MITRE ATT&CK是基于實戰(zhàn)的，全球可訪問的網(wǎng)絡安全攻防戰(zhàn)術和技術知識庫，也是近幾年網(wǎng)絡安全領域最熱門的工具和話題之一。如今ATT&CK知識庫已經(jīng)成為私營部門、政府和網(wǎng)絡安全產(chǎn)品服務社區(qū)開發(fā)特定威脅模型和方法的基礎工具。

[[337466]]

ATT&CK包含200多種獨特的技術(也稱為TTP)，每兩年更新一次，是一個非常詳細的庫，包含各種攻擊戰(zhàn)術或類別，以及可以利用的常規(guī)系統(tǒng)管理員行為。在ATT&CK框架的幫助下，安全團隊對攻擊者的行為有了更廣泛的了解，從而可以針對這些技術測試緩解和檢測方法。MITRE ATT&CK已成為許多網(wǎng)絡安全學科的有用工具，用于提供情報、紅隊對手仿真測試，以及改進網(wǎng)絡和系統(tǒng)防御入侵的能力。

不斷進化的MITRE ATT&CK框架解決了信息安全社區(qū)面臨的緊迫問題：面對大量有關對手行為、惡意軟件和漏洞利用的數(shù)據(jù)，如何理解它?現(xiàn)有的網(wǎng)絡安全產(chǎn)品和入侵防護檢測的能力(有效性)怎么樣?MITRE ATT&CK框架為從業(yè)者和用戶創(chuàng)建了一個明確的，可衡量可量化的行業(yè)標準和通用語言，以評估其安全工具、安全風險和安全能力。

“ATT&CK”并非一個學院派的理論框架，而是來源于實戰(zhàn)。安全從業(yè)者們在長期的攻防對抗、攻擊溯源、攻擊手法分析的過程中，逐漸提煉總結，形成了實用性強、說得清道得明的體系框架。這個框架是先進的、充滿生命力的，而且具備非常高的使用價值。——引自《ATT&CK框架使用指南》

MITRE ATT&CK的生命力來自于安全社區(qū)，通過對MITRE ATT&CK社區(qū)的數(shù)據(jù)統(tǒng)計和分析，有助于防御者發(fā)現(xiàn)網(wǎng)絡犯罪和攻擊的主流趨勢，并盡快做好準備。以下，我們根據(jù)recorded future公司發(fā)布的MITRE ATT&CK統(tǒng)計報告，介紹2019年十大ATT&CK攻擊技術, 希望能對紅藍團隊練習、滲透測試、威脅搜尋和各種安全運營團隊提供參考。

十大 ATT&CK 攻擊技戰(zhàn)術(TTP)

1. T1063：安全軟件發(fā)現(xiàn) | 戰(zhàn)術：發(fā)現(xiàn)

安全軟件發(fā)現(xiàn)(T1063)是2019年ATT&CK榜單上中最流行的技術。作為發(fā)現(xiàn)戰(zhàn)術的一部分，T1063表示對手了解已經(jīng)部署的安全控制，同時，它也是防御逃避戰(zhàn)術的重要前奏。這種技術在被惡意軟件家族廣泛使用。

T1063 的實施：

• 常見的遠程訪問工具(如njRAT)可以列出安全軟件，例如使用基于Windows的WMIC來標識受害者計算機上安裝的防病毒產(chǎn)品并獲取防火墻詳細信息。
• Empire是一個開源、跨平臺遠程管理和后開發(fā)框架，它也能夠枚舉目標計算機上流行的防病毒軟件。

T1063的緩解：

T1063難以緩解，因為該技術是對合法網(wǎng)絡操作的濫用。但是，如果具有內(nèi)置功能的遠程訪問工具直接與Windows API交互以收集信息，則可以進行檢測。收集何時請求數(shù)據(jù)的信息可以揭示不良行為。

