青藤 - 一文看懂 ATT&CK 框架以及使用场景实例在线下载,免费下载

79 Google 趋势显示，这个带着奇怪的“＆”符号的词语——ATT&CK 非常受欢迎。但是，MITRE ATT&CK ™的内涵是什么呢？为什么网络安全专家应该关注 ATT&CK 呢？ ATT&CK 框架背景介绍 MITRE 是美国政府资助的一家研究机构，该公司于 1958 年从 MIT 分离出来，并参与了许多商业项目和最高机密项目。其中包括开发 FAA 空中交通管制系统和 AWACS 机载雷达系统。MITRE 在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。 MITRE 在 2013 年推出了 ATT&CK 模型，它是根据真实的观察数据来描述和分类对抗行为。ATT&CK 将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。 MITRE ATT&CK 的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。在过去的一年中，MITRE ATT&CK 框架在安全行业中广受欢迎。简单来说，ATT&CK 是 MITRE 提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。 ATT&CK 会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。例如，对于甲方企业而言，平台和数据源非常重要，企业安全人员需要了解应该监控哪些系统以及需要从中收集哪些内容，才能减轻或检测由于入侵技术滥用造成的影响。这时候，ATT&CK 场景示例就派上用场了。针对每种技术都有具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的。 ATT&CK 每个示例都采用 Wikipedia 的风格，引用了许多博客和安全研究团队发表的文章。因此如果 ATT&CK 中没有直接提供内容，通常可以在这些链接的文章中找到。因此，现在很多企业都开始研究 ATT&CK，在这一过程中通常会看到企业组织采用两种方法。首先是盘点其安全工具，让安全厂商提供一份对照 ATT&CK 覆盖范围的映射图。尽管这是最简单、最快速的方法，但供应商提供的覆盖范围可能与企业实际部署工具的方式并不匹配。此外，也有些企业组织在按照战术逐项进行评估企业安全能力。以持久化战术为例，这些技术可能非常复杂，而且，仅仅缓解其中一部分技术，并不意味着攻击者无法以其它方式滥用这项技术。一文看懂 ATT&CK 框架以及使用场景实例 ATT&CK 框架的热度增长趋势ATT&CK专栏80 MITRE ATT&CK 与 Kill Chain 的对比总体来说，ATT&CK 模型是在洛克希德 - 马丁公司提出的 Kill Chain 模型的基础上，构建了一套更细粒度、更易共享的知识模型和框架。目前 ATT&CK 模型分为三部分，分别是 PRE-ATT&CK、ATT&CK for Enterprise 和 ATT&CK for Mobile。其中 PRE- ATT&CK 覆盖 Kill Chain 模型的前两个阶段，包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。 ATT&CK for Enterprise 覆盖 Kill Chain 的后五个阶段，ATT&CK for Enterprise 由适用于 Windows、Linux 和 MacOS 系统的技术和战术部分。ATT&CK for Mobile 包含适用于移动设备的战术和技术。但是，ATT&CK 的战术跟洛克希德·马丁的网络杀伤链不一样，并没有遵循任何线性顺序。相反，攻击者可以随意切换战术来实现最终目标。没有一种战术比其它战术更重要。企业组织必须对当前覆盖范围进行分析，评估组织面临的风险，并采用有意义措施来弥合差距。除了在 Kill Chain 战术上更加细化之外，ATT&CK 还描述了可以在每个阶段使用的技术，而 Kill Chain 则没有这些内容。 ATT&CK 框架使用方式从视觉角度来看，MITRE ATT&CK 矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列。一种战术可能使用多种技术。例如，攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。 