域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

在繼前面兩篇有關(guān)MITRE ATT&CK的文章——《一文看懂ATT&CK框架以及使用場(chǎng)景實(shí)例》和《細(xì)述MITRE ATT&CK框架的實(shí)施和使用方式》之后，相信大家對(duì)于ATT&CK框架有了一個(gè)整體的了解。今天，我們將主要介紹如何基于ATT&CK框架來(lái)制定紅藍(lán)對(duì)抗方案，提升企業(yè)檢測(cè)能力。

在此之前，先讓我們通過(guò)下文一個(gè)真實(shí)的攻擊場(chǎng)景來(lái)了解一下攻擊者是如何進(jìn)行攻擊的。

一個(gè)真實(shí)的攻擊場(chǎng)景

攻擊者首先是對(duì)其最近感興趣的一個(gè)事件發(fā)送了一個(gè)釣魚(yú)郵件。攻擊載荷(payload)是一個(gè).zip文件，其中包含了一個(gè)誘餌PDF文件和一個(gè)惡意可執(zhí)行文件，該惡意文件使用系統(tǒng)上已經(jīng)安裝的Acrobat Reader來(lái)進(jìn)行偽裝。

運(yùn)行時(shí)，可執(zhí)行文件將下載第二階段使用的遠(yuǎn)程訪問(wèn)工具(RAT)有效負(fù)荷，讓遠(yuǎn)程操作員可以訪問(wèn)受害計(jì)算機(jī)，并可讓遠(yuǎn)程操作員在網(wǎng)絡(luò)中獲得一個(gè)初始訪問(wèn)點(diǎn)。然后，攻擊者會(huì)生成用于“命令控制”的新域名，并通過(guò)定期更改自己的網(wǎng)絡(luò)用戶名，將這些域發(fā)送到受感染網(wǎng)絡(luò)上的遠(yuǎn)程訪問(wèn)工具(RAT)。用于“命令控制”的域和IP地址是臨時(shí)的，并且攻擊者每隔幾天就會(huì)對(duì)此進(jìn)行更改。攻擊者通過(guò)安裝Windows服務(wù)——其名稱很容易被計(jì)算機(jī)所有者認(rèn)為是合法的系統(tǒng)服務(wù)名稱，從而看似合法地保留在受害計(jì)算機(jī)上。在部署該惡意軟件之前，攻擊者可能已經(jīng)在各種防病毒(AV)產(chǎn)品上進(jìn)行了測(cè)試，以確保它與任何現(xiàn)有或已知的惡意軟件簽名都不匹配。

為了與受害主機(jī)進(jìn)行交互，攻擊者使用RAT啟動(dòng)Windows命令提示符，例如cmd.exe。然后，攻擊者使用受感染計(jì)算機(jī)上已有的工具來(lái)了解有關(guān)受害者系統(tǒng)和周圍網(wǎng)絡(luò)的更多信息，以便提高其在其它系統(tǒng)上的訪問(wèn)級(jí)別，并朝著實(shí)現(xiàn)其目標(biāo)進(jìn)一步邁進(jìn)。

更具體地說(shuō)，攻擊者使用內(nèi)置的Windows工具或合法的第三方管理工具來(lái)發(fā)現(xiàn)內(nèi)部主機(jī)和網(wǎng)絡(luò)資源，并發(fā)現(xiàn)諸如帳戶、權(quán)限組、進(jìn)程、服務(wù)、網(wǎng)絡(luò)配置和周圍的網(wǎng)絡(luò)資源之類的信息。然后，遠(yuǎn)程操作員可以使用Invoke-Mimikatz來(lái)批量捕獲緩存的身份驗(yàn)證憑據(jù)。在收集到足夠的信息之后，攻擊者可能會(huì)進(jìn)行橫向移動(dòng)，從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)，這通常可以使用映射的Windows管理員共享和遠(yuǎn)程Windows(服務(wù)器消息塊[SMB])文件副本以及遠(yuǎn)程計(jì)劃任務(wù)來(lái)實(shí)現(xiàn)。隨著訪問(wèn)權(quán)限的增加，攻擊者會(huì)在網(wǎng)絡(luò)中找到感興趣的文檔。然后，攻擊者會(huì)將這些文檔存儲(chǔ)在一個(gè)中央位置，使用RAR等程序通過(guò)遠(yuǎn)程命令行shell對(duì)文件進(jìn)行壓縮和加密，最后，通過(guò)HTTP會(huì)話，將文件從受害者主機(jī)中滲出，然后在其方便使用的遠(yuǎn)程計(jì)算機(jī)上分析和使用這些信息。

