“MITRE ATT&CK”从去年开始,几乎成为了网络安全领域最热门的话题,从google热度变化趋势图来看,一直到现在的热度并未减少。在国内也看到大量关于“ATT&CK”的文章介绍,有RedTeam的行动实践、威胁情报的应用、恶意检测的场景等等,也看到了国内有部分安全公司已有的产品或预研的产品开始加入“ATT&CK”相关概念,比较有趣的是近一年这个话题在中国的热度反而最高了。
ATT&CK (Adversarial Tactics, Techniques & Common Knowledge),来自官方的介绍:MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community.
MITRE ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是基于现实世界观察结果的全球对抗性战术和技术知识库。ATT&CK知识库被用作开发企业、政府以及网络安全产品和服务社区中特定威胁模型和方法的基础。简单理解下,它是一个以攻击者的视角来描述攻击过程中各阶段用到的技术知识库,包括了Matrices矩阵、Tactics战术、Techniques技术 、Mitigations 缓解措施、Groups组织、Software软件等几个部分组成的内容。Matrices矩阵:分别是PRE-ATT&CK(攻击前的准备),ATT&CK for Enterprise(针对企业IT网络和云的行为)和ATT&CK for Mobile(移动端的攻击技术),ATT&CK for ICS(新增针对工控系统的)其中PRE-ATT&CK覆盖攻击链模型的前两个阶段,ATT&CK for Enterprise覆盖攻击链的后五个阶段。
Tactics战术:PRE-ATT&CK Tactics(网络攻击前要做的准备)、Enterprise Tactics(攻击企业网络的战术)、Mobile Tactics(攻击移动端设备的战术),代表三个不同方面的战术。
Techniques技术:PRE-ATT&CK Techniques、Enterprise Techniques、Mobile Techniques三方面的内容,主要对应了Tactics各自部分涉及的技术内容。Mitigations 缓解措施:Enterprise Mitigations、Mobile Mitigations针对Techniques涉及到的攻击技术提供相应的缓解措施。Groups组织:记录了大量APT组织的活动内容。
Software软件:各平台下的黑客工具、木马、恶意软件的收录。Q:ATT&CK能做什么?
A:以下是官方给出的参考答案:
· Detections and Analytics(检测和分析)
· Threat Intelligence(威胁情报)
· Adversary Emulation and Red Teaming(对抗模拟和红队行动)
· Assessment and Engineering(评估和工程化)
传统的企业PC和如今的移动设备之间存在许多安全体系结构的差异,这就需要特定于移动设备场景下的ATT&CK。移动设备从PC环境中吸取的经验教训中受益,尤其是沙盒功能,通过控制应用程序之间以及每个应用程序和底层设备组件之间允许的交互提供保护,以防漏洞和恶意行为。然而,移动设备的独特属性和先进功能,包括几乎总是开机的状态、无处不在的网络连接、多个无线电接口和环境传感器等,带来了新的威胁。01移动设备的沙箱功能在提供关键安全保护的同时,也严重限制了第三方的安全产品(如防病毒软件或其他端点检测和响应产品)检测和响应威胁的能力。02基于网络的安全监控在移动环境中也面临着挑战,移动设备有时仅连接到企业网络,而有时连接到企业无法检测的蜂窝网络或公共Wi-Fi网络。03移动设备和应用程序通常将网络视为不可信的,对大部分或所有网络通信进行加密,并经常使用诸如证书锁定之类的技术来抵御基于网络的攻击,但也增加了监控网络流量的难度。
这些安全架构差异意味着,传统企业PC环境中使用的相同检测和缓解方法可能在移动环境中不起作用。
NIST发布了《Draft NISTIR 8144, Assessing Threats to Mobile Devices & Infrastructure: The Mobile Threat Catalogue》,详细列出了针对移动设备面临的安全风险,在支持开发移动安全功能、解决方案和最佳实践的同时,为企业在部署移动设备提供保护。
ATT&CK for Mobile则在此基础上提供了一个对抗性战术和技术模型,用于获取移动设备的访问权限,以及利用该访问权限实现攻击目标的战术和技术。针对移动设备和环境的攻击模型框架,涉及的战术和具体技术细节都包括了相应的技术说明以及适用的缓解措施。
主要看Android环境下的矩阵,以下是代表ATT&CK for Mobile两个矩阵的战术和技术,涵盖了涉及设备访问和基于网络效果的技术。每个矩阵都包含一组战术和相关的技术内容,攻击者可以在攻击的特定阶段使用这些战术和技术来实现对其目标的攻击。战术描述攻击者在攻击过程的各个环节,而技术则说明了攻击者在相应战术环节的技术过程。每种战术都包括攻击者可以使用的一系列技术。
ATT&CK for Mobile一共有13种战术,分别为:
· Privilege Escalation 权限提升· Credential Access 获取合法凭证访问· Lateral Movement 横向权限扩展 · Command and Control命令控制· Remote Service Effects 远程服务效果
再看看技术部分,Mobile -> Tactics -> Techniques,例如:战术“初始访问”其中的T1476- Deliver Malicious App via Other Means
通过其他方式提供的恶意应用程序,介绍相关方法:
鱼叉式网络钓鱼附件——将移动应用程序包作为电子邮件的附件。
鱼叉式钓鱼链接——包括电子邮件、文本消息(例如SMS、iMessage、Hangout、WhatsApp等)、网站、二维码或其他方式中移动应用程序包的链接。
第三方应用商店-通过第三方应用商店安装。
一些Android恶意软件带有安装附加应用程序的功能,可以自动安装,也可以提示诱导用户安装。
(https://mitre-attack.github.io/attack-navigator/mobile/)ATT&CK导航器也提供了定制化的战术模型供参考。该导航器可以在线使用,也可以下载到本地使用。
从ATT&CK for Mobile提取检测规则
ATT&CK for Mobile相比ATT&CK for Enterprise还是不够深入和成熟的,不过针对应用检测方面,还是可以根据知识库的内容来提取部分的规则用于初步实现些自动化检测的能力,举例:Tactics -> Collection部分的内容,分析战术中涉及的技术项提取相关的检测规则。参考内容:
[1] https://attack.mitre.org/
[2] https://medium.com/mitre-attack/att-ck-101-17074d3bc62
[3] https://medium.com/mitre-attack/getting-started
[4] https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf