编者按

最近,美国 CISA 宣布为网络威胁情报专家发布 MITRE ATT&CK 框架的新指南,以便更好的利用此框架进行技术实践。小编为大家编译了此指南,如大家觉得有用欢迎转发。

指南背景

2018 年,MITRE 发布了ATT&CK,这是一个全球可访问的基于现实世界观察的对手战术和技术的知识库。网络威胁分析师使用 ATT&CK 知识库来开发私营部门、政府以及网络安全产品和服务社区的特定威胁模型和方法。

MITRE ATT&CK 评估服务,评估端点检测和响应产品,检测高级威胁的能力。

尽管效率很高,但许多网络安全专家并未充分利用该框架的潜力,因此,CISA 决定分享一些有关使用 ATT&CK 进行威胁情报的指南。

“很大一部分企业没有关联来自云、网络和端点的事件来调查威胁:只有 39% 的企业在调查威胁时合并了来自所有三种环境(云、网络和端点)的事件。 ”其中一项研究写道。

CISA与国土安全系统工程与发展研究所研发中心共同创建了名为“MITRE ATT&CK 映射的最佳实践”的指南。

该指南旨在帮助网络威胁分析师将攻击者的 TTP 映射到相关的 ATT&CK 技术。

MITRE ATT&CK 映射指南的最佳实践提供分步说明,以在分析网络安全威胁时优化 MITRE ATT&CK 的使用。该指南还旨在提高防御者主动检测对手行为和共享其行为情报的能力。

“作为网络威胁情报 (CTI) 的一部分,CISA提供此指南以帮助分析师准确、一致地将对手行为映射到相关的ATT&CK 技术——无论分析师是希望将 ATT&CK 纳入网络安全出版物还是对原始数据的分析。ATT&CK 的成功应用将产生一组准确且一致的映射,可用于开发对手概况、进行活动趋势分析,并纳入报告以进行检测、响应和缓解。”

指南正文

  • 简介

对于网络安全和基础设施安全局 (CISA) 而言,了解对手的行为通常是保护网络和数据的第一步。网络防御者在检测方面能否成功缓解网络攻击就取决于这种理解。MITRE ATT&CK® 框架是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 提供 100 多个威胁参与者组的详细信息,包括他们已知使用的技术和软件。ATT&CK 可用于识别防御漏洞、评估安全工具功能、组织检测、寻找威胁、参与红队活动或验证缓解措施。CISA 使用 ATT&CK 作为识别和分析对手行为的重要工具。CISA 与国土安全系统工程与开发研究所™ (HSSEDI) 共同创建了本指南,该研究所是国土安全部拥有的联邦政府资助的研发中心 (FFRDC),与 MITRE ATT&CK 团队合作。

  • ATT&CK级别

ATT&CK 描述了整个对手生命周期的行为,通常称为战术、技术和程序 (TTP)。在 ATT&CK 中,这些行为对应于四个日益细化的级别:

  1. 战术、表示ATT&CK 技术或程序的“什么”和“为什么”。它们是对手的技术目标、执行操作的原因。例如,攻击者可能希望获得凭证访问权限以访问目标网络。每种策略都包含一系列技术,网络防御者观察到这些技术被威胁行为者在实际攻击中的应用。注意:ATT&CK 框架并不是线性的——对手以直线(即从左到右)通过策略来实现他们的目标。此外,对手不需要使用所有 ATT&CK 策略来实现其攻击目标。

  2. 技术、表示对手“如何”通过执行行动来实现战术目标。例如,对手可能会转储凭据以实现凭据访问。技术也可以代表对手通过执行行动获得的收益。技术是实现目标的特定行为,通常是旨在完成对手整体任务的一系列活动中的一个步骤。注意:ATT&CK 中的许多技术包括可用于恶意目的的合法系统功能。

  3. 子技术、提供更细粒度的技术描述。例如,操作系统凭据转储 [T1003] 技术下的行为描述了执行该技术的特定方法,例如访问 LSASS 内存 [T1003.001]、安全帐户管理器 [T1003.002] 或 /etc/passwd 和/etc/shadow [TT1003.008]。程序通常(但不总是)特定于操作系统或平台。并非所有技术都有子技术。