ATT&CK 战术按照逻辑分布在多个矩阵中，并以“初始访问”战术开始。例如：发送包含恶意附件的鱼叉式网络钓鱼邮件就是该战术下的一项技术。 ATT&CK 中的每种技术都有唯一的 ID 号码，例如，此处所使用的技术 T1193。矩阵中的下一个战术是 “执行” 。在该战术下，有 “用户执行 / T1204” 技术。该技术描述了在用户执行特定操作期间执行的恶意代码。在矩阵中后面的阶段中，您将遇到“提升特权”、“横向移动”和“渗透”之类的战术。 MITRE ATT&CK 矩阵顶部一行为攻击战术，每一列下面包含多项技术ATT&CK专栏81 攻击者无需使用矩阵顶部所示的所有 12 项战术。相反，攻击者会使用最少数量的战术来实现其目标，因为这可以提高效率并且降低被发现的几率。例如，对手使用电子邮件中传递的鱼叉式网络钓鱼链接对 CEO 行政助理的凭据进行“初始访问”。获得管理员的凭据后，攻击者将在 “发现” 阶段寻找远程系统。接下来可能是在 Dropbox 文件夹中寻找敏感数据，管理员对此也有访问权限，因此无需提升权限。然后攻击者通过将文件从 Dropbox 下载到攻击者的计算机来完成收集。 ATT&CK 导航工具 ATT&CK 导航工具是一个很有用的工具，可用于映射针对 ATT&CK 技术的控制措施。可以添加不同的层，来显示特定的检测控制措施、预防控制措施甚至观察到的行为。导航工具可以在线使用，快速搭建模型或场景，也可以下载下来，进行内部设置，作为一个持久化的解决方案。下文，笔者将针对 ATT&CK 框架中的 12 种战术的中心思想以及如何缓解和检测战术中的某些技术进行一些解读。初始访问尽管 ATT&CK 并不是按照任何线性顺序排列的，但初始访问是攻击者在企业环境中的立足点。对于企业来说，该战术是从 PRE-ATT&CK 到 ATT&CK 的理想过渡点。攻击者会使用不同技术来实现初始访问技术。例如，假设攻击者使用 Spearphishing（鱼叉式）附件。附件本身将利用某种类型的漏洞来实现该级别的访问，例如 PowerShell 或其它脚本技术。如果执行成功，可以让攻击者采用其它策略和技术来实现其最终目标。幸运的是，由于这些技术众所周知，因此有许多技术和方法可用于减轻和检测每种技术的滥用情况。此外，安全人员也可以将 ATT&CK 和 CIS 控制措施相结合，这将发挥更大作用。对于初始访问这种战术，我认为其中三项 CIS 控制措施能发挥极大作用。（1）控制措施 4：控制管理员权限的使用。如果攻击者可以成功使用有效帐户或让管理员打开 spearphishing 附件，后续攻击将变得更加轻松。攻击示例（攻击中使用了不同战术中的技术） ATT&CK专栏82 （2）控制措施 7：电子邮件和 Web 浏览器保护。由于这些技术中的许多技术都涉及电子邮件和、Web 浏览器的使用，因此，控制措施 7 中的子控制措施将非常有用。（3）控制措施 16：帐户监视和控制。充分了解帐户应执行的操作并锁定权限，不仅有助于限制数据泄露造成的损害，还可以发挥检测网络中有效帐户滥用的功能。初始访问是攻击者将在企业环境中的落脚点。想要尽早终止攻击，那么“初始访问”将是一个很合适的起点。此外，如果企业已经采用了 CIS 控制措施并且正在开始采用 ATT&CK 的方法，这将会很有用。执行在对手在进攻中所采取的所有战术中，应用最广泛的战术莫过于“执行”。攻击者在考虑现成的恶意软件、勒索软件或 APT 攻击时，他们都会选择 “执行” 。由于恶意软件必须运行，因此防御者就有机会阻止或检测到它。但是，并非所有恶意软件都是可以用杀毒软件轻松查找其恶意可执行文件。此外，对于命令行界面或 PowerShell 对于攻击者而言非常有用。许多无文件恶意软件都专门利用了其中一种技术或综合使用这两种技术。这些类型的技术对攻击者的威力在于，终端上已经安装了上述技术，而且很少会删除。系统管理员和高级用户每天都依赖其中一些内置工具。ATT&CK 中的缓解控制措施甚至声明了，这些控制措施也无法删除上述技术，只能对其进行审计。而攻击者所依赖的就是，终端上安装采用了这些技术，因此要获得对攻击者的优势，只能对这些技术进行审计，然后将它们相关数据收集到中央位置进行审核。最后，应用白名单是缓解恶意软件攻击时最有用的控制措施。但和任何技术一样，这不是解决所有问题的灵丹妙药。但是，应用白名单会降低攻击者的速度，并且还可能迫使他们逃离舒适区，尝试其它策略和技术。当攻击者被迫离开自己的舒适区之外时，他们就有可能犯错。如果企业当前正在应用 CIS 关键安全控制措施，该战术与控制措施 2——已授权和未授权软件清单非常匹配。从缓解的角度来看，