傳統(tǒng)檢測(cè)方案無(wú)法解決上述攻擊場(chǎng)景

現(xiàn)有的檢測(cè)方案難以檢測(cè)到上述情景中所介紹的APT攻擊。大多數(shù)防病毒應(yīng)用程序可能無(wú)法可靠地檢測(cè)到自定義工具，因?yàn)楣粽咴谑褂眠@些工具之前，已經(jīng)對(duì)其進(jìn)行了測(cè)試，甚至可能包含一些混淆技術(shù)，以便繞開(kāi)其它類型的惡意軟件檢測(cè)。此外，惡意遠(yuǎn)程操作員還能夠在他們所攻擊的系統(tǒng)上使用合*能，逃避檢測(cè)。而且許多檢測(cè)工具無(wú)法收集到足夠的數(shù)據(jù)，來(lái)發(fā)現(xiàn)此類惡意使用合法系統(tǒng)的行為。

當(dāng)前其它的網(wǎng)絡(luò)安全方法，例如威脅情報(bào)信息共享，可能對(duì)于檢測(cè)攻擊者基礎(chǔ)設(shè)施也無(wú)濟(jì)于事，因?yàn)楣粽咧笜?biāo)可能變化太快。典型的網(wǎng)絡(luò)流量檢查也將于事無(wú)補(bǔ)，因?yàn)锳PT的流量(例如上述示例中所述的流量)已通過(guò)有效的SSL加密。SSL攔截可能有用，但是要將惡意行為從善意網(wǎng)絡(luò)行為中區(qū)分出來(lái)，實(shí)在太困難了。

基于ATT&CK的紅藍(lán)對(duì)抗是如何提升檢測(cè)能力的?

自2012年MITRE進(jìn)行網(wǎng)絡(luò)競(jìng)賽以來(lái)，MITRE主要通過(guò)研究對(duì)抗行為、構(gòu)建傳感器來(lái)獲取數(shù)據(jù)以及分析數(shù)據(jù)來(lái)檢測(cè)對(duì)抗行為。該過(guò)程包含三個(gè)重要角色：“白隊(duì)”、“紅隊(duì)”和“藍(lán)隊(duì)”，如下所示：

白隊(duì)——開(kāi)發(fā)用于測(cè)試防御的威脅場(chǎng)景。白隊(duì)與紅隊(duì)和藍(lán)隊(duì)合作，解決網(wǎng)絡(luò)競(jìng)賽期間出現(xiàn)的問(wèn)題，并確保達(dá)到測(cè)試目標(biāo)。白隊(duì)與網(wǎng)絡(luò)管理員對(duì)接，確保維護(hù)網(wǎng)絡(luò)資產(chǎn)。

紅隊(duì)——扮演網(wǎng)絡(luò)競(jìng)賽中的攻擊者。執(zhí)行計(jì)劃好的威脅場(chǎng)景，重點(diǎn)是對(duì)抗行為模擬，并根據(jù)需要與白隊(duì)進(jìn)行對(duì)接。在網(wǎng)絡(luò)競(jìng)賽中出現(xiàn)的任何系統(tǒng)或網(wǎng)絡(luò)漏洞都將報(bào)告給白隊(duì)。

藍(lán)隊(duì)——在網(wǎng)絡(luò)競(jìng)賽中擔(dān)任網(wǎng)絡(luò)防御者，通過(guò)分析來(lái)檢測(cè)紅隊(duì)的活動(dòng)。他們也被認(rèn)為是一支狩獵隊(duì)。

基于ATT&CK框架，開(kāi)發(fā)網(wǎng)絡(luò)對(duì)抗賽主要包含以下七個(gè)步驟：

下面，我們將對(duì)這七個(gè)步驟進(jìn)行詳細(xì)介紹。

開(kāi)發(fā)網(wǎng)絡(luò)對(duì)抗賽的七個(gè)步驟

第1步：確定目標(biāo)

第一步是確定要檢測(cè)的對(duì)抗行為的目標(biāo)和優(yōu)先級(jí)。在決定優(yōu)先檢測(cè)哪些對(duì)抗行為時(shí)，需要考慮以下幾個(gè)因素：

1.哪種行為最常見(jiàn)?

優(yōu)先檢測(cè)攻擊者最常使用的TTP，并解決最常見(jiàn)的、最常遇到的威脅技術(shù)，這會(huì)對(duì)組織機(jī)構(gòu)的安全態(tài)勢(shì)產(chǎn)生最廣泛的影響。擁有強(qiáng)大的威脅情報(bào)能力后，組織機(jī)構(gòu)就可以了解需要關(guān)注哪些ATT&CK戰(zhàn)術(shù)和技術(shù)。

2.哪種行為產(chǎn)生的負(fù)面影響最大?