程序是如何使用技术或子技术的特定实例。它们可用于通过对手模拟重现事件以及有关如何检测正在使用的实例的细节。

  • ATT&CK的技术领域

ATT&CK 被组织在一系列“技术领域”中——对手在其中运作的生态系统。以下是已开发或正在开发的特定领域的 ATT&CK 知识库:

  • MITRE ATT&CK - 企业:

    • 基于平台:Windows、Linux 和 MacOS 环境

    • 云矩阵:AWS(亚马逊网络服务)、GCP(谷歌云平台)、Azure、Office 365、Azure AD、软件即服务 (SaaS) 平台

    • 网络矩阵:网络基础设施设备

  • MITRE ATT&CK - 移动:提供对抗策略和技术的模型,以访问Android 和iOS 平台。ATT&CK for Mobile 还包含一个单独的基于网络的效应矩阵,攻击者可以使用这些技术而无需访问移动设备本身。

  • MITRE ATT&CK - 工业控制系统 (ICS):专注于破坏工业控制过程的对手战术和技术,包括监督控制和数据采集 (SCADA) 系统以及其他控制系统配置。

  • ATT&CK映射指引

作为网络威胁情报 (CTI) 的一部分,CISA 提供此指南以帮助分析师准确、一致地将对手行为映射到相关的 ATT&CK 技术——无论分析师是希望将 ATT&CK 纳入网络安全出版物还是对原始数据的分析。

ATT&CK 的成功应用应生成一组准确且一致的映射,可用于了解对手概况、进行活动趋势分析,并纳入报告以用于检测、响应和缓解网络威胁。尽管有不同的方法来完成这项任务,但本指南提供了一个起点。注意:CISA 和 MITRE ATT&CK 建议分析师首先熟悉将完成的报告映射到 ATT&CK,因为完成的报告中通常有更多线索可以帮助分析员确定适当的映射。

有关了解和使用 ATT&CK 框架的其他资源,请参阅附录 A。有关已发布的包含 ATT&CK 映射的 CISA 网络安全咨询的注释示例,请参阅附录 B。

  • 将 MITRE ATT&CK 映射到完成的报告中

以下步骤描述了如何将 CTI 报告成功映射到 ATT&CK。分析师可以根据可用信息和他们对 ATT&CK 的了解来选择他们自己的起点(例如,识别战术与技术)。附录 B 提供了包含 ATT&CK 的网络安全咨询的带注释示例。

  1. 找出行为。搜索对手行为的迹象是一种范式转变,从寻找入侵指标 (IOC)、恶意软件文件的哈希值、URL、域名和其他先前入侵的组件。寻找对手如何与特定平台和应用程序交互的迹象,以发现一系列异常或可疑行为。尝试确定最初的入侵是如何实现的,以及入侵后活动是如何执行的。对手是否出于恶意目的利用合法系统功能。

  2. 研究行为。可能需要进行额外的研究,以获得了解可疑对手或软件行为所需的上下文。

    1. 查看原始来源报告以了解行为在这些报告中的表现方式。其他资源可能包括来自安全供应商、美国政府网络组织、国际 CERTS、维基百科和 Google 的报告。

    2. 虽然并非所有行为都可以转化为技术和子技术,但技术细节可以相互建立,以告知对整体对手行为和相关目标的理解。

    3. 在 ATT&CK 网站上搜索关键术语以帮助识别行为。一种流行的方法是搜索描述对手行为的报告中使用的关键动词,例如“发出命令”、“创建持久性”、“创建计划任务”、“建立连接”或“发送连接请求”。”

  3. 确定策略。梳理报告以识别对手的战术和攻击流程。要确定策略(对手的目标),请关注对手试图完成的任务以及原因。目的是窃取数据吗?是为了破坏数据吗?是为了提升特权吗?

