MITRE ATT&CK v9 发布

Version Start Date End Date Data
ATT&CK v9 April 29, 2021 This is the current version of ATT&CK v9.0 on MITRE/CTI

2021 年 4 月 29 日,MITRE ATT&CK 发布了最新版本 V9,包括对 ATT&CK for Enterprise,ATT&CK for Mobile、ATT&CK for ICS 相关的攻击技术、组织、软件的更新。这个版本最大的改变有以下几点:

  1. 对数据源的重新描述*(GITHUB 在这里)
  2. 新增对容器、Google Workspace 平台的支持
  3. 用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services),GCP(Google Cloud Platform) 和 Azure 。

ATT&CK for Enterprise v9 包括 14 个战术,185 个技术, 和 367 个子技术;这个版本包括 16 个新组织、67 个新软件,以及对 36 个组织和 51 个软件条目进行了更新。

关于这次版本更新最最详细的描述在这里

数据源重构

这个版本最大的改变就是数据源重构,将数据源与攻击行为的检测关联起来,而 v8 只是简单的做了一个文字性的描述,比如,对于同一个子技术 T1059.001(Command and Scripting Interpreter: PowerShell):

MITRE ATT&CK v8 版本的数据源描述这样的:

Data Sources: DLL monitoring, File monitoring, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, Windows event logs

这种文字性的描述,虽然有用,但却无法解决一些更详细的问题,比如:"采集的数据是否正确?",可以指导我们采集哪些数据,但却没有说明哪些数据是必须采集的。

MITRE ATT&CK v9 版本的数据源描述这样的:

Data Sources: Command: Command Execution, Module: Module Load, Process: Process Creation, Script: Script Execution

我们点击Command 的链接,对应的是一个 YAML 格式的数据源描述文件:

name: Command
definition: Information about commands that can be used through a command-line interface and/or script interpreter.
collection_layers:
  - host
  - container
platforms:
  - Windows
  - Linux
  - macOS
  - Network
  - Containers
contributors: 
  - Austin Clark
  - ATT&CK
  - CTID
data_components:
  - name: command execution
    type: activity
    description: Information about commands executed through a command-line interface and/or script interpreter.
    relationships:
      - source_data_element: user
        relationship: executed
        target_data_element: command
      - source_data_element: process
        relationship: executed
        target_data_element: command
references:
  - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#event-id-1-process-creation
  - https://confluence.atlassian.com/confkb/how-to-enable-command-line-audit-logging-in-linux-956166545.html
  - https://www.scip.ch/en/?labs.20150108
  - https://tools.ietf.org/id/draft-ietf-opsawg-tacacs-07.html#AuthorizationAttributes

这个版本的数据源,充分体现了 MITRE ATT&CK 的主要目标之一:为安全运营服务,对正在实施的或潜在的恶意行为进行检测,对于防守方来说,有很强的可操作性,如下图所示:

ATTCK_InfoSec_Community.jpg

新版本的数据源中,新增了数据源组件(Data Components),数据源的描述格式为:Data Source: Data Component,如下图:


datasources.png

如上图所示,除了描述"采集什么数据"以外,同时描述了"哪些数据是必须采集的",这样的描述,对防守方来说,更具可操作性:

  1. 数据源:表明采集什么数据
  2. 数据源组件:可以用来识别相关的事件与属性值(比如:每种代理或日志采集器能提供哪些进程相关的属性与值,这些信息怎样用来检测恶意行为)

如下图,将可操作的检测方法( Sysmon 日志)跟 MITRE ATT&CK 技术对应了起来:

Tech => Process => Sysmon

macOs 相关的改进

这个版本更新了一些技术,调整了一些,新增了 masOS 相关的恶意软件。在持久化与执行部分,构建了红队演练和代码示例,以更深入了解子技术。

当然,对 macOS 相关的数据源的重构,是必不要少的。

云相关的改进

用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services),GCP(Google Cloud Platform) 和 Azure ,IaaS 可以包括所有的云服务提供商。

对云平台相关的数据源进行重构自然必不可少,但与主机相关的数据源,风格稍有不同,对 IaaS 来说,将事件与 API 对齐,而不是象主机一样,关注日志来源(比如: AWS CloudTrail logs, Azure Activity Logs)。新的云数据源包括 Instance, Cloud Storage,以及与云环境中的事件相关的其他数据源。

instance_to_events.png

这个版本中,还加入了 Google Workspace Platform,因为以前已经覆盖了 office365,所以这次加入 Google 的生产力工具 GWP,也顺理成章。

容器相关的更新

这个版本新增了 ATT&CK for Container,这是跟 Center for Threat-Informed Defense合作的成果。

attack_for_container.png

期待十月

MITRE ATT&CK 每年更新两次(四月一次,十月一次),四月这次更新令人振奋,我们期待十月的更新:

  1. 数据源重构下半场
  2. 更新 ATT&CK for ICS,ATT&CK for Mobile
  3. 对 macOS 和 Linux 增加技术覆盖度

你可能感兴趣的:(MITRE ATT&CK v9 发布)