ATT&CK模型解讀

來自 | FreeBuf

前言

所謂 EDR 即 Endpoint Detection and Response (終端探測與響應)。EDR 和市場上常見的EPP（ Endpoint Protection Platform）不同，EDR 更注重「探測」和「響應」。真實的網絡攻擊並不是一蹴而就的，往往伴隨著多次不同的攻擊，最後才能突破防禦達成攻擊目的。入侵一定會有痕跡，EDR 希望在最終災難發生之前，通過對入侵方法的探測和及時高效的安全響應（警報、隔離等多種方式），將安全事故發生的機率降到最低。

談起 EDR ，必然將談起 Mitre公司所提出的 ATT&CK的概念，本文將簡述 ATT&CK 知識。

攻擊層次抽象

網絡攻擊模型抽象（圖片來源網絡，侵刪）

Mitre 官方由抽象層次高低舉例了三種網絡攻擊模型：

高抽象模型：Lockheed Martin 的 Cyber Kill Chain 模型、Microsft 的 STRIDE 模型等

中抽象模型：Mitre 的 ATT&CK 模型

低抽象模型：漏洞數據集、惡意軟體數據集等

高抽象模型普遍對網絡攻擊的抽象程度較高，無法更好地服務與 EDR 所需要的「探測」和「響應」的要求，無法形成正對性的指導。以 Cyber Kill Chain 模型為例，其將攻擊行為拆解為：Reconnaissance（偵查）→Weaponization（武器化）→ Delivery（傳輸）→Exploitation（挖掘）→ Installation（植入）→ C2 : Command & Control（命令和控制）→ Actions on Objectives（操作目標）。這一模型對於高緯度理解網絡攻擊有一定意義，但無法形成有效的攻擊路線，無法說明每一次攻擊行為之間的聯繫。ATT&CK Matrix for Enterprise 部分

Cyber Kill Chain（圖片來源網絡，侵刪）

低抽象模型由於太注重於細枝末節，如漏洞數據集、惡意軟體數據集等，反而無法看透攻擊者的攻擊目的和攻擊全貌。所謂「管中窺豹，可見一斑」。

Mitre 對網絡攻擊進行了一個中等級別的抽象，讓 ATT&CK 模型能夠更好地服務於以下方面的問題：

每次攻擊行為之間的聯繫

連續的攻擊行為背後的攻擊目標

每次攻擊行為如何與數據源、防禦、配置和其他被用在一個平臺/技術域之間的措施想聯繫。

ATT&CK 模型

ATT&CK 的全稱是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。ATT&CK 模型初步分為了兩個技術領域，分別是 Enterprise 和 Mobile，每個領域對應不同的平臺。EDR 主要用於企業市場，其 ATT&CK 模型主要是圍繞 ATT&CK Matrix for Enterprise（ ATT&CK 矩陣）進行的。

我們可以看到，Enterprise 領域主要面向的平臺為 Linux、MacOSI 和 Windows

ATT&CK Matrix 的解讀

由 ATT&CK 模型的全稱可以看出，ATT&CK模型主要圍繞兩個方面展開 —— Tactics（策略）和 Techniques（技術）。

ATT & CK Matrix for Enterprise 部分ATT &CK Matrix for Enterprise 全貌

關鍵對象 Object

ATT&CK 模型中有四個關鍵對象，除了 Tactics、Techniques 還有Groups 和 Software。

Tactics（ID：TAXXXX）

Tactics 被譯做「攻擊策略」可能更合適。它反映了網絡攻擊的基本策略。Mitre 將每種 Tactics 分配了 ID（以 TA 作為開頭，後面接數字） ，方便信息安全工作者進行查詢。

如，Initial Access（ID : TA 0001） 表示攻擊者試圖接入被攻擊者的網絡， Execution（ID : TA 0002）表示攻擊者試圖運行惡意代碼。

Techniques（ID：TXXXX）

Techniques 即完成某個 Tactics（攻擊策略）所涉及到的技術。Mitre 將每種 Technique 也分配了 ID（以 T 作為開頭，後面接數字） 。每一種 Tactics 下有多種 Technique，每個 Technique 可以為多種 Tactics 服務。

如，Persistence（ID : TA 0003） 策略涉及到了Accessibility Features（ID : T1015） 、AppCert DLLs（ID : T1098） 和 AppInit DLLs（ID : T1103） 等多種 Technique。而 AppInit DLLs 這種技術又可以在 Privilege Escalation（ID : TA 0004） 策略中使用。

同樣的 Technique 在多種 Tactics 中都可以看到

ATT&CK 模型為特定的 Technique 對象提供了相關參數，如：Name、ID、Tactic 和 Description 等。方便更好的讓 Technique 與 Tactics 等相聯繫。

例.Applnit DLLs 的參數

Group（ID：GXXXX）

Mitre 同樣也整理了一些世界上著名的黑客組織（Groups），也提供了這些 Groups 的相關參數，包括 Group 的基本描述、別名、歷史攻擊所用到的技術及軟體等。

參數：Name、ID、Aliases、Description、Alias Description、Techniques Used、Software。

94個Groups 部分列表

Software（ID：SXXXX）

Software即攻擊者經常用的軟體，包括工具、組件和惡意軟體。其參數包括：Name、ID、Aliases、Type、Platform、Description、Alias Description、Techniques Used、Groups。

Software：cmd

對象聯繫 Relationships

根據 ATT&CK 模型給出的四個關鍵對象，這四個關鍵對象的關係可以用下圖表示。

ATT & CK Model Relationships

以 APT28 用 Mimikatz（一款windows密碼抓取神器）和 Credential Dumping 技術去完成 Credential Access 的關係模型如下。

ATT & CK Model Relationships Example

ATT&CK 模型的使用

我們用 ATT&CK 模型幹什麼？Mitre 給出的答案如下：

Detections and Analytics（檢測和分析）：幫助網絡防禦者開發分析程序，以檢測對手使用的技術。

Threat Intelligence（威脅情報）：為分析人員提供了一種通用語言來構造，比較和分析威脅情報。

Adversary Emulation and Red Teaming（攻擊模擬）：提供了一種通用語言和框架，攻擊模擬團隊可以使用該語言和框架來模擬特定威脅並計劃其行動。

Assessment and Engineering（評估與工程化）：可用於評估組織的能力並推動工程決策。

總結

ATT&CK 模型主要整合了歷史的黑客組織和攻擊事件，以攻擊策略為線索將不同攻擊策略所對應的攻擊技術和軟體相聯繫。為信息安全從業者提供了一個可執行的中等抽象化的模型。

信息技術日新月異，我們不僅要防範過去的攻擊技術，也將面臨新的攻擊技術的挑戰。

參考

1. MITRE ATT&CK. https://attack.mitre.org/

2. MITRE ATT&CK™: Design and Philosophy. https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf

3. 銀雁冰. 看雪. [原創]ATT&CK一般性學習筆記, https://bbs.pediy.com/thread-254825.ht

版權申明：內容來源網絡，版權歸原創者所有。除非無法確認，都會標明作者及出處，如有侵權煩請告知，我們會立即刪除並致歉。祝每一讀者生活愉快！謝謝!
↑↑↑長按圖片識別二維碼關註↑↑↑