MITRE ATT&CK Enterprise 第五轮评估

MITRE ATT&CK Enterprise 评估已经来到了第五轮，关于评估本身之前已经写过多篇，不了解的读者麻烦翻下之前的文章吧，这里就不再赘述了。

MITRE ATT&CK Enterprise 第四轮评估结果

Avenger，公众号：威胁棱镜MITRE ATT&CK 第四轮评估结果发布

MITRE ATT&CK Managed Services 第一轮评估结果

PolluxAvenger，公众号：威胁棱镜MITRE ATT&CK 第五轮评估结果发布

请注意，2022 年针对 OilRig 组织的评估归属于 Managed Services 领域下而非 Enterprise 领域下。因此官方表述下本轮为 MITRE ATT&CK Enterprise 评估的第五轮评估，而本号前文使用序列递增将针对 OilRig 的评估称呼为第五轮评估。由于此处会与官方表述产生差异，为避免带来误解后续将会根据类别分拆，与官方表述保持一致。

评估目标

本轮评估的目标是俄罗斯背景的 APT 组织 Turla，该组织从 2004 年一直活跃至今。在超过 45 个国家针对政府、外交、军事等目标发起攻击，其技术手段较高，开发的恶意软件也实现了 Windows、Linux 与 macOS 的全覆盖。

参与厂商

除了卡巴斯基已经持续缺席，业界的主要玩家可以说都在。上一次评估安全托管服务（MSSP），只有十余家参与者。本次重新回到 30+ 参与者的盛况，CrowdStrike、ESET、Malwarebytes 等厂商也都在评估结果发布后第一时间在官网介绍了具体情况。

评估过程

主要包含两个攻击场景（Carbon、Snake），前者包含 10 个攻击步骤，后者包含 9 个攻击步骤。此外，还有保护场景（Procections），包含 13 个攻击步骤与 129 个子步骤。

Carbon场景中，Turla 通过鱼叉邮件获得初始访问权限，将虚假安装程序部署到失陷主机上并执行 EPIC 恶意软件。建立 C&C 通信后，向域控做横向平移并部署 CARBON-DLL。最后，攻击者找到 Linux Apache 服务器，通过PENQUIN 来部署水坑。

Snake场景中，Turla 通过与 EPIC 恶意软件捆绑的 Adobe Flash 安装程序进行攻击。EPIC 恶意软件会通过代理的 HTTPS 请求与 C&C 服务器进行通信。通过进程注入维持持久化，并且部署 SNAKE 恶意软件来提权或者保持通信。最后，攻击者通过横向平移部署 LightNeuron 进行信息收集与回传。

想了解具体的评估计划与环境构建，可以查看官方的 GitHub 仓库：

更多可参考信息

https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/turla

评估环境

与之前相同，整个环境仍然部署在Microsoft Azure 上，参评厂商通过 VPN 连接到测试环境中。两个场景的网络是独立的，在某些评估情况下还额外禁用了 Windows Defender。环境中的设备主要分为以下三种：

• Windows Server 2019（版本号：2019.0.20190410、17763.3406.220909）

• Windows 10 Professional（版本号：18362.1256.2012032308、19044.2006.220909）

• Ubuntu 20.04 TLS（版本号：20.04.202207130）
  

覆盖技术

结果评估

与前几轮评估相同，MITRE Engenuity 官方并不对评估结果进行排名与评级，公众对数据可以有自己的分析与理解，但这并不代表 MITRE Engenuity 官方的态度。所以必须声明的是，这不是一个产品的评估，个人的解读也没有统一的衡量标准。

检测数量与总量的比率并不是本次评估的目的，也没有像之前的评估一样给出计数。如果服务提供商提供了足够的上下文来反映攻击活动，将会评估该步骤“已报告”。未报告可能有很多种情况：

• 服务提供商认为该活动不重要，向客户报告没有价值
• 服务提供商认为该活动是隐含在其他报告项中的
• 服务提供商提供有关该活动的信息并不足以将其判断为“已报告”状态
• 服务提供商遗漏或者误判了该活动

再额外解释下，本次评估该技术是否被报告与传统意义上是否被检测并不相同。最简单的例子就是那些未整合的原始遥测数据，都会被认为是“未报告”的。

评估结果

检测数量排序情况，如下所示：

分析覆盖排序情况，如下所示：

遥测覆盖排序情况，如下所示：

可见数量排序情况，如下所示：

按照检测数量与可见数量进行比对，如下所示：

和之前类似，各家对遥测的依赖并不相同。像 Rapid7 与 Secureworks 遥测的占比是极高的，而 CrowdStrike、Cybereason、Cynet 与 Paloaltonetworks 等厂商则正相反。

再次强调一下，MITRE 官方表示不提供任何排名或者评级，只提供结果相关的原始数据。各方都可以基于这些数据按照不同的角度进行数据解读，本文探讨的也是笔者对数据的个人视角，不代表对各个厂商的好坏给出了最终排名，也并非 MITRE 给出的排名。

总结

MITRE ATT&CK 评估的方式愈发从简单走向科学：从“无噪音”到“包含良性噪音”、从“开卷考试”到“闭卷考试”、从 Windows 到 Linux，MITRE 试图构建一个尽可能贴合实际场景的评估方式。当然评估不可能是万能的，评估从一开始也并没有这么好，ATT&CK 矩阵也不是一年两年就“大跃进”成了现在的样子。坚持做难且正确的事情，说起来容易，做起来何其难也。

所谓“外行看热闹，内行看门道”。MITRE 官方将各个厂商的材料打包可供下载，懂行的各位就移步官网下载原始材料进行深入研究吧。感觉不论是 EDR、XDR 与 MSSP 的开发与设计，还是攻击模拟、产品评估类的服务，都能够从中学到一二。笔者也不在这里班门弄斧，只介绍到这里罢了。

以下简单列几个截图，例如对 Mimikatz 的 pass-the-hash 攻击与 Linux 下可疑网络连接的检测：

点击阅读原文即可跳转官网查看本轮评估相关信息

原文始发于微信公众号（威胁棱镜）：MITRE ATT&CK Enterprise 第五轮评估