92 目前，ATT&CK 框架已成为安全圈新宠，相信大家对于 ATT&CK 框架都有一定的了解。 但是， 对于该如何使用该框架、 如何实现其价值，我们或许心存疑惑。本文将主要介绍如何基 于 ATT&CK 框架来制定分析方案，检测攻击行为，有效提升 检测能力；制定对抗模拟方案，提高企业防御能力。 想要对攻击者渗透后的入侵行为进行分析，首先让我们来 了解一下攻击者是如何进行攻击的。 一个真实的攻击场景 攻击者首先是对其最近感兴趣的一个事件发送了一个钓鱼 邮件。攻击载荷（payload）是一个 .zip 文件，其中包含了一个 诱饵 PDF 文件和一个恶意可执行文件，该恶意文件使用系统 上已经安装的 Acrobat Reader 来进行伪装。 运行时，可执行文件将下载第二阶段使用的远程访问工具 （RAT）有效负荷，让远程操作员可以访问受害计算机，并可 让远程操作员在网络中获得一个初始访问点。然后，攻击者会 生成用于“命令控制”的新域名，并通过定期更改自己的网络 用户名， 将这些域发送到受感染网络上的远程访问工具 （RAT） 。 用于“命令控制”的域和 IP 地址是临时的，并且攻击者每隔 几天就会对此进行更改。攻击者通过安装 Windows 服务—— 其名称很容易被计算机所有者认为是合法的系统服务名称，从 而看似合法地保留在受害计算机上。在部署该恶意软件之前， 攻击者可能已经在各种防病毒（AV）产品上进行了测试，以 确保它与任何现有或已知的恶意软件签名都不匹配。 为了与受害主机进行交互，远程操作员使用 RAT 启动 Windows 命令提示符，例如 cmd.exe。然后，攻击者使用受感 染计算机上已有的工具来了解有关受害者系统和周围网络的更 多信息，以便提高其在其它系统上的访问级别，并朝着实现其 目标进一步迈进。 更具体地说，攻击者使用内置的 Windows 工具或合法的 第三方管理工具来发现内部主机和网络资源， 并发现诸如帐户、 权限组、 进程、 服务、 网络配置和周围的网络资源之类的信息。然后，远程操作员可以使用 Invoke-Mimikatz 来批量捕获缓存 的身份验证凭据。在收集到足够的信息之后，攻击者可能会进 行横向移动，从一台计算机移动到另一台计算机，这通常可以 使用映射的 Windows 管理员共享和远程 Windows（服务器消 息块 [SMB]）文件副本以及远程计划任务来实现。随着访问权 限的增加，攻击者会在网络中找到感兴趣的文档。然后，攻击 者会将这些文档存储在一个中央位置，使用 RAR 等程序通过 远程命令行 shell 对文件进行压缩和加密，最后，通过 HTTP 会话，将文件从受害者主机中渗出，然后在其方便使用的远程 计算机上分析和使用这些信息。 传统检测方案捉襟见肘 现有的检测方案难以检测到上述情景中所介绍的 APT 攻 击。 大多数防病毒应用程序可能无法可靠地检测到自定义工具， 因为攻击者在使用这些工具之前，已经对其进行了测试，甚至 可能包含一些混淆技术，以便绕开其它类型的恶意软件检测。 此外，恶意远程操作员还能够在他们所攻击的系统上使用合法 功能，逃避检测。而且许多检测工具无法收集到足够的数据， 来发现此类恶意使用合法系统的行为。 当前其它的网络安全方法，例如威胁情报信息共享，可 能对于检测攻击者基础设施也无济于事，因为攻击者指标可能 变化太快。典型的网络流量检查也将于事无补，因为 APT 的 流量（例如上述示例中所述的流量）已通过有效的 SSL 加密。 SSL 拦截可能有用，但是要将恶意行为从善意网络行为中区分 出来，实在太困难了。 提升检测能力：开发基于 ATT&CK 框架的 对抗赛 自 2012 年 MITRE 进行网络竞赛以来，MITRE 主要通过 研究对抗行为、构建传感器来获取数据以及分析数据来检测对 抗行为。 该过程包含三个重要角色： “白队” 、 “红队” 和 “蓝 队”，如下所示： ◆ 白队——开发用于测试防御的威胁场景。白队与红队基于 ATT&CK 框架的红蓝对抗 有效提升检测能力ATT&CK专栏93 和蓝队合作，解决网络竞赛期间出现的问题，并确保达到测试 目标。白队与网络管理员对接，确保维护网络资产。 ◆ 红队——扮演网络竞赛中的攻击者。执行计划好的威 胁场景，重点是对抗行为模拟，并根据需要与白队进行对接。 在网络竞赛中出现的任何系统或网络漏洞都将报告给白队。 ◆ 蓝队——在网络竞赛中担任网络防御者，通过分析来 检测红队的活动。他们也被认为是一支狩猎队。 基于 ATT&CK 框架，开发网络对抗赛主要包含以下七个 步骤： 下面，我们将对这七个步骤进行详细介绍。 第 1 步：确定目标 第一步是确定要检测的对抗行为的目标和优先级。在决定 优先检测哪些对抗行为时，需要考虑以下几个因素： （1）哪种行为最常见？ 