MITRE ATT&CK v11 更新速览

 

概述

本周一 MITRE ATT&CK 更新了 v11 版本。该版本带来了对 ATT&CK 企业版、移动版和工控版的技术、威胁组织和软件的更新,ATT&CK v11 的企业版共有父技术 191 个,子技术 386 个。移动版父技术 66 个,子技术 41 个。工控版父技术 78 个,无子技术。ATT&CK 收录的威胁组织数量达到 134 个,软件数量达到 680 个。本版本最大变化有 3 点,包括对检测的重构,企业版中的检测现在和数据源和数据组件相关联;引入子技术的移动版的 beta 版;以及工控版加入到 MITRE ATT&CK 官网 。让我们来详细看下其中的变化。

 

检测重构

企业版中的每个技术都有相应检测部分的表述,用于描述对该技术进行检测的一些思路和方法。检测在之前版本中是文字描述的形式,v11 版本将其进行提炼并合并到与数据源和数据组件对象相关联的描述中。这样对于每个技术,就能直观的知道可以从哪些数据源和数据组件采集哪些数据,来帮助进行检测。以 盗窃或伪造Kerberos票据 技术为例,原来的检测描述如下:

盗窃或伪造Kerberos票据技术 v10 检测部分的描述

v11 的检测如下:

盗窃或伪造Kerberos票据技术 v11 检测部分的描述

每个数据源和数据组件可以检测(detects)不同技术,针对不同的技术,相应的检测描述也可能不同。这与缓解类似,相同的缓解策略可以缓解不同的技术,并且针对不同技术的具体缓解描述(方法)可能不同。例如对数据源 进程 下的数据组件 操作系统API执行,针对技术 本地账号发现应用程序窗口 发现,需要监控的API是不同的:

数据组件 操作系统API执行 针对本地账户发现和应用程序窗口发现需要监控的API不同

 

移动版引入了子技术

移动版的 ATT&CK 引入了子技术的概念,对原有技术进行了调整合并,发布了 beta 版的 v11。父子技术的层次结构更便于描述攻击者的行为。新版移动矩阵:

v11 beta 版移动矩阵

旧版移动矩阵:

v10 版移动矩阵

由于引入了子技术,v11 beta 版的矩阵较上一版有较大的技术变动。原有技术的调整包括以下 4 类:

  • 1) 维持不变:技术的 ID 没有发生变化,在 beta 版中仍是(父)技术。例如技术 引导或登录初始化脚本(T1398)
  • 2) 变成子技术:技术的 ID 名称发生了变化,技术的名称也可能发生了变化。例如技术 修改系统分区(T1400) 变成了技术 执行流劫持(T1625) 的子技术 系统运行时API劫持(T1625.001),技术 设备管理员权限 变成了 滥用提权控制机制(T1626) 的子技术,但名称不变。
  • 3) 一个或多个技术合并成一个新技术:技术的 ID 和名称均发生了变化。例如技术 网络流量捕获和重定向(T1410) 和技术 窃听不安全的网络通信(T1439) 等其它共6个技术合并成了新技术 中间人攻击(T1638)
  • 4) 被弃用:技术被移除且不会有相应的替代技术,它们被认为不适合 ATT&CK 或在未观察到在野使用。例如技术 未经授权远程擦除数据(T1469) 被移除,因为无法找到攻击者在野外利用该技术的证据。

MITRE 提供了一个 JSON 文件用于帮助我们从 v10 迁移到带子技术的 beta 版 v11。

 

工控版加入 ATT&CK 官网

工控版的 ATT&CK 原来在另一个单独的 MediaWiki 网站 运营,现在工控版矩阵也可在 MITRE ATT&CK 官网查看,这将进一步增加工控版矩阵的可见性。ATT&CK 官网上的工控版矩阵:

工控版矩阵

同时 MITRE 将工控版的数据源和数据组件和企业版的进行了合并。工控版相关的威胁组织和软件也进行了相应的合并。例如震网病毒使用的技术中同时包含了企业版和工控版的内容:

震网病毒同时使用了企业版和工控版的技战术

 

参考链接

(完)