ATT&CK,网络攻击行为的定义框架

admin 2024年2月26日03:08:52评论24 views字数 2131阅读7分6秒阅读模式

      ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个由MITRE组织于2013年创建和维护的框架,用于描述和分类网络攻击者的战术、技术和常见知识。该框架旨在帮助安全专业人员理解和对抗恶意行为,提供了一种共享的语言和结构,使安全社区能够更好地理解攻击者的行为模式,并更有效地应对网络威胁。

      第一次接触到这个框架是在2021年宁波Fic峰会期间,陆老师给我介绍了这个框架,虽然听说过这个名词,但对框架并没有太多的了解;回来一段时间后才去了解了这个框架,越发得觉得这是了不起的贡献,将整个Cyber Kill Chain(https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)进行了重定义,形成了通用官方语言。

后来在我的程序中引用了这个框架描述;程序以前也介绍过(《开发二进制文件静态快速分析工具(续)》《开发二进制文件静态快速分析工具(续二)》),看下界面:

ATT&CK,网络攻击行为的定义框架

今天用它分析一个程序时,才想起了这个,利用这个机会将框架介绍给你们。在文章的最后,来看下分析二进制后得出的框架图。


一、ATT&CK介绍

      ATT&CK框架以矩阵形式组织,列出了各种战术(Tactics)和技术(Techniques),描述了攻击者可能采用的方法和工具。这些战术和技术根据攻击者的行为方式进行分类,包括初始访问、执行、持久性、权限提升、防御绕过、凭据访问、发现、横向移动、集成和影响、数据采集和exfiltration等。


      ATT&CK框架是一个持续更新的项目,旨在反映最新的威胁和攻击技术,使安全专业人员能够更好地理解和应对不断演变的网络威胁。此框架将网络攻击分为十四个战术阶段,像是特权提升(privilege escalation)及指挥控制(command and control),这也是入侵方在各阶段的技术目的。战术阶段会往下列入为个别的技术和子技术。例如特权提升的对应技术有13种,包括滥用高级控制机制、访问令牌操作等。


二、MITRE ATT&CK Matrix 的资料呈现方式


      MITRE ATT&CK Matrix 基本呈现方式为表格,方便使用者阅读;使用者可搭配下列两种方式,交由软件进行自动化读取。

1. STIX:威胁情报的结构化语言
2. TAXII:威胁情报的传输机制

我们以STIX来说明一下,

下载地址:

GitHub - mitre-attack/attack-stix-data: STIX data representing MITRE ATT&CK


三、MITRE ATT&CK Matrix 的 3 大类

      MITRE ATT&CK Matrix 分为 3 大类,使用者可以透过自身情況简单判断,参考不同的表格,进行威胁判断并规划对策。

1. Enterprise Matrix:提供包含在 Window, Linux, MacOS 等上使用的攻击手法;
2. Mobile Matrix:提供手机设备上使用的攻击手法;
3. Pre-ATT&CK:提供前置攻击手法;

其官网为:https://attack.mitre.org/

ATT&CK,网络攻击行为的定义框架

其每一列代表了要想完成目标所需要的技术;移动到每一个子项时会出现ID的提示,如:

ATT&CK,网络攻击行为的定义框架

C2的Id就是T1059,进去看看:

ATT&CK,网络攻击行为的定义框架

有9项子技术,分别从T1059.001到009,对应的名称在右侧;

在下面提供了示例:

ATT&CK,网络攻击行为的定义框架

ATT&CK,网络攻击行为的定义框架


四、应用范围


      MITRE ATT&CK,对于攻击流程的定义,提出了更有系统性的归纳,成为简单易懂的模型与通用语言,这也让各家资安业者在说明网络攻击链(Cyber Kill Chain)时,有统一的标准去依循,而企业也可透过这样的工具, 更方便地理解攻击者行为带来的安全风险。


      MITRE ATT&CK 框架 不仅可作为公认的技术通用语言,也是攻击与防守方在恶意行为上的共通架构。因此 它可成为企业进行日常防卫行为的分类参考,以协助企业确认目前的安全状况,更可作为渗透测试与红队演练基础。承上所述,MITRE ATT&CK 框架与威胁情报搭配后,十分容易在实际环境使用,可通过其中已知使用的技术和策略的关联性来追踪恶意族群,为防护者提供了明确的现状图。

      而MITRE提出的ATT&CK框架,是将入侵期间可能发生的情况,做出更细的划分,区隔出11个策略阶段。包括:入侵初期、执行、权限提升、防御逃避、凭证存取、发现、横向移动、收集、渗透、指挥与控制。同时,针对攻击方在每个阶段,MITRE也将所使用的手法工具搜集起来,归类为知识库,如此一来,将有助于我们理解攻击者具备的能力。

      它的优势在于,提供了统一且结构化的方式,去描述攻击者手法与行为,只要使用一张框架去呈现,就能看出攻击者所使用的策略与手法,并能有更一致的过程来确定威胁的阶段。简单来说,就是透过标准化、架构化的信息,可以更快速检视网络安全事件的全貌。


五、程序检测的框架展示

ATT&CK,网络攻击行为的定义框架

ATT&CK,网络攻击行为的定义框架

通过上面的介绍,应该知道怎么去找这些具体ID的含义描述了吧。

世界上很多组织和公司都用它来描述攻击行为,成为一个通用语言和标准。


原文始发于微信公众号(MicroPest):ATT&CK,网络攻击行为的定义框架

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日03:08:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK,网络攻击行为的定义框架http://cn-sec.com/archives/2524667.html

发表评论

匿名网友 填写信息