組織機(jī)構(gòu)必須考慮哪些TTP會(huì)對(duì)組織機(jī)構(gòu)產(chǎn)生最大的潛在不利影響。這些影響可能包括物理破壞、信息丟失、系統(tǒng)受損或其它負(fù)面后果。

3.容易獲得哪些行為的相關(guān)數(shù)據(jù)?

與那些需要開(kāi)發(fā)和部署新傳感器或數(shù)據(jù)源的行為相比，對(duì)于已擁有必要數(shù)據(jù)的行為進(jìn)行分析要容易得多。

4.哪種行為最有可能表示是惡意行為?

只是由攻擊者產(chǎn)生的行為而不是合法用戶產(chǎn)生的行為，對(duì)于防御者來(lái)說(shuō)用處最大，因?yàn)檫@些數(shù)據(jù)產(chǎn)生誤報(bào)的可能性較小。

第2步：收集數(shù)據(jù)

在創(chuàng)建分析方案時(shí)，組織機(jī)構(gòu)必須確定、收集和存儲(chǔ)制定分析方案所需的數(shù)據(jù)。為了確定分析人員需要收集哪些數(shù)據(jù)來(lái)制定分析方案，首先要了解現(xiàn)有傳感器和日志記錄機(jī)制已經(jīng)收集了哪些數(shù)據(jù)。在某些情況下，這些數(shù)據(jù)可能滿足給定分析的數(shù)據(jù)要求。但是，在許多情況下，可能需要修改現(xiàn)有傳感器和工具的設(shè)置或規(guī)則，以便收集所需的數(shù)據(jù)。在其它情況下，可能需要安裝新工具或功能來(lái)收集所需的數(shù)據(jù)。在確定了創(chuàng)建分析所需的數(shù)據(jù)之后，必須將其收集并存儲(chǔ)在將要編寫分析的平臺(tái)上。例如，可以使用Splunk的體系結(jié)構(gòu)。

由于企業(yè)通常在網(wǎng)絡(luò)入口和出口點(diǎn)部署傳感器，因此，許多企業(yè)都依賴邊界處收集的數(shù)據(jù)。但是，這就限制了企業(yè)只能看到進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，而不利于防御者看到網(wǎng)絡(luò)中及系統(tǒng)之間發(fā)生了什么情況。如果攻擊者能夠成功訪問(wèn)受監(jiān)視邊界范圍內(nèi)的系統(tǒng)并建立規(guī)避網(wǎng)絡(luò)保護(hù)的命令和控制，則防御者可能會(huì)忽略攻擊者在其網(wǎng)絡(luò)內(nèi)的活動(dòng)。正如上文的攻擊示例所述，攻擊者使用合法的Web服務(wù)和通常允許穿越網(wǎng)絡(luò)邊界的加密通信，這讓防御者很難識(shí)別其網(wǎng)絡(luò)內(nèi)的惡意活動(dòng)。

由于使用基于邊界的方法無(wú)法檢測(cè)到很多攻擊行為，因此，很有必要通過(guò)終端(主機(jī)端)數(shù)據(jù)來(lái)識(shí)別滲透后的操作。下圖展示的是企業(yè)邊界網(wǎng)絡(luò)傳感器在ATT&CK框架中的覆蓋范圍。紅色表示未能檢測(cè)到攻擊行為，黃色表示有一定檢測(cè)能力。如果在終端上沒(méi)有傳感器來(lái)收集相關(guān)數(shù)據(jù)，比如進(jìn)程日志，就很難檢測(cè)到ATT&CK模型描述的許多入侵。目前，國(guó)內(nèi)外一些新一代主機(jī)安全廠商，都是采用在主機(jī)端部署Agent方式，比如青藤云安全，通過(guò)Agent提供主機(jī)端高價(jià)值數(shù)據(jù)，包括操作審計(jì)日志、進(jìn)程啟動(dòng)日志、網(wǎng)絡(luò)連接日志、DNS解析日志等。

