【ATT&CK】MITRE Caldera -引导规划器

一、Caldera 概念

        在详细介绍新的引导式规划器之前，我们先回顾一下与 Caldera 相关的概念的一些定义。

        能力是 Caldera 可以执行的最小原子动作。对手由一组能力组成。例如，旨在发现和泄露感兴趣的文件的对手可能具有发现文件、创建暂存目录、将发现的文件复制到暂存目录、打包文件副本以及将包泄露回服务器的单独能力。这些能力中的每一个都执行一个具有自己的一组所需输入和输出的操作。卡尔德拉的工作是将这些能力结合在一起，形成一个有凝聚力和有效的对手。

        事实代表了Caldera所获得的知识。它们以键值对的形式呈现，其中键（称为特征）描述了知识的类型。事实的价值在于所获得的信息。事实可以是具体的，例如主机名或文件路径，也可以是更抽象的东西，例如标记某个主机是否可以通过网络访问的布尔值。能力可以将事实作为输入，并经常产生新的事实作为输出。这些输入和输出事实之间的关系允许 Caldera 中的能力具有控制能力执行顺序的要求。

        Caldera 通过将事实组合与可用能力的先决条件相匹配来生成要执行的一组操作。如果 Caldera 知道五个感兴趣的文件路径，它将能够产生五个不同版本的复制能力来运行。如果 Caldera 不知道任何感兴趣的文件路径，那么它将无法产生任何复制文件的能力。

        此外，可以对通过需求使用的潜在事实施加进一步的约束。要求允许对知识库进行进一步检查，以便在计划在操作中使用的知识满足某些条件时执行操作。例如，要求可以限制仅当单独的用户名和密码事实对应于同一用户时才执行操作。

        目标被表示为与条件配对的事实特征。条件可以很简单，例如存在事实、已发现具有特定值的事实，或者发现了多于/少于某一数量的事实。对手可以将事实来源作为输入，并努力实现一系列目标。例如，如果对手仅专注于文件发现，那么一个目标可能是 Caldera 发现并跟踪三个或更多感兴趣的文件。现有对手广泛使用的默认目标称为耗尽。从根本上来说，精疲力竭的目标是打败对手，直到没有更多的能力可以执行。在设计寻求特定目标的规划器时，考虑这一点很重要。

        当运行对手时，Caldera 平台的基本作用是跟踪信息，然后利用这些知识来产生运行能力的所有可能组合。规划者的作用是决定执行这些可用操作中的哪些。

        Caldera 平台提供了一个可扩展的插件架构，允许用户根据上一节中概述的构造实现自定义规划逻辑。Caldera 的基本版本预先打包了三个简单的规划器：

        Atomic：按照对手的原子顺序指定的顺序一次执行一个操作

        批处理（Batch）：在操作的每个步骤中执行所有可用的操作

        Buckets：根据MITRE ATT&CK™定义的策略执行一组可用操作，通过遵循通用网络杀伤链的状态机移动，并在规划器状态当前所在的每个桶中执行对手的所有可用操作。

      这些规划器完成了工作，但它们相对简单，并且不执行与自动规划任务相关的任何策略，例如状态空间缩减或定向搜索。这就是在内置库中添加引导规划器的用武之地。

二、引导规划器

        引导规划器旨在帮助对手在执行尽可能少的操作的同时实现其目标。

        引导规划器的基础是生成对手的能力依赖图。这是一个有向图，其中对手的 Caldera 能力表示为节点。图中的节点根据其知识依赖性和输出进行连接。例如，假设我们有两种能力：一种能力执行列表目录命令，将发现的文件保存为事实，另一种能力作为需要给定文件路径的复制文件命令。结果，这两个能力将在依赖图中链接起来，其中一条边从列表能力指向复制能力。下图显示了简单渗透对手的示例能力依赖图。

图 1 — 由 Guided planner 构建的对手能力依赖图

        一旦规划器构建了这个依赖图，它就能够找到从事实源到定义目标的最短路径。规划器可以容纳多个目标，在这种情况下，它将提供从每种能力到其最近目标的最短路径。这些距离用于形成绝对距离表。随着操作的进行，该表中的距离将根据以下条件修改为有效距离表：

        半衰期惩罚——定义规划者对无法推动对手实现目标的行为进行的惩罚程度。数字越大，处罚越高。

        半衰期增益- 定义在规划器的每次迭代中被动增加能力距离的量。值越大，增益越小。

        目标行动衰减——定义对预计直接实现目标但未能实现的行动进行多少惩罚。

        目标权重- 定义能力到目标的距离对该能力的绝对距离的贡献程度的权重。

        事实得分权重- 定义输入事实数量对每种能力的绝对距离的贡献程度的权重。

        在每次迭代规划时，都会选择得分最高的能力来执行。Caldera 等待收到结果，然后规划器根据对手是否更接近或实现目标来更新有效距离。

        该规划器的设计目的是在考虑目标的情况下使用，但由于大多数 Caldera 对手并未配置目标，因此它还必须考虑耗尽所有操作的默认目标。引导规划器有一些额外的逻辑，可以在没有提供目标的情况下从依赖图推断目标。图中输出度为零的节点表示依赖链末端的事实或能力。这些节点用于为规划器生成目标，作为默认耗尽目标的替代。最好定义具体目标，为规划者提供优化的工作价值，但这种逻辑允许规划者与所有现有的 Caldera 对手兼容。

三、使用引导规划器

        为了充分利用引导规划器，为对手定义一组目标（如果尚未提供）是最有帮助的。下面的示例显示了如何将目标添加到现有的 Caldera 对手中。

        目标是一个或多个目标的集合。

图 2 — 为对手定义一组目标（目标）

        然后可以将该目标添加到对手配置中，如下所示。

图 3 - 将目标添加到对手配置中

        上一节中描述的定义权重调整的参数都是可配置的。可以通过 Guided planner YAML 配置文件访问它们，如下所示。

图 4 — 在 Guided planner 中配置参数

四、总结

        Guided planner 为 Caldera 的内置规划器库引入了更复杂的自动化规划功能。它对可用操作执行定向搜索，以确定工作的优先级并更快地实现目标。它通过构建对手能力的依赖图来跟踪输入事实到目标来实现这一点。规划者使用每种能力到目标的有效距离来决定在每次规划迭代中执行哪种能力。在规划者选择的每个行动之后，每个能力到目标的有效距离将根据一组公式进行更新。

        使用引导规划器的最有效方法是为所使用的对手定义目标并修改控制有效距离计算的参数。所有这些都可以通过 YAML 配置文件进行配置，而无需直接修改规划器代码。