ATT&CK框架公开发布于2015年,从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,成为在企业、政府和安全厂商中广为流行的安全工具。ATT&CK框架提供了关于在野网络攻击活动最全面及时的社区知识集合,这有助于企业划分安全威胁的优先级,并用于评估安全方法、产品和服务。
不过研究人员发现,ATT&CK框架的应用潜力目前还没有得到充分挖掘,其应用推广中面临的主要挑战包括:
- 缺乏安全工具支持,难以实现互操作性
- 框架部署的成熟度不够,难以实现自动化
为了帮助使用者应对上述挑战,本文收集整理了一些有助于MITRE ATT&CK知识库应用落地的免费工具和资源。
01
Getting Started with ATT&CK
《ATT&CK实践指南》白皮书
这本免费的电子书将一系列博客文章中的威胁情报、检测和分析、对手模拟和红队、评估和工程等内容整合到一个单一的、方便的工具集中。这样将有助于安全威胁分析师如何更好地使用ATT&CK。本书收集了大量真实用例的共享内容,并将这些内容分成不同的级别:
- 级别1适用于刚起步但可能没有太多资源的分析师;
- 级别2适用于开始成熟的中级安全团队;
- 级别3则适合更先进的网络安全团队。
传送门
https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf
02
CALDERA
CALDERA是一个由python语言编写的红蓝对抗工具(攻击模拟工具)。它是MITRE公司发起的一个研究项目,该工具的攻击流程是建立在ATT&CK攻击行为模型和知识库之上的,能够较真实地APT攻击行为模式。
通过CALDERA工具,安全红队可以提前手动模拟并设定好攻击流程,并以此进行自动化攻击和事件响应演练。同样,安全蓝队也可以利用该工具,根据相应的威胁开展模拟应对。
该工具主要由两个组件组成:
- 核心系统。由相关存储库中可用的内容组成,主要包括一个带有REST API和web界面的异步命令控制(C2)服务器。
- 插件。这些插件可以扩展核心系统功能,包括代理、报告、TTP集合等。
传送门
https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf
03
Best Practices for MITRE ATT&CK Mapping
《MITRE ATT&CK映射的最佳实践指南》白皮书
由于ATT&CK框架的应用潜力并没有得到充分挖掘,美国网络与基础设施安全局(CISA)和国土安全系统工程与发展研究所(HSSEDI)共同制定了一份《MITRE ATT&CK映射的最佳实践指南》,旨在帮助网络威胁分析师将攻击者的TTP(技术、工具和程序)映射到相关的ATT&CK技术,以提高防御者主动检测对手行为和共享行为情报的能力。
传送门
https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf
04
CASCADE
CASCADE也是MITRE公司发起的一个研究项目,旨在将“安全蓝队”团队执行的大部分调查工作自动化,以确定使用主机数据的网络上存在的可疑行为的范围和恶意程度。
CASCADE原型应用具有处理用户身份验证、运行分析和执行调查的能力,可以对存储在Splunk/ElasticSearch中的数据进行分析,以生成警报。警报会触发一个递归调查过程,其中几个后续查询会收集相关事件。应用会自动生成这些事件的图形,显示它们之间的关系,并用ATT&CK的信息标记该图形。
传送门
https://www.mitre.org/sites/default/files/2021-11/getting-started-with-attack-october-2019.pdf
05
Metta
Metta是一款对抗性模拟工具,它是由多个内部项目产生的。Metta使用Redis/Celery、python和VirtualBox进行攻击行为模拟,这样用户就可以测试基于主机的安全系统。另外用户还能测试其他基于网络的安全检测和控制,具体过程取决于使用者的设置方式。Metta能够在Microsoft Windows、MacOS和Linux等多个操作系统终端上运行。
传送门
https://github.com/uber-common/metta
06
Sandbox Scryer
Sandbox Scryer是一款功能强大的开源威胁情报工具,该工具可以根据公开的沙箱输出信息生成威胁搜索和情报数据,并允许安全研究人员将海量威胁样本发送给沙箱,以构建可以跟MITRE ATT&CK Framework一起使用的技术文档。Sandbox Scryer提供了大规模用例解决方案,该工具适用于对利用沙盒输出威胁情报感兴趣的威胁分析人员。
值得一提的是,当前版本的Sandbox Scryer使用了多种恶意软件分析服务的数据信息,可以帮助分析人员加快和提升威胁搜索的能力。
传送门
https://github.com/PayloadSecurity/Sandbox_Scryer
07
Finding Cyber Threats with ATT&CK-Based Analytics
《使用基于ATT&CK的分析发现网络威胁》白皮书
该白皮书提出了一种使用MITRE ATT&CK框架的新方法——通过基于行为的威胁模型来识别相关的防御传感器(defensive sensor),并使用攻击仿真来构建、测试和改进基于行为的分析检测能力。该方法可以通过防御差距分析、端点安全性评估、针对特定环境优化行为分析,以及使用红队模拟等多种手段,增强企业的网络安全性。
传送门
08
Atomic Red Team
Atomic Red Team是一个由Red Canary主导的开源项目,它提供了和ATT&CK一致的红队测试内容,可以用来测试现有的威胁分析方法。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的系统应用环境。用户可以直接通过命令行执行测试,无需安装运行软件。
传送门
https://github.com/redcanaryco/atomic-red-team
09
Red Team Automation(RTA)
Red Team Automation是一组有38个脚本支持的可执行文件,可生成与ATT&CK框架中的技术相对应的安全组件,旨在允许安全蓝队测试他们对恶意间谍技术的检测能力。截至目前,Red Team Automation提供50多种由ATT&CK技术支持的组件,这个数量将来还会进一步增加。Red Team Automation支持Microsoft Windows操作系统,并且使用python进行编码,另外它还可以执行反取证操作,进行恶意传播、绕过UAC等模拟攻击。
传送门
https://github.com/endgameinc/RTA
10
Mapping CVEs to MITRE ATT&CK网站
这是一个由Vulcan Cyber的研究团队创建的网站,用于展示一个正在进行的攻击研究项目,可以将记录的CVE映射到MITRE ATT&CK矩阵中的相关战术和技术。目前,该网站还处于测试阶段,将会不断更新,以纳入并记录更多的新CVE。用户可以根据特定的技术需要搜索CVE,也可以通过特定的CVE搜索与之匹配的ATT&CK战术和技术。
传送门
https://mitremapper.voyager18.io/
参考链接:
