ATT&CK 框架真的只是花架子吗?
2022-5-20 09:30:54 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

1、ATT & CK 框架

2013年MITRE 启动了 ATT&CK 项目,以记录针对 Windows 企业网络的高级持久威胁使用的常见策略、技术和程序。

ATT&CK 是信息安全领域中针对攻击对抗行为的知识库和模型,涵盖了攻击行为各个阶段及相应的攻击方法、缓解措施、数据源。

故而ATT&CK 中包含战术、技术、数据源、缓解措施、黑客团体、攻击软件信息。

1.1、战术

ATT&CK 战术在企业安全中包含侦察、资源开发、初始访问权限、执行、持久化、特权提升、防御规避、凭证访问、发现等一系列战术。

细心的朋友会发现,这一系列的战术和红队攻击步骤中有些相似。(实战中会采用其中的几种战术进行组合)

实际上这些战术是一段完整攻击行为的生命周期。

那什么是战术呢?

战术(Tactics)是攻击行为的阶段性目标。例如:侦察战术。

侦察,攻击者试图收集可用于未来攻击的信息。例如:企业域名信息、公众号信息、出口IP、邮箱信息、企业应用系统信息。

1.2 技术

有了战术目标,如何实现呢?

技术(Techniques)是攻击者实现战术目标的攻击手法。

还是拿侦察战术继续讲,如何实现侦察呢?可以主动扫描、收集主机信息、收集身份信息、收集网络信息、收集组织信息等。

这些就是技术了,但是这样还不够具体,所以提出了子技术概念。

子技术(Sub-Techniques)是攻击者技术中更为细节的技术方法。

例如主动扫描

扫描IP段,攻击者对目标可能IP段进行扫描,发现目标IP信息。

漏洞扫描,攻击者对目标主机/应用程序进行扫描,寻找与特定漏洞一直的攻击目标。

例如网络钓鱼以获取信息

钓鱼服务。攻击者通过第三方服务发送钓鱼信息,以获取敏感的信息。例如假冒的修改密码系统。

钓鱼附件。攻击者发送带有恶意附件给受害者。

钓鱼链接。

在ATT&CK 技术中,Mitre还提供了该技术对应的攻击案例、防御措施、检测措施。

2、如何使用 ATT & CK 框架

场景例子:在linux中setuid 提权攻击。

  • ATT&CK定义

战术上隶属于特权升级

技术上隶属于滥用提权控制机制

  • ATT&CK示例

Linux版Exaramel可以通过具有setuid功能的特定二进制文件执行具有高权限的命令。

  • ATT&CK缓解措施

如果应用程序被盗,具有已知漏洞或已知shell转义的应用程序不应设置setuid或setgid参数,以减少潜在损害。此外,设置setuid或setgid参数的程序数量应在整个系统中最小化。

  • ATT&CK检测

监控实用程序(如chmod)及其命令行参数,以查找设置setuid或setguid参数的命令。

监控文件系统,文件中是否包含设置setuid或setgid参数的命令。

监控对文件的更改,这些文件可能执行shell转义,或使用setsuid或setgid参数利用应用程序中的漏洞,以便在其他用户上下文中运行代码。

  • ATT&CK 数据源

进程详情记录

命令行审计日志记录

文件管理日志(文件访问、文件创建、文件删除、文件修改)

看官:你说的这个HIDS自己就可以干了,还要什么ATT&CK?

笔者:这是个好问题,老板可以对照 ATT&CK 看看自家用的HIDS功能是否针对主机安全覆盖足够。也算是购买HIDS时的一个评价参考。

通过上面案例,我们可以很直观的体验到ATT&CK魅力。那在企业安全运营时,如何正确利用 ATT&CK 呢?

3、ATT&CK 的意义

不知攻焉知守,最近一两年比较火的一句话了。笔者认为 ATT&CK 弥补了企业安全能力认知短板

企业有很多资产,那么站在 ATT&CK的视角来看看,如果攻击目标是该资产会有哪些攻击行为,这些攻击行为该如何检测和缓解也就有了思路。

当面对大老板的灵魂拷问的时候,我们的安全做的怎么样的时候?

或许是时候祭出ATT&CK了,可以回答其中的一个维度。(企业安全是多维度的)

资产梳理是否清楚?自动化的资产测绘是否建立?

资产对应的ATT&CK是否分析完毕(有可能是购买第三方厂商的产品或服务)?

资产对应的威胁情报是否已经在持续收集中?

资产对应的威胁缓解、检测机制是否已经上线?

资产对应的安全响应机制是否建立?该机制是否可以自动化?

由上可得,同行公司ATT&CK覆盖指数xxx,我们ATT&CK覆盖指数xxx。

最后,安全建设不是无限投入,而是按需建设。

ATT&CK 大而全,也就意味着不能上来全部都上。日拱一卒,行则将至。依据框架进行安全建设,讲究的是在正确的方法论上长期积累。

参考资料

ATT&CK 官网:https://attack.mitre.org


文章来源: https://www.freebuf.com/articles/security-management/333705.html
如有侵权请联系:admin#unsafe.sh