MITRE ATT&CK Enterprise 评估已经来到了第五轮,关于评估本身之前已经写过多篇,不了解的读者麻烦翻下之前的文章吧,这里就不再赘述了。
MITRE ATT&CK Enterprise 第四轮评估结果
Avenger,公众号:威胁棱镜MITRE ATT&CK 第四轮评估结果发布
MITRE ATT&CK Managed Services 第一轮评估结果
PolluxAvenger,公众号:威胁棱镜MITRE ATT&CK 第五轮评估结果发布
请注意,2022 年针对 OilRig 组织的评估归属于 Managed Services 领域下而非 Enterprise 领域下。因此官方表述下本轮为 MITRE ATT&CK Enterprise 评估的第五轮评估,而本号前文使用序列递增将针对 OilRig 的评估称呼为第五轮评估。由于此处会与官方表述产生差异,为避免带来误解后续将会根据类别分拆,与官方表述保持一致。
评估目标
本轮评估的目标是俄罗斯背景的 APT 组织Turla,该组织从2004 年一直活跃至今。在超过45 个国家针对政府、外交、军事等目标发起攻击,其技术手段较高,开发的恶意软件也实现了 Windows、Linux 与 macOS 的全覆盖。
参与厂商
除了卡巴斯基已经持续缺席,业界的主要玩家可以说都在。上一次评估安全托管服务(MSSP),只有十余家参与者。本次重新回到30+ 参与者的盛况,CrowdStrike、ESET、Malwarebytes 等厂商也都在评估结果发布后第一时间在官网介绍了具体情况。
评估过程
主要包含两个攻击场景(Carbon、Snake),前者包含10 个攻击步骤,后者包含9 个攻击步骤。此外,还有保护场景(Procections),包含 13 个攻击步骤与129 个子步骤。
Carbon场景中,Turla 通过鱼叉邮件获得初始访问权限,将虚假安装程序部署到失陷主机上并执行EPIC 恶意软件。建立C&C 通信后,向域控做横向平移并部署CARBON-DLL。最后,攻击者找到Linux Apache 服务器,通过PENQUIN 来部署水坑。
Snake场景中,Turla 通过与EPIC 恶意软件捆绑的Adobe Flash 安装程序进行攻击。EPIC 恶意软件会通过代理的HTTPS 请求与C&C 服务器进行通信。通过进程注入维持持久化,并且部署 SNAKE 恶意软件来提权或者保持通信。最后,攻击者通过横向平移部署LightNeuron 进行信息收集与回传。
想了解具体的评估计划与环境构建,可以查看官方的 GitHub 仓库:
更多可参考信息
https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/turla
评估环境
与之前相同,整个环境仍然部署在Microsoft Azure 上,参评厂商通过VPN 连接到测试环境中。两个场景的网络是独立的,在某些评估情况下还额外禁用了 Windows Defender。环境中的设备主要分为以下三种:
Windows Server 2019(版本号:2019.0.20190410、17763.3406.220909)
Windows 10 Professional(版本号:18362.1256.2012032308、19044.2006.220909)
Ubuntu 20.04 TLS(版本号:20.04.202207130)
覆盖技术
结果评估
与前几轮评估相同,MITRE Engenuity 官方并不对评估结果进行排名与评级,公众对数据可以有自己的分析与理解,但这并不代表 MITRE Engenuity 官方的态度。所以必须声明的是,这不是一个产品的评估,个人的解读也没有统一的衡量标准。
检测数量与总量的比率并不是本次评估的目的,也没有像之前的评估一样给出计数。如果服务提供商提供了足够的上下文来反映攻击活动,将会评估该步骤“已报告”。未报告可能有很多种情况:
服务提供商认为该活动不重要,向客户报告没有价值
服务提供商认为该活动是隐含在其他报告项中的
服务提供商提供有关该活动的信息并不足以将其判断为“已报告”状态
服务提供商遗漏或者误判了该活动
再额外解释下,本次评估该技术是否被报告与传统意义上是否被检测并不相同。最简单的例子就是那些未整合的原始遥测数据,都会被认为是“未报告”的。
评估结果
检测数量排序情况,如下所示:
分析覆盖排序情况,如下所示:
遥测覆盖排序情况,如下所示:
可见数量排序情况,如下所示:
按照检测数量与可见数量进行比对,如下所示:
和之前类似,各家对遥测的依赖并不相同。像 Rapid7 与Secureworks 遥测的占比是极高的,而CrowdStrike、Cybereason、Cynet 与Paloaltonetworks 等厂商则正相反。
再次强调一下,MITRE 官方表示不提供任何排名或者评级,只提供结果相关的原始数据。各方都可以基于这些数据按照不同的角度进行数据解读,本文探讨的也是笔者对数据的个人视角,不代表对各个厂商的好坏给出了最终排名,也并非 MITRE 给出的排名。
总结
MITRE ATT&CK 评估的方式愈发从简单走向科学:从“无噪音”到“包含良性噪音”、从“开卷考试”到“闭卷考试”、从 Windows 到 Linux,MITRE 试图构建一个尽可能贴合实际场景的评估方式。当然评估不可能是万能的,评估从一开始也并没有这么好,ATT&CK 矩阵也不是一年两年就“大跃进”成了现在的样子。坚持做难且正确的事情,说起来容易,做起来何其难也。
所谓“外行看热闹,内行看门道”。MITRE 官方将各个厂商的材料打包可供下载,懂行的各位就移步官网下载原始材料进行深入研究吧。感觉不论是 EDR、XDR 与 MSSP 的开发与设计,还是攻击模拟、产品评估类的服务,都能够从中学到一二。笔者也不在这里班门弄斧,只介绍到这里罢了。
以下简单列几个截图,例如对 Mimikatz 的 pass-the-hash 攻击与 Linux 下可疑网络连接的检测:
查看本轮评估相关信息:https://attackevals.mitre-engenuity.org/enterprise/turla/
声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。