| Version | Start Date | End Date | Data |
|---|---|---|---|
| ATT&CK v9 | April 29, 2021 | This is the current version of ATT&CK | v9.0 on MITRE/CTI |
2021 年 4 月 29 日,MITRE ATT&CK 发布了最新版本 V9,包括对 ATT&CK for Enterprise,ATT&CK for Mobile、ATT&CK for ICS 相关的攻击技术、组织、软件的更新。这个版本最大的改变有以下几点:
- 对数据源的重新描述*(GITHUB 在这里)
- 新增对容器、Google Workspace 平台的支持
- 用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services),GCP(Google Cloud Platform) 和 Azure 。
ATT&CK for Enterprise v9 包括 14 个战术,185 个技术, 和 367 个子技术;这个版本包括 16 个新组织、67 个新软件,以及对 36 个组织和 51 个软件条目进行了更新。
关于这次版本更新最最详细的描述在这里。
数据源重构
这个版本最大的改变就是数据源重构,将数据源与攻击行为的检测关联起来,而 v8 只是简单的做了一个文字性的描述,比如,对于同一个子技术 T1059.001(Command and Scripting Interpreter: PowerShell):
MITRE ATT&CK v8 版本的数据源描述这样的:
Data Sources: DLL monitoring, File monitoring, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, Windows event logs
这种文字性的描述,虽然有用,但却无法解决一些更详细的问题,比如:"采集的数据是否正确?",可以指导我们采集哪些数据,但却没有说明哪些数据是必须采集的。
MITRE ATT&CK v9 版本的数据源描述这样的:
Data Sources: Command: Command Execution, Module: Module Load, Process: Process Creation, Script: Script Execution
我们点击Command 的链接,对应的是一个 YAML 格式的数据源描述文件:
name: Command
definition: Information about commands that can be used through a command-line interface and/or script interpreter.
collection_layers:
- host
- container
platforms:
- Windows
- Linux
- macOS
- Network
- Containers
contributors:
- Austin Clark
- ATT&CK
- CTID
data_components:
- name: command execution
type: activity
description: Information about commands executed through a command-line interface and/or script interpreter.
relationships:
- source_data_element: user
relationship: executed
target_data_element: command
- source_data_element: process
relationship: executed
target_data_element: command
references:
- https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#event-id-1-process-creation
- https://confluence.atlassian.com/confkb/how-to-enable-command-line-audit-logging-in-linux-956166545.html
- https://www.scip.ch/en/?labs.20150108
- https://tools.ietf.org/id/draft-ietf-opsawg-tacacs-07.html#AuthorizationAttributes
这个版本的数据源,充分体现了 MITRE ATT&CK 的主要目标之一:为安全运营服务,对正在实施的或潜在的恶意行为进行检测,对于防守方来说,有很强的可操作性,如下图所示:
ATTCK_InfoSec_Community.jpg
新版本的数据源中,新增了数据源组件(Data Components),数据源的描述格式为:Data Source: Data Component,如下图:
datasources.png
如上图所示,除了描述"采集什么数据"以外,同时描述了"哪些数据是必须采集的",这样的描述,对防守方来说,更具可操作性:
- 数据源:表明采集什么数据
- 数据源组件:可以用来识别相关的事件与属性值(比如:每种代理或日志采集器能提供哪些进程相关的属性与值,这些信息怎样用来检测恶意行为)
如下图,将可操作的检测方法( Sysmon 日志)跟 MITRE ATT&CK 技术对应了起来:
Tech => Process => Sysmon
macOs 相关的改进
这个版本更新了一些技术,调整了一些,新增了 masOS 相关的恶意软件。在持久化与执行部分,构建了红队演练和代码示例,以更深入了解子技术。
当然,对 macOS 相关的数据源的重构,是必不要少的。
云相关的改进
用 IaaS (Infrastructure as a Service) 替换了原来的 AWS(Amazon Web Services),GCP(Google Cloud Platform) 和 Azure ,IaaS 可以包括所有的云服务提供商。
对云平台相关的数据源进行重构自然必不可少,但与主机相关的数据源,风格稍有不同,对 IaaS 来说,将事件与 API 对齐,而不是象主机一样,关注日志来源(比如: AWS CloudTrail logs, Azure Activity Logs)。新的云数据源包括 Instance, Cloud Storage,以及与云环境中的事件相关的其他数据源。
instance_to_events.png
这个版本中,还加入了 Google Workspace Platform,因为以前已经覆盖了 office365,所以这次加入 Google 的生产力工具 GWP,也顺理成章。
容器相关的更新
这个版本新增了 ATT&CK for Container,这是跟 Center for Threat-Informed Defense合作的成果。
attack_for_container.png
期待十月
MITRE ATT&CK 每年更新两次(四月一次,十月一次),四月这次更新令人振奋,我们期待十月的更新:
- 数据源重构下半场
- 更新 ATT&CK for ICS,ATT&CK for Mobile
- 对 macOS 和 Linux 增加技术覆盖度
网友评论