1.前置介绍
1.1 MITRE公司背景
MITRE是美国政府资助的一家研究机构,号称地表最强乙方,该公司于1958年从MIT的林肯实验室分离出来,并参与了许多商业和最高机密项目。其中包括开发FAA空中交通管制系统、AWACS机载雷达系统和SAGE半自动地面防空系统等。MITR在美国国家标准技术研究所(NIST)的资助下从事了大量的网络安全实践。
1.2 ATT&CK背景
MITRE在2013年推出了ATT&CK模型,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。多用于模拟攻击、评估和提高防御能力、威胁情报提取和建模、威胁评估和分析。
MITRE ATT&CK的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表,它会详细介绍每一种技术的利用方式,以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术
1.2.1 TTP
TTP概念最初由美国国防部提出,可认为是一种对军事活动进行规范性描述的方法论框架。自概念引入网络安全领域起,TTP就经常被用于描述入侵攻击活动中攻击者的行为和活动方式。
- Tactics(战术):多指攻击者采取的攻击策略,包括通信与控制(C&C)、提权、横向移动等;
- Techniques(技术):多指攻击者为执行既定的攻击策略,所采用的技术手段,如对应通信与控制(C&C)策略的自定义通信与控制协议、数据混淆等具体技术;
- Procedures(过程):多指攻击者运用各类攻击技术的过程,包括实际行动中的阶段步骤、所用到的命令、工具和资源等。
MITRE在定义ATT&CK时,定义了一些关键对象:组织 (Groups)、软件 (Software)、技术 (Techniques)、战术 (Tactics)。
其中组织使用战术和软件,软件实现技术,技术实现战术。例如APT28(组织)使用Mimikatz(软件)达到了获得登录凭证的效果(技术)实现了以用户权限登录的目的(战术)。整个攻击行为又被称为TTP,是战术、技术、过程的集合。
1.2.2 结构化威胁信息表达式
STIX(Structured Threat Information Expression)是一个用于描述网络威胁信息的标准化语言。它由OASIS(Organization for the Advancement of Structured Information Standards)维护,旨在提供一种统一的方式来表达和共享威胁情报。
主要特点:
- 结构化数据模型:STIX使用一个结构化的数据模型来描述威胁情报,包括攻击者的动机、能力、活动、目标等。
- 可扩展性:STIX的设计是模块化和可扩展的,可以根据需要添加新的数据类型和属性。
- 互操作性:通过使用STIX,不同的安全工具和组织可以更容易地共享和理解威胁情报。
主要组件:
- 攻击模式(Attack Patterns):描述攻击者使用的技术和方法。
- 活动(Campaigns):描述一系列相关的攻击活动。
- 威胁行为者(Threat Actors):描述参与攻击的个人或组织。
- 工具(Tools):描述攻击者使用的软件或硬件工具。
- 恶意软件(Malware):描述用于攻击的恶意软件。
- 指标(Indicators):描述可用于检测攻击的特征,如IP地址、域名、文件哈希等。
1.2.3 指标信息的可信自动化交换
TAXII(Trusted Automated Exchange of Indicator Information)是一个用于共享威胁情报的通信协议。它同样由OASIS维护,旨在提供一种标准化的方式来自动化威胁情报的共享和分发。
主要特点:
- 标准化协议:TAXII定义了一组标准化的API和消息格式,用于威胁情报的共享。
- 安全性:TAXII支持安全的通信,包括身份验证、授权和加密。
- 互操作性:通过使TAXII,不同的安全工具和组织可以更容易地共享威胁情报。
主要组件:
- TAXII服务器:提供威胁情报的存储和分发服务。
- TAXII客户端:请求和接收威胁情报的实体。
- TAXII通道(Channels):用于威胁情报的发布和订阅。
- TAXII集合(Collections):用于组织和管理威胁情报数据。
1.2.4 总结(STIX/TAXII)
STIX和TAXII的关系:STIX定义了威胁情报的内容和结构,而TAXII定义了威胁情报的传输和共享方式。两者结合使用,可以实现威胁情报的标准化表达和自动化共享。 在ATT&CK中的应用:ATT&CK框架可以使用STIX来描述攻击者的战术、技术和程序(TTP),并通过TAXII来共享这些信息,从而帮助组织更好地理解和防御网络威胁。