优先检测攻击者最常使用的 TTP，并解决最常见的、最常 遇到的威胁技术，这会对组织机构的安全态势产生最广泛的影 响。拥有强大的威胁情报能力后，组织机构就可以了解需要关 注哪些 ATT&CK 战术和技术。 （2）哪种行为产生的负面影响最大？ 组织机构必须考虑哪些 TTP 会对组织机构产生最大的潜 在不利影响。这些影响可能包括物理破坏、信息丢失、系统受 损或其它负面后果。 （3）容易获得哪些行为的相关数据？ 与那些需要开发和部署新传感器或数据源的行为相比，对 于已拥有必要数据的行为进行分析要容易得多。 （4）哪种行为最有可能表示是恶意行为？只是由攻击者产生的行为而不是合法用户产生的行为，对 于防御者来说用处最大， 因为这些数据产生误报的可能性较小。 第 2 步：收集数据 在创建分析方案时，组织机构必须确定、收集和存储制定 分析方案所需的数据。为了确定分析人员需要收集哪些数据来 制定分析方案，首先要了解现有传感器和日志记录机制已经收 集了哪些数据。在某些情况下，这些数据可能满足给定分析的 数据要求。但是，在许多情况下，可能需要修改现有传感器和 工具的设置或规则，以便收集所需的数据。在其它情况下，可 能需要安装新工具或功能来收集所需的数据。在确定了创建分 析所需的数据之后，必须将其收集并存储在将要编写分析的平 台上。例如，可以使用 Splunk 的体系结构。 由于企业通常在网络入口和出口点部署传感器，因此，许 多企业都依赖边界处收集的数据。但是，这就限制了企业只能 看到进出网络的网络流量，而不利于防御者看到网络中及系统 之间发生了什么情况。如果攻击者能够成功访问受监视边界范 围内的系统并建立规避网络保护的命令和控制，则防御者可能 会忽略攻击者在其网络内的活动。正如上文的攻击示例所述， 攻击者使用合法的 Web 服务和通常允许穿越网络边界的加密 通信，这让防御者很难识别其网络内的恶意活动。 由于使用基于边界的方法无法检测到很多攻击行为， 因此， 很有必要通过终端（主机端）数据来识别渗透后的操作。下图 展示的是企业边界网络传感器在 ATT&CK 框架中的覆盖范围。 红色表示未能检测到攻击行为，黄色表示有一定检测能力。如 果在终端上没有传感器来收集相关数据，比如进程日志，就很 难检测到 ATT&CK 模型描述的许多入侵。目前，国内外一些 新一代主机安全厂商，都是采用在主机端部署 Agent 方式，比 如青藤云安全，通过 Agent 提供主机端高价值数据，包括操作 审计日志、进程启动日志、网络连接日志、DNS 解析日志等。 此外，仅仅依赖于通过间歇性扫描端点来收集端点数据 或获取数据快照，这可能无法检测到已入侵网络边界并在网络 内部进行操作的攻击者。间歇性地收集数据可能会导致错过 检测快照之间发生的行为。例如，攻击者可以使用技术将未 知的 RAT 加载到合法的进程（例如 explorer.exe）中，然后使 用 cmd.exe 命令行界面通过远程 Shell 与系统进行交互。攻击 者可能会在很短的时间内采取一系列行动，并且几乎不会在任 何部件中留下痕迹让网络防御者发现。如果在加载 RAT 时执 行了扫描，则收集信息（例如正在运行的进程、进程树、已加 载的 DLL、Autoruns 的位置、打开的网络连接以及文件中的已 知恶意软件签名）的快照可能只会看到在 explorer.exe 中运行 的 DLL。但是，快照会错过将 RAT 实际注入到 explorer.exe、开发网络对抗赛的七个步骤ATT&CK专栏 94 cmd.exe 启动、生成的进程树以及攻击者通过 shell 命令执行的其它行为，因为数据不是持续收集的。 图 2：企业边界网络传感器在 ATT&CK 框架中的覆盖范围ATT&CK专栏 95 第 3 步：过程分析 组织机构拥有了必要的传感器和数据后，就可以进行分析 了。进行分析需要一个硬件和软件平台，在平台上进行设计和 运行分析方案，并能够让数据科学家设计分析方案。尽管通常 是通过 SIEM 来完成的，但这并不是唯一的方法，也可以使用 Splunk 查询语言来进行分析，相关的分析分为四大类： ◆ 行为分析——旨在检测某种特定对抗行为，例如创建 新的 Windows 服务。该行为本身可能是恶意的，也可能不是 恶意的。并将这类行为映射到 ATT&CK 模型中那些确定的技 术上。 ◆ 情景感知——旨在全面了解在给定时间，网络环境中 正在发生什么事情。并非所有分析都需要针对恶意行为生成警 报。相反，分析也可以通过提供有关环境状态的一般信息，证 明对组织机构有价值。诸如登录时间之类的信息并不表示恶意 活动，但是当与其它指标一起使用时，这种类型的数据也可以 提供有关对抗行为的必要信息。情景感知分析还可以有助于监 视网络环境的