涵蓋邊界防御在內(nèi)的ATT&CK矩陣

此外，僅僅依賴于通過(guò)間歇性掃描端點(diǎn)來(lái)收集端點(diǎn)數(shù)據(jù)或獲取數(shù)據(jù)快照，這可能無(wú)法檢測(cè)到已入侵網(wǎng)絡(luò)邊界并在網(wǎng)絡(luò)內(nèi)部進(jìn)行操作的攻擊者。間歇性地收集數(shù)據(jù)可能會(huì)導(dǎo)致錯(cuò)過(guò)檢測(cè)快照之間發(fā)生的行為。例如，攻擊者可以使用技術(shù)將未知的RAT加載到合法的進(jìn)程(例如explorer.exe)中，然后使用cmd.exe命令行界面通過(guò)遠(yuǎn)程Shell與系統(tǒng)進(jìn)行交互。攻擊者可能會(huì)在很短的時(shí)間內(nèi)采取一系列行動(dòng)，并且?guī)缀醪粫?huì)在任何部件中留下痕跡讓網(wǎng)絡(luò)防御者發(fā)現(xiàn)。如果在加載RAT時(shí)執(zhí)行了掃描，則收集信息(例如正在運(yùn)行的進(jìn)程、進(jìn)程樹(shù)、已加載的DLL、Autoruns的位置、打開(kāi)的網(wǎng)絡(luò)連接以及文件中的已知惡意軟件簽名)的快照可能只會(huì)看到在explorer.exe中運(yùn)行的DLL。但是，快照會(huì)錯(cuò)過(guò)將RAT實(shí)際注入到explorer.exe、cmd.exe啟動(dòng)、生成的進(jìn)程樹(shù)以及攻擊者通過(guò)shell命令執(zhí)行的其它行為，因?yàn)閿?shù)據(jù)不是持續(xù)收集的。

第3步：過(guò)程分析

組織機(jī)構(gòu)擁有了必要的傳感器和數(shù)據(jù)后，就可以進(jìn)行分析了。進(jìn)行分析需要一個(gè)硬件和軟件平臺(tái)，在平臺(tái)上進(jìn)行設(shè)計(jì)和運(yùn)行分析方案，并能夠讓數(shù)據(jù)科學(xué)家設(shè)計(jì)分析方案。盡管通常是通過(guò)SIEM來(lái)完成的，但這并不是唯一的方法，也可以使用Splunk查詢語(yǔ)言來(lái)進(jìn)行分析，相關(guān)的分析分為四大類：

行為分析——旨在檢測(cè)某種特定對(duì)抗行為，例如創(chuàng)建新的Windows服務(wù)。該行為本身可能是惡意的，也可能不是惡意的。并將這類行為映射到ATT&CK模型中那些確定的技術(shù)上。

情景感知——旨在全面了解在給定時(shí)間，網(wǎng)絡(luò)環(huán)境中正在發(fā)生什么事情。并非所有分析都需要針對(duì)惡意行為生成警報(bào)。相反，分析也可以通過(guò)提供有關(guān)環(huán)境狀態(tài)的一般信息，證明對(duì)組織機(jī)構(gòu)有價(jià)值。諸如登錄時(shí)間之類的信息并不表示惡意活動(dòng)，但是當(dāng)與其它指標(biāo)一起使用時(shí)，這種類型的數(shù)據(jù)也可以提供有關(guān)對(duì)抗行為的必要信息。情景感知分析還可以有助于監(jiān)視網(wǎng)絡(luò)環(huán)境的健康狀況(例如，確定哪些主機(jī)上的傳感器運(yùn)行出錯(cuò))。

異常值分析——旨在分析檢測(cè)到非惡意行為，這類行為表現(xiàn)異常，令人懷疑，包括檢測(cè)之前從未運(yùn)行過(guò)的可執(zhí)行文件，或者標(biāo)識(shí)網(wǎng)絡(luò)上通常沒(méi)有運(yùn)行過(guò)的進(jìn)程。和情景感知分析一樣，分析出異常值，不一定表示發(fā)生了攻擊。

取證——這類分析在進(jìn)行事件調(diào)查時(shí)最為有用。通常，取證分析需要某種輸入才能發(fā)揮其作用。例如，如果分析人員發(fā)現(xiàn)主機(jī)上使用了憑據(jù)轉(zhuǎn)儲(chǔ)工具，進(jìn)行此類分析會(huì)告訴你，哪些用戶的憑據(jù)受到了損壞。防御團(tuán)隊(duì)在網(wǎng)絡(luò)競(jìng)賽演習(xí)期間或制定實(shí)際應(yīng)用中的分析時(shí)，可以結(jié)合使用這四種類型的分析。下文將介紹如何綜合使用這四種類型的分析：

1.首先，通過(guò)在分析中尋找遠(yuǎn)程創(chuàng)建的計(jì)劃任務(wù)，向安全運(yùn)營(yíng)中心(SOC)的分析人員發(fā)出警報(bào)，警告正在發(fā)生攻擊行為(行為分析)。