在网络安全领域,STIX和TAXII是两个重要的标准。STIX用于标准化描述和表达威胁情报;TAXII用于标准化传输和共享威胁情报。通过结合STIX和TAXII实现威胁情报的表达和共享,组织可以更有效地共享和利用威胁情报,从而提高其网络安全防御能力。
1.3 ATT&CK矩阵
1.3.1 企业矩阵(Enterprise Matrix)
企业矩阵是 ATT&CK 框架中最广泛使用的部分,涵盖了针对企业环境的攻击战术和技术。它包括以下战术:
- 初始访问(Initial Access):攻击者如何首次进入目标网络。
- 执行(Execution):攻击者如何在目标系统上执行恶意代码。
- 持久性(Persistence):攻击者如何保持对目标系统的持续访问。
- 权限提升(Privilege Escalation):攻击者如何提升其权限以获得更高的访问级别。
- 防御规避(Defense Evasion):攻击者如何规避检测和防御机制。
- 凭证访问(Credential Access):攻击者如何获取凭证以访问目标系统。
- 发现(Discovery):攻击者如何收集目标系统和网络的信息。
- 横向移动(Lateral Movement):攻击者如何在目标网络中移动以访问更多系统。
- 收集(Collection):攻击者如何收集感兴趣的数据。
- 命令与控制(Command and Control):攻击者如何与受感染系统通信和控制它们。
- 数据泄露(Exfiltration):攻击者如何将数据从目标网络中传出。
- 影响(Impact):攻击者如何对目标系统和数据造成影响。
1.3.2 移动矩阵(Mobile Matrix)
移动矩阵专注于针对移动设备(如智能手机和平板电脑)的攻击战术和技术。它包括以下战术:
- 设备访问(Device Access):攻击者如何访问移动设备。
- 应用程序访问(App Access):攻击者如何访问移动应用程序。
- 网络访问(Network Access):攻击者如何通过网络访问移动设备。
- 数据访问(Data Access):攻击者如何访问移动设备上的数据。
- 命令与控制(Command and Control):攻击者如何与受感染的移动设备通信和控制它们。
1.3.3 工业控制系统矩阵(ICS Matrix)
工业控制系统矩阵专注于针对工业控制系统(ICS)的攻击战术和技术。它包括以下战术:
- 初始访问(Initial Access):攻击者如何首次进入 ICS 网络。
- 执行(Execution):攻击者如何在 ICS 系统上执行恶意代码。
- 持久性(Persistence):攻击者如何保持对 ICS 系统的持续访问。
- 权限提升(Privilege Escalation):攻击者如何提升其权限以获得更高的访问级别。
- 防御规避(Defense Evasion):攻击者如何规避 ICS 系统的检测和防御机制。
- 凭证访问(Credential Access):攻击者如何获取凭证以访问 ICS 系统。
- 发现(Discovery):攻击者如何收集 ICS 系统和网络的信息。
- 横向移动(Lateral Movement):攻击者如何在 ICS 网络中移动以访问更多系统。
- 收集(Collection):攻击者如何收集感兴趣的数据。
- 命令与控制(Command and Control):攻击者如何与受感染的 ICS 系统通信和控制它们。
- 数据泄露(Exfiltration):攻击者如何将数据从 ICS 网络中传出。
- 影响(Impact):攻击者如何对 ICS 系统和数据造成影响。
1.4 APT
高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁,是一种复杂的、持续的网络攻击,包含三个要素:高级、长期、威胁。
- 高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度,需要花费大量时间和资源来研究确定系统内部的漏洞;
- 长期是为了达到特定目的,过程中“放长线”,持续监控目标,对目标保有长期的访问权;
- 威胁强调的是人为参与策划的攻击,攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的经济损失或政治影响,乃至于毁灭性打击。
APT攻击者通常是一个组织,从瞄准目标到大功告成,要经历多个阶段,在安全领域这个过程叫做攻击链。示例如下:
APT 攻击和 MITRE ATT&CK 框架之间的关系是相辅相成的。ATT&CK 框架为描述、分类和防御 APT 攻击提供了一个系统化的方法。通过使用 ATT&CK 框架,安全专业人员可以更好地理解 APT 攻击的行为模式,制定有效的检测和响应策略,并提升整体的网络安全防御能力。
2.概念定义
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)即对抗性战术、技术和共同知识,它是MITRE公司推出的一个站在攻击者视角来描述攻击中各阶段TTP的知识库和模型。
模型的实现方式是将已知攻击者行为转换为结构化列表,并将这些已知的行为汇总成战术和技术,再通过几个矩阵(企业/移动/ICS)以及STIX、TAXII来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。
3. 组成结构
目前ATT&CK模型分为三部分,分别是PRE-ATT&CK,ATT&CK for Enterprise(包括Linux、macOS、Windows)和ATT&CK for Mobile(包括iOS、Android)。
PRE-ATT&CK覆盖攻击链模型的前两个阶段(侦察跟踪、武器构建);
ATT&CK for Enterprise覆盖攻击链的后五个阶段(载荷传递、漏洞利用、安装植入、命令与控制、目标达成);
ATT&CK Matrix for Mobile主要针对移动平台。
PRE-ATT&CK包括的战术有优先级定义、选择目标、信息收集、发现脆弱点、攻击性利用开发平台、建立和维护基础设施、人员的开发、建立能力、测试能力、分段能力。
ATT&CK Matrix for Enterprise包括了14个战术和235个技术以及n个子技术。
参考官网链接 https://attack.mitre.org/
参考中文版本 https://seccmd.github.io/Attack_CN/
3.1 十四个战术
- 侦察
- 攻击者在入侵某一企业之前,会先收集一些有用的信息,用来规划以后的行动。侦察包括攻击者主动或被动收集一些用于锁定攻击目标的信息。此类信息可能包括受害组织、基础设施或员工的详细信息。攻击者也可以在攻击生命周期的其他阶段利用这些信息来协助进行攻击,例如使用收集的信息来计划和执行初始访问,确定入侵后的行动范围和目标优先级,或者推动进一步的侦察工作。
- 资源开发
- 资源开发是指攻击者会建立一些用于未来作战的资源。资源开发包括攻击者创建、购买或窃取可用于锁定攻击目标的资源。此类资源包括基础设施、账户或功能。攻击者也可以将这些资源用于攻击生命周期的其他阶段,例如使用购买的域名来实现命令与控制,利用邮件账户进行网络钓鱼,以便实现“初始访问”,或窃取代码签名证书来实现防御绕过。
- 初始访问
- 通常,“初始访问”是指攻击者在企业环境中建立立足点。对于企业来说,从这时起,攻击者会根据入侵前收集的各种信息,利用不同技术来实现初始访问。例如,攻击者使用鱼叉式钓鱼附件进行攻击。附件会利用某种类型的漏洞来实现该级别的访问,例如PowerShell或其他脚本技术。如果执行成功,攻击者就可以采用其他策略和技术来实现最终目标。
- 执行
- 攻击者在进攻中采取的所有战术中,应用最广泛的战术莫过于“执行”。攻击者在考虑使用现成的恶意软件、勒索软件或APT攻击时,他们都会选择“执行”这个战术。要让恶意软件生效,必须运行恶意软件,因此防守方就有机会阻止或检测到它。但是,用杀毒软件并不能轻松查找到所有恶意软件的恶意可执行文件。此外,命令行界面或PowerShell对于攻击者而言非常有用,许多无文件恶意软件都利用了其中一种技术或综合使用这两种技术。这些类型的技术对攻击者的好处在于,终端上已经安装了上述功能,而且很少会删除这些功能。系统管理员和高级用户每天都会用到其中的一些内置工具。
- 持久化
- 攻击者实现持久化访问之后,即便运维人员采取重启、更改凭证等措施,仍然可以让计算机再次感染病毒或维持其现有连接。例如,注册表运行键、开机自启动是最常用的技术,它们在每次启动计算机时都会执行。在所有ATT&CK战术中,持久化是最应该被关注的战术之一。如果企业在终端上发现恶意软件并将其删除,它很有可能还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此处或网络上的其他地方建立了持久化。
- 权限提升
- ATT&CK提出“应重点防止攻击工具在活动链的早期阶段运行,并重点识别随后的恶意行为”。这意味着需要利用纵深防御来防止感染病毒,例如终端的外围防御体系或应用白名单。对于超出ATT&CK范围的权限提升,防止方式是在终端上使用加固基线。应对权限提升的另一个办法是审计日志记录。当攻击者采用权限提升中的某些技术时,他们通常会留下蛛丝马迹,暴露其目的。尤其是针对主机侧的日志,需要记录服务器的所有运维命令,以便于取证及实时审计。
