Scribd Logo
Upload

Welcome to Scribd!

  • 使用MITRE的ATT&CK框架进行威胁捕捉:第1部分

    Uploaded by

    宛俊
    118 views4 pages
    使用MITRE的ATT&CK框架进行威胁捕捉:第1部分

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    使用MITRE的ATT&CK框架进行威胁捕捉:第1部分

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    118 views4 pages

    使用MITRE的ATT&CK框架进行威胁捕捉:第1部分

    Uploaded by

    宛俊
    使用MITRE的ATT&CK框架进行威胁捕捉:第1部分

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    使用 MITRE 的 ATT&CK 框架进行威胁捕捉:第 1 部分

    翻译稿:
    原文链接:https://digitalguardian.com/blog/threat-hunting-mitres-attck-framework-part-1

    Digital Guardian 的网络安全副总裁 Tim Bandos 描述了如何最好地利用 MITRE 的 ATT&CK 框架进行威胁


    捕捉的方法。

    在过去一年的时间里,MITRE 的 ATT&CK 框架 已经在事件响应和威胁捕捉探测之间获得了一些重要


    的。” MITRE 的 Adversarial Tactics, Techniques,和 Common Knowledge 几个栏目就是网络罪犯的攻击行为
    的知识库和模型,MITRE 框架包含了 11 种策略,从初始访问,执行,一直到指控制和数据泄露所有的通
    路,每次攻击的周期内的每个阶段都包含多种技术,这些技术已经被网络攻击着广泛使用。

    该此框架对于衡量一个已经部署了端点工具的环境对目标攻击的可视化化水平是非常有用。 话虽这
    么说,但是个人认为你不需要检查所有 282 项规则,到目前为止来说是非常安全的。 对这个框架的处理
    方法我一直是更多地关注高威胁因子的指标,同时标记低威胁因子指标便于威胁探测的目的,那是什么意
    思呢?
    那我们从执行阶段开始。一旦对手轻易欺骗了我们的会计 Bob,- 顺便说一下 Bob 点击了收件箱的所
    有内容,然后将会有一系列进程在 Bob 的机器上不知不觉中的执行了。其中一个有可能是执行 ATT&CK 技
    术中提到的 PowerShell,是一种内置的 Windows 工具,通常由恶意软件自行安装。 PowerShell 通常也被 IT
    管理员使用,因此我们无法警告并阻止所有内容。但是会有有命令行被发现,意味着减少一些恶意的字符
    串的发现。运行函数 DownloadFile,DownloadString,Base64ToString,Invoke-Shellcode,EncodedCommand
    等都是危险的命令,向我们的 IR Spidey Senses 发出信号,表明入侵者已经来了。因此,创建一个看起来像
    下面的简单的标签为您的 1 级工作人员提供高风险威胁警报,以便立即进行调查。
    Process = Powershell.exe & Command_Line contains “DownloadFile, DownloadString, Base64ToString, Invoke-Shellcode,

    EncodedCommand”
    如果我是威胁捕手的话,我认为这个 Noob Level 100 的数据和更希望聚焦这些较低风险度的数据,同
    时需要调整被监视环境的基线,以寻找未知侵害的。这是猎人的主要目的。 为了去探寻发现隐藏犯罪与
    威胁的网络的黑暗的区域,我们在执行阶段采用较低的风险水平指标,例如计划任务。 诸如 schtasks 之
    类的通常用于调度 Windows 程序或脚本在指定的日期/时间(例如在启动时)运行,或者为了持久性目的
    而持续运行。 当然,这有合法的用例,但是如果我们标记每个事件,其中包含已配置的计划任务的元素 ,
    它将允许我们快速分类事物,所以我们留下了这样的繁琐的记录, 我们可以使用添加命令行简单标记的
    这个事件:
    Process = cmd.exe & Command_Line contains schtasks

    下一步就是在命令行上进行聚合以进行频率分析。 通常,顶部的条目是合法的(但并非总是如此),
    因为它们频繁地出现在整个企业中的多个终端上。

    而底部的那些,并不是那么多。 在下面的图像中,我们看到一个很有意思的对手,在登录时将其作
    为 SYSTEM 帐户调用其计划任务'yolo'并从 Windows \ Temp 目录中执行一个恶意文件 “1.exe”。 既然威胁
    探测已经发现了这种恶意行为,它将会 只能运行一次而永远不会再被执行!

    这种将警报与事件配对的方法将丰富您的日志,使其具有更有效的定位风险。 此外,添加白名单些
    规则将使它们变得具有高识别度。
    为了测试你自己的环境,我强烈建议在 Github 上查看 Red Canary 的 Atomic Red Team 框架。 这个测
    试库将引导您完成 MITRE 的 ATT&CK 框架的每个阶段,可以衡量您的准备情况。完成本此测试后,您的目
    标是构建尽可能多的探测事件标记,将它们转化成所使用的特定技术,并提供严重级别以便于在触发时勾
    画出响应次数。 另外,我的一个好朋友,Roberto aka @ cyb3rward0g,通过 Sysmon 和 ELK 汇总了一个很
    好的文章。
    在下一章使用 MITRE 的 ATT&CK 框架进行威胁探测时,我将重点介绍一些更高级的用例,并详细介绍
    一些我最喜欢的技术,以便在现场使用。

    You might also like