December 27, 2022 1 min to read

your title here

subtitle

20221227 ATT&CK 攻击链分析

https://attack.mitre.org/

ATT&CK - VULHUB开源网络安全威胁库ATT&CK - VULHUB开源网络安全威胁库

https://zhuanlan.zhihu.com/p/92581688

一文看懂ATT&CK框架以及使用场景实例-安全客 - 安全资讯平台

Cyber Kill Chain

洛克希德-马丁公司提出的KillChain模型

=======================

MITRE ATT&CK简述

MITRE是美国政府资助的研究机构，该公司于1958年从MIT分离出来，在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。

MITRE在2013年推出了ATT&CK模型，它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。

MITRE ATT&CK的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。简单来说，ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。ATT&CK会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了解不熟悉的技术。例如，对于甲方企业而言，平台和数据源非常重要，企业安全人员需要了解应该监控哪些系统以及需要从中收集哪些内容，才能减轻或检测由于入侵技术滥用造成的影响。这时候，ATT&CK场景示例就派上用场了。针对每种技术都有具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的。ATT&CK每个示例都采用Wikipedia的风格，引用了许多博客和安全研究团队发表的文章。因此如果ATT&CK中没有直接提供内容，通常可以在这些链接的文章中找到。

=================

ATT&CK 的全称是 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。

目前ATT&CK模型分为三部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。（截至2019年10月）

其中PRE-ATT&CK覆盖Kill Chain模型的前两个阶段，包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。

ATT&CK for Enterprise覆盖Kill Chain的后五个阶段，由适用于Windows、Linux和MacOS系统的技术和战术部分组成。

ATT&CK for Mobile包含适用于移动设备的战术和技术。

目前ATT&CK模型分为三部分，分别是ATT&CK for Enterprise和ATT&CK for Mobile，ATT&CK for ICS。（2023年1月）（Industrial Control System，工业控制系统）

================

MITRE ATT＆CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列。一种战术可能使用多种技术，例如，攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。

=================

ATT&CK的基本内容

• Tactics（ID：TAXXXX）

Tactics 指战术，表示攻击者希望达到的攻击目标。Mitre 将每种 Tactics 分配了 ID（以 TA 作为开头，后面接数字） ，如，Initial Access（ID : TA 0001） 表示攻击者试图接入被攻击者的网络，Execution（ID : TA 0002）表示攻击者试图运行恶意代码。

• Techniques（ID：TXXXX）

Techniques即完成某个 Tactics（攻击策略）所涉及到的技术。Mitre 将每种 Technique 也分配了 ID（以 T 作为开头，后面接数字） 。每一种 Tactics 下有多种 Technique，每个 Technique 可以为多种 Tactics 服务。如，Persistence（ID : TA 0003） 策略涉及到了Accessibility Features（ID : T1015） 、AppCert DLLs（ID : T1098） 和 AppInit DLLs（ID : T1103） 等多种 Technique。而 AppInit DLLs 这种技术又可以在 Privilege Escalation（ID : TA 0004） 策略中使用。

Group（ID：GXXXX）

Mitre 同样也整理了一些世界上著名的黑客组织（Groups），也提供了这些 Groups 的相关参数，包括 Group 的基本描述、别名、历史攻击所用到的技术及软件等。

参数：Name、ID、Aliases、Description、Alias Description、Techniques Used、Software。

Software（ID：SXXXX）

Software即攻击者经常用的软件，包括工具、组件和恶意软件。其参数包括：Name、ID、Aliases、Type、Platform、Description、Alias Description、Techniques Used、Groups。

ATT&CK的使用

我们用 ATT&CK 模型干什么？Mitre 给出的答案如下：

• Detections and Analytics（检测和分析）：帮助网络防御者开发分析程序，以检测对手使用的技术。
• Threat Intelligence（威胁情报）：为分析人员提供了一种通用语言来构造，比较和分析威胁情报。
• Adversary Emulation and Red Teaming（攻击模拟）：提供了一种通用语言和框架，攻击模拟团队可以使用该语言和框架来模拟特定威胁并计划其行动。
• Assessment and Engineering（评估与工程化）：可用于评估组织的能力并推动工程决策。

ATT&CK不仅为渗透测试和红蓝对抗提供了理论基础，他还成为了一种攻防双方都认可的一种通用语言。所以我们总结了一些ATT&CK的应用场景，如下：

1. 渗透测试活动

无论是企业提供的安全服务还是红蓝对抗的模拟演习，在渗透测试活动进行到规划或者生成报告的阶段都可以使用ATT&CK框架，以便于形成一种标准的通用语言，规范报告中的行为描述。

1. 防御检测评估

ATT&CK框架可以用于评估组织企业内现有防御方案中的工具、监视和缓解措施。大多数安全团队在研究ATT&CK时，都希望给ATT&CK矩阵中的每项技术都开出能对其检测或预防的控制措施，但是ATT&CK矩阵中的技术通常可以通过多种方式执行。由于某种工具阻止了用另一种形式来采用这种技术，而组织机构已经适当地采用了这种技术，因此攻击者仍然可以成功地采用其他方式来采用该技术，但防御者却没有任何检测或预防措施。

1. 安全运营中心成熟度评估

安全运营中心（Security Operation Center，SOC）可以提供资产自动化盘点、网络攻击测绘、流量威胁感知、泄漏检测、安全编排与自动化响应及安全可视化等能力。而ATT&CK可以作为一种标准，确定SOC在检测、分析和响应入侵方面的有效性。利用ATT&CK所提供的战术及技术，我们可以了解SOC的防御优势与劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。

1. 网络威胁情报收集

ATT＆CK是在用一种标准方式描述对抗行为，可以根据攻击者已知利用的ATT＆CK中的技术和战术来跟踪攻击主体，这为防御者提供了一个路线图，让他们可以对照他们的操作控制措施，查看对某些攻击主体而言，他们在哪些方面有弱点，在哪些方面有优势。针对特定的攻击主体，创建MITRE ATT＆CK 导航工具内容，是一种观察环境中对这些攻击主体或团体的优势和劣势的好方法。ATT＆CK还可以为STIX 和 TAXII 2.0提供内容，从而可以很容易地将支持这些技术的现有工具纳入中。

ATT&CK框架的出现为安全界做了重大贡献，除了上面所介绍的几种比较典型的使用场景外，可以通过ATT&CK介绍恶意软件的行为，简化IOC（Indicators of Compromise，威胁情报）的创建过程。

攻击的层次/攻击图谱