2. T1027：混淆文件或信息 | 戰(zhàn)術：防御躲避

攻擊者采用的主要躲避方法之一是通過混淆加密或以其他方式操縱文件的結構讓檢測或后續(xù)研究更得更加困難。

T1027的實施：

• 某些PowerShell模塊(例如Empire框架或“Don’t Kill My Cat ”載荷逃避工具中的模塊)能夠運行“Invoke-Obfuscation”命令來在Base64中編碼文件或字符串。
• 許多著名的惡意軟件家族都依靠混淆來逃避檢測。例如，在2018年12月，Emotet在以圣誕節(jié)賀卡為主題的網(wǎng)絡釣魚活動使用了混淆的VBA代碼。

T1027的緩解：

除非混淆過程留下的痕跡可以通過簽名檢測到，否則T1027的檢測非常具有挑戰(zhàn)性。不過，如果無法檢測到混淆本身，防御者仍然可能檢測到創(chuàng)建混淆文件的惡意活動(如果該方法用于在文件系統(tǒng)上寫入，讀取或修改文件)。另外，可以在網(wǎng)絡層檢測到初始訪問載荷中使用的混淆。此外，網(wǎng)絡入侵檢測系統(tǒng)(IDS)和電子郵件網(wǎng)關過濾也可以識別壓縮或加密的附件與腳本。

3. T1055：進程注入 | 戰(zhàn)術：防御閃避

進程注入(T1055)是一種在進程的地址空間內(nèi)運行自定義代碼的技術。它是防御規(guī)避，特權升級以及(某些情況下)駐留會用到的一種技術。T1055利用合法進程進行隱藏，因此非常流行，這些合法進程包括但不限于：動態(tài)鏈接庫(DLL)注入、便攜式可執(zhí)行注入、ptrace系統(tǒng)調(diào)用、VDSO劫持等。

T1055的實施：

威脅組織Turla曾對C2通信的合法進程執(zhí)行了DLL注入，并使用PowerSploit將PowerShell負載有效地加載到受害系統(tǒng)上的隨機進程中。

T1055的緩解：

通過使用端點安全解決方案和啟發(fā)式工具來基于已知的行為模式識別和終止進程，從而緩解T1055。

4. T1082：系統(tǒng)信息發(fā)現(xiàn) | 戰(zhàn)術：發(fā)現(xiàn)

與T1063類似，系統(tǒng)信息發(fā)現(xiàn)(T1082)是攻擊者獲取有關操作系統(tǒng)和硬件的詳細信息的另一種方式，包括版本、補丁、修補程序、服務包和體系結構等。這些信息有助于攻擊者決策使用何種攻擊載體。

T1082的實施：

• 像其他發(fā)現(xiàn)技術一樣，T1082的使用會濫用合法過程來獲取信息。在Windows系統(tǒng)中，這意味著使用“ver”、“systeminfo”和“dir”之類的命令來標識文件和目錄，或者在macOS上使用“systemsetup”或“system_profiler”來提供系統(tǒng)、配置的詳細分類、防火墻規(guī)則等。
• 盡管其中一些命令需要管理員特權，但是在任何特權升級技術之前，仍可以先使用T1082。AWS、GCP或Azure等云計算基礎設施中的錯誤配置可以是T1082的攻擊對象。

T1082的緩解：

檢測T1082所需的數(shù)據(jù)集可能很大的“噪聲”，因為系統(tǒng)信息發(fā)現(xiàn)有其合法用途。但是，監(jiān)視那些采集系統(tǒng)和網(wǎng)絡信息的命令參數(shù)(或云計算系統(tǒng)中的本機日志)可以幫助識別對手的行為。