- 防御绕过
- 防御绕过是指攻击者用来避免在整个攻击过程中被防御措施发现的技术。防御绕过使用的技术包括卸载/禁用安全软件或混淆/加密数据和脚本。攻击者还可利用并滥用可信进程隐藏和伪装恶意软件。该战术的一个有趣之处是某些恶意软件(例如勒索软件)对防御绕过毫不在乎,它们的唯一目标是在设备上执行一次,然后尽快被发现。一些技术可以骗过防病毒(AV)产品,让这些防病毒产品根本无法对其进行检测,或者绕过应用白名单技术。
- 凭证访问
- 任何攻击者入侵企业都希望保持一定程度的隐秘性。攻击者希望窃取尽可能多的凭证。当然,他们可以暴力破解,但这种攻击方式动静太大了。还有许多窃取哈希密码及哈希传递(PTH)或离线破解哈希密码的示例。在所有要窃取的信息中,攻击者最喜欢的是窃取明文密码。明文密码可能存储在明文文件、数据库甚至注册表中。很常见的一种行为是,攻击者入侵一个系统窃取本地哈希密码,并破解本地管理员密码。应对凭证访问最简单的办法就是采用复杂密码。建议使用大小写、数字和特殊字符组合,目的是让攻击者难以破解密码。最后需要监控有效账户的使用情况,因为在很多情况下,数据泄露是通过有效凭证发生的。
- 发现
- 发现包括攻击者用于获取有关系统和内部网络信息的技术。这些技术可帮助攻击者在决定如何采取行动之前先观察环境并确定方向。攻击者可以使用这些技术探索他们可以控制的内容以及切入点附近的情况,并根据这些已获得信息帮助他们实现攻击目的。攻击者还可以使用本机操作系统工具实现入侵后的信息收集目的。
- 横向移动
- 攻击者在利用单个系统漏洞后,通常会尝试在网络内进行横向移动。甚至,针对单个系统的勒索软件也试图在网络中进行横向移动以寻找其他攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。在缓解和检测横向移动时,适当的网络分段可以在很大程度上缓解横向移动带来的风险。
- 收集
- 收集是指攻击者用于收集信息的技术,并且从中收集与贯彻攻击者目的相关的信息来源。通常,收集数据后的下一步目的是窃取数据。常见的攻击源包括各种驱动器类型、浏览器、音频、视频和电子邮件。常见的收集方法包括捕获屏幕截图和键盘输入。企业可以使用该战术中的各种技术,了解更多有关恶意软件是如何处理组织机构中数据的信息。攻击者会尝试窃取用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容及用户的外貌特征。
- 命令与控制(C2)
- 命令与控制由攻击者用于在受害者网络内与已入侵系统进行通信的技术组成。攻击者通常通过模仿正常的预期流量,避免自身被发现。根据受害者的网络结构和防御能力,攻击者可以通过多种方式建立不同隐身级别的命令与控制。现在大多数恶意软件都有一定程度使用命令与控制战术。攻击者可以通过命令与控制服务器来接收数据,并告诉恶意软件下一步执行什么指令。对于每一种命令与控制,攻击者都是从远程位置访问网络。因此,了解网络上发生的事情对于有效应对这些技术至关重要。
- 数据窃取
- 数据窃取包含攻击者用于从用户网络窃取数据的技术。攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手进行数据窃取,但并不是所有恶意软件都能到达这个阶段。在攻击者通过网络窃取数据的情况下,尤其是窃取大量数据(如客户数据库)时,建立网络入侵检测或防预系统有助于识别数据何时被传输。
- 危害
- 攻击者试图操纵、中断或破坏企业的系统和数据。用于“危害”的技术包括破坏或篡改数据。在某些情况下,业务流程看起来很好,但可能数据已经被攻击者篡改了。这些技术可能被攻击者用来完成他们的最终目标,或者为其窃取机密提供掩护。
4.攻击者视角下的ATT&CK
站在攻击者的视角,ATT&CK 框架提供了一个全面、系统的知识库,帮助攻击者规划和执行复杂的攻击。他们可以选择最合适的技术和战术,绕过防御措施,评估攻击效果,并不断改进攻击方法。
4.1 具体作用
- 攻击规划和策略制定
- 攻击者可以利用这个框架来规划和制定攻击策略,确保攻击路径覆盖了所有必要的步骤,并且能够绕过防御措施。
- 攻击模拟和红队测试
- 红队和渗透测试人员可以使用 ATT&CK 框架来模拟真实的攻击场景。通过模拟已知的攻击技术和战术,可以评估目标系统的防御能力,并找出潜在的安全漏洞。
- 技术和战术的选择
- ATT&CK 框架详细描述了每种技术和战术的实现方法、使用条件和可能的防御措施。攻击者可以根据目标环境选择最合适的技术和战术,以提高攻击的成功率。