    1. 查看策略定义以确定已识别的行为如何转化为特定策略。示例可能包括:

      1. “通过成功利用,[活动] 将授予任何用户对机器的系统访问权限。”策略:权限提升 [TA0004]

      2. "使用 Windows 命令 "cmd.exe" /C whoami。"战术:发现 [TA0007]

      3. “通过创建以下计划任务来创建持久性。”战术:持续 [TA0003]

    2. 确定报告中的所有策略。每种策略都包括攻击者为实现其目标可以采取的有限数量的行动。了解攻击的流程可以帮助识别对手可能采用的技术或程序。

  4. 识别技术。确定策略后,查看与对手如何尝试实现其目标相关的技术细节。例如,对手如何获得初始访问 [TA0001] 立足点?是通过鱼叉式网络钓鱼还是通过外部远程服务?通过查看报告中观察到的行为,深入了解可能的技术范围。注意:如果您没有足够的细节来确定适用的技术,您将仅限于映射到战术级别,这本身不是用于检测目的。

    1. 将报告中的行为与已识别策略下列出的 ATT&CK 技术的描述进行比较。其中之一是否匹配?如果是这样,这可能是合适的技术。

    2. 请注意,多种技术可能会同时应用于同一行为。例如,“端口 8088 上基于 HTTP 的命令和控制 (C2) 流量”将属于应用层协议 [T1071] 的非标准端口 [T1571] 技术和 Web 协议 [T1071.001]程序。将多种技术同时映射到一个行为允许分析师捕捉行为的不同技术方面,将行为与其用途相关联,并将行为与数据源和防御者可以使用的对策保持一致。

    3. 不要假设或推断使用了某种技术,除非明确说明该技术或没有其他技术方式发生过。在“端口 8088 上的基于 HTTP 的命令和控制 (C2) 流量”示例中,如果 C2 流量通过 HTTP,分析人员不应假设流量通过端口 80,因为攻击者可能使用非标准端口。

    4. 使用ATT&CK 网站左上角的搜索栏(或 ATT&CK Enterprise Techniques 网页上的 CTRL+F)搜索技术细节、术语或命令行,以确定与所描述行为匹配的可能技术。例如,搜索特定协议可能会深入了解可能的技术或子技术。

    5. 确保技术与适当的策略保持一致。例如,有两种技术涉及扫描。侦察策略下的主动扫描 [T1595] 技术发生在受害者受到威胁之前。该技术描述了主动侦察扫描,该扫描通过网络流量探测受害者基础设施,以收集可在目标定位期间使用的信息。发现[TA0007] 策略中的网络服务扫描 [T1046] 技术发生在受害者受到攻击之后,并描述了使用端口扫描或漏洞扫描来枚举在远程主机上运行的服务。

    6. 将技术和程序视为对手攻击脚本中的要素,而不是孤立的活动。攻击者经常使用他们从行动中的每个行动中获得的信息来确定他们将在攻击周期中使用哪些额外的技术。正因为如此,技术通常被链接在攻击链中。

  5. 确定程序。查看程序描述以查看它们是否与报告中的信息匹配。如果是这样,这可能是正确的程序。根据报告中的详细程度,可能无法在所有情况下识别子技术。注意:仅当没有足够的上下文来识别子技术时才映射到父技术。仔细阅读子技术说明以了解它们之间的差异。例如,暴力破解 [T1110] 包括四个子技术:

    1. 密码猜测 [T1110.001]、密码破解 [T1110.002]、密码喷洒 [T1110.003] 和凭证填充。[T1110.004]。例如,如果报告没有提供额外的上下文来识别对手使用的子技术,只需将暴力 [T1110](涵盖获取凭证的所有方法)确定为父技术。

    2. 如果子技术的父级适用于多种策略,请确保选择合适的策略。例如,进程注入:动态链接库。注入 [T1055.001] 子技术出现在防御规避 [TA0005] 和特权升级 [TA0004] 策略中。

    3. 如果子技术不容易识别(可能不是在每种情况下都有一个),查看程序示例可能会有所帮助。这些示例提供了指向支持原始技术映射的源 CTI 报告的链接。附加上下文可能有助于确认映射或建议应调查替代映射。总有一种可能性,一种行为可能是 ATT&CK 尚未涵盖的新技术。例如,与 SolarWinds 供应链妥协相关的新技术导致对 ATT&CK 框架的周期外版本修改。ATT&CK 团队努力在新技术或子技术变得流行时包含它们。来自安全研究人员和分析师社区的贡献使这成为可能。如果您正在观察新技术或子技术或技术的新用途,请通知 ATT&CK 团队。

  6. 将您的结果与其他分析师的结果进行比较。通过与其他分析师合作改进您的映射。与其他分析师合作进行映射可以提供观点的多样性,并有助于提供其他观点,从而提高对可能的分析师偏见的认识。同行评审和协商的正式过程可以成为分享观点、促进学习和改进结果的有效手段。对用提议的策略、技术和子技术注释的报告进行同行评审,可以更准确地映射初始分析中遗漏的 TTP。此过程还有助于提高整个团队的映射一致性。

