本次评估的不同

1. 范围扩大。首次引入macOS作为测试对象，并模拟了勒索软件团队攻击。
2. 模拟更加贴合真实运营场景。评估指标增加了告警量、告警噪音评估。
3. 参与厂商变少。从2023年的31个减少到今年的19个，如crowdstrike、elastic等厂商没有参加。

• 技术（Technique） 解决方案自主识别出符合战术文档中检测标准的恶意/可疑事件，所收集的证据提供了有关行动是如何执行（技术）的细节，这些细节通过MITRE ATT&CK框架中的（子）技术或等效层次的数据丰富来描述测试行为（即谁、什么、何时、为什么以及在哪里）。

• 战术（Tactic） 解决方案自主识别出符合通用文档中检测标准的恶意/可疑事件，所收集的证据提供了有关行动为何执行（战术）的细节，这些细节通过MITRE ATT&CK战术或等效层次的数据丰富来描述测试行为。

• 一般（General） 解决方案自主识别出符合文档中检测标准的恶意/可疑事件发生，但所收集的证据未能提供有关行动为何执行（战术）或如何执行（技术）的细节，这些细节本应通过MITRE ATT&CK战术/技术或等效层次的数据丰富来描述测试行为。

• 无（None） 子步骤的执行是成功的；但是，供应商提供的证据不符合文档中的检测标准，或者没有提供红队活动的证据。对于“无”这一项，没有任何修饰符、备注或截图包含在内。

• 不适用 （Not Applicable (N/A）） （子）步骤的评估未完成。原因可能包括但不限于：执行期间的技术问题阻碍了成功完成，或参与者不支持该平台。

MITRE认为告警疲劳是安全团队面临的一个常见挑战。过多的告警可能会使分析师感到应接不暇，从而导致错过安全事件或响应迟缓。在评估过程中，无害活动（即正常业务操作，不在模拟计划内）与由红队执行的恶意/可疑活动同时进行。如果工具错误地将无害活动识别为恶意或可疑活动，并通过检测或自动防护机制发出警报或阻止该活动，则会导致产生误报（FP，false positive）。

• 报告（误报，Reported） 当参与者错误地将无害活动识别为恶意或可疑活动并发出警报或进行阻止（无论是通过检测还是自动化保护措施），从而导致误报（FP，False Positive）。

• 未报告（正确忽略，Not Reported） 当参与者正确地判断无害活动为非恶意活动，没有发出警报，从而实现了正确的否定预测（True Negative）。

• 不适用（不适用） 对于噪音测试步骤，评估未完成。这可能是由于执行期间遇到技术问题而无法成功完成评估，或是因为参与者所使用的平台不支持该测试。

• 被阻止（Blocked） 测试程序执行未能成功进行，而收集的证据确认解决方案成功阻止了测试中的行为。

• 未阻止（Not blocked） 测试程序成功执行，但解决方案并未阻止测试中的行为。

• 不适用（不适用） （子）步骤的评估未完成。这可能是由于执行过程中遇到技术问题导致无法顺利完成评估，或因为参与者所用平台不支持该测试步骤。

仿真对象

本次仿真对象主要为两类攻击者：朝鲜和勒索团队（CL0P、LockBit），都是今年国内外较流行的威胁团队。

与朝鲜（DPRK）有关联的威胁行为者主要针对金融机构（加密货币、银行、区块链）以及国防和技术部门进行网络行动。这些行为者以特定目标进行详尽研究而著称，通常采取个性化方法建立关系，并经常冒充合法联系人或组织以增强可信度。

与朝鲜有关的敌对势力已经扩大了他们的目标，包括 macOS 系统，采用社工技巧迫使用户执行伪装成合法软件的恶意软件，发起复杂的供应链攻击，将恶意文件伪装成合法应用程序，并在控制受害者环境的同时逃避检测。这些行为者的目标通常涉及窃取敏感信息，如管理员密码、会话 cookie 和 macOS钥匙串。朝鲜国家赞助的行为者继续完善他们的目标，利用他们的活动为核能力的发展提供资金。

