MITRE ATT&CK 第五輪評估結果發布
關于 MITRE ATT&CK 評估本身就不再贅述了,已經寫過,不了解的讀者麻煩翻下之前的文章吧。
MITRE ATT&CK 第四輪評估結果發布
Avenger,公眾號:威脅棱鏡MITRE ATT&CK 第四輪評估結果發布
MITRE ATT&CK 第三輪評估結果發布
Avenger,公眾號:威脅棱鏡MITRE ATT&CK 第三輪評估結果發布
評估目標
評估中模擬的攻擊組織是 OilRig,該組織被認為是伊朗背景的,針對金融、政府、軍隊等行業進行敏感數據竊取。本次評估首次模擬了良性噪聲,這對貼近實際情況至關重要。
本次評估不同于以往的另一點,是一場“閉卷考試”。供應商不會提前被告知模擬的攻擊組織、使用的攻擊技術等,靠結果數據反饋告知攻擊者的所作所為。
參與廠商
本輪評估只有 16 家公司參加,相比上一輪的 30 個廠商大幅度下降。參評公司大幅減少大抵是由于評估的目標是安全托管服務(MSSP)而不是之前的企業安全,一如既往參加的還是 Bitdefender、CrowdStrike、微軟、趨勢科技等幾家公司。
評估過程
用戶下載并打開釣魚郵件中的惡意 Word 文檔附件,觸發宏代碼執行將 SideTwist 釋放到失陷主機。SideTwist 探測內部網絡并提權,橫向移動到 EWS 服務器后攻擊存儲敏感數據的服務器。攻擊者會將 RDAT 后門植入服務器,收集數據庫備份文件,再利用 EWS API 將數據分塊通過電子郵件外發泄露。
評估環境
評估在 Azure 云上進行,網絡結構如下所示:
在 GitHub 上對外提供了評估的更多細節,包括評估計劃、二進制文件、Yara 規則等。
更多可參考信息?
https://github.com/center-for-threat-informed-defense/adversary_emulation_library/tree/master/oilrig
覆蓋技術
OilRig 共涉及 12 個戰術階段的 38 個攻擊技術(包含 26 個子技術)。
結果評估
與前幾輪評估相同,MITRE Engenuity 并不對評估結果進行排名與評級,公眾對數據可以有自己的分析與理解,但這并不代表 MITRE Engenuity 官方的態度。所以必須聲明的是,這不是一個產品的評估,個人的解讀也沒有統一的衡量標準。
檢測數量與總量的比率并不是本次評估的目的,也沒有像之前的評估一樣給出計數。如果服務提供商提供了足夠的上下文來反映攻擊活動,將會評估該步驟“已報告”。未報告可能有很多種情況:
- 服務提供商認為該活動不重要,向客戶報告沒有價值
- 服務提供商認為該活動是隱含在其他報告項中的
- 服務提供商提供有關該活動的信息并不足以將其判斷為“已報告”狀態
- 服務提供商遺漏或者誤判了該活動
再額外解釋下,本次評估該技術是否被報告與傳統意義上是否被檢測并不相同。最簡單的例子就是那些未整合的原始遙測數據,都會被認為是“未報告”的。
評估結果
模擬評估一共十個攻擊步驟,由于官方未提供合并統計數據,橫向廠商太長為了便于閱讀就做了分組合并(微信公眾號會壓縮圖片,如果想要原始統計表格也可發私信聯系我),如下所示:
注:趨勢科技不在結果范圍內,想要了解趨勢科技結果的,MITRE 表示可以聯系趨勢科技官方索要。
在前面強調過不以數量論英雄,但還是要感嘆一句 CrowdStrike 不愧為業界標桿。從事相關產品研究的,真的需要與其進行對標參照一下。
作為防御者,更關心的是“查缺補漏”,那些很多產品的盲區才是最應該關注的。
- 1.A.5:使用 Environ("username") 收集用戶名
- 1.A.16:異或加密數據通過 HTTP 協議外發
- 3.A.3:通過 POST 請求外帶數據
- 9.A.1:文件與目錄發現
- 9.A.2:文件與目錄發現
- 10.A.2:VMware 目錄刪除
這些都是檢出最少的,也最需要關注,視野的盲區可能就是最薄弱的地方。
總結
經過數年的歷程,MITRE ATT&CK 評估如今已經走到第五輪,也是在逐漸完善評估的各個環節。事情不可能一開始就很完美,尊重事物發展的客觀規律,科學合理地推進,遇到問題承認不足并且嘗試解決問題,這也許能幫助我們在一條“正確”的道路上一點點的向前挪動。
所謂“外行看熱鬧,內行看門道”。不僅是 MITRE 官方,每個服務提供商也都將自己相關材料打包可供下載,懂行的各位就移步官網下載原始材料進行深入研究吧。感覺不論是 EDR、XDR 與 MSSP 的開發與設計,還是攻擊模擬、產品評估類的服務,都能夠從中學到一二。筆者也不在這里班門弄斧,只介紹到這里罷了。
點擊閱讀原文可跳轉官網查看本輪評估相關信息。