2. 在從受感染的計(jì)算機(jī)中看到此警報(bào)后，分析人員將運(yùn)行分析方案，查找預(yù)計(jì)執(zhí)行計(jì)劃任務(wù)的主機(jī)上是否存在任何異常服務(wù)。通過(guò)該分析，可以發(fā)現(xiàn)，攻擊者在安排好遠(yuǎn)程任務(wù)之后不久，就已在原始主機(jī)上創(chuàng)建了一個(gè)新服務(wù)(異常值分析)。

3. 在確定了新的可疑服務(wù)后，分析人員將進(jìn)行進(jìn)一步調(diào)查。通過(guò)分析，確定可疑服務(wù)的所有子進(jìn)程。這種調(diào)查可能會(huì)顯示一些指標(biāo)，說(shuō)明主機(jī)上正在執(zhí)行哪些活動(dòng)，從而發(fā)現(xiàn)RAT行為。再次運(yùn)行相同的分析方案，尋找RAT子進(jìn)程的子進(jìn)程，就會(huì)找到RAT對(duì)PowerShell的執(zhí)行情況(取證)。

4. 如果懷疑受感染機(jī)器可以遠(yuǎn)程訪問(wèn)其它主機(jī)，分析人員會(huì)決定調(diào)查可能從該機(jī)器嘗試過(guò)的任何其它遠(yuǎn)程連接。為此，分析人員會(huì)運(yùn)行分析方案，詳細(xì)分析相關(guān)計(jì)算機(jī)環(huán)境中所有已發(fā)生的遠(yuǎn)程登錄，并發(fā)現(xiàn)與之建立連接的其它主機(jī)(情景感知)。

第4步：構(gòu)建場(chǎng)景

傳統(tǒng)的滲透測(cè)試側(cè)重于突出攻擊者可能在某個(gè)時(shí)間段會(huì)利用不同類型系統(tǒng)上的哪些漏洞。MITRE的對(duì)抗模擬方法不同于這些傳統(tǒng)方法。其目標(biāo)是讓紅隊(duì)成員執(zhí)行基于特定或許多已知攻擊者的行為和技術(shù)，以測(cè)試特定系統(tǒng)或網(wǎng)絡(luò)的防御效果。對(duì)抗模擬演習(xí)由小型的重復(fù)性活動(dòng)組成，這些活動(dòng)旨在通過(guò)系統(tǒng)地將各種新的惡意行為引入環(huán)境，來(lái)改善和測(cè)試網(wǎng)絡(luò)上的防御能力。進(jìn)行威脅模擬的紅隊(duì)與藍(lán)隊(duì)緊密合作(通常稱為紫隊(duì))，以確保進(jìn)行深入溝通交流，這對(duì)于快速磨練組織機(jī)構(gòu)的防御能力至關(guān)重要。因此，與全范圍的滲透測(cè)試或以任務(wù)目標(biāo)為重點(diǎn)的紅隊(duì)相比，對(duì)抗模擬測(cè)試測(cè)試速度更快、測(cè)試內(nèi)容更集中。

隨著檢測(cè)技術(shù)的不斷發(fā)展成熟，攻擊者也會(huì)不斷調(diào)整其攻擊方法，紅藍(lán)對(duì)抗的模擬方案也應(yīng)該圍繞這種思想展開(kāi)。大多數(shù)真正的攻擊者都有特定的目標(biāo)，例如獲得對(duì)敏感信息的訪問(wèn)權(quán)限。因此，在模擬對(duì)抗期間，也可以給紅隊(duì)指定特定的目標(biāo)，以便藍(lán)隊(duì)能夠針對(duì)最可能的對(duì)抗技術(shù)對(duì)網(wǎng)絡(luò)防御和功能進(jìn)行詳細(xì)測(cè)試。

1.場(chǎng)景規(guī)劃

為了更好地執(zhí)行對(duì)抗模擬方案，需要白隊(duì)傳達(dá)作戰(zhàn)目標(biāo)，而又不向紅隊(duì)或藍(lán)隊(duì)泄露測(cè)試方案的詳細(xì)信息。白隊(duì)?wèi)?yīng)該利用其對(duì)藍(lán)隊(duì)的了解情況以及針對(duì)威脅行為的分析來(lái)檢測(cè)差距，并根據(jù)藍(lán)隊(duì)所做的更改或需要重新評(píng)估的內(nèi)容來(lái)制定對(duì)抗模擬計(jì)劃。白隊(duì)還應(yīng)確定紅隊(duì)是否有能力充分測(cè)試對(duì)抗行為。如果沒(méi)有，白隊(duì)?wèi)?yīng)該與紅隊(duì)合作解決存在的差距，包括可能需要的任何工具開(kāi)發(fā)、采購(gòu)和測(cè)試。對(duì)抗模擬場(chǎng)景可對(duì)抗計(jì)劃為基礎(chǔ)，傳達(dá)要求并與資產(chǎn)所有者和其它利益相關(guān)者進(jìn)行協(xié)調(diào)。

模擬場(chǎng)景可以是詳細(xì)的命令腳本，也可以不是。場(chǎng)景規(guī)劃應(yīng)該足夠詳細(xì)，足以指導(dǎo)紅隊(duì)驗(yàn)證防御能力，但也應(yīng)該足夠靈活，可以讓紅隊(duì)在演習(xí)期間根據(jù)需要調(diào)整其行動(dòng)，以測(cè)試藍(lán)軍可能未曾考慮過(guò)的行為變化。由于藍(lán)隊(duì)的防御方案也可能已經(jīng)很成熟，可以涵蓋已知的威脅行為，因此紅隊(duì)還必須能夠自由擴(kuò)展，不僅僅局限于單純的模擬。通過(guò)由白隊(duì)決定應(yīng)該測(cè)試哪些新行為，藍(lán)隊(duì)可能不知道要進(jìn)行哪些特定活動(dòng)，而紅隊(duì)可以不受對(duì)藍(lán)隊(duì)功能假設(shè)的影響，因?yàn)檫@可能會(huì)影響紅隊(duì)做出決策。白隊(duì)還要繼續(xù)向紅隊(duì)通報(bào)有關(guān)環(huán)境的詳細(xì)信息，以便通過(guò)對(duì)抗行為全面測(cè)試檢測(cè)能力。

2.場(chǎng)景示例

舉個(gè)例子，假設(shè)在Windows操作系統(tǒng)環(huán)境中，紅隊(duì)采用的工具提供了一個(gè)訪問(wèn)點(diǎn)和C2通道，攻擊者通過(guò)交互式shell命令與系統(tǒng)進(jìn)行交互。藍(lán)隊(duì)已部署了Sysmon作為探針，對(duì)過(guò)程進(jìn)行持續(xù)監(jiān)控并收集相關(guān)數(shù)據(jù)。此場(chǎng)景的目標(biāo)是基于Sysmon從網(wǎng)絡(luò)端點(diǎn)中收集數(shù)據(jù)來(lái)檢測(cè)紅隊(duì)的入侵行為。

場(chǎng)景詳情：

1) 為紅隊(duì)確定一個(gè)特定的最終目標(biāo)。例如，獲得對(duì)特定系統(tǒng)、域帳戶的訪問(wèn)權(quán)，或收集要滲透的特定信息。

2) 假設(shè)已經(jīng)入侵成功，讓紅隊(duì)訪問(wèn)內(nèi)部系統(tǒng)，以便于觀察滲透后的行為。紅隊(duì)可以在環(huán)境中的一個(gè)系統(tǒng)上執(zhí)行加載程序或RAT，模擬預(yù)滲透行為，并獲得初始立足點(diǎn)，而不考慮先前的了解、訪問(wèn)、漏洞利用或社會(huì)工程學(xué)等因素。

3) 紅隊(duì)必須使用ATT&CK模型中的“發(fā)現(xiàn)”技術(shù)來(lái)了解環(huán)境并收集數(shù)據(jù)，以便進(jìn)一步行動(dòng)。

4) 紅隊(duì)將憑證轉(zhuǎn)儲(chǔ)到初始系統(tǒng)上，并嘗試定位周圍還有哪些系統(tǒng)的憑證可以利用。

5) 紅隊(duì)橫向移動(dòng)，直到獲得目標(biāo)系統(tǒng)、賬戶、信息為止。

使用ATT&CK作為對(duì)抗模擬指南，為紅隊(duì)制定一個(gè)明確的計(jì)劃。技術(shù)選擇的重點(diǎn)是基于在已知的入侵活動(dòng)中通常使用的技術(shù)，來(lái)實(shí)現(xiàn)測(cè)試目標(biāo)，但是允許紅隊(duì)在技術(shù)使用方面進(jìn)行一些更改，采用一些其它行為。

3.場(chǎng)景實(shí)現(xiàn)

上述場(chǎng)景示例的具體實(shí)現(xiàn)步驟如下所示：

1) 模擬攻擊者通過(guò)白隊(duì)提供的初始訪問(wèn)權(quán)限后，獲得了“執(zhí)行”權(quán)限。以下內(nèi)容可以表示攻擊者可以使用通用的、標(biāo)準(zhǔn)化的應(yīng)用層協(xié)議(如HTTP、HTTPS、SMTP或DNS)進(jìn)行通信，以免被發(fā)現(xiàn)。例如遠(yuǎn)程連接命令，會(huì)被嵌入到這些通信協(xié)議中。

