ATT&CK 用于威胁情报
文章介绍了 ATT&CK 用于威胁情报的三个 level。

Level 1 - 观察特定 group 的攻击手段

  网络威胁情报(Cyber Threat Intelligence, CTI)就是知道攻击者在做什么,并用这个信息来优化决策。ATT&CK 可以展示很多 group 的攻击行为,例如 APT39
  ATT&CK 从公共网络上搜集关于这些 group 的行为报告,然后映射到 ATT&CK 语境中的 tactic/technique/procedure 上。
  如此,我们可以了解一个 APT 组织的行为特征;在被攻击时,通过攻击特征判断攻击者是否属于这个组织,并根据这个组织的惯用手段进行针对性的防御。

Level 2 - 将已有的攻击报告映射到 ATT&CK 语境

  如果我们已经有一份攻击报告,我们可以将其映射为 ATT&CK 的形式,方便我们从宏观上掌握攻击者的行为,也方便将攻击者的行为与其他 group 进行对比。下面是 ATT&CK 网站上的一个例子:
将传统报告映射到 ATT&CK 的 tactic/technique 的例子
  ATT&CK 对这项映射工作的指引如下:
  1. 1.
    熟悉 ATT&CK 框架。了解各个 tactics(攻击者的目标)、techniques(攻击者如何实现这些目标),以及 procedures (technique 的具体实现)。这样可以方便我们在阅读报告时,准确地找到 ATT&CK 中与之对应的条目。
  2. 2.
    寻找攻击者的行为。仅仅关心一些 atomic indicator(例如,IP 地址)是缺乏全局观的。上面的报告提到「恶意软件首先会建立一条到 192.157.198.103:1913 的 SOCKS5 信道」,在这里「建立一个信道」是攻击者的行为。
  3. 3.
    研究攻击者的行为。这个步骤一般发生在分析者对攻击者行为不甚了解的情况下。例如如果我们不知道 SOCKS5 是什么,我们应该去查找资料加以研究,得知 SOCKS5 是一个会话层协议。
  4. 4.
    将攻击者行为对应到 tactic。考虑攻击者行为的目的,并在 ATT&CK 中寻找一个 tactic 与之对应。ATT&CK 仅有 12 个 tactic,所以这项工作并非很困难。上面讨论的「建立一个信道以便后续通讯」在 ATT&CK 中属于 Command and Control 这个 tactic。
  5. 5.
    寻找攻击者使用的 technique。在 ATT&CK 中搜索攻击者行为,例如搜索「SOCKS」,就能找到与之对应的 technique 条目。见下图。
  6. 6.
    与其他分析者对比各自的报告。显然每个分析者都会得出不一样的分析结果,互相讨论可以促进工作。
建立 SOCKS 连接可以对应到 ATT&CK 中的 T1095(非应用层协议)

Level 3 - 以 ATT&CK 促进防御

  利用 ATT&CK,我们可以将多个 group 的行为映射到 Matrix 上,然后发现哪些 technique 被频繁使用,从而决定防御加固的优先级。ATT&CK 网站上给出了一个分析 APT3、APT29 的例子:
蓝色:仅 APT3 使用 黄色:仅 APT29 使用 绿色:APT3, APT29 都使用
   如果我们关注很多个组织,我们可以在 Matrix 上面做出热度图,以确定防御的优先顺序。此外,如果我们有能力检测到一些 technique 的使用,我们可以在 Matrix 上做出标记,辅助我们更好地判断「现在攻击我们的组织是不是我们怀疑的 group」。
Last modified 6mo ago