ATTCK(AdversarialTactics,Techniques,andCommonKnowledge)是一个攻击行为知识库和模型,它来源于美国的MITRE公司,主要被应用于评估攻防能力覆盖、高级持续威胁情报分析、威胁狩猎以及攻击模拟等领域。ATTCK中定义了战术、技术、组织、软件等关键对象,用于描述相关安全问题及其安全过程。其战术部分被划分为初始访问、执行、持久化(例如将自身添加为开机自启动)、权限提升、防御绕过(如关闭Windows自身防御、一些知名的杀毒软件、关闭防火墙等)、凭据访问(如使用Mimikatz获取口令等)、发现、横向移动、收集、命令和控制、数据渗透、影响等十二个部分,通过名称我们就可看出其真实的含义。为什么需要使用ATTCK框架来对网络空间安全问题进行评价?难道基于杀伤链的分析方法不行么?应该可以看出,基于洛克希德马丁公司的杀伤链模型或称之为杀伤链分析方法基本上是基于一个比较宏观的角度进行的。而针对某个具体的攻击、入侵场景似乎有点捉襟见肘了(因为可能除了在一些特殊的场景下,客户在一个较短持续时间内一般遇到的安全问题还是比较有限的)。而在ATTCK框架模型中,除了可以使用战术阶段来描述,更为重要的是它提供了具体分析的技术部分,从而能够非常清晰地将安全事件描述出来。以下以一个近期发现的Ryuk家族勒索为例,研究下究竟在ATTCK的世界中是怎样进行的。一般的勒索软件是通过大规模垃圾邮件植入受害者计算机的,而Ryuk家族勒索软件则更倾向于定制化的攻击,但其植入手段也是利用邮件钓鱼,本次获取的Ryuk勒索软件样本亦如此。1初始访问(InitialAccess)通过分析可以看出,最初植入是攻击者通过电子邮件发送给受害者的。如果可以看到Bazar/Kegtap后门被加载,它会下载并运行文件Preview.exe,并通过/
转载请注明:http://www.0431gb208.com/sjszjzl/7959.html
