3.3、ATT&CK for Mobile

ATT&CK for Mobile:主要针对传统企业PC与当前移动设备之间的安全架构差异,重点描述了攻击链模型七个阶段中面对移动威胁TTPs(tactics、techniques、and procedures TTPs;战术、技术和程序)的情况.

战术指的是ATT&CK的技术原因;是攻击者执行行动的战术目标,涵盖了攻击者在操作期间所做事情的标准和更高级别的表示.

技术指的是攻击者通过执行动作实现战术目标的方式,或者执行动作而获得的内容.


ATT&CK战术技术矩阵

更多参考官网:pdf

ATT&CK对各类战术和技术做了较为详细的定义可参考官网各战术详解:下图示例


ATT&CK定义的战术示例

ATT&CK定义的技术示例

1.4、T1060

T1060表示攻击技术:Registry Run Keys / Startup Folder的ID

描述:
在注册表或启动文件夹中向“运行键”添加条目,将导致在用户登录时执行引用的程序.这些程序将在用户的上下文环境中执行,并具有账户权限.T1060处于战术的持久化(Persistence)阶段,要利用该技术需要“用户”、“管理员”权限;检测该攻击技术所依赖的数据源有:Windows注册表和文件监控.

攻击技术的检测方法:
1)监控与已知软件、系统补丁等无关的注册表的变化;
2)监控启动文件夹的增加或改变;
3)如SysInternals AutoRuns(类似于Sysmon)之类的工具也可用于监控注册表和启动文件夹等相关内容的变化.

攻击技术的缓解方法:
1) 使用白名单工具适时识别并阻断尝试通过运行密钥或启动文件夹进行持久化的潜在恶意软件.

T1060内容简介

ATT&CK用于描述攻击者/组织(的行为)

1)找出感兴趣的攻击者/组织;
2)攻击者使用的技术和留下的痕迹;
3)基于情报进行溯源
ATT&CK可对APT攻击组织进行描述,在部分厂商的ATP分析报告中,也使用ATT&CK对攻击手法和过程进行描述.
如下图:APT18

二、ATT&CK应用

应用层,ATT&CK支持的用例

2.1、模拟攻击者攻击手法

指的是通过特定攻击者的威胁情报和攻击手法来模拟威胁的实施过程,进而评估某项防护技术的完备性.模拟攻击者的攻击手法侧重在验证检测或缓解在整个攻击过程中的攻击行为,ATT&CK可用作构建模拟攻击者攻击手法的场景的工具,来对常用的攻击者攻击技术进行测试和验证.

通过对攻击行为进行分解,将动态、复杂的攻击活动“降维”映射到ATT&CK模型中,极大降低攻击手法的描述和交流成本,进而在可控范围内对业务环境进行系统安全性测试

模拟攻击者攻击手法的使用方面,可以使用ATT&CK:
1)对攻击者在不同攻击阶段使用的攻击技术进行模拟;
2)对防护系统应对不同攻击手法的检测和防御效果进行测试;
3)针对具体的攻击事件进行详细的分析和模拟

APT3攻击手法
APT3攻击模拟

2.2、红蓝对抗

在不使用已知威胁情报的前提下,红队的最终目标是攻陷对方的网络和系统,而不被检测发现.ATT&CK则可以被红队用于制定和组织攻击计划的工具,以规避网络中可能的防御手段.另外,ATT&CK还可以用于研究攻击者的攻击路线,进而摸索出绕过普通防御检测手段的新方法.,


攻击路线映射(摘自网络)

2.3、行为分析开发

通过对攻击者的攻击行为进行检测分析,进而识别网络和系统中潜在的恶意活动,这种方法不依赖于已经识别的攻击工具特征和攻陷指标IoCs的信息,比传统的通过攻陷指标IoCs(Indicator of Compromise:攻陷指标)或恶意行为签名的方法更加灵活;ATT&CK可以用作构建攻击者攻击行为的工具,以检测环境中的攻击行为.

在实际应用方面,可以使用ATT&CK对攻击者的攻击手法进行对比,通过分析攻击者攻击手法的重叠情况,判断攻击是否由同一个组织发动的.


攻击手法对比(摘自网络)

2.4、内部防护评估

对企业在网络防护能力的不足方面进行评估;ATT&CK可看作一种以攻击者攻击行为为中心的模型,用于评估企业内部现有的检测、防护和缓解系统;确定防护差距后,指导安全增强的投资计划,进而改进和提升现有的系统.


评估防护差距(摘自网络)

2.5、SOC评估

利用ATT&CK,对企业的安全运营中心在网络入侵时的检测、分析和响应的有效性进行评估.


评估SOC(摘自网络)

2.6、网络威胁情报增强

将ATT&CK作为传统基于攻陷指标IoCs的情报应用的补充;网络威胁情报指的是影响网络安全的网络威胁和攻击者群体的知识,包括关联的恶意软件、工具、TTPs、行业、行为以及威胁相关的其它攻击指标信息;ATT&CK可从攻击组织行为角度对其进行理解和描述,分析和运维人员可以更好的理解攻击组织的共同行为,以采取更好地防御措施.


ATT&CK的检测方法

三、更多参考


[1] https://www.rsaconference.com/writable/presentations/file_upload/air-f01-use-model-to-deconstruct-threats-detect-intrusion-by-statistical-learning-final.pdf
[2] https://www.rsaconference.com/writable/presentations/file_upload/asd-f01-threat-modeling-in-2019.pdf
[3] https://www.rsaconference.com/events/us19/agenda/sessions/14753-att-ck-in-practice-a-primer-to-improve-your-cyber
[4] https://www.rsaconference.com/events/us19/agenda/sessions/15010-Lessons-from-Applying-MITRE-ATT&CK-in-the-Wild
[5] https://www.rsaconference.com/events/us19/agenda/sessions/17059-How-to-Evolve-Threat-Hunting-by-Using-the-MITRE-ATT&CK-Framework
[6] https://www.rsaconference.com/writable/presentations/file_upload/hta-t06_live_adversary_simulation-red_and_blue_team_tactics.pdf
[7] https://www.rsaconference.com/writable/presentations/file_upload/sbx4-w1-ics_scada_attack_detection_101.pdf
[8] https://www.rsaconference.com/events/ap19/agenda/sessions/7600-Lessons-Learned-from-Building-a-Global-Threat-Detection-Program-Ask-the-Expert-Roundtable
[9] https://www.rsaconference.com/writable/files/2019/us/al-shaer-approved.pdf
[10] https://blog.f-secure.com/ten-things-you-should-know-from-gartner-2019/
[11] https://www.sec-un.org/%E4%BB%8Eattck%E7%9C%8B%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E7%9A%84%E5%8F%91%E5%B1%95%E5%92%8C%E5%BA%94%E7%94%A8%E8%B6%8B%E5%8A%BF/
https://www.giantbranch.cn/2019/09/04/MITRE%20ATT&CK%20%E5%85%A5%E9%97%A8/
https://attack.mitre.org/

© Copyright 2019  

Powered by  si1ent  

皖ICP备19004273