攻防最前线：ATT&CK模型解读

发布时间：2020-12-05 21:20:49来源：FreeBuf

所谓EDR即EndpointDetectionandResponse(终端探测与响应)。EDR和市场上常见的EPP（EndpointProtectionPlatform）不同，EDR更注重“探测”和“响应”。真实的网络攻击并不是一蹴而就的，往往伴随着多次不同的攻击，最后才能突破防御达成攻击目的。入侵一定会有痕迹，EDR希望在最终灾难发生之前，通过对入侵方法的探测和及时高效的安全响应（警报、隔离等多种方式），将安全事故发生的几率降到最低。

谈起EDR，必然将谈起Mitre公司所提出的ATT&CK的概念，本文将简述ATT&CK知识。

网络攻击模型抽象（图片来源网络，侵删）

Mitre官方由抽象层次高低举例了三种网络攻击模型：

高抽象模型：LockheedMartin的CyberKillChain模型、Microsft的STRIDE模型等

中抽象模型：Mitre的ATT&CK模型

低抽象模型：漏洞数据集、恶意软件数据集等

高抽象模型普遍对网络攻击的抽象程度较高，无法更好地服务与EDR所需要的“探测”和“响应”的要求，无法形成正对性的指导。以CyberKillChain模型为例，其将攻击行为拆解为：Reconnaissance（侦查）→Weaponization（武器化）→Delivery（传输）→Exploitation（挖掘）→Installation（植入）→C2:Command&Control（命令和控制）→ActionsonObjectives（操作目标）。这一模型对于高纬度理解网络攻击有一定意义，但无法形成有效的攻击路线，无法说明每一次攻击行为之间的联系。ATT&CKMatrixforEnterprise部分

CyberKillChain（图片来源网络，侵删）

低抽象模型由于太注重于细枝末节，如漏洞数据集、恶意软件数据集等，反而无法看透攻击者的攻击目的和攻击全貌。所谓“管中窥豹，可见一斑”。

Mitre对网络攻击进行了一个中等级别的抽象，让ATT&CK模型能够更好地服务于以下方面的问题：

每次攻击行为之间的联系

连续的攻击行为背后的攻击目标

每次攻击行为如何与数据源、防御、配置和其他被用在一个平台/技术域之间的措施想联系。

ATT&CK的全称是AdversarialTactics,Techniques,andCommonKnowledge(ATT&CK)。ATT&CK模型初步分为了两个技术领域，分别是Enterprise和Mobile，每个领域对应不同的平台。EDR主要用于企业市场，其ATT&CK模型主要是围绕ATT&CKMatrixforEnterprise（ATT&CK矩阵）进行的。

我们可以看到，Enterprise领域主要面向的平台为Linux、MacOSI和Windows

由ATT&CK模型的全称可以看出，ATT&CK模型主要围绕两个方面展开——Tactics（策略）和Techniques（技术）。

ATT&CKMatrixforEnterprise部分ATT&CKMatrixforEnterprise全貌

ATT&CK模型中有四个关键对象，除了Tactics、Techniques还有Groups和Software。

Tactics（ID：TAXXXX）

Tactics被译做“攻击策略”可能更合适。它反映了网络攻击的基本策略。Mitre将每种Tactics分配了ID（以TA作为开头，后面接数字），方便信息安全工作者进行查询。

如，InitialAccess（ID:TA0001）表示攻击者试图接入被攻击者的网络，Execution（ID:TA0002）表示攻击者试图运行恶意代码。

Techniques（ID：TXXXX）

Techniques即完成某个Tactics（攻击策略）所涉及到的技术。Mitre将每种Technique也分配了ID（以T作为开头，后面接数字）。每一种Tactics下有多种Technique，每个Technique可以为多种Tactics服务。

如，Persistence（ID:TA0003）策略涉及到了AccessibilityFeatures（ID:T1015）、AppCertDLLs（ID:T1098）和AppInitDLLs（ID:T1103）等多种Technique。而AppInitDLLs这种技术又可以在PrivilegeEscalation（ID:TA0004）策略中使用。

同样的Technique在多种Tactics中都可以看到

ATT&CK模型为特定的Technique对象提供了相关参数，如：Name、ID、Tactic和Description等。方便更好的让Technique与Tactics等相联系。

例.ApplnitDLLs的参数

Group（ID：GXXXX）

Mitre同样也整理了一些世界上著名的黑客组织（Groups），也提供了这些Groups的相关参数，包括Group的基本描述、别名、历史攻击所用到的技术及软件等。

参数：Name、ID、Aliases、Description、AliasDescription、TechniquesUsed、Software。

94个Groups部分列表

Software（ID：SXXXX）

Software即攻击者经常用的软件，包括工具、组件和恶意软件。其参数包括：Name、ID、Aliases、Type、Platform、Description、AliasDescription、TechniquesUsed、Groups。

Software：cmd

根据ATT&CK模型给出的四个关键对象，这四个关键对象的关系可以用下图表示。

Groups用Technique和Software去完成Tactic。

Software是实现Technique的手段。

ATT&CKModelRelationships

以APT28用Mimikatz（一款windows密码抓取神器）和CredentialDumping技术去完成CredentialAccess的关系模型如下。

ATT&CKModelRelationshipsExample

我们用ATT&CK模型干什么？Mitre给出的答案如下：

DetectionsandAnalytics（检测和分析）：帮助网络防御者开发分析程序，以检测对手使用的技术。

ThreatIntelligence（威胁情报）：为分析人员提供了一种通用语言来构造，比较和分析威胁情报。

AdversaryEmulationandRedTeaming（攻击模拟）：提供了一种通用语言和框架，攻击模拟团队可以使用该语言和框架来模拟特定威胁并计划其行动。

AssessmentandEngineering（评估与工程化）：可用于评估组织的能力并推动工程决策。

ATT&CK模型主要整合了历史的黑客组织和攻击事件，以攻击策略为线索将不同攻击策略所对应的攻击技术和软件相联系。为信息安全从业者提供了一个可执行的中等抽象化的模型。

信息技术日新月异，我们不仅要防范过去的攻击技术，也将面临新的攻击技术的挑战。

1.MITREATT&CK.https://attack.mitre.org/

2.MITREATT&CK™:DesignandPhilosophy.https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf

3.银雁冰.看雪.[原创]ATT&CK一般性学习笔记,https://bbs.pediy.com/thread-254825.ht

精彩推荐