前沿安全论丨ATT&CK框架下，看攻击趋势的变化

---

企业在构建纵深防御体系之前，一个是可以看看ATT&CK攻击框架，从通用的攻击战术、技术、过程，通过透视攻击路径和方式方法，布局检测、防御的策略。另一方面，可以从目前的政策要求、标准来搭建体系化的防御体系。

运用 MITRE ATT&CK 中的攻击者行为通用分类，可以帮助网络事件响应团队 (CIRT)、安全运营中心 (SOC)、红蓝队、威胁猎手、IT 部门等安全团队，更好地测试、开发和排序其检测和响应机制，对公司的业务、行业和知识产权提供高效安全保障。

在栏目的第一篇文章，我们展现了目前最新的攻击框架，盘点了ATT&CK框架之于攻防的视角、之于实战演练的视角、以及日常之于防守的使用，将对应的内容汇总，给到您做参考。

ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在网络攻击是常用的12种战术及200多种企业技术组成。MITRE ATT&CK 常用于去衡量组织识别、检测和防止网络入侵的能力的有效性的价值。近年来MITRE ATT&CK 框架的采纳率持续上升，是因为该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。

在威胁情报、检测与分析、模拟红蓝对抗，以及评估与工程等主要场景中，随着攻防演练推进，ATT&CK的框架在不断完善，红队的攻击手法、部分应用逐年提升，ATT&CK的使用范围也在扩大。目前来看，ATT&CK框架特点云安全攻击、移动设备和工控系统的攻击正逐渐丰富着该图谱。

 

图注：ATT&CK攻击框架

（https://attack.mitre.org/versions/v9/#）

攻防的战术手册

ATT&CK之所以有效，是因为所有战术、技术和流程（TTP）都基于现实世界中观察到的真实攻击团伙所为。对于攻击一方，ATT&CK的高频技术经常被使用在对抗模拟、红队/渗透测试活动、制定行为分析方案中，为渗透测试工作人员提供技术参考以模拟APT攻击。而在真实的网络攻击中，很多攻击团伙都用相同的技术，ATT&CK就像攻击团伙自己的战术手册，还用此战术手册让新成员快速上手。

《网络安全技术与应用》刊登的一篇名为“基于ATT&CK框架的实战分析”由描述一个基于ATT&CK框架的红蓝对抗实战过程。我们可以清楚的看到，红队攻击思路的过程。

红队技术指导：ATT&CK 框架包含了 266 种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现 “发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，红队高频攻击技术：钓鱼攻击 ->运行 payload 命令 -> 本地 持久化 -> 获取命令&控制通道 -> 权限提升 -> 横向渗透 -> 拿下域控权限。

 

基于 ATT&CK 框架，ATT&CK 实战攻击链主要包含以下七个步骤：   

 

1、确认目标      

第一步是要确定要检测的对抗行为目标和优先级，优先检测攻击者最常使用的 TTP，并解决最常见的、最常遇到的威胁技术，这会对组织机构的安全态势产生最广泛的影响。拥有强大的威胁情报能力后，组织机构就可以了解需要关注哪些 ATT&CK 战术和技术。     

 

2、收集数据      

攻击者可以使用技术将未知的 RAT 加载到合法的进程(例如 explorer.exe)中，然后使用 cmd.exe 命令行界面通过远程 Shell 与 系统进行交互。攻击者可能会在很短的时间内采取一系列行动，并且几乎不会在任何部件中留下痕迹让网络防御者发现。

     

3、过程分析      

行为分析——旨在检测某种特定对抗行为，例如创建新的 Windows 服务。情景感知——旨在全面了解在给定时间，网络环境中正在发生什么事情。异常值分析——旨在分析检测到非恶意行为， 这类行为表现异常，包括检测之前从未运行过的可执行文件，或者标识网络上通常没有运行过的进程。

     

4、构建场景

MITRE 的对抗模拟方法不同于这些传统方法，其目标是让红队成员执行基于特定或许多已知攻击者的行为和技术，以测试特定系统或网络的防御效果。     

       

