来源:https://www.cisa.gov/uscert/sites/default/files/publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf
一、介绍
对于网络安全和基础设施安全局(CISA)来说,了解对手的行为通常是保护网络和数据的第一步。网络防御者在检测和减轻网络攻击方面的成功依赖于这种理解。MITRE ATT&CK®框架是一个基于真实世界观察的对手战术和技术的全球可访问知识库。ATT&CK提供了100多个威胁行为者组织的详细信息,包括他们已知使用的技术和软件ATT&CK可用于识别防御漏洞,评估安全工具能力,组织检测,寻找威胁,参与红队活动,或验证缓解控制。CISA使用ATT&CK作为一个镜头来识别和分析对手的行为。CISA与国土安全系统工程与发展研究所(HSSEDI)共同创建了本指南,HSSEDI是国土安全部拥有的联邦资助的研究与发展中心(FFRDC),该中心与MITRE ATT&CK团队合作。
二、ATT&CK水平
ATT&CK描述了对手整个生命周期的行为,通常称为战术、技术和过程(ttp)。在ATT&CK中,这些行为对应于四个逐渐细化的层次:
1. 战术代表了ATT&CK技术或子技术的“什么”和“为什么”。它们是对手的技术目标,执行动作的原因,以及他们想要达到的目标。例如,对手可能希望实现凭据访问以获得对目标网络的访问。每一种战术都包含一系列网络防御者观察到的威胁行为者在野外使用的技术。注:ATT&CK的框架并不是要被解释为线性的——即对手为了达到他们的目标而沿着一条直线(即从左到右)前进此外,对手不需要使用所有的ATT&CK战术来实现他们的作战目标。
2. 技术代表对手“如何”通过执行行动实现战术目标。
例如,对手可以转储凭据以实现凭据访问。技术也可以表示对手通过执行一个动作获得了什么。技术是实现目标的特定行为,通常是旨在完成对手整体任务的一系列活动中的一个步骤。注意:ATT&CK中的许多技术都包括可用于恶意目的的合法系统功能(称为“靠土地为生”)。
3. 子技术提供了更细粒度的技术描述。例如,在操作系统凭证转储[T10031技术下,有一些行为描述了执行该技术的特定方法,例如访问LSASS内存[T1003.0011,安全帐户管理器[T1003.0021,或/etc/passwd和/etc/shadow [TT1003.0081]。子技术通常(但不总是)与操作系统或平台相关。并不是所有的技术都有子技术。
4. 过程是一项技术或子技术如何被使用的特殊实例。它们对于使用对手模拟的事件复制以及关于如何检测使用中的实例的细节非常有用。
三、ATT&CK技术领域
ATT&CK组织在一系列的“技术领域”一对手在其中运作的生态系统。以下是已开发或正在开发的特定领域的ATT&CK知识库:
•mitre ATT&CK - Enterprise3:
o基于平台:Windows、Linux和MacOS环境
o云矩阵:AWS (Amazon Web Service)、GCP(谷歌云平台)、Azure、Office 365、Azure AD、软件即服务(SaaS)平台
o网络矩阵:网络基础设施设备
•mitre ATT&CK -移动版:提供对抗性战术和技术模型,以访问Android和iOS平台。针对移动设备的ATT&CK还包含一个单独的基于网络的效果矩阵,这是对手在不访问移动设备本身的情况下可以使用的技术。
mitre ATT&CK -工业控制系统(ICS):专注于对手的战术和技术,其主要目标是干扰工业控制过程,包括监视控制和数据采集(SCADA)系统,以及其他控制系统配置。
四、ATT&CK映射的指南
CISA正在提供该指南,以帮助分析师准确和一致地将对手行为映射到作为网络威胁情报(CTI)一部分的相关ATT&CK技术中,无论分析师希望将ATT&CK纳入网络安全出版物还是原始数据分析。
映射还是不映射
足够的上下文为何重要
如果没有足够的上下文技术细节来充分描述和深入了解对手的行为,那么ATT&CK映射就没有什么价值。例如,一个简单的ATT&CK战术或技术列表——没有相关的技术背景来解释对手是如何执行这些技术的——可能不足以使网络防御者发现、减轻或响应威胁。
ATT&CK的成功应用应产生一套准确和一致的映射,可用于制定对手概况,进行活动趋势分析,并纳入报告,以检测、响应和缓解。尽管有不同的方法来完成这项任务,但本指南提供了一个起点。注意:CISA和MITRE ATT&CK建议分析师首先熟悉将完成的报告映射到ATT&CK,因为在完成的报告中通常有更多的线索可以帮助分析师确定适当的映射。
有关学习和使用ATT&CK框架的其他资源,请参见附录a。关于包含ATT&CK映射的CISA网络安全咨询公告的注释示例,请参见附录B。
五、将mitre att&ck映射到完成的报告中
下面的步骤描述了如何成功地将CTI报告映射到ATT&CK。分析人员可以根据现有信息和他们对ATT&CK的了解,选择他们自己的出发点(例如,战术与技术的识别)。附录B提供了包含ATT&CK的网络安全咨询的注释示例。
完成报告的ATT&CK映射
一些有用的建议
1. 仔细检查图像、图形和命令行示例—这些可能描述了报告中没有明确指出的其他技术。
2. 使用ATT&CK Navigator工具来突出特定的战术和技术。参见MITRE对ATT&CK Navigator视频的介绍。注意:导航器是为许多用例定义的(从识别防御性的覆盖缺口,到红/蓝团队计划,到突出检测到的技术的频率)。
3. 再次检查以确定是否准确地捕获了所有ATT&CK映射。即使是最有经验的分析人员,也经常在第一次传递中错过额外的映射。
4. 只有当没有足够的细节来确定一个适用的技术或子技术时,才将映射限制到战术级别。
1. 找到行为。搜索对手行为的迹象是从寻找破坏指标(IOCs)、恶意软件文件的散列、url、域名和以前破坏的其他工件的范式转变。寻找对手如何与特定平台和应用程序交互的迹象,以找到异常或可疑行为链。试着确定最初的破坏是如何实现的,以及破坏后的活动是如何执行的。对手是否利用合法的系统功能来达到恶意的目的,例如,依靠土地技术生存?
2. 研究行为 behavior。为了获得所需的上下文来了解可疑的对手或软件行为,可能需要额外的研究。
a.查看原始来源的报告,了解这些行为是如何在这些报告中体现的。其他资源可能包括来自安全供应商、美国政府网络组织、国际CERTS、维基百科和谷歌的报告。
b.虽然不是所有的行为都可以转化为技术和子技术,技术细节可以建立在彼此的基础上,以便了解对手的整体行为和相关目标。
c.在ATT&CK网站上搜索关键词,帮助识别行为。一种流行的方法是搜索描述对手行为的报告中使用的关键动词,例如“发出命令”、“创建持久性”、“创建计划任务”、“建立连接”或“发送连接请求”。“issuing a command,” “creating persistence,” “creating a scheduled task,” “establishing a connection,” or “sending a connection request.”
3. 确定战术。梳理报告以确定对手的战术和攻击流程。为了确定战术(对手的目标),关注对手想要完成什么以及为什么。目的是窃取数据吗?是为了销毁数据吗?是为了扩大特权吗?
