怎么進(jìn)行ATT及CK對提升主機(jī)EDR檢測能力的分析

怎么進(jìn)行ATT及CK對提升主機(jī)EDR檢測能力的分析，相信很多沒有經(jīng)驗(yàn)的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

創(chuàng)新互聯(lián)咨詢電話：028-86922220，為您提供成都網(wǎng)站建設(shè)網(wǎng)頁設(shè)計及定制高端網(wǎng)站建設(shè)服務(wù)，創(chuàng)新互聯(lián)網(wǎng)頁制作領(lǐng)域10多年，包括廣告制作等多個方面擁有豐富的網(wǎng)站制作經(jīng)驗(yàn)，選擇創(chuàng)新互聯(lián)，為網(wǎng)站保駕護(hù)航！

一、前言

ATT&CK是今年國內(nèi)安全行業(yè)的一個備受矚目的火熱概念，很多組織和廠商發(fā)布了文章闡釋各自對于它的理解，甚至連不少甲方單位也開始關(guān)心起ATT&CK，不僅向安全廠商咨詢其在這方面的研究成果，似乎也有意將其當(dāng)做衡量廠商產(chǎn)品能力的一個維度——安全圈一時間頗有些“平生不識此概念，縱做安全也枉然”的氛圍。

當(dāng)然，這個現(xiàn)象很正常，ATT&CK作為一項(xiàng)來自國外的新技術(shù)概念，安全行業(yè)理所應(yīng)當(dāng)對其進(jìn)行研究分析。但另一方面，當(dāng)前業(yè)內(nèi)對于ATT&CK的研究分析存在很多誤解和片面的地方，因此我們從自己的角度出發(fā)對ATT&CK進(jìn)行了一些探討，希望能夠還原其本來面目、消除過度的“神秘感”，重新審視這一技術(shù)的真正價值。當(dāng)然作為一家之言，我們肯定也存在不客觀的地方，是非對錯，盡付公論。

二、ATT&CK

1、ATT&CK框架介紹

ATT&CK（Adversarial Tactics, Techniques & Common Knowledge）是MITRE公司開發(fā)的、基于真實(shí)環(huán)境觀察攻方戰(zhàn)術(shù)和技術(shù)的知識庫。

MITRE是由美國政府資助的一個非盈利研發(fā)機(jī)構(gòu)，向美國政府提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)的支撐。并和美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)標(biāo)準(zhǔn)化組織合作制定相關(guān)安全標(biāo)準(zhǔn)，比如漏洞缺陷CVE、CWE編號規(guī)則以及威脅情報格式STIX。

MITRE ATT&CK框架內(nèi)系統(tǒng)性的收集整合了整個攻擊過程完整生命周期的攻擊手法的知識庫，并且這些攻擊手法均來自于對真實(shí)安全事件的洞察。該框架把攻擊者所采用的TTP(戰(zhàn)術(shù)Tactics,技術(shù)Techniques,過程Procedures)系統(tǒng)性地組織起來。在每個戰(zhàn)術(shù)項(xiàng)內(nèi)又包含實(shí)現(xiàn)該戰(zhàn)術(shù)目的的各種已知的攻擊技術(shù)，同時在每項(xiàng)技術(shù)中詳細(xì)描述了運(yùn)用該技術(shù)的具體步驟和流程。

ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎(chǔ)上，構(gòu)建了一套更細(xì)粒度、更易共享的知識模型和框架?，F(xiàn)在經(jīng)過幾年的發(fā)展，整個矩陣內(nèi)容變得豐富，被拆分為PRE-ATT&CK和ATT&CK for Enterprise，其中PRE-ATT&CK覆蓋了Kill Chain模型的前兩個階段，包含了與攻擊者嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。ATT&CK for Enterprise覆蓋了Kill Chain的后五個階段。

ATT&CK for Enterprise將網(wǎng)絡(luò)安全事件劃分為12個階段。初始訪問階段、執(zhí)行階段、持久化階段、提權(quán)階段、防御規(guī)避階段、憑證訪問階段、發(fā)現(xiàn)階段、橫向移動階段、采集階段、命令與控制階段、滲出階段、影響階段。攻擊手法和各階段的映射關(guān)系如下圖所示:

2、ATT&CK的能力

ATT&CK知識庫被用作在政府以及網(wǎng)絡(luò)安全產(chǎn)品和安全服務(wù)中開發(fā)特定威脅模型和方法的基礎(chǔ)。同時也可用來檢測EDR產(chǎn)品是否具備偵測APT的能力?，F(xiàn)在主要被應(yīng)用在模擬攻擊、評估和提高防御能力、威脅情報提取和建模、威脅評估和分析四大方向上。

1、模擬攻擊：基于ATT&CK進(jìn)行紅藍(lán)攻防演練，進(jìn)行紅藍(lán)軍建設(shè) ；

2、檢測分析：基于具體的”技術(shù)“，有效增強(qiáng)檢測能力，用于甲方安全建設(shè)；

3、威脅情報：使用ATT&CK框架來識別攻擊組織，用于安全情報建設(shè)；

4、評估改進(jìn)：將解決方案映射到ATT&CK威脅模型，發(fā)現(xiàn)并彌補(bǔ)差距，用于評估安全能力。

ATT&CK框架內(nèi)整合的知識庫為安全行業(yè)提供了一個標(biāo)準(zhǔn)，對已知的TTPs進(jìn)行收集，促進(jìn)安全產(chǎn)品的優(yōu)化改進(jìn)。本文將從 TTPs 的檢測、分析提出關(guān)于 ATT&CK 框架在提升主機(jī)EDR檢測能力的探索和思考。

