关键词:ATT&CK,MITRE,攻击模拟,防御
ATT&CK是一个描述敌手攻击行为的模型。2013年9月第一个ATT&CK模型被提出,到2018年ATT&CK获得了广泛的关注。目前,ATT&CK在国内外的主要应用情况如下:
1、ATT&CK信息平台
有很多平台用于发布ATT&CK相关信息,或者进行信息的可视化,方便用户理解使用,比如:
Ÿ ATT&CK Groups(https://shield.mitre.org/attack_groups/),该网站将各个APT组织公开报告中的攻击技术和使用的恶意软件,使用ATT&CK进行了归档。
Ÿ Navigator(https://mitre-attack.github.io/attack-navigator/enterprise/),此工具是ATT&CK的导航器,旨在提供导航和注释,可以帮助分析人员将分析结果映射到矩阵中,进行可视化操作。
Ÿ OSSEM(https://github.com/OTRF/OSSEM),开源安全事件元数据(OSSEM)是一个社区主导的项目,主要关注来自不同数据源和操作系统的安全事件日志的文档和标准化。
Ÿ CAR(https://car.mitre.org),CAR包含了映射到特定ATT&CK技术的分析,并描述了高级分析假设、伪代码分析实现、单元测试以及用于开发它们的数据模型,以便将分析转换到各种分析平台。CAR可以供整个社区的网络防御者使用,并且可以对对手行为进行分析。
Ÿ 对手模拟计划(https://attack.mitre.org/resources/
adversary-emulation-plans/),目的是让红队能够更加准确高效地模拟攻击行为,从而使得防守方能够更加有效地测试自己的网络防御能力。
Ÿ Osquery-ATT&CK(https://github.com/teoseller/osquery
-attck),将MITRE ATT&CK与Osquery映射,用来查找企业威胁。
2、使用ATT&CK模拟攻击的工具
以下几个开源工具集成了ATT&CK框架,用于模拟攻击行为:
Ÿ Red Team Automation (RTA)(https://github.com/
endgameinc/RTA),RAT由python脚本组成,这些脚本可以生成超过50种不同的ATT&CK战术,并且执行相应的恶意活动。RAT提供了一个脚本框架,该框架旨在让蓝队成员去测试自己在ATT&CK方面针对恶意攻击的检测能力。
Ÿ Atomic Red Team(https://github.com/redcanaryco/
atomic-red-team),一个测试集合,由单独的指令(而不是脚本本身)组成,这些指令与特定的ATT&CK策略相匹配。
Ÿ Caldera(https://github.com/mitre/caldera),一个网络安全框架,它基于MITER ATT&CK框架构建,可以模拟对手的行为,是MITRE的一项研究项目。
Ÿ Uber—Metta(https://github.com/uber-common/metta),一个允许使用Redis/Cellery、python和vagrant与virtualbox进行对抗模拟的工具,允许对主机进行检测,也允许对网络进行检测和控制。
3、利用ATT&CK进行攻击发现或攻击分类
Ÿ rcATT(https://github.com/vlegoy/rcATT),一个开放的对抗战术和技术知识库,来训练分类器和标记结果。rcATT最近已整合到CERT的工具链中,以支持威胁情报共享和分析过程。
Ÿ Unfetter Insight(https://github.com/unfetter-discover
/unfetter-insight),运用自然语言处理等方法去检测出存在的ATT&CK模式,可以检测的文件格式包括txt、pdf和html。
Ÿ SysmonHunter(https://github.com/baronpan/SysmonHunter)
一个基于ATT&CK的sysmon日志狩猎工具,为APT hunt和IR提供了一种更有效的方法。
Ÿ TTPDrill(https://github.com/mpurba1/TTPDrill-0.5),一种新的文本挖掘方法,该方法结合了自然语言处理(NLP)的增强技术和信息检索(IR)技术去提取基于语义的威胁行为。同时,还将威胁活动映射为对应的ATT&CK术语。
Ÿ hybrid analysis(https://twitter.com/HybridAnalysis
/status/1017066468888981505),2018年7月11日Hybrid Analysis发布推特称其已经添加新功能,可以将恶意软件的行为指标映射到MITRE ATT&CK 框架。
Ÿ AnyRun沙箱(https://any.run/cybersecurity-blog/
mitre-attack/),一个交互式恶意软件分析工具,集成了MITRE ATT&CK,可以帮助研究人员快速有效地找到特定的恶意软件样本,帮助沙箱用户更好地识别恶意软件的攻击行为。
Ÿ SANS(https://www.sans.org/webcasts/measuring-
improving-cyber-defense-mitre-att-ck-framework-114010/),2020年7月21日,SANS发布声明,宣布使用MITRE ATT&CK框架来衡量并改进自己的网络防御功能。
(来源:安全内参)
发表评论 取消回复