a.回顾战术的定义,以确定如何将识别的行为转化为特定的战术。例子可能包括:
1、“如果利用成功,[该活动]将给任何用户系统访问机器。”
战术:特权升级[TA0004]
2、使用Windows命令cmd.exe /C whoami。
战术:发现[TA0007]
3、"通过创建以下计划任务来创建持久性。"
战术:持久性(TA0003)
b.找出报告中的所有战术。每一种战术都包含了敌人为了实现自己的目标而采取的有限数量的行动actions 。了解攻击流可以帮助识别对手可能使用的技术或子技术。
4. 识别技术。在确定战术之后,回顾与对手如何试图实现其目标相关的技术细节。例如,对手如何获得初始访问[TA0001]的立足点?是通过鱼叉钓鱼还是通过外部远程服务?通过回顾报告中观察到的行为,深入研究可能的技术范围。注意:如果你没有足够的细节来识别一种适用的技术,你将被限制在映射到战术级别,这本身不是用于检测目的的可操作信息。
a.将报告中的行为与所确定战术下列出的ATT&CK技术的描述进行比较。其中一个一致吗?如果是这样,这可能是合适的技术。
b.要知道,多个技术可以同时应用于同一行为。例如,“基于http的8088端口上的命令和控制(C2)流量”将同时属于非标准端口[T1571]技术和应用层协议[T1071]的Web协议[T1071.001]子技术。将多种技术同时映射到一个行为,允许分析人员捕捉行为的不同技术方面,将行为与它们的使用联系起来,并将行为与捍卫者可以使用的数据源和对策保持一致。
c.不要假设或推断某项技术被使用,除非该技术被明确说明,或者没有其他技术方法可以说明某项行为的发生。在“基于HTTP的命令和控制(C2)流量通过端口8088”示例中,如果C2流量通过HTTP,分析人员不应该假设流量通过端口80,因为对手可能会使用非标准端口。
d.使用ATT&CK网站左上角的搜索栏——或ATT&CK企业技术网站页面的CTRL+F——搜索技术细节、术语或命令行,以识别与所描述的行为相匹配的可能技术。例如,搜索一个特定的协议可以让我们了解可能的技术或子技术。
e.确保技术与适当的战术相一致。例如,有两种技术涉及到扫描。侦察战术下的主动扫描[T1595]技术发生在受害者破坏之前。该技术描述了主动侦察扫描,通过网络流量探测受害者的基础设施,以收集信息,可以在目标锁定期间使用。发现[TA00071策略中的网络服务扫描[T10461]技术发生在受害者入侵后,描述了使用端口扫描或漏洞扫描来列举远程主机上运行的服务。
f.将技术和子技术视为对手剧本中的元素,而不是孤立的活动。对手经常使用他们从每次行动中获得的信息来决定他们将在攻击周期中使用什么额外的技术。正因为如此,技术常常被链接在攻击链中。
5. 识别Sub-techniques。检查子技术描述,看看它们是否与报告中的信息相匹配。其中一个一致吗?如果是这样,这可能是正确的子技术。
技术和Sub-techniques
仔细阅读描述
技术和子技术的差异通常是微妙的。在做出决定之前,一定要仔细阅读这些产品的详细描述。
例如,混淆文件或信息:软件打包[T1027.002](压缩或加密可执行文件)不同于数据编码[T1132],后者涉及对手编码数据,以使命令和控制流量的内容更难以检测。战术也各不相同:软件打包用于实现防御逃避[TA0005]战术,数据编码与指挥与控制[TA0011]战术一致。
另一个例子:Masquerading [T1036]指的是一般的伪装尝试,而Masquerading: Masquerade任务或服务[T1036-004]具体指的是模拟系统任务或服务,而不是文件。
根据报告的详细程度,可能不可能在所有情况下都确定子技术。注意:只有在没有足够的上下文来标识子技术时,才单独映射到父技术。
a.仔细阅读子技术的描述,理解它们之间的区别。例如,蛮力[T11101]包括四个子技术:
密码猜测[T1110.0011],密码破解[T1110.0021],密码喷洒[T1110.0031],和凭证填充[T1110.0041]。例如,如果报告没有提供额外的上下文来标识对手使用的子技术,那么只需将包含所有获取凭证的方法的Brute Force [T11101~]标识为父技术。
b.当一个子技术的父技术与多种战术相一致时,确保选择合适的战术。例如,进程注入:动态链接库注入[T1055.0011]子技术出现在防御规避[TA00051]和特权升级[TA00041]战术中。
c.如果子技术不容易识别——可能不是每一种情况下都有一种——回顾程序示例可能是有帮助的。这些示例提供了到支持原始技术映射的源CTI报告的链接。附加的上下文可能有助于确认映射或建议应该研究另一种映射。总有一种可能,即一种行为可能是ATT&CK中尚未涉及的新技术。例如,与太阳风供应链相关的新技术导致了对ATT&CK框架的超周期版本修改。ATT&CK团队努力在新技术或子技术流行时纳入它们。来自安全研究人员和分析人员社区的贡献使这成为可能。如果您正在观察一项新技术或子技术或一项技术的新用法,请通知ATT&CK团队。
6. 将您的结果与其他分析师的结果进行比较。通过与其他分析人员协作来改进您的映射。与其他分析人员一起处理映射会带来视角的多样性,并有助于告知额外的透视图,从而提高对可能的分析人员偏见的认识。一个正式的同行评审和咨询过程可以是分享观点、促进学习和改进结果的有效手段。对带有建议的策略、技术和子技术注释的报告进行同行评审,可以对初始分析中遗漏的ttp进行更准确的映射。这个过程还可以帮助提高整个团队映射的一致性。
六、将mitre att&ck映射到原始数据
下面描述的选项代表了将原始数据映射到ATT&CK的可能方法。原始数据合并了多种数据源,其中可能包含敌对行为的工件。原始数据类型包括shell命令、恶意软件分析结果、从取证磁盘图像检索的工件、数据包捕获和Windows事件日志。
原始数据的ATT&CK映射
一些有用的建议
1. 使用ATT&CK Navigator工具来突出特定的战术和技术。参见MITRE。介绍ATT&CK领航员视频。注意:导航器是为许多用例定义的(从识别防御性的覆盖缺口,到红/蓝团队计划,到突出检测到的技术的频率)。
2. 再次检查以确定是否准确地捕获了所有ATT&CK映射。即使是最有经验的分析人员,也经常在第一次传递中错过额外的映射。
3. 只有当没有足够的细节来确定一个适用的技术或子技术时,才将映射限制到战术级别。
选项1。从数据源开始确定技术和过程。查看通常由Windows事件日志、Sysmon、EDR工具和其他工具收集的数据源(例如,进程和进程命令行监视、文件和注册表监视、包捕获)。
可能为潜在恶意行为分析提供信息的问题包括:
a.对手关注的对象是什么(例如,这是一个文件,一个流,一个驱动程序,一个进程)?
b.正在对象上执行的动作是什么?
c.这项活动需要哪些技术?这可能有助于将范围缩小到技术的子集。如果未知,则跳到步骤d。
d.是否有证实活动可以帮助缩小发生的技术范围?
1.使用已知工具(如gsecdump、mimikatz等凭证转储工具)。注意:对手可能会通过更改其名称来伪装已知工具的使用,但是,所提供的命令行标志将保持不变。
2.使用已知的系统组件(如regsvr32, rundll32)。
3.访问特定的系统组件(例如,注册表)。
4.使用脚本(例如,以.py, .java .js结尾的文件)。
5.特定端口的标识(例如,22,80)。
6.识别所涉及的协议(如rdp、DNS、SSH、Telnet、FTP)
7.混淆或去混淆的证据。
8.涉及特定设备的证据(例如,域控制器),如果是这样,该设备类型的意外或不一致行为的证据。
选项2。从特定的工具或属性开始,并扩大光圈 Aperture。原始数据提供了对手操作或工具的独特视图。可以通过进程监控事件日志、被访问的特定文件系统组件(例如,Windows Registry),甚至他们使用的某些软件(例如,mimikatz)来识别他们的命令。分析人员可以搜索ATT&CK存储库,以潜在地确定与这些项相匹配的技术或子技术。分析人员还可以利用它们作为进一步探索相关技术的来源。例如,如果对手在HKEY_LOCAL_MACHINE\Softwane\Micnosoft\Windows\CunnentVension\Run中创建了一个用于持久化的注册表键,以在计算机重新启动或用户登录时执行(即,注册表运行键/启动文件夹[T1547.001]),分析师可能能够探索与该事件相关的其他行为。例如,恶意注册表项经常伪装成合法项以避免检测(Masquerading [T1036]),这是一种防御逃避[TA0005]策略。
选项3。从分析开始。检测分析(或检测规则)通常在SIEM平台中操作实现,该平台收集和聚合日志数据,并执行相关和检测等分析。分析通过分析一系列日志(如VPN日志、Windows事件日志、IDS日志和防火墙日志)中的可观察事件(通常是一系列事件)来识别恶意对手活动。通过这种分析,检测分析可以提供对可能包含特定对手技术工件的其他数据源的洞察。