  • 将MIRE ATT&CK 映射到原始数据

下面描述的选项代表了将原始数据映射到 ATT&CK 的可能方法。原始数据包含可能包含对抗性行为的组件的混合数据源。原始数据类型包括 shell 命令、恶意软件分析结果、从取证磁盘映像中检索到的工作组件、捕获的数据包和 Windows 事件日志。

  • 选项 1. 从数据源开始确定技术和程序。查看通常由 Windows 事件日志、Sysmon、EDR 工具和其他工具收集的数据源(例如,进程和进程命令行监控、文件和注册表监控、数据包捕获)。可能有助于分析潜在恶意行为的问题包括:

    1. 对手关注的对象是什么(例如,这是一个文件、一个流、一个驱动程序还是一个进程)?

    2. 正在对对象执行的操作是什么?

    3. 这项活动需要哪些技术?这可能有助于缩小技术的子集。如果未知,请跳至步骤d。

    4. 是否有实质性的活动可以帮助缩小发生的技术范围?

      1. 使用已知工具(例如,凭证转储工具,如 gsecdump 或 mimikatz)。注意:攻击者可能会通过更改已知工具来伪装恶意工具。但是,它们的名称,提供的命令行标志将保持不变

      2. 使用已知的系统组件(例如,regsvr32、rundll32)。

      3. 访问特定系统组件(例如,注册表)。

      4. 使用脚本(例如,以 .py、.java、.js 结尾的文件)。

      5. 特定端口的标识(例如,22、80)。

      6. 识别所涉及的协议(例如,RDP、DNS、SSH、Telnet、FTP)

      7. 混淆或反混淆的证据。

      8. 涉及特定设备的证据(例如,域控制器),如果是,该设备类型的意外或不一致行为的证据。

  • 选项 2. 从特定工具或属性开始并扩大范围。原始数据提供了对手行为或工具的独特视图。可以通过进程监控事件、访问的特定文件系统组件(例如,Windows 注册表),甚至是他们使用的某些软件(例如,mimikatz)来识别他们的命令。分析师可以搜索 ATT&CK 存储库以潜在地识别与这些项目一致的技术或程序。分析师还可以利用它们作为进一步探索相关技术的来源。例如,如果攻击者在

    HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

    中创建了一个用于持久性的注册表项,以在计算机重新启动或用户登录时执行(即,注册表运行项/启动文件夹)[T1547.001]),分析师可能能够探索与事件相关的其他行为。例如,恶意注册表条目通常伪装成合法条目以避免检测(伪装 [T1036]),这是一种防御规避 [TA0005] 策略。

  • 选项 3. 从分析开始。检测分析(或检测规则)通常在 SIEM 平台内实施,该平台收集和聚合日志数据并执行关联和检测等分析。分析旨在通过分析一系列日志(例如 VPN 日志、Windows 事件日志、IDS 日志和防火墙日志)中的可观察事件(通常是一系列事件)来识别恶意对手活动。通过这种分析,检测分析可以深入了解可能包含特定对手技术工件的其他数据源。许多组织将他们的分析作为开源材料共享。这些包括:

      1. Sigma(SIEM 的标准化规则语法)。Sigma 规则包含检测计算机进程、命令和操作的逻辑。例如,有多个与检测凭证转储程序 Mimikatz 相关的 Sigma 规则。单击此处查看 Sigma 规则示例,该规则检测凭证转储并在标签字段中包含相关的 ATT&CK 技术和子技术。

      2. MITRE 的网络分析存储库 (CAR)。CAR 是用于检测一组 ATT&CK 策略、技术和子技术的规则知识库。该分析检测凭据转储的小型转储变体,其中进程打开 lsass.exe 以使用 Win32 API 调用 MiniDumpWriteDump 提取凭据。

      3. 来自非系统帐户的 LSASS 访问。此规则也是基于行为的,它检测尝试访问 LSASS 进程的非特权进程——这是执行 Mimikatz 以从系统收集凭据的关键步骤。单击此处查看此开源规则的 GitHub 条目,该条目映射到关联的 ATT&CK 策略、技术和程序。

声明:本文来自网络安全与网络战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。