最近ATT&CK这个东西太火了,直观的就是由attack变换而来,那么可能是跟攻击相关的了,但实际是不是呢?
入门的话就翻译一下官方的入门文档吧。
ATT&CK为什么建立
ATT&CK代表对抗的战术,技术和常识(Common Knowledge)。 MITER于2013年启动了该项目,以记录针对Windows企业网络使用高级持久性威胁的常见策略,技术和过程( tactics, techniques, and procedures —— TTPs)。 ATT&CK的创建是为了记录在攻击者的行为(这是在MITER研究项目FMX中的)。 FMX项目的目标是挖掘并分析终端的监测数据以改善在企业网络内对攻击者的检测。 这里有详细的文档:使用基于ATT&CK的分析和Cyber Analytics存储库查找威胁。
根据我们的研究,我们需要一个框架来解决四个主要的问题:
1、攻击者的行为。 基于攻击者的战术和技术使我们能够分析检测可疑的攻击者行为。域名,IP地址,文件哈希,注册表键等典型指标很容易被攻击者更改(换个域名,ip简单得不行),只对特定的时间点检测很有用 —— 它们并不代表攻击者如何与系统交互,只表示他们可能在某个时间在跟系统交互。
2、生命周期模型不合适。现有的攻击生命周期和攻击链的概念太过抽象,无法将行为与防御联系起来——抽象的层次对于将TTPs映射到新的攻击感知没有什么帮助。
3、适用于真实环境。 TTPs需要基于观察到的事件来证明这东西适用于真实环境。
4、共同分类。 TTPs需要使用相同的术语以便在不同类型的攻击者之间进行比较。
我们坚信进攻是防守的最佳驱动力。 通过维持强大的攻击和防御团队的协同工作,那么检测和阻止入侵的能力会大大提高。 在FMX项目中,ATT&CK是用于构建模拟攻击场景的框架。 模拟攻击团队使用这些场景将真实世界的攻击注入网络。 然后,团队使用测试用例来验证监测设备和分析是否检测到生产网络中的攻击行为。 该方法可使检测能力快速提高。最重要的是,以可测量和可重复的方式不断进行。
ATT&CK成为了模拟攻击团队计划事件和检测团队验证其进度的首选工具。 对于MITRE的研究计划来说,这是一个非常有用的过程,我们觉得它应该被发布以使整个社区受益,因此MITER于2015年5月向公众发布了ATT&CK。ATT&CK已经大大扩展到采用针对macOS和Linux的技术,攻击者对移动设备的攻击行为,以及用于计划和实施漏洞利用的攻击战略。
什么是 ATT&CK?
ATT&CK在很大程度上是对抗技术的知识库 - 可以用于特定平台(如Windows)的攻击性操作的细分和分类。 与此领域的先前工作不同,重点不在于对手使用的工具和恶意软件,而在于它们在操作期间如何与系统交互。
ATT&CK将这些技术组织成一套策略,以帮助解释并提供该技术的上下文。 每种技术都包含与红色团队或渗透测试人员相关的信息,用于理解攻击技术,以及防御者用于理解由这些攻击技术所生成的事件或人为制造的东西(原文是artifacts,直译是人工品)。
战术代表了ATT&CK技术的“why”。 战术是攻击者执行行动的战术目标。 战术是个人技术的范畴,涵盖了攻击者在操作期间所做事情的标准及更高级别的表示,例如持久化,信息发现,横向移动,执行文件和泄露数据。
技术代表攻击者通过攻击行动实现战术目标的“方式”。 例如,攻击者可以转储凭证以获得对网络访问的有用凭证,该凭证可以在以后用于横向移动。 技术也可以表示攻击者通过行动而获得的“什么”。 这对于发现战术来说,这是一个有用区别,因为技术突出了攻击者在采取特定行动后所追求的信息类型。 实现战术目标的方法或技术可能有很多,因此每种战术类别都有多种技术。
ATT&CK Matrix™
战术和技术之间的关系可以在ATT&CK矩阵中可视化。 例如,在持久化(Persistence)战术(这是攻击者的目标 - 持久存在于目标环境中)下面有一系列技术,包括AppInit DLL(在注册表有个AppInit_DLLs值,可以指定动态链接库(DLL)由user32.dll加载),New Service(创建新的服务)和Scheduled Task(计划任务)。 这些都是攻击者可用于实现持久性目标的单一技术。
注:Persistence战术具体可以看这:https://attack.mitre.org/tactics/TA0003/
ATT&CK 矩阵可能是ATT&CK中最广为人知的,因为它通常用于展示环境的防御覆盖情况,安全产品的检测能力以及事件的结果或是红队参与的结果。
网络威胁情报(Cyber Threat Intelligence)
ATT&CK的另一个重要方面是它如何整合网络威胁情报(CTI)。 与先前主要用指标去消化CTI的方式不同,ATT&CK记录了攻击者的行为概况,例如APT29,基于公开报告来显示哪些群体使用哪种技术。
通常,单个报告用于记录一个特定事件或特定攻击组织,但这使得难以比较事件或攻击组织之间发生的事情,并得出哪些类型的防御最有效的结论。 通过ATT&CK,分析师可以通过专注于技术本身来查看攻击活动。 在决定如何集中防御资源时,分析师可能希望从具有最高使用率的技术开始。
攻击者如何使用技术的示例已经记录在ATT&CK页面中,该页面表示该组使用该技术的过程。 该过程是一个特定的使用实例,对于准确理解该技术的使用方式以及使用模拟攻击复盘事件以及如何检测正在使用的实例的细节非常有用。
ATT&CK 今天用在了哪里
ATT&CK在过去五年发展的非常好,包括从Windows到其他平台,还有各种技术。 它被许多不同的政府组织和行业部门使用,包括金融,医疗保健,零售和科技行业。 公众的采用和使用已经为ATT&CK带来了重要贡献,使其保持最新并对社区有用。 我们希望继续这一趋势,因此MITER有很大的计划继续发展ATT&CK,以确保其未来作为一个有价值的公共资源。
Continuing This Series
现在我们已经介绍了一些基础知识,您可以期待将来的博客文章更详细地介绍这篇文章中涉及的主题。 我们将讨论ATT&CK与网络威胁情报,基于行为的检测分析和攻击者模拟攻击以及其他领域的使用。
博客的话是这个:https://medium.com/mitre-attack
官网是这个:https://attack.mitre.org/
最后摘录国内一个文章的片段:https://www.anquanke.com/post/id/185492
TTP的定义:(来源:美国国家标准技术研究所)
TTP即对手的行为。战术是对此行为的最高级别描述,而技术在战术的上下文中提供更详细的行为描述,而过程是在技术的上下文中更低级别,更详细的描述。
– 战术:对手的技术目标(如,横向移动)
– 技术:如何实现目标(如,PsExec)
– 过程:具体技术实施(如,使用PsExec实现横向移动的过程)