自 2019 年起活跃的 CL0P 是一个复杂的勒索软件家族，可能与 TA505有关联。CL0P 通过钓鱼获得初步访问权限，通常使用启用宏的文档来部署恶意加载器。与其他大多数勒索软件家族一样，CL0P 采用“窃取、加密和泄露”策略——他们识别并加密文件，在文件后附加各种扩展名（例如.clop），并利用其 Tor 站点上的数据泄露威胁来向受害者施压，要求支付赎金。

最近的攻击利用了软件如 MOVEit Transfer 和 GoAnywhere MFT 中的漏洞，导致重大泄露，并促使美国当局悬赏征集该集团成员的信息。CL0P目的是获取经济利益，因此其目标较为随机，不特别针对任何特定地区或行业。CL0P 的自适应策略和广泛的攻击能力使其成为当今最危险的勒索软件威胁之一。

LockBit于2019年首次推出时被称为“ABCD”勒索软件，是一种臭名昭著的勒索软件变种，以其使用复杂工具、敲诈方法和高强度攻击而闻名。LockBit 采用勒索软件即服务（RaaS）模式，使附属机构能够使用其工具发起攻击。这种去中心化的方法使得更多的人可以接触到勒索软件工具，并促进了多种行为的产生，使得检测和响应更加复杂和不可预测。执法机构在 2022 年将 LockBit 评为“全球部署最多的勒索软件变种”，并且在 2022 年至 2023 年间，大约 30%的勒索软件攻击是由 LockBit附属机构发起的。LockBit不断适应变化，通过 LockBit 3.0 启动赏金计划以改进其工具，针对Windows和Linux系统的攻击中采用了演变的规避策略，并将现已解散的 Conti 勒索软件的元素纳入 LockBit Green 中，反映了勒索软件生态系统中代码和策略的循环利用趋势。 

为了进入目标系统，LockBit 攻击者使用了合法资源（例如，渗透测试工具 Metasploit 和 Cobalt Strike，利用远程桌面协议（RDP），原生程序如 PowerShell 和批处理脚本）以及利用已知漏洞（例如，CVE-2018-13379、CVE-2019-0708 和 CVE-2020-1472）。尽管2024年2月一项多国执法行动中断了LockBit相关平台，但LockBit仍然普遍存在，直到2024年5月。在Cronos行动^[1]持续进行的努力下，2024年10月，LockBit 运营商遭到逮捕和制裁^[2]。

仿真环境

这次换成了AWS上搭建，不过本质上没有太大区别 

详细的仿真环境搭建方式等资源，MITRE已经开源至ATT&CK Evaluations Library^[3] 而且对于每个仿真场景，MITRE也提供了检测标准、检测工具、异常行为以及对应的SPL查询语句。

攻击仿真流程

这个也是和国内评估安全产品比较大的区别之一了，MITRE更注重一个完整攻击链的仿真评估。

朝鲜

在这个场景中，一台 macOS 设备在供应链攻击后被来自朝鲜的敌对势力锁定。该敌对势力使用多阶段、模块化的恶意软件来滥用合法的 macOS 实用程序并窃取敏感数据。

Cl0P

场景涉及攻击者向受害者管理员用户的工作站投放 Cl0P，随后窃取并加密文件。

LockBit

一个 LockBit成员将 LockBit 植入受害者工作站并随后窃取和加密文件的情景。

保护

评估结果

结果发布后，各供应商的宣传在X上依旧引来了吐槽 

MITRE依然提供了在线交互界面^[4]用于查看评估结果 

选择"Individual"可以查看厂商的评估结果，也可以选择多个厂商进行横向对比。 下载JSON文件，其中也包含了一些指标，这类指标就是经常看到的XX厂商100%指标

本次引入的告警量还是给各厂商拉开了不少差距，例如在LockBit场景，Trend Micro的Trend Vision One告警数量明显比Microsoft、Palo Alto更多。

在不同的模拟场景，从告警数量、告警丰富度、误报数量上，每个产品区别都挺大。

彩蛋

虽然今年依然没有中国安全厂商参与，但是还是可以看到国内安全厂商的痕迹，例如LockBit仿真计划就引用了安天的报告，无论是否参与，依然受到了国外关注。 

参考资料