赞
踩
攻防最前线:ATT&CK模型解读 | 极牛网 (geeknb.com)
所谓 EDR 即 Endpoint Detection and Response (终端探测与响应)。EDR 和市场上常见的EPP( Endpoint Protection Platform)不同,EDR 更注重“探测”和“响应”。真实的网络攻击并不是一蹴而就的,往往伴随着多次不同的攻击,最后才能突破防御达成攻击目的。入侵一定会有痕迹,EDR 希望在最终灾难发生之前,通过对入侵方法的探测和及时高效的安全响应(警报、隔离等多种方式),将安全事故发生的几率降到最低。
谈起 EDR ,必然将谈起 Mitre公司所提出的 ATT&CK的概念,本文将简述 ATT&CK 知识。
Mitre 官方由抽象层次高低举例了三种网络攻击模型:
高抽象模型:Lockheed Martin 的 Cyber Kill Chain 模型、Microsft 的 STRIDE 模型等
中抽象模型:Mitre 的 ATT&CK 模型
低抽象模型:漏洞数据集、恶意软件数据集等
高抽象模型普遍对网络攻击的抽象程度较高,无法更好地服务与 EDR 所需要的“探测”和“响应”的要求,无法形成正对性的指导。以 Cyber Kill Chain 模型为例,其将攻击行为拆解为:Reconnaissance(侦查)→Weaponization(武器化)→ Delivery(传输)→Exploitation(挖掘)→ Installation(植入)→ C2 : Command & Control(命令和控制)→ Actions on Objectives(操作目标)。这一模型对于高纬度理解网络攻击有一定意义,但无法形成有效的攻击路线,无法说明每一次攻击行为之间的联系。
低抽象模型由于太注重于细枝末节,如漏洞数据集、恶意软件数据集等,反而无法看透攻击者的攻击目的和攻击全貌。所谓“管中窥豹,可见一斑”。
Mitre 对网络攻击进行了一个中等级别的抽象,让 ATT&CK 模型能够更好地服务于以下方面的问题:
- 每次攻击行为之间的联系
-
- 连续的攻击行为背后的攻击目标
-
- 每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施想联系。
ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。ATT&CK 模型初步分为了两个技术领域,分别是 Enterprise 和 Mobile,每个领域对应不同的平台。EDR 主要用于企业市场,其 ATT&CK 模型主要是围绕 ATT&CK Matrix for Enterprise( ATT&CK 矩阵)进行的。
我们可以看到,Enterprise 领域主要面向的平台为 Linux、MacOSI 和 Windows。
由 ATT&CK 模型的全称可以看出,ATT&CK模型主要围绕两个方面展开 —— Tactics(策略)和 Techniques(技术)。
ATT & CK Matrix for Enterprise 部分
ATT&CK 模型中有四个关键对象,除了 Tactics、Techniques 还有Groups 和 Software。
Tactics(ID:TAXXXX)
Tactics 被译做“攻击策略”可能更合适。它反映了网络攻击的基本策略。Mitre 将每种 Tactics 分配了 ID(以 TA 作为开头,后面接数字) ,方便信息安全工作者进行查询。
如,Initial Access(ID : TA 0001) 表示攻击者试图接入被攻击者的网络, Execution(ID : TA 0002)表示攻击者试图运行恶意代码。
Techniques(ID:TXXXX)
Techniques 即完成某个 Tactics(攻击策略)所涉及到的技术。Mitre 将每种 Technique 也分配了 ID(以 T 作为开头,后面接数字) 。每一种 Tactics 下有多种 Technique,每个 Technique 可以为多种 Tactics 服务。
如,Persistence(ID : TA 0003) 策略涉及到了Accessibility Features(ID : T1015) 、AppCert DLLs(ID : T1098) 和 AppInit DLLs(ID : T1103) 等多种 Technique。而 AppInit DLLs 这种技术又可以在 Privilege Escalation(ID : TA 0004) 策略中使用。
同样的 Technique 在多种 Tactics 中都可以看到。
ATT&CK 模型为特定的 Technique 对象提供了相关参数,如:Name、ID、Tactic 和 Description 等。方便更好的让 Technique 与 Tactics 等相联系。
例.Applnit DLLs 的参数
Group(ID:GXXXX)
Mitre 同样也整理了一些世界上著名的黑客组织(Groups),也提供了这些 Groups 的相关参数,包括 Group 的基本描述、别名、历史攻击所用到的技术及软件等。
参数:Name、ID、Aliases、Description、Alias Description、Techniques Used、Software。
94个Groups 部分列表
Software(ID:SXXXX)
Software即攻击者经常用的软件,包括工具、组件和恶意软件。其参数包括:Name、ID、Aliases、Type、Platform、Description、Alias Description、Techniques Used、Groups。
Software:cmd
根据 ATT&CK 模型给出的四个关键对象,这四个关键对象的关系可以用下图表示。
ATT & CK Model Relationships
以 APT28 用 Mimikatz(一款windows密码抓取神器)和 Credential Dumping 技术去完成 Credential Access 的关系模型如下。
ATT & CK Model Relationships Example
我们用 ATT&CK 模型干什么?Mitre 给出的答案如下:
ATT&CK 模型主要整合了历史的黑客组织和攻击事件,以攻击策略为线索将不同攻击策略所对应的攻击技术和软件相联系。为信息安全从业者提供了一个可执行的中等抽象化的模型。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。