5. T1057：進程發(fā)現(xiàn) | 戰(zhàn)術：發(fā)現(xiàn)

與其他發(fā)現(xiàn)技術類似，系統(tǒng)配置枚舉可能是對手獲取決策信息的關鍵部分。除了命令格式的細微區(qū)別外，該技術還與平臺無關。

T1057的實施：

• 使用Windows工具“任務列表”或Mac和Linux中的“ps”命令是惡意軟件中常見的功能(例如Winnti)。
• 威脅參與者開始使用Process Discovery來發(fā)現(xiàn)和關閉安全研究人員工具。例如，在2018年末，觀察到伊朗威脅組織MuddyWater 檢查受害者系統(tǒng)上正在運行的進程，以尋找常見惡意軟件研究工具的證據(jù)。

T1057的緩解：

與T1082的檢測方法一樣。

6. T1045：軟件打包 | 戰(zhàn)術：防御閃避

與運行時或軟件打包程序相關聯(lián)的軟件打包(T1045)會壓縮初始文件或可執(zhí)行文件。盡管程序員也會使用軟件打包來降低存儲成本，但攻擊者也很喜歡這種技術，因為打包可執(zhí)行文件會更改其文件簽名并減小文件體積，從而使基于簽名或占用空間的檢測更加困難。

T1045的實施：

許多APT相關惡意軟件變體都使用軟件打包技術，包括Uroburos(已使用其運營商Turla 的自定義打包程序)和APT28的Zebrocy(使用開源打包程序)。

T1045的緩解：

通常可以使用反惡意軟件或防病毒軟件配置來緩解T1045。可以通過掃描已知的軟件打包工具(例如Aspack)或打包技術的工件來檢測軟件打包。但是，軟件打包也具有合法用途，因此并不一定都是惡意行為。

7. T1073：DLL側加載 | 戰(zhàn)術：防御閃避

DLL側加載(T1073)(僅在Windows操作系統(tǒng)中進行)是將欺騙性的惡意DLL文件放置在特定目錄中后，被當作合法DLL加載。該技術將惡意代碼混入到合法的服務或流程中，而不是運行新的無法識別的流程，從而幫助威脅行為者逃避防御。

T1073的實施：

已知有多個APT組織使用該技術，例如APT32。據(jù)報道，在2020年1月，Winnti威脅小組在對香港大學的攻擊中使用了DLL側加載技術。

T1073的緩解：

DLL側加載會濫用合法進程，從而使緩解和檢測變得困難，但并非不可能。通過限制嘗試訪問文件和目錄的用戶的權限，安全團隊可以減少能夠執(zhí)行該技術的用戶數(shù)量。嘗試檢測T1073時，團隊可以比較DLL進程的執(zhí)行時間，以發(fā)現(xiàn)非補丁造成的異常差異。

8. T1022：數(shù)據(jù)加密 | 戰(zhàn)術：滲透

數(shù)據(jù)加密(T1022)是滲透戰(zhàn)術下的一種技術，它是對手使用的另一種非常流行的技術。通過在泄露信息之前對數(shù)據(jù)進行加密，參與者可以更有效地隱藏被盜數(shù)據(jù)的內(nèi)容。今天有多種加密方法可供對手使用。

T1022的實施：

• Lazarus Group使用Zlib壓縮和XOR操作來加密數(shù)據(jù)并將其泄漏到C2服務器。
• WARZONE RAT(也稱為Ave Maria Stealer)是一種主要在犯罪地下組織出售的遠程訪問木馬，主要由Solmyr在Hack Forums和Nulled上出售。該惡意軟件的功能包括加密技術以及UAC繞過、密碼竊取和RDP訪問。

T1022的緩解：

創(chuàng)建規(guī)則或針對異常加密命令發(fā)出警報，或使用啟發(fā)式工具來識別與數(shù)據(jù)加密有關的異常行為。網(wǎng)絡流量熵也可能發(fā)現(xiàn)加密數(shù)據(jù)的泄露。

9. T1106：通過API執(zhí)行 | 戰(zhàn)術：執(zhí)行

通過API執(zhí)行(T1106)是攻擊者對合法應用程序接口的一種攻擊性濫用。此技術允許用戶提取數(shù)據(jù)，并在宏級別與程序和腳本進行交互。

T1106的實施：

• Turla Group使用的LightNeuron是一個復雜的后門，它濫用了Microsoft Exchange Mail服務器。關聯(lián)的過程之一是API命令CreateProcess。
• API的惡意使用不僅會被用于直接執(zhí)行，由于網(wǎng)絡防御者可以監(jiān)視API調(diào)用是否有惡意活動，因此攻擊者還會用冗余API調(diào)用的方法來制造“噪音”。

T1106的緩解：

始終監(jiān)視所有API調(diào)用對于網(wǎng)絡防御者來說是個費時費力的工作。不過，組織可以使用應用程序白名單工具來減輕惡意API調(diào)用。他們還可以利用新型API濫用相關的威脅情報來更快地查明可疑的API使用。

10. T1032：標準加密協(xié)議 | 戰(zhàn)術：命令與控制

與數(shù)據(jù)加密(T1022)技術不同，攻擊者可以使用標準加密協(xié)議(T1032)技術將C2流量隱藏在常規(guī)使用的加密機制之后。T1032是“命令與控制”戰(zhàn)術的一部分，被認為是攻擊的最后階段之一。

T1032的實施：

RC4和AES是許多不同惡意軟件變體的C2流量或配置的常用加密方法，包括銀行木馬IcedID(RC4)和Glupteba僵尸網(wǎng)絡(AES)。在2019年8月，觀察到偽裝成所得稅計算器的惡意軟件xRAT使用AES加密C2流量。

T1032的緩解：

幸運的是，對于嘗試檢測T1032的安全團隊來說，如果T1032在示例配置文件中生成了構件或密鑰，則其某些實現(xiàn)可能比較容易被逆向工程。網(wǎng)絡IDS和預防技術可以幫助緩解網(wǎng)絡層的攻擊活動，此外SSL/TLS檢查可以幫助尋找加密會話。

主要發(fā)現(xiàn)

• 最常見的攻擊戰(zhàn)術是防御規(guī)避(TA005)，最常見的技術是安全軟件發(fā)現(xiàn)(T1063)。防御規(guī)避包括避免檢測、隱藏在受信任進程中、混淆惡意腳本、以及禁用安全軟件。下一個最常見的戰(zhàn)術，發(fā)現(xiàn)(TA007)，涉及對目標網(wǎng)絡或主機的知識和理解。
• 幾乎所有TOP10技術都與許多著名的惡意軟件變體相關，例如Emotet、Trickbot和njRAT這樣的木馬程序，以及Gafgyt和Mirai這樣的僵尸網(wǎng)絡，還有像Coinminer這樣的挖礦軟件。

展望與建議

發(fā)現(xiàn)和防御逃避是2019年最流行的ATT&CK技術。多數(shù)情況下，這些技術會利用合法軟件功能，這使基于簽名的純檢測變得更加困難，難以識別惡意活動。總體而言，有效緩解這些技術需要采用縱深防御方法，并且對正常的網(wǎng)絡配置和活動高度熟悉。以下常規(guī)操作可以作為檢測和阻止依賴這些技術的起點：

• 監(jiān)視公共進程，配置文件，API調(diào)用或文件系統(tǒng)的新實例或異常更改。
• 監(jiān)視不尋常或頻繁的命令參數(shù)，這些參數(shù)通常用作發(fā)現(xiàn)技術的一部分。
• 保持防病毒和反惡意軟件程序的更新，以領先于新打包或加密的惡意軟件。
• 打開軟件的自動更新，以防止網(wǎng)絡攻擊者識別和利用易受攻擊的系統(tǒng)或軟件。

2020年，網(wǎng)絡攻擊者將更加頻繁地使用“發(fā)現(xiàn)和防御規(guī)避”策略，并且，隨著安全解決方案檢測方法的完善，ATT&CK攻擊技術也正快速演進。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文