a.许多组织共享他们的分析作为开源材料。这些包括:
1、 sigma (SIEMs的标准化规则语法)。西格玛规则包含检测计算机过程、命令和操作的逻辑。例如,有多个Sigma规则与检测凭证转储器Mimikatz相关。点击这里查看Sigma规则的一个例子,该规则检测凭证转储,并在标签字段中包含相关的ATT&CK技术和子技术。
2、MITRE的网络分析库(CAR)。CAR是一个规则知识库,用于检测一组ATT&CK战术、技术和子技术。点击这里查看一个CAR分析的例子(CAR-2020-05-001: LSASS的MiniDump),它检测凭证转储的MiniDump变量,其中进程打开lasss .exe来使用Win32 API调用MiniDumpWriteDump提取凭证。CAR-2020-05-001: MiniDump of LSASS | MITRE Cyber Analytics Repository
3、从非系统帐户LSASS访问。同样基于行为,该规则检测试图访问LSASS进程的非特权进程——这是执行Mimikatz以从系统收集凭证的关键步骤。点击这里查看这个开源规则的GitHub条目,它映射到相关的ATT&CK策略、技术和子技术。ThreatHunter-Playbook/WIN-170105221010.yaml at master · OTRF/ThreatHunter-Playbook · GitHub
七、TrickBot恶意软件
1、总结
该联合网络安全咨询使用了MITRE对抗战术、技术和公共知识(ATT&CK®)框架,版本8。请参阅企业的ATT&CK框架,了解所有引用的威胁参与者技术。
网络安全与基础设施安全局(CISA)和联邦调查局(FBI)观察到,在北美,利用恶意软件TrickBot攻击法律和保险机构的钓鱼活动显著增加。一群老练的网络犯罪分子正在通过网络钓鱼邮件,利用侵犯流量的网络钓鱼计划来引诱受害者下载“TrickBot”。
trick bot于2016年首次被发现,是一种由一群老练的网络犯罪分子开发和操作的木马。最初的设计初衷是窃取金融数据的银行木马,如今已发展成为高度模块化的多阶段恶意软件,为其运营商提供一整套工具,以开展大量非法网络活动。
为了防范TrickBot,CISA和FBI建议实施本警报中描述的缓解措施,包括屏蔽可疑的互联网协议地址,使用杀毒软件,以及向员工提供社会工程和钓鱼培训。
二、技术细节
TrickBot是一种高级木马,恶意行为者主要通过钓鱼活动传播,使用包含恶意附件或链接的定制电子邮件,如果启用,则执行恶意软件(钓鱼:钓鱼附件[T1566.0011,钓鱼:钓鱼链接[T1566.0021)。CISA和FBI已经意识到最近的攻击使用钓鱼电子邮件,声称包含交通违规的证据,以窃取敏感信息。钓鱼电子邮件包含的链接会重定向到一个网站,该网站托管在一个受损的服务器上,提示受害者点击其流量违规的照片证明(用户执行:恶意链接[T1204.0011,用户执行:恶意文件[T1204.0021)。在点击照片时,受害者在不知不觉中下载了一个恶意JavaScript文件,当打开该文件时,该文件会自动与恶意行为者的命令和控制(C2)服务器通信,将TrickBot下载到受害者的系统中(命令和脚本解释器:JavaScript [T1059.0071)。
攻击者可以使用TrickBot来:
•放弃其他恶意软件,如Ryuk和Conti勒索软件,或
•作为一个Emotet下载器(入口工具传输[T11051])
TrickBot使用浏览器中的人攻击来窃取信息,例如登录凭证(浏览器中的人[T11851])。此外,一些TrickBot模块通过滥用服务器消息块(SMB)协议(横向工具传输[T15701])在网络上横向传播恶意软件。TrickBot操作人员拥有一个能够覆盖整个MITRE ATT&CK框架的工具集,从主动或被动收集信息以支持目标定位(侦察Reconnaissance[TA00431]),到试图操纵、中断或破坏系统和数据(影响Impact[TA00401])。
TrickBot能够通过硬编码的C2服务器进行数据窃取、加密挖掘和主机枚举(例如,统一可扩展固件接口或基本输入/输出系统[UEFI/BIOS1固件]的侦察(C2通道[T10411]、资源劫持[T14961]、系统信息发现[T10821])。[21对于主机枚举,操作员在包含有特定任务配置文件的模块中交付TrickBot。
图1通过ATT&CK Navigator可视化展示了TrickBot对企业技术的使用。