从ATT&CK开始——威胁情报

Posted 2023-05-06

参考技术A https://attack.mitre.org/resources/getting-started/

一、威胁情报

基于来自ATT&CK用户的反馈,在第一个ATT&CKcon和从其他途径,我们学到了很多,就像我们告诉你,我们已经意识到,这将有助于我们退后一步,专注于你们很多人一个问题:我如何开始使用ATT&CK吗?

这本书开始是一系列的博客文章，旨在回答这个问题的四个关键用例:

�（1）威胁情报

（2）�检测和分析

（3）�对手仿真和红队

�（4）评估和工程

我们根据这些用例重新组织了我们的网站来共享内容，我们希望这些博客文章能增加这些资源。

ATT&CK对于任何组织来说都是非常有用的，因为他们想要建立一个基于威胁的防御体系，所以我们想要分享如何开始的想法，不管你的团队有多复杂。

我们将把这些帖子分成不同的级别:

�一级对于刚开始那些可能没有许多资源

二级中层团队开始成熟

�三级为更先进的网络安全团队和资源

我们将以威胁情报作为本书的开篇，因为它是最好的用例(尽管我相信我的同事可能不同意!)

在2018年，我对如何利用ATT&CK推进网络威胁情报(CTI)进行了一个高层次的概述。在本章中，我将在此基础上，分享一些实用的入门建议。

1.1 一级

网络威胁情报就是要知道你的对手在做什么，然后利用这些信息来改进决策。对于一个只有几个分析师的组织来说，他们想要开始使用ATT&CK作为威胁情报，你可以从一个你关心的小组开始，观察他们在ATT&CK中的行为。

你可以根据他们之前的目标组织，从我们网站上的那些组织中选择一个小组。另外，许多威胁情报订阅提供商也映射到ATT&CK，因此您可以使用他们的信息作为参考。

从那里，您可以打开该组的页面，查看他们使用的技术(仅基于我们映射的开源报告)，以便了解更多关于他们的信息。如果你需要更多的技术信息，因为你不熟悉它，没有问题，它就在ATT&CK网站上。你可以对我们使用的每一个软件样本重复这个步骤，我们分别在ATT&CK的网站上追踪它们。

那么我们如何使这些信息变得可操作，这就是威胁情报的全部意义?让我们与我们的防御者分享它，因为这是一个针对我们部门的组织，我们想要防御他们。当你这样做的时候，你可以在ATT&CK网站上找到一些想法，让你开始检测和减轻技术。

例如:让你的防御者知道APT19使用的特定注册表运行键。但是，他们可能会改变这一点，并使用不同的运行键。如果您查看该技术的检测建议，您会看到一个建议是监视注册表中的新运行键，您不希望在您的环境中看到这些键。这将是与你的防御者进行的一个伟大的谈话。

总之，开始使用ATT&CK作为威胁情报的一个简单方法是查看您所关心的单个敌手组。识别他们使用过的一些行为可以帮助你告诉你的防御者他们如何尝试去发现那个群体。

1.2 二级

你有一个由威胁分析专家组成的团队，他们会定期查看对手的信息，你可以采取的下一个行动是将情报映射到自己身上，而不是使用其他人已经映射的信息。如果你有一个关于你的组织已经工作的事件的报告，这可以是一个伟大的内部来源映射到ATT&CK，或者你可以使用一个外部报告，如博客文章。为了简化这个过程，您可以只从一个报告开始。

我们意识到，当你不知道所有的数百种技术时，试图映射到ATT&CK是很可怕的。这里有一个你可以遵循的过程来帮助这一点。

1. 了解ATT&CK -熟悉ATT&CK的整体结构:

战术(对手的技术目标)、技术(如何实现这些目标)和过程(技术的具体实现)。看看我们的入门页面和哲学论文。

2. 找出对手的行为——从比原子指示器(比如IP地址)更广的角度考虑对手的行为。例如，上述报告中的恶意软件“建立了一个SOCKS5连接”。建立联系的行为是对手采取的行为。