- 绕过防御措施
- ATT&CK 框架中包含了许多防御规避技术的详细描述。例如混淆技术、禁用安全工具等。攻击者可以利用这些信息来设计绕过防御措施的攻击方法,
- 持续学习和改进
- ATT&CK 框架是一个不断更新的知识库,包含了最新的攻击技术和战术。攻击者可以通过学习和研究 ATT&CK 框架,保持对最新攻击手段的了解。
- 生成攻击报告
- 红队和渗透测试人员可以使用 ATT&CK 框架来生成详细的攻击报告。这些报告可以帮助他们向客户或内部团队展示攻击路径、使用的技术和战术,以及发现的安全漏洞。
4.2 应用场景
4.2.1 红队模拟
红队在模拟攻击时,可以使用 ATT&CK 框架来设计攻击路径。
例如,他们可以选择以下路径:初始访问:钓鱼攻击(Phishing)执行:PowerShell 脚本执行持久性:创建计划任务权限提升:利用已知漏洞横向移动:使用远程桌面协议(RDP)数据收集:键盘记录(Keylogging)数据泄露:通过 C2 通道传输数据
4.2.2 渗透测试
渗透测试人员可以使用 ATT&CK 框架来评估目标系统的安全性。
例如,可以选择以下技术:防御规避:混淆文件和信息凭证访问:使用 Mimikatz 获取凭证发现:系统信息发现命令与控制:使用 HTTPS 作为 C2 通道
4.2.3 案例分享(红日靶场3)
红日安全团队推出了红队实战系列,主要以真实企业环境为实例,搭建了一系列靶场。这些靶场完全模拟了ATT&CK攻击链路,形成了一个完整的闭环。具体来说包括多个环节,如漏洞利用、内网搜集、横向移动、构建通道、持久控制等。
例如,第三套靶场涉及敏感信息泄露、暴力破解、脏牛提权、内网穿透、端口转发以及域渗透等多种知识点。
参考博客:https://blog.csdn.net/weixin_46684578/article/details/118685782
5.防守者视角下的ATT&CK
5.1 具体作用
- 威胁情报分析
- ATT&CK 涵盖了各种已知的攻击技术和战术。防守方可以利用这个框架来分析威胁情报,识别潜在的攻击模式和行为,从而更好地理解攻击者的策略和技术。
- 安全监控和检测
- ATT&CK 框架中的技术和战术可以用于配置和优化安全监控系统(如 SIEM)。防守方可以根据框架中的技术描述,制定检测规则和警报条件,以便及时发现和响应攻击行为。
- 漏洞评估和修复
- 通过对照 ATT&CK 框架,防守方可以评估其系统和网络中的潜在漏洞和薄弱环节。框架中的技术和战术描述可以帮助防守方识别需要修复的具体漏洞,并采取相应的补救措施。
- 安全策略制定
- 防守方可以利用 ATT&CK 框架来制定和优化安全策略。框架中的战术和技术描述可以帮助防守方识别需要重点防护的区域,并制定相应的防御措施和策略。
- 攻击溯源和取证
- 在发生安全事件后,防守方可以利用 ATT&CK 框架来进行攻击溯源和取证分析。框架中的技术和战术描述可以帮助防守方重建攻击路径,识别攻击者的行为模式,并收集相关证据。
5.2 应用场景
5.2.1 安全监控和检测
使用 ATT&CK 框架来配置 SIEM 系统。例如可以设置以下检测规则:
- 初始访问:检测钓鱼邮件和恶意附件
- 执行:监控 PowerShell 脚本执行
- 持久性:检测计划任务的创建和修改
- 权限提升:监控已知漏洞的利用尝试
- 横向移动:检测异常的 RDP 连接
- 数据收集:监控键盘记录软件的活动
- 数据泄露:检测通过 C2 通道传输的数据
SIEM软件能给企业安全人员提供其网络环境中所发生活动的洞见和轨迹记录。
SIEM技术最早是从日志管理发展起来的。
它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来
SIEM软件主要被大型企业和上市公司采用,此类公司中合规要求是采纳该技术的重要原因。
一些中小企业通过软件即服务(SaaS)的方式,从售卖该服务的外包供应商处获得了SIEM
5.2.2 漏洞评估和修复
使用 ATT&CK 框架来评估系统的安全性。例如检查以下技术的防御措施:
- 防御规避:确保文件和信息的混淆技术被检测和阻止
- 凭证访问:部署和配置防御工具,如 LAPS,来防止凭证被窃取
- 发现:限制和监控系统信息发现的行为
- 命令与控制:使用网络流量分析工具来检测和阻止 C2 通道
总结:
ATT&CK最典型的四个应用场景是威胁情报、检测分析、模拟攻击、评估改进。
6.ATT&CK攻击线路图
217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
