ATT&CK对于中国信息安全行业具有非常重要的借鉴意义,原因很简单,公开层面来看,中国政企部门到目前为止也没有建设起来属于自己的一套类似于ATT&CK的知识体系或者框架模型,哪怕是相对简化版的。
什么是ATT&CK?
ATT&CK就是为了系统化记录攻击对手的黑客行为方式,将攻防对抗的整个过程进行分类,看起来也更加的清晰明了。
目前划分为企业/移动设备/工控系统3个板块。
企业板块分windows/mac/linux/云服务/网络/容器,其中云服务细分为office 365/azure ad/google workspace/saaa/laas。
移动设备板块分android和ios。
工控系统没有细分。
为什么要搞出来ATT&CK?
MITRE从2013年开始制作ATT&CK,主要是记录一下APT组织在对部署windows的企业网络发动网络攻击时经常使用的战术/技术以及攻击流程,以便用于一个叫FMX的网络安全项目。FMX项目主要是研究分析企业办公终端和服务器上的流量,目的是检测企业网络是否已经被入侵。
ATT&CK中什么是战术?
就是APT组织发动攻击的目标,例如攻击者想要获得进入内网的凭证。
ATT&CK中什么是技术?
APT组织为了实现战术目标采用的技术手段,例如通过转储凭据实现凭据访问。
ATT&CK中什么是子技术?
APT组织为了实现战术目标采用的技术手段中的细分项,例如通过获取LSASS进程使用的内存内容来转储凭据。
Windows系统中的LSASS(Local Security Authority Subsystem Service,本地安全机构子系统服务)进程负责处理与本地和网络身份验证相关的所有安全策略。它存储、管理和验证用户的登录凭据,包括但不限于密码、kerberos票据和其他形式的认证数据。这些敏感信息在系统运行时存放在LSASS进程的内存中。
转储LSASS凭据指的是攻击者利用某些工具或技术将LSASS进程当前使用的内存内容保存到磁盘上形成一个转储文件的过程。这个转储文件可能包含明文或可逆加密的密码、哈希值以及其他可以用来冒充合法用户或进一步破解密码的安全敏感信息。
攻击者通过非法获取LSASS内存转储文件,可以使用专门的工具如Mimikatz等解析出其中的凭证信息,从而对网络安全构成重大威胁。因此,保护LSASS进程内存不被非法转储是操作系统安全防御的重要环节之一。
微软等操作系统供应商会不断强化系统内建的安全机制以防止此类凭据转储攻击,例如,在Windows 11中,微软Defender已经采取了相应的防护措施来阻止未经授权的LSASS内存转储行为。
ATT&CK中什么是程序?
就是技术或者子技术的具体实现形式,例如使用PowerShell注入lsass.exe进程,通过抓取受害者的LSASS内存来转储凭据。可以认为是一种子技术示例。
ATT&CK中子技术和程序有什么区别?
子技术是对网络攻击行为的分类,程序是描述网络攻击的具体使用。例如使用PowerShell通过抓取受害者的 LSASS内存来注入lsass.exe以转储凭据的攻击是一个过程实现,其中包含多个(子)技术,涵盖针对LSASS的PowerShell、进程注入和凭据转储。
ATT&CK可以在安全运营/威胁情报/安全架构中发挥非常重要的作用。
公开可用的威胁情报和事件报告是ATT&CK的主要数据来源。
ATT&CK和其他网络安全框架和模型是互为补充的关系。
ATT&CK(Adversarial Tactics, Techniques & Common Knowledge,对手战术、技术和常见知识)是由美国MITRE公司创建的一种框架,它系统性地描述并分类了已知恶意攻击者使用的战术和技术。该框架为安全专业人员提供了一种详尽的方法来理解、识别和对抗网络威胁,通过细致记录对手在网络攻击过程中的行为特征,帮助组织改进防御策略和检测能力。
钻石模型是网络安全领域用于描绘和关联网络安全事件的模型,由Bret Padres和Alicia Geraets提出。钻石模型的四个核心元素分别是:攻击者(Adversary)、基础设施(Infrastructure)、受害者(Victim)和目的/目标(Motivation/Objective)。当需要对一系列可能相关的入侵事件进行归类、关联分析以揭示潜在的攻击模式或攻击者身份时,钻石模型能够提供有效的分析框架和视角。通过分析这些元素之间的关系,安全分析师可以更准确地把握攻击的整体轮廓和战略意图,从而更好地应对和预防未来的攻击。
Lockheed Martin Cyber Kill Chain(洛克希德·马丁网络杀伤链)是一个网络安全概念模型,由洛克希德·马丁公司开发,用于描绘和分析针对信息系统和网络的复杂攻击过程。该模型将一次成功的网络攻击分解为一系列相互关联且顺序发生的阶段,帮助安全专业人员更好地理解攻击者如何策划和执行攻击,并在每个阶段实施防御措施以破坏攻击进程。
Cyber Kill Chain主要包括以下七个阶段:
侦察(Reconnaissance): 攻击者收集关于目标的信息,包括识别潜在的目标系统、网络架构、用户行为等。
武器化(Weaponization): 攻击者利用收集到的信息创建或定制恶意软件或其他工具,将其封装成有效载荷,例如制作包含恶意代码的电子邮件附件或链接。
传递(Delivery): 通过邮件、网页、社交媒体或者其他途径将恶意有效载荷投递至目标。
漏洞利用(Exploitation): 一旦目标接收并激活了有效载荷,攻击者利用安全漏洞或社会工程手段获取对系统的初始访问权。
安装(Installation): 在成功突破后,攻击者在受害者的系统上安装持久性机制,如后门程序,以便长期保持控制。
命令与控制(Command and Control, C2/C&C): 建立一个通信渠道,使攻击者能够远程控制已感染的系统,并可能进一步传播恶意活动。
目标达成(Actions on Objectives): 最终阶段中,攻击者执行其实际目标,可能是数据盗窃、破坏系统、勒索软件攻击等恶意行为。
ATT&CK是基于真实世界中发生的安全事件总结出来的攻防对抗知识库,可以用于检测分析攻击者使用的技术/构建比较分析威胁情报/模拟红队发动攻击/评估组织的安全建设水平。
不用想着ATT&CK的所有内容在公司内部全都要覆盖,不同公司有各自的实际情况,最好有一个优先级。
攻击者有很多种手段来完成攻击,发现一种对方的攻击手段,不代表就万事大吉了。
ATT&CK中记录的攻击行为只是现实世界中的一部分,不必局限其中。