5、模拟威胁       

在制定好对抗模拟方案和分析方案之后，就该使用情景来模拟攻击者了。首先，让红队模拟威胁行为并执行由白队确定的技术。

     

6、调查攻击

一旦在给定的网络竞赛中红队发起了攻击，蓝队要尽可能发现红队的所作所为。    

7、评估表现      

蓝队和红队活动均完成后，白队将协助团队成员进行分析，将红队活动与蓝队报告的活动进行比较。这可以进行全面的比较，蓝 队可以从中了解他们在发现红队行动方面取得了多大程度上的成功。

 

根据以上探讨，总结出基于ATT&CK框架的“红蓝对抗”渗透攻击链：确定目标-收集数据-过程分析-构建场景-模拟威胁-调查攻击-评估表现。其中构建场景是其中的关键攻击链: ATT&CK:初始访问战术->命令与控制战术->执行战术->发现战术->持久化战术->横向移动战术->渗透战术。

 

有攻有防

关于基于ATT&CK的防守，也有很多文章做过分析。

 

蓝方可以利用框架中的技术提前对系统网站做审计工作。防守一方，需要加强对这些APT常用的攻击技术的主动防御，优化检测，阻断策略，降低APT攻击的安全风险，从而保护资产免受损失。ATT&CK对于防守方的参考价值越来越大。

 

按照目前业内的使用情况，ATT&CK框架基本给“蓝方”做好了一个攻击框架的搭建。从“以攻看防”的角度看，打造一个能快速检测、响应和减缓漏洞安全风险的新一代高效能安全防御体系，离不开对攻击框架的梳理。

 

安全行业媒体“安全牛”早前在一篇文章《MITRE ATT&CK 框架“入坑”指南》中提到，关于如何实现MITRE ATT&CK？安全牛从“威胁建模、检测技术、确认攻击难度、查阅数据源、整合数据、了解不同工具的功能与局限”。

 

入侵检测能力的度量是个行业难题，核心原因是缺乏一个明确的、可衡量、可落地的标准，所以，防守方对于入侵检测通常会陷入不可知和不确定的状态中，既说不清自己的能力高低，也无法有效弥补自己的短板。MITRE ATT&CK的出现解决了这个行业难题。它给了我们一把尺子，让我们可以用统一的标准去衡量自己的防御和检测能力。

 

了解ATT&CK，学习先进的理论体系，提升防守方的技术水平，加强攻防对抗能力。

 

此前，微信号《安全喷子》曾整理了一份ATT&CK实战指南，介绍到蓝队在实战指南中如何做好威胁检测和追踪。媒体《安全客》一文看懂ATT&CK框架以及使用场景实例一文中也介绍到ATT&CK框架中的12种战术的中心思想以及如何缓解和检测战术中的某些技术进行一些解读。

 

实际上，除了我们去了解ATT&CK的理念和战术在实际攻防或演练中的御防和分析。在实际布局安全产品，构建纵深防御的安全体系上，ATT&CK也是绕不开的框架。山石网科今年年初发布了一篇一招阻击恶意软件攻击：沙箱集成MITRE ATT&CK攻击框架中提到沙箱产品集成MITRE ATT&CK框架，让恶意软件在受限的虚拟环境下运行。理想情况下，沙箱可以捕获到恶意软件在整个攻击生命周期中的各种攻击技术。

 

ATT＆CK改变了我们对IP地址和域名等低级指标的认知，并让我们从行为的视角来看待攻击者和防御措施。与过去“一劳永逸”的工具相比，检测和预防行为之路要困难得多。此外，随着防御者带来新的功能，攻击者肯定会作出相应调整。ATT＆CK提供了一种方法来描述他们开发的新技术，并希望防御者能够紧随技术发展的新步伐。

相关阅读推荐：

• 黑客攻击方式的四种最新趋势（http://www.qishunwang.net/news_show_81729.aspx）
• 2021年勒索软件演变新趋势（https://www.sohu.com/a/474129940_121124359）