3.研究行为——如果你不熟悉行为，你可能需要做更多的研究。在我们的例子中，一个小的研究表明SOCKS5是一个第5层(会话层)协议。

4. 将行为转化为战术——考虑对手的技术目标，然后选择一个合适的战术。好消息是:在企业战略中只有12种战术可供选择。对于SOCKS5连接示例，建立到以后通信的连接属于命令和控制策略。

5. 弄清楚什么技术适用于行为——这可能有点棘手，但是根据你的分析技能和ATT&CK网站上的例子，这是可行的。如果您在我们的网站上搜索SOCKS，就会弹出技术标准非应用层协议(T1095)。查看技术描述，您将发现这可能是我们的行为所适合的地方。

6. 将您的结果与其他分析人员进行比较—当然，您对某个行为的解释可能与其他分析人员不同。这很正常，而且在ATT&CK团队中经常发生!我强烈建议您将您的ATT&CK信息映射与其他分析师的进行比较，并讨论其中的差异。

对于那些有几个分析师的CTI团队来说，将信息映射到ATT&CK是一个很好的方法，可以确保您获得最相关的信息来满足您的组织的需求。从那里，你可以将att&ck地图上的敌方信息传递给你的防御者，以通知他们的防御，就像我们上面讨论的那样。

1.3三级

如果你的CTI团队是先进的，你可以开始映射更多的信息到ATT&CK，然后使用这些信息来优先考虑你如何防御。采用上述过程，您可以将内部和外部信息映射到ATT&CK，包括事件响应数据、来自OSINT或威胁intel订阅的报告、实时警报和组织的历史信息。

一旦你映射了这些数据，你就可以做一些很酷的事情来比较组和优先使用常用的技术。例如，从ATT&CK导航器中获取这个矩阵视图，我之前与ATT&CK网站上的技术共享了它。只有APT3使用的技术以蓝色突出显示;只有APT29使用的是黄色突出显示的，APT3和APT29都使用的是绿色突出显示的。(所有这些都是基于我们所映射的公开信息，而这些信息只是这些组织所做工作的一部分。)

您应该根据组织的主要威胁替换您关心的组和技术。为了帮助您创建自己的导航器层，就像我在上面所做的那样，这里有一个关于生成上述矩阵的步骤的逐步指南，以及一个视频演练，它还提供了导航器功能的概述。

然后，我们可以聚合信息来确定常用的技术，这可以帮助防御者知道应该优先处理什么。这让我们可以优先考虑技术，并与防御者分享他们应该关注的检测和减轻。在我们上面的矩阵中，如果APT3和APT29是组织中被认为对他们构成高威胁的两个组，那么绿色的技术可能是决定如何减轻和检测的最高优先级。如果我们的防御者已经给了CTI团队帮助确定他们应该在哪里优先分配防御资源的要求，我们可以与他们共享这些信息，作为他们开始的地方。

如果我们的防御者已经对他们能探测到什么进行了评估(我们将在以后的章节中讨论)，你就可以将这些信息叠加到你所知道的威胁上。这是一个很好的地方来集中您的资源，因为您知道您所关心的组已经使用了这些技术，而您无法检测它们!

您可以根据您所拥有的数据继续添加您所观察到的对手所使用的技术，并开发一个频繁使用的技术的“热图”。Brian Beyer和我在SANS CTI峰会上讨论了我们如何基于MITRE-curated和Red Canary-curated数据集提出不同的“前20”技术。你的团队可以遵循同样的过程来创建你自己的“前20名”。

这个映射ATT&CK技术的过程并不完美，并且存在偏见，但是这些信息仍然可以帮助您开始更清楚地了解对手在做什么。

(你可以在这张幻灯片上阅读更多关于偏见和限制的内容，我们希望很快分享更多的想法。)

对于想要将ATT&CK用于CTI的高级团队来说，将各种资源映射到ATT&CK可以帮助您建立对对手行为的深刻理解，从而帮助确定优先级并为您的组织提供防御信息。

总结

在我们的入门指南的第一章中，我们已经带你走过了三个不同的层次，如何开始ATT&CK和威胁情报，这取决于你的团队的资源。在以后的章节中，我们将深入探讨如何开始使用其他用例，包括检测和分析、对手模拟和红色团队、评估和工程。

初识ATT&CK框架

版权声明：本文为CSDN博主「美创安全实验室」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/m0_38103658/article/details/106077779

初识ATT&CK框架

前言：

ATT&CK这一概念自2014年提出时起，作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响，但是由于其概念在当时过于超前以至于并没有引起多大反响，直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上，接下来的三期内容，美创安全实验室将为大家带来ATT&CK模型的独家解读，好了，废话不多说Let‘s go！

但是要是想完全弄懂ATT&CK模型到底是什么，那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。

什么是威胁情报？
威胁情报又称IOC（Indicator of compromise）。一般为网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹，例如某某病毒的Hash值、C&C服务器的IP地址等等。简单来说，威胁情报就像是当计算机被入侵时所表现出来的某种特征，我们将这些威胁情报搜集起来整理成库，当计算机再次表现出库中的某些特征的时候我们就可确定计算机已经被入侵了，这样我们可以制定更好的安全策略来规避以上问题。

那么是不是只要有足够的 IOC，我们就可以规避所有风险？
众所周知，在网络安全领域中白帽子相比于黑帽子来说是处于弱势的一方，那么造成这种“安全难做”情况的根本原因在于攻守双方的信息不对称。但是当白帽子掌握了足够多的IOC之后是否能守住黑客的所有攻击呢，答案当然是不可能的。即使白客拥有某黑客之前攻击产生的所有IOC，但是当黑客随便更改一下IP地址或者域名就可以产生新的IOC，且成本低廉。如果不知道黑客的攻击手法或者入侵行为仅靠IOC的信息量，并不能规避所有的风险。

Ok，现在我们得到结论：IOC能够帮助我们指定更好的安全策略，而且IOC信息量的多少也能影响最终防护效果，但IOC并不能表达攻击者如何与受害系统交互，且只能表示是否受害而无法体现其过程。 因此，为了解决上述问题，ATT&CK模型也就油然而生了。

ATT&CK模型简介：

ATT&CK全称是Adversarial Tactics, Techniques, and Common Knowledges，即对抗战术、技术和常识。从这个组合名称就可以看出，ATT&CK不是单单某一项技术，而是很多战术、技术、知识的汇总或者集合，可以看作是一个更加底层的“知识库”。“战术”指的是ATT&CK的技术原因，是攻击者执行行动的战术目标，涵盖了攻击者在操作期间所做事情的标准和更高级别的表示。而“技术”指的是攻击者通过执行动作实现战术目标的方式，或者执行动作而获得的内容。在ATT&CK矩阵中可以到看到战术和技术的关系，可能有很多种方法或技术可以实现战术目标，因此每种战术类别有很多种技术。

ATT&CK的关注点从单点IOC信息转移到了上下文信息，并用更加标准和抽象的方式总结形成了包含：初始访问、驻留、横向移动、命令控制等阶段。ATT&CK完美解决了IOC无法描述攻击过程的这一痛点，他对攻击性操作进行细分和分类，形成一种完善统一的参照标准，极大的减少了安全分析中整理总结的成本。

目前ATT&CK模型由三部分组成，如下图：

1. PRE-ATT&CK：攻击前的准备，例如优先级定义、目标选择、信息收集、发现脆弱点、攻击性利用开发平台，建立和维护基础设施、人员的开发、建立能力和分段能力等。
2. Enterprise：攻击时的部分已知技术手段，例如访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制等。
3. Mobile：移动端的部分已知技术手段、移动框架和Enterprise类似，只是适用的平台不同。
   

ATT&CK for Enterprise将网络安全事件划分为12个阶段。初始访问阶段、执行阶段、持久化阶段、提权阶段、防御规避阶段、凭证访问阶段、发现阶段、横向移动阶段、采集阶段、命令与控制阶段、渗出阶段、影响阶段。攻击手法和各阶段的映射关系如下图所示:

ATT&CK对安全分析的帮助

ATT&CK早在2014年提出以来就全世界的安全分析领域中如火如荼的发挥着影响，尤其是近两年的热度呈指数级增长，如下图所示。众所周知ATT&CK框架是从攻击战术和技术两方面来构建知识资源库的，而这也正好是安全分析中研究的重点。但是在安全分析中一直存在着两大难题：上下文检测以及统一标准的缺失。

先来谈谈上下文检测，目前分析、检测的基础还是以IOC为主，例如病毒样本的HASH值、域名、IP、注册表、流量等信息都属于IOC特征信息，IOC只能表示“是与否”、“黑与白”，它反映的是现在所处的状态和发生的事件，是不具备能表达“攻击过程”这种具有方向性的特性的。 除此之外，IOC还有一个缺点就是不稳定性，特别是Hash、IP这种，攻击者可以轻易改变。许多时候，多个 IOC 其实表达的是同一个攻击过程。IOC 方便检测、但是不善于描述攻击。

其次再来谈一谈统一标准的缺失，在安全研究领域一直有一些比较有先见之明的能人，他们在几年以前就一直在尝试推动建立能被更多人认可的标准模型，例如面对威胁信息分享的模型时，MITRE定义了STIX模型；以及更加著名的洛克希德·马丁定义的杀伤链 Lockheed Martin Cyber Kill Chain。其实无论是Kill Chain（杀伤链）还是SITX模型等等都具有很高的现实意义，虽然他们能在一定程度上帮助分析人员在威胁建模，防御检测方面提供比较完善的理论支持。但是现阶段没有成熟的方法，将攻击描述规范化向分析模型映射。特别是TTP（战术、技术、过程）方面，目前还没有统一的描述标准，信息交换方面存在沟通成本。

从上面的研究中我们可以看出，无论是IOC还是SITX模型都在尝试用一个个攻击节点来描述一个完整的攻击过程，而此时ATT&CK的横空出世就像是胶水一样，很好的将每个节点粘合到了一起。丰富且适用的字典可以帮助 IOA、SITX 或其他的一些实践方法进行落地，让攻击描述可以聚焦于更加抽象的过程总结，而不必纠结这个攻击的实际步骤。并且采用统一的描述方法，可以更好的进行信息交换，降低数据转入转出成本，提高信息适用性和可拓展性。 并且运用时拿攻击步骤在到 ATT&CK Enterprise中去对应就够了，匹配效率比总结效率高得多。

ATT&CK和态势感知

ATT&CK的关注点是上下文连贯的动作，而态势感知又恰好是根据在一段时间和空间中观察到的元素，同时理解这些元素的意义并预测这些元素在将来的状态，这一点与ATT&CK可以说是不谋而合。

为了防止有同学不清楚态势感知的感念，先说一下何为态势感知，所谓态势感知，总共分为三个阶段：观察、理解和预测。观察就是收集可观测对象的状态和事件，理解就是规整观察到的对象反映出的问题，预测是观察到的对象对未来的影响。通过态势感知我们就可以根据用户提供的上下文信息来动态决定我们的安全策略。

在态势感知系统中，观察数据的分类、归并、关联分析等阶段可以借助ATT&CK对其进行沉淀和格式化表达，使用ATT&CK可以更好地对融合的信息进行综合分析。ATT&CK和杀伤链模型有密切的联系，杀伤链模型同样也适用于态势感知系统中的某些功能。但是需要强调的是：杀伤链预测不等同于态势预测。

杀伤链还原是对已发生攻击事件的复盘推演，而态势预测是对未来可能发生的事情进行预测。杀伤链分析的对象是攻击线，而态势感知分析的对象网络环境。杀伤链预测的结果可以反馈给态势感知系统形成态势预测的资料。ATT&CK可以帮助杀伤链还原量化指标，杀伤链还原可以帮助态势感知进行态势理解和行为预测。

总结：

本期的ATT&CK模型简介到这里就结束了，下一期美创安全实验室将继续给大家带来ATT&CK系列文章的第二篇，有关ATT&CK的落地与应用知识的分享，希望大家继续关注。