3、ATT&CK落地環(huán)境

本文將要探討的是ATT&CK框架在終端安全產(chǎn)品的落地和應(yīng)用。ATT&CK的出現(xiàn)為終端安全產(chǎn)品的檢測能力提供了一個明確的，可衡量，可落地的標(biāo)準(zhǔn)，改變防守方以往對于入侵檢測常常會陷入不可知和不確定的狀態(tài)中，有效的彌補(bǔ)自己的短板，通過檢測攻擊的技術(shù)，映射到ATT&CK的戰(zhàn)術(shù)，清晰的了解攻擊者所處攻擊階段。

另外如果能讓終端安全產(chǎn)品具有針對TTP的檢測能力，無疑能增強(qiáng)安全產(chǎn)品的核心檢測能力，提高攻擊檢測的覆蓋度和自動處置的精確度，避免被攻擊者通過一些簡單的變形繞過檢測，因?yàn)獒槍TP進(jìn)行檢測，意味著我們是在根據(jù)攻擊者的行為進(jìn)行檢測。如果攻擊者想要躲避檢測就需要改變他們的行為，這需要研究一些新的技術(shù)和攻擊手段，這意味著更高的難度和付出更大的成本。

而所有的攻擊檢測都是基于數(shù)據(jù)源和策略的特征匹配。我們?nèi)绻枰獧z測某個攻擊技術(shù)，首先需要獲取到這項(xiàng)技術(shù)所對應(yīng)的數(shù)據(jù)，這些數(shù)據(jù)就是當(dāng)攻擊者執(zhí)行某項(xiàng)技術(shù)攻擊主機(jī)或網(wǎng)絡(luò)后，在主機(jī)或網(wǎng)絡(luò)設(shè)備上留下的蛛絲馬跡，他們所呈現(xiàn)的形式往往是各種日志，可能是系統(tǒng)或應(yīng)用內(nèi)置的日志，也可能是因?yàn)榘踩枰匾怃浿频娜罩緮?shù)據(jù)。在MITRE ATT&CK的每項(xiàng)技術(shù)描述中都有對應(yīng)于該技術(shù)的數(shù)據(jù)源信息，它告訴我們可以從哪些類型的數(shù)據(jù)中找到攻擊技術(shù)實(shí)施后所留下的痕跡。

4、數(shù)據(jù)分類

通過在STIX 2.0 GitHub存儲庫中，調(diào)用與ATT＆CK對象和屬性映射的STIX對象和屬性，對數(shù)據(jù)源進(jìn)行分析統(tǒng)計，共有59種。

下圖是通過對每個數(shù)據(jù)源能檢測的技術(shù)數(shù)量進(jìn)行統(tǒng)計，并獲取檢測數(shù)量前十的數(shù)據(jù)源排行。

5、技術(shù)選擇

除了檢測數(shù)據(jù)源的獲取，針對不同技術(shù)點(diǎn)的檢測也有難易程度之分。場景復(fù)現(xiàn)時，有些只需要執(zhí)行系統(tǒng)命令，公開工具，而有些是需要特制、專用工具，檢測從常見命令程序監(jiān)控，到深入系統(tǒng)內(nèi)核調(diào)用，進(jìn)程上下文監(jiān)控。

(網(wǎng)圖：檢測攻擊技術(shù)的難易表)

以及同一個工具不同的命令、不同形式的使用，可映射不同攻擊階段的不同技術(shù)，檢測的技術(shù)點(diǎn)也是不一樣的。以下為分析mimikatz工具映射的TTP。

三、Sysmon

1、Sysmon介紹

Sysmon是微軟的一款免費(fèi)的輕量級系統(tǒng)監(jiān)控工具，最開始是由Sysinternals開發(fā)的，后來Sysinternals被微軟收購，現(xiàn)在屬于Sysinternals系列工具（帶有微軟代碼簽名）。它通過系統(tǒng)服務(wù)和驅(qū)動程序?qū)崿F(xiàn)記錄進(jìn)程創(chuàng)建，網(wǎng)絡(luò)連接以及文件創(chuàng)建時間更改的詳細(xì)信息，并把相關(guān)的信息寫入并展示在windows的日志事件里。經(jīng)常有安全人員使用這款工具去記錄并分析系統(tǒng)進(jìn)程的活動來識別惡意或者異?；顒?。

Sysmon安裝后分為用戶態(tài)系統(tǒng)服務(wù)，驅(qū)動兩部分，用戶態(tài)通過ETW(Event Tracing for Windows)實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)記錄，通過EventLog對驅(qū)動返回的數(shù)據(jù)進(jìn)行解析，驅(qū)動部分則通過進(jìn)、線程，模塊的回調(diào)函數(shù)收集進(jìn)程相關(guān)的信息，通過Minifilter文件過濾驅(qū)動和注冊表回調(diào)函數(shù