MITRE ATT&CK是基于實(shí)戰(zhàn)的，全球可訪問的網(wǎng)絡(luò)安全攻防戰(zhàn)術(shù)和技術(shù)知識(shí)庫，也是近幾年網(wǎng)絡(luò)安全領(lǐng)域最熱門的工具和話題之一。如今ATT&CK知識(shí)庫已經(jīng)成為私營(yíng)部門、政府和網(wǎng)絡(luò)安全產(chǎn)品服務(wù)社區(qū)開發(fā)特定威脅模型和方法的基礎(chǔ)工具。

[[337466]]

ATT&CK包含200多種獨(dú)特的技術(shù)(也稱為TTP)，每?jī)赡旮乱淮?，是一個(gè)非常詳細(xì)的庫，包含各種攻擊戰(zhàn)術(shù)或類別，以及可以利用的常規(guī)系統(tǒng)管理員行為。在ATT&CK框架的幫助下，安全團(tuán)隊(duì)對(duì)攻擊者的行為有了更廣泛的了解，從而可以針對(duì)這些技術(shù)測(cè)試緩解和檢測(cè)方法。MITRE ATT&CK已成為許多網(wǎng)絡(luò)安全學(xué)科的有用工具，用于提供情報(bào)、紅隊(duì)對(duì)手仿真測(cè)試，以及改進(jìn)網(wǎng)絡(luò)和系統(tǒng)防御入侵的能力。

不斷進(jìn)化的MITRE ATT&CK框架解決了信息安全社區(qū)面臨的緊迫問題：面對(duì)大量有關(guān)對(duì)手行為、惡意軟件和漏洞利用的數(shù)據(jù)，如何理解它?現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品和入侵防護(hù)檢測(cè)的能力(有效性)怎么樣?MITRE ATT&CK框架為從業(yè)者和用戶創(chuàng)建了一個(gè)明確的，可衡量可量化的行業(yè)標(biāo)準(zhǔn)和通用語言，以評(píng)估其安全工具、安全風(fēng)險(xiǎn)和安全能力。

“ATT&CK”并非一個(gè)學(xué)院派的理論框架，而是來源于實(shí)戰(zhàn)。安全從業(yè)者們?cè)陂L(zhǎng)期的攻防對(duì)抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉總結(jié)，形成了實(shí)用性強(qiáng)、說得清道得明的體系框架。這個(gè)框架是先進(jìn)的、充滿生命力的，而且具備非常高的使用價(jià)值。——引自《ATT&CK框架使用指南》

MITRE ATT&CK的生命力來自于安全社區(qū)，通過對(duì)MITRE ATT&CK社區(qū)的數(shù)據(jù)統(tǒng)計(jì)和分析，有助于防御者發(fā)現(xiàn)網(wǎng)絡(luò)犯罪和攻擊的主流趨勢(shì)，并盡快做好準(zhǔn)備。以下，我們根據(jù)recorded future公司發(fā)布的MITRE ATT&CK統(tǒng)計(jì)報(bào)告，介紹2019年十大ATT&CK攻擊技術(shù), 希望能對(duì)紅藍(lán)團(tuán)隊(duì)練習(xí)、滲透測(cè)試、威脅搜尋和各種安全運(yùn)營(yíng)團(tuán)隊(duì)提供參考。

十大 ATT&CK 攻擊技戰(zhàn)術(shù)(TTP)

1. T1063：安全軟件發(fā)現(xiàn) | 戰(zhàn)術(shù)：發(fā)現(xiàn)

安全軟件發(fā)現(xiàn)(T1063)是2019年ATT&CK榜單上中最流行的技術(shù)。作為發(fā)現(xiàn)戰(zhàn)術(shù)的一部分，T1063表示對(duì)手了解已經(jīng)部署的安全控制，同時(shí)，它也是防御逃避戰(zhàn)術(shù)的重要前奏。這種技術(shù)在被惡意軟件家族廣泛使用。

T1063 的實(shí)施：

• 常見的遠(yuǎn)程訪問工具(如njRAT)可以列出安全軟件，例如使用基于Windows的WMIC來標(biāo)識(shí)受害者計(jì)算機(jī)上安裝的防病毒產(chǎn)品并獲取防火墻詳細(xì)信息。
• Empire是一個(gè)開源、跨平臺(tái)遠(yuǎn)程管理和后開發(fā)框架，它也能夠枚舉目標(biāo)計(jì)算機(jī)上流行的防病毒軟件。

T1063的緩解：

T1063難以緩解，因?yàn)樵摷夹g(shù)是對(duì)合法網(wǎng)絡(luò)操作的濫用。但是，如果具有內(nèi)置功能的遠(yuǎn)程訪問工具直接與Windows API交互以收集信息，則可以進(jìn)行檢測(cè)。收集何時(shí)請(qǐng)求數(shù)據(jù)的信息可以揭示不良行為。

2. T1027：混淆文件或信息 | 戰(zhàn)術(shù)：防御躲避

攻擊者采用的主要躲避方法之一是通過混淆加密或以其他方式操縱文件的結(jié)構(gòu)讓檢測(cè)或后續(xù)研究更得更加困難。

T1027的實(shí)施：

• 某些PowerShell模塊(例如Empire框架或“Don’t Kill My Cat ”載荷逃避工具中的模塊)能夠運(yùn)行“Invoke-Obfuscation”命令來在Base64中編碼文件或字符串。
• 許多著名的惡意軟件家族都依靠混淆來逃避檢測(cè)。例如，在2018年12月，Emotet在以圣誕節(jié)賀卡為主題的網(wǎng)絡(luò)釣魚活動(dòng)使用了混淆的VBA代碼。

T1027的緩解：

除非混淆過程留下的痕跡可以通過簽名檢測(cè)到，否則T1027的檢測(cè)非常具有挑戰(zhàn)性。不過，如果無法檢測(cè)到混淆本身，防御者仍然可能檢測(cè)到創(chuàng)建混淆文件的惡意活動(dòng)(如果該方法用于在文件系統(tǒng)上寫入，讀取或修改文件)。另外，可以在網(wǎng)絡(luò)層檢測(cè)到初始訪問載荷中使用的混淆。此外，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)和電子郵件網(wǎng)關(guān)過濾也可以識(shí)別壓縮或加密的附件與腳本。

3. T1055：進(jìn)程注入 | 戰(zhàn)術(shù)：防御閃避

進(jìn)程注入(T1055)是一種在進(jìn)程的地址空間內(nèi)運(yùn)行自定義代碼的技術(shù)。它是防御規(guī)避，特權(quán)升級(jí)以及(某些情況下)駐留會(huì)用到的一種技術(shù)。T1055利用合法進(jìn)程進(jìn)行隱藏，因此非常流行，這些合法進(jìn)程包括但不限于：動(dòng)態(tài)鏈接庫(DLL)注入、便攜式可執(zhí)行注入、ptrace系統(tǒng)調(diào)用、VDSO劫持等。

T1055的實(shí)施：

威脅組織Turla曾對(duì)C2通信的合法進(jìn)程執(zhí)行了DLL注入，并使用PowerSploit將PowerShell負(fù)載有效地加載到受害系統(tǒng)上的隨機(jī)進(jìn)程中。

T1055的緩解：

通過使用端點(diǎn)安全解決方案和啟發(fā)式工具來基于已知的行為模式識(shí)別和終止進(jìn)程，從而緩解T1055。

4. T1082：系統(tǒng)信息發(fā)現(xiàn) | 戰(zhàn)術(shù)：發(fā)現(xiàn)

與T1063類似，系統(tǒng)信息發(fā)現(xiàn)(T1082)是攻擊者獲取有關(guān)操作系統(tǒng)和硬件的詳細(xì)信息的另一種方式，包括版本、補(bǔ)丁、修補(bǔ)程序、服務(wù)包和體系結(jié)構(gòu)等。這些信息有助于攻擊者決策使用何種攻擊載體。

T1082的實(shí)施：

• 像其他發(fā)現(xiàn)技術(shù)一樣，T1082的使用會(huì)濫用合法過程來獲取信息。在Windows系統(tǒng)中，這意味著使用“ver”、“systeminfo”和“dir”之類的命令來標(biāo)識(shí)文件和目錄，或者在macOS上使用“systemsetup”或“system_profiler”來提供系統(tǒng)、配置的詳細(xì)分類、防火墻規(guī)則等。
• 盡管其中一些命令需要管理員特權(quán)，但是在任何特權(quán)升級(jí)技術(shù)之前，仍可以先使用T1082。AWS、GCP或Azure等云計(jì)算基礎(chǔ)設(shè)施中的錯(cuò)誤配置可以是T1082的攻擊對(duì)象。

T1082的緩解：

檢測(cè)T1082所需的數(shù)據(jù)集可能很大的“噪聲”，因?yàn)橄到y(tǒng)信息發(fā)現(xiàn)有其合法用途。但是，監(jiān)視那些采集系統(tǒng)和網(wǎng)絡(luò)信息的命令參數(shù)(或云計(jì)算系統(tǒng)中的本機(jī)日志)可以幫助識(shí)別對(duì)手的行為。

5. T1057：進(jìn)程發(fā)現(xiàn) | 戰(zhàn)術(shù)：發(fā)現(xiàn)

與其他發(fā)現(xiàn)技術(shù)類似，系統(tǒng)配置枚舉可能是對(duì)手獲取決策信息的關(guān)鍵部分。除了命令格式的細(xì)微區(qū)別外，該技術(shù)還與平臺(tái)無關(guān)。