2) 建立連接后，通過(guò)遠(yuǎn)程訪問(wèn)工具啟動(dòng)反彈shell命令界面：

3) 通過(guò)命令行界面執(zhí)行“執(zhí)行”技術(shù)：

4) 獲得了足夠的信息后，可以根據(jù)需要，自由執(zhí)行其它戰(zhàn)術(shù)和技術(shù)。以下技術(shù)是基于ATT&CK的建議措施，以建立持久性或通過(guò)提升權(quán)限來(lái)建立持久性。獲得足夠的權(quán)限后，使用Mimikatz轉(zhuǎn)儲(chǔ)憑據(jù)，或嘗試使用鍵盤記錄器獲取憑據(jù)，捕獲的用戶輸入信息。

5) 如果獲得了憑據(jù)并且通過(guò)“發(fā)現(xiàn)”技術(shù)對(duì)系統(tǒng)有了全面的了解，就可以嘗試橫向移動(dòng)來(lái)實(shí)現(xiàn)該方案的主要目標(biāo)了。

6) 根據(jù)需要使用上文提到的技術(shù)，繼續(xù)橫向移動(dòng)，獲取并滲透目標(biāo)敏感信息。建議使用以下ATT&CK技術(shù)來(lái)收集和提取文件：

第5步：模擬威脅

在制定好對(duì)抗模擬方案和分析方案之后，就該使用情景來(lái)模擬攻擊者了。首先，讓紅隊(duì)模擬威脅行為并執(zhí)行由白隊(duì)確定的技術(shù)。在對(duì)抗模擬作戰(zhàn)中，可以讓場(chǎng)景的開(kāi)發(fā)人員來(lái)驗(yàn)證其網(wǎng)絡(luò)防御的有效性。紅隊(duì)則需要專注于紅隊(duì)入侵后的攻擊行為，通過(guò)給定網(wǎng)絡(luò)環(huán)境中特定系統(tǒng)上的遠(yuǎn)程訪問(wèn)工具訪問(wèn)企業(yè)網(wǎng)絡(luò)。白隊(duì)預(yù)先給紅隊(duì)訪問(wèn)權(quán)限可以加快評(píng)估速度，并確保充分測(cè)試入侵后的防御措施。然后，紅隊(duì)按照白隊(duì)規(guī)定的計(jì)劃和準(zhǔn)則行動(dòng)。

白隊(duì)?wèi)?yīng)與組織機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn)所有者和安全組織協(xié)調(diào)任何對(duì)抗模擬活動(dòng)，確保及時(shí)了解網(wǎng)絡(luò)問(wèn)題、用戶擔(dān)憂、安全事件或其它可能發(fā)生的問(wèn)題。

第6步：調(diào)查攻擊

一旦在給定的網(wǎng)絡(luò)競(jìng)賽中紅隊(duì)發(fā)起了攻擊，藍(lán)隊(duì)要盡可能發(fā)現(xiàn)紅隊(duì)的所作所為。在MITRE的許多網(wǎng)絡(luò)競(jìng)賽中，藍(lán)隊(duì)中有負(fù)責(zé)創(chuàng)建場(chǎng)景的開(kāi)發(fā)人員。這樣做的好處是，場(chǎng)景開(kāi)發(fā)者人員可以親身體驗(yàn)他們的分析方案在現(xiàn)實(shí)模擬情況下表現(xiàn)如何，并從中汲取經(jīng)驗(yàn)教訓(xùn)，推動(dòng)未來(lái)的發(fā)展和完善。

在網(wǎng)絡(luò)競(jìng)賽中，藍(lán)隊(duì)最開(kāi)始有一套高度可信的過(guò)程分析方案，如果執(zhí)行成功，就會(huì)了解一些初步指標(biāo)紅隊(duì)，例如，紅隊(duì)時(shí)何時(shí)何地活躍起來(lái)的。這很重要，因?yàn)槌四：臅r(shí)間范圍(通常是一個(gè)月左右)之外，沒(méi)有向藍(lán)隊(duì)提供任何有關(guān)紅隊(duì)活動(dòng)的信息。有時(shí)，藍(lán)隊(duì)的過(guò)程分析屬于“行為”分析類別，而有些分析可能屬于“異常”類別。應(yīng)用這些高可信度的分析方案會(huì)促使藍(lán)隊(duì)使用先前描述的其它類型的分析(情景感知、異常情況和取證)進(jìn)一步調(diào)查單個(gè)主機(jī)。當(dāng)然，這個(gè)分析過(guò)程是反復(fù)迭代進(jìn)行的，隨著收集到新信息，在整個(gè)練習(xí)過(guò)程中，這一過(guò)程會(huì)反復(fù)進(jìn)行。

