MITRE ATT&CK v9 发布

Version	Start Date	End Date	Data
ATT&CK v9	April 29, 2021	This is the current version of ATT&CK	v9.0 on MITRE/CTI

2021 年 4 月 29 日，MITRE ATT&CK 发布了最新版本 V9，包括对 ATT&CK for Enterprise，ATT&CK for Mobile、ATT&CK for ICS 相关的攻击技术、组织、软件的更新。这个版本最大的改变有以下几点：

1. 对数据源的重新描述*(GITHUB 在这里)
2. 新增对容器、Google Workspace 平台的支持
3. 用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services)，GCP(Google Cloud Platform) 和 Azure 。

ATT&CK for Enterprise v9 包括 14 个战术，185 个技术， 和 367 个子技术；这个版本包括 16 个新组织、67 个新软件，以及对 36 个组织和 51 个软件条目进行了更新。

关于这次版本更新最最详细的描述在这里。

数据源重构

这个版本最大的改变就是数据源重构，将数据源与攻击行为的检测关联起来，而 v8 只是简单的做了一个文字性的描述，比如，对于同一个子技术 T1059.001(Command and Scripting Interpreter: PowerShell)：

MITRE ATT&CK v8 版本的数据源描述这样的：

Data Sources: DLL monitoring, File monitoring, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, Windows event logs

这种文字性的描述，虽然有用，但却无法解决一些更详细的问题，比如："采集的数据是否正确？"，可以指导我们采集哪些数据，但却没有说明哪些数据是必须采集的。

MITRE ATT&CK v9 版本的数据源描述这样的：

Data Sources: Command: Command Execution, Module: Module Load, Process: Process Creation, Script: Script Execution

我们点击Command 的链接，对应的是一个 YAML 格式的数据源描述文件：

name: Command
definition: Information about commands that can be used through a command-line interface and/or script interpreter.
collection_layers:
  - host
  - container
platforms:
  - Windows
  - Linux
  - macOS
  - Network
  - Containers
contributors: 
  - Austin Clark
  - ATT&CK
  - CTID
data_components:
  - name: command execution
    type: activity
    description: Information about commands executed through a command-line interface and/or script interpreter.
    relationships:
      - source_data_element: user
        relationship: executed
        target_data_element: command
      - source_data_element: process
        relationship: executed
        target_data_element: command
references:
  - https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#event-id-1-process-creation
  - https://confluence.atlassian.com/confkb/how-to-enable-command-line-audit-logging-in-linux-956166545.html
  - https://www.scip.ch/en/?labs.20150108
  - https://tools.ietf.org/id/draft-ietf-opsawg-tacacs-07.html#AuthorizationAttributes

这个版本的数据源，充分体现了 MITRE ATT&CK 的主要目标之一：为安全运营服务，对正在实施的或潜在的恶意行为进行检测，对于防守方来说，有很强的可操作性，如下图所示：

ATTCK_InfoSec_Community.jpg

新版本的数据源中，新增了数据源组件（Data Components）,数据源的描述格式为：Data Source: Data Component，如下图：

datasources.png

如上图所示，除了描述"采集什么数据"以外，同时描述了"哪些数据是必须采集的"，这样的描述，对防守方来说，更具可操作性：

1. 数据源：表明采集什么数据
2. 数据源组件：可以用来识别相关的事件与属性值（比如：每种代理或日志采集器能提供哪些进程相关的属性与值，这些信息怎样用来检测恶意行为）

如下图，将可操作的检测方法（ Sysmon 日志）跟 MITRE ATT&CK 技术对应了起来：

Tech => Process => Sysmon

macOs 相关的改进

这个版本更新了一些技术，调整了一些，新增了 masOS 相关的恶意软件。在持久化与执行部分，构建了红队演练和代码示例，以更深入了解子技术。

当然，对 macOS 相关的数据源的重构，是必不要少的。

云相关的改进

用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services)，GCP(Google Cloud Platform) 和 Azure ，IaaS 可以包括所有的云服务提供商。

对云平台相关的数据源进行重构自然必不可少，但与主机相关的数据源，风格稍有不同，对 IaaS 来说，将事件与 API 对齐，而不是象主机一样，关注日志来源（比如: AWS CloudTrail logs, Azure Activity Logs）。新的云数据源包括 Instance, Cloud Storage，以及与云环境中的事件相关的其他数据源。

instance_to_events.png

这个版本中，还加入了 Google Workspace Platform，因为以前已经覆盖了 office365，所以这次加入 Google 的生产力工具 GWP，也顺理成章。

容器相关的更新

这个版本新增了 ATT&CK for Container，这是跟 Center for Threat-Informed Defense合作的成果。

attack_for_container.png

期待十月

MITRE ATT&CK 每年更新两次（四月一次，十月一次），四月这次更新令人振奋，我们期待十月的更新：

1. 数据源重构下半场
2. 更新 ATT&CK for ICS，ATT&CK for Mobile
3. 对 macOS 和 Linux 增加技术覆盖度