T1057的實(shí)施：

• 使用Windows工具“任務(wù)列表”或Mac和Linux中的“ps”命令是惡意軟件中常見的功能(例如Winnti)。
• 威脅參與者開始使用Process Discovery來發(fā)現(xiàn)和關(guān)閉安全研究人員工具。例如，在2018年末，觀察到伊朗威脅組織MuddyWater 檢查受害者系統(tǒng)上正在運(yùn)行的進(jìn)程，以尋找常見惡意軟件研究工具的證據(jù)。

T1057的緩解：

與T1082的檢測(cè)方法一樣。

6. T1045：軟件打包 | 戰(zhàn)術(shù)：防御閃避

與運(yùn)行時(shí)或軟件打包程序相關(guān)聯(lián)的軟件打包(T1045)會(huì)壓縮初始文件或可執(zhí)行文件。盡管程序員也會(huì)使用軟件打包來降低存儲(chǔ)成本，但攻擊者也很喜歡這種技術(shù)，因?yàn)榇虬蓤?zhí)行文件會(huì)更改其文件簽名并減小文件體積，從而使基于簽名或占用空間的檢測(cè)更加困難。

T1045的實(shí)施：

許多APT相關(guān)惡意軟件變體都使用軟件打包技術(shù)，包括Uroburos(已使用其運(yùn)營(yíng)商Turla 的自定義打包程序)和APT28的Zebrocy(使用開源打包程序)。

T1045的緩解：

通常可以使用反惡意軟件或防病毒軟件配置來緩解T1045。可以通過掃描已知的軟件打包工具(例如Aspack)或打包技術(shù)的工件來檢測(cè)軟件打包。但是，軟件打包也具有合法用途，因此并不一定都是惡意行為。

7. T1073：DLL側(cè)加載 | 戰(zhàn)術(shù)：防御閃避

DLL側(cè)加載(T1073)(僅在Windows操作系統(tǒng)中進(jìn)行)是將欺騙性的惡意DLL文件放置在特定目錄中后，被當(dāng)作合法DLL加載。該技術(shù)將惡意代碼混入到合法的服務(wù)或流程中，而不是運(yùn)行新的無法識(shí)別的流程，從而幫助威脅行為者逃避防御。

T1073的實(shí)施：

已知有多個(gè)APT組織使用該技術(shù)，例如APT32。據(jù)報(bào)道，在2020年1月，Winnti威脅小組在對(duì)香港大學(xué)的攻擊中使用了DLL側(cè)加載技術(shù)。

T1073的緩解：

DLL側(cè)加載會(huì)濫用合法進(jìn)程，從而使緩解和檢測(cè)變得困難，但并非不可能。通過限制嘗試訪問文件和目錄的用戶的權(quán)限，安全團(tuán)隊(duì)可以減少能夠執(zhí)行該技術(shù)的用戶數(shù)量。嘗試檢測(cè)T1073時(shí)，團(tuán)隊(duì)可以比較DLL進(jìn)程的執(zhí)行時(shí)間，以發(fā)現(xiàn)非補(bǔ)丁造成的異常差異。

8. T1022：數(shù)據(jù)加密 | 戰(zhàn)術(shù)：滲透

數(shù)據(jù)加密(T1022)是滲透戰(zhàn)術(shù)下的一種技術(shù)，它是對(duì)手使用的另一種非常流行的技術(shù)。通過在泄露信息之前對(duì)數(shù)據(jù)進(jìn)行加密，參與者可以更有效地隱藏被盜數(shù)據(jù)的內(nèi)容。今天有多種加密方法可供對(duì)手使用。

T1022的實(shí)施：

• Lazarus Group使用Zlib壓縮和XOR操作來加密數(shù)據(jù)并將其泄漏到C2服務(wù)器。
• WARZONE RAT(也稱為Ave Maria Stealer)是一種主要在犯罪地下組織出售的遠(yuǎn)程訪問木馬，主要由Solmyr在Hack Forums和Nulled上出售。該惡意軟件的功能包括加密技術(shù)以及UAC繞過、密碼竊取和RDP訪問。

T1022的緩解：

創(chuàng)建規(guī)則或針對(duì)異常加密命令發(fā)出警報(bào)，或使用啟發(fā)式工具來識(shí)別與數(shù)據(jù)加密有關(guān)的異常行為。網(wǎng)絡(luò)流量熵也可能發(fā)現(xiàn)加密數(shù)據(jù)的泄露。

9. T1106：通過API執(zhí)行 | 戰(zhàn)術(shù)：執(zhí)行

通過API執(zhí)行(T1106)是攻擊者對(duì)合法應(yīng)用程序接口的一種攻擊性濫用。此技術(shù)允許用戶提取數(shù)據(jù)，并在宏級(jí)別與程序和腳本進(jìn)行交互。

T1106的實(shí)施：

• Turla Group使用的LightNeuron是一個(gè)復(fù)雜的后門，它濫用了Microsoft Exchange Mail服務(wù)器。關(guān)聯(lián)的過程之一是API命令CreateProcess。
• API的惡意使用不僅會(huì)被用于直接執(zhí)行，由于網(wǎng)絡(luò)防御者可以監(jiān)視API調(diào)用是否有惡意活動(dòng)，因此攻擊者還會(huì)用冗余API調(diào)用的方法來制造“噪音”。

T1106的緩解：

始終監(jiān)視所有API調(diào)用對(duì)于網(wǎng)絡(luò)防御者來說是個(gè)費(fèi)時(shí)費(fèi)力的工作。不過，組織可以使用應(yīng)用程序白名單工具來減輕惡意API調(diào)用。他們還可以利用新型API濫用相關(guān)的威脅情報(bào)來更快地查明可疑的API使用。

10. T1032：標(biāo)準(zhǔn)加密協(xié)議 | 戰(zhàn)術(shù)：命令與控制

與數(shù)據(jù)加密(T1022)技術(shù)不同，攻擊者可以使用標(biāo)準(zhǔn)加密協(xié)議(T1032)技術(shù)將C2流量隱藏在常規(guī)使用的加密機(jī)制之后。T1032是“命令與控制”戰(zhàn)術(shù)的一部分，被認(rèn)為是攻擊的最后階段之一。

T1032的實(shí)施：

RC4和AES是許多不同惡意軟件變體的C2流量或配置的常用加密方法，包括銀行木馬IcedID(RC4)和Glupteba僵尸網(wǎng)絡(luò)(AES)。在2019年8月，觀察到偽裝成所得稅計(jì)算器的惡意軟件xRAT使用AES加密C2流量。

T1032的緩解：

幸運(yùn)的是，對(duì)于嘗試檢測(cè)T1032的安全團(tuán)隊(duì)來說，如果T1032在示例配置文件中生成了構(gòu)件或密鑰，則其某些實(shí)現(xiàn)可能比較容易被逆向工程。網(wǎng)絡(luò)IDS和預(yù)防技術(shù)可以幫助緩解網(wǎng)絡(luò)層的攻擊活動(dòng)，此外SSL/TLS檢查可以幫助尋找加密會(huì)話。

主要發(fā)現(xiàn)

• 最常見的攻擊戰(zhàn)術(shù)是防御規(guī)避(TA005)，最常見的技術(shù)是安全軟件發(fā)現(xiàn)(T1063)。防御規(guī)避包括避免檢測(cè)、隱藏在受信任進(jìn)程中、混淆惡意腳本、以及禁用安全軟件。下一個(gè)最常見的戰(zhàn)術(shù)，發(fā)現(xiàn)(TA007)，涉及對(duì)目標(biāo)網(wǎng)絡(luò)或主機(jī)的知識(shí)和理解。
• 幾乎所有TOP10技術(shù)都與許多著名的惡意軟件變體相關(guān)，例如Emotet、Trickbot和njRAT這樣的木馬程序，以及Gafgyt和Mirai這樣的僵尸網(wǎng)絡(luò)，還有像Coinminer這樣的挖礦軟件。

展望與建議

發(fā)現(xiàn)和防御逃避是2019年最流行的ATT&CK技術(shù)。多數(shù)情況下，這些技術(shù)會(huì)利用合法軟件功能，這使基于簽名的純檢測(cè)變得更加困難，難以識(shí)別惡意活動(dòng)?？傮w而言，有效緩解這些技術(shù)需要采用縱深防御方法，并且對(duì)正常的網(wǎng)絡(luò)配置和活動(dòng)高度熟悉。以下常規(guī)操作可以作為檢測(cè)和阻止依賴這些技術(shù)的起點(diǎn)：

• 監(jiān)視公共進(jìn)程，配置文件，API調(diào)用或文件系統(tǒng)的新實(shí)例或異常更改。
• 監(jiān)視不尋?；蝾l繁的命令參數(shù)，這些參數(shù)通常用作發(fā)現(xiàn)技術(shù)的一部分。
• 保持防病毒和反惡意軟件程序的更新，以領(lǐng)先于新打包或加密的惡意軟件。
• 打開軟件的自動(dòng)更新，以防止網(wǎng)絡(luò)攻擊者識(shí)別和利用易受攻擊的系統(tǒng)或軟件。

2020年，網(wǎng)絡(luò)攻擊者將更加頻繁地使用“發(fā)現(xiàn)和防御規(guī)避”策略，并且，隨著安全解決方案檢測(cè)方法的完善，ATT&CK攻擊技術(shù)也正快速演進(jìn)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文