最終，當(dāng)確定某個(gè)事件是紅隊(duì)所為時(shí)，藍(lán)隊(duì)就開(kāi)始形成自身的時(shí)間表。了解時(shí)間表很重要，可以幫助分析人員推斷出只靠分析方案無(wú)法獲得的信息。時(shí)間表上的活動(dòng)差距可以確定需要進(jìn)一步調(diào)查的時(shí)間窗口期。另外，通過(guò)以這種方式查看數(shù)據(jù)，即便沒(méi)有關(guān)于紅隊(duì)活動(dòng)的任何證據(jù)，藍(lán)隊(duì)成員也可以推斷出在哪些位置能夠發(fā)現(xiàn)紅隊(duì)的活動(dòng)。例如，看到一個(gè)新的可執(zhí)行文件運(yùn)行，但沒(méi)有證據(jù)表明它是如何放置在機(jī)器上的，這可能會(huì)提醒分析人員有可能存在紅隊(duì)行為，并可以提供有關(guān)紅隊(duì)如何完成其橫向移動(dòng)的詳細(xì)信息。通過(guò)這些線索，還可以形成一些關(guān)于創(chuàng)建新分析的想法，以便用于基于ATT&CK的分析開(kāi)發(fā)方法的下一次迭代。

在調(diào)查紅隊(duì)的攻擊時(shí)，藍(lán)隊(duì)會(huì)隨著自身演習(xí)的進(jìn)行而制定出幾大類信息。這些信息是他們希望發(fā)現(xiàn)的信息，例如：

受到影響的主機(jī)——在演習(xí)時(shí)，這通常表示為主機(jī)列表以及每個(gè)主機(jī)視為可疑主機(jī)的原因。在嘗試補(bǔ)救措施時(shí)，這些信息至關(guān)重要。

帳戶遭到入侵——藍(lán)隊(duì)能夠識(shí)別網(wǎng)絡(luò)上已被入侵的帳戶，這一點(diǎn)非常重要。如果不這樣做，則紅隊(duì)或現(xiàn)實(shí)生活中的攻擊者就可以從其它媒介重新獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，以前所有的補(bǔ)救措施也就化為泡影了。

目標(biāo)——藍(lán)隊(duì)還需要努力確定紅隊(duì)的目標(biāo)以及他們是否實(shí)現(xiàn)了目標(biāo)。這通常是最難發(fā)現(xiàn)的一個(gè)內(nèi)容，因?yàn)檫@需要大量的數(shù)據(jù)來(lái)確定。

使用的TTP——在演習(xí)結(jié)束時(shí)，要特別注意紅隊(duì)的TTP，這是確定未來(lái)工作的一種方式。紅隊(duì)可能已經(jīng)利用了網(wǎng)絡(luò)中需要解決的錯(cuò)誤配置，或者紅隊(duì)可能發(fā)現(xiàn)了藍(lán)隊(duì)當(dāng)前無(wú)法識(shí)別而無(wú)法進(jìn)一步感知的技術(shù)。藍(lán)隊(duì)確定的TTP應(yīng)該與紅隊(duì)所聲稱的TTP進(jìn)行比較，識(shí)別任何防御差距。

第7步：評(píng)估表現(xiàn)

藍(lán)隊(duì)和紅隊(duì)活動(dòng)均完成后，白隊(duì)將協(xié)助團(tuán)隊(duì)成員進(jìn)行分析，將紅隊(duì)活動(dòng)與藍(lán)隊(duì)報(bào)告的活動(dòng)進(jìn)行比較。這可以進(jìn)行全面的比較，藍(lán)隊(duì)可以從中了解他們?cè)诎l(fā)現(xiàn)紅隊(duì)行動(dòng)方面取得了多大程度上的成功。藍(lán)隊(duì)可以使用這些信息來(lái)完善現(xiàn)有分析，并確定對(duì)于哪些對(duì)抗行為，他們需要開(kāi)發(fā)或安裝新傳感器、收集新數(shù)據(jù)集或制定新分析方案。

寫在最后

ATT&CK是MITRE提供的“對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和300多種技術(shù)組成的精選知識(shí)庫(kù)，對(duì)于企業(yè)識(shí)別差距，提高防御能力有重大意義。而本文則通過(guò)詳細(xì)介紹如何基于ATT&CK框架制定分析方案，如何根據(jù)分析方案檢測(cè)入侵行為從而發(fā)現(xiàn)黑客，為防御者提供了一款強(qiáng)大的工具，可以有效提高檢測(cè)能力，從而增強(qiáng)企業(yè)的防御能力。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！