MITRE ATT&CK Enterprise 第五轮评估
2023-10-7 00:3:54 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

MITRE ATT&CK Enterprise 评估已经来到了第五轮,关于评估本身之前已经写过多篇,不了解的读者麻烦翻下之前的文章吧,这里就不再赘述了。

MITRE ATT&CK Enterprise 第四轮评估结果

Avenger,公众号:威胁棱镜MITRE ATT&CK 第四轮评估结果发布

MITRE ATT&CK Managed Services 第一轮评估结果

PolluxAvenger,公众号:威胁棱镜MITRE ATT&CK 第五轮评估结果发布

请注意,2022 年针对 OilRig 组织的评估归属于 Managed Services 领域下而非 Enterprise 领域下。因此官方表述下本轮为 MITRE ATT&CK Enterprise 评估的第五轮评估,而本号前文使用序列递增将针对 OilRig 的评估称呼为第五轮评估。由于此处会与官方表述产生差异,为避免带来误解后续将会根据类别分拆,与官方表述保持一致。

评估目标

本轮评估的目标是俄罗斯背景的 APT 组织 Turla,该组织从 2004 年一直活跃至今。在超过 45 个国家针对政府、外交、军事等目标发起攻击,其技术手段较高,开发的恶意软件也实现了 WindowsLinux macOS 的全覆盖。

参与厂商

除了卡巴斯基已经持续缺席,业界的主要玩家可以说都在。上一次评估安全托管服务(MSSP),只有十余家参与者。本次重新回到 30+ 参与者的盛况,CrowdStrikeESETMalwarebytes 等厂商也都在评估结果发布后第一时间在官网介绍了具体情况。

评估过程

主要包含两个攻击场景(CarbonSnake),前者包含 10 个攻击步骤,后者包含 9 个攻击步骤。此外,还有保护场景(Procections),包含 13 个攻击步骤与 129 个子步骤。

Carbon场景中,Turla 通过鱼叉邮件获得初始访问权限,将虚假安装程序部署到失陷主机上并执行 EPIC 恶意软件。建立 C&C 通信后,向域控做横向平移并部署 CARBON-DLL。最后,攻击者找到 Linux Apache 服务器,通过PENQUIN 来部署水坑。

Snake场景中,Turla 通过与 EPIC 恶意软件捆绑的 Adobe Flash 安装程序进行攻击。EPIC 恶意软件会通过代理的 HTTPS 请求与 C&C 服务器进行通信。通过进程注入维持持久化,并且部署 SNAKE 恶意软件来提权或者保持通信。最后,攻击者通过横向平移部署 LightNeuron 进行信息收集与回传。

想了解具体的评估计划与环境构建,可以查看官方的 GitHub 仓库:

更多可参考信息

https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/turla

评估环境

与之前相同,整个环境仍然部署在Microsoft Azure 上,参评厂商通过 VPN 连接到测试环境中。两个场景的网络是独立的,在某些评估情况下还额外禁用了 Windows Defender。环境中的设备主要分为以下三种:

  • Windows Server 2019(版本号:2019.0.20190410、17763.3406.220909)

  • Windows 10 Professional(版本号:18362.1256.2012032308、19044.2006.220909)

  • Ubuntu 20.04 TLS(版本号:20.04.202207130)

覆盖技术

结果评估

与前几轮评估相同,MITRE Engenuity 官方并不对评估结果进行排名与评级,公众对数据可以有自己的分析与理解,但这并不代表 MITRE Engenuity 官方的态度。所以必须声明的是,这不是一个产品的评估,个人的解读也没有统一的衡量标准。

检测数量与总量的比率并不是本次评估的目的,也没有像之前的评估一样给出计数。如果服务提供商提供了足够的上下文来反映攻击活动,将会评估该步骤“已报告”。未报告可能有很多种情况:

  • 服务提供商认为该活动不重要,向客户报告没有价值
  • 服务提供商认为该活动是隐含在其他报告项中的
  • 服务提供商提供有关该活动的信息并不足以将其判断为“已报告”状态
  • 服务提供商遗漏或者误判了该活动

再额外解释下,本次评估该技术是否被报告与传统意义上是否被检测并不相同。最简单的例子就是那些未整合的原始遥测数据,都会被认为是“未报告”的。

评估结果

检测数量排序情况,如下所示:

分析覆盖序情,如下所示:

遥测覆盖序情,如下所示:

可见数量序情,如下所示:

按照检测数量与可见数量进行比对,如下所示:

和之前类似,各家对遥测的依赖并不相同。像 Rapid7 Secureworks 遥测的占比是极高的,而 CrowdStrikeCybereasonCynet Paloaltonetworks 等厂商则正相反。

再次强调一下,MITRE 官方表示不提供任何排名或者评级,只提供结果相关的原始数据。各方都可以基于这些数据按照不同的角度进行数据解读,本文探讨的也是笔者对数据的个人视角,不代表对各个厂商的好坏给出了最终排名,也并非 MITRE 给出的排名。

总结

MITRE ATT&CK 评估的方式愈发从简单走向科学:从“无噪音”到“包含良性噪音”、从“开卷考试”到“闭卷考试”、从 Windows 到 LinuxMITRE 试图构建一个尽可能贴合实际场景的评估方式。当然评估不可能是万能的,评估从一开始也并没有这么好,ATT&CK 矩阵也不是一年两年就“大跃进”成了现在的样子。坚持做难且正确的事情,说起来容易,做起来何其难也。

所谓“外行看热闹,内行看门道”。MITRE 官方将各个厂商的材料打包可供下载,懂行的各位就移步官网下载原始材料进行深入研究吧。感觉不论是 EDRXDR MSSP 的开发与设计,还是攻击模拟、产品评估类的服务,都能够从中学到一二。笔者也不在这里班门弄斧,只介绍到这里罢了。

以下简单列几个截图,例如对 Mimikatz 的 pass-the-hash 攻击与 Linux 下可疑网络连接的检测:

点击阅读原文即可跳转官网查看本轮评估相关信息


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzE5ODExNQ==&mid=2247486640&idx=1&sn=a5423230de7cb07190100691bc09660b&chksm=c1e9fb7cf69e726aeb69ced46b02f3a4ee0054f48342c315a3c3c9c6aa2292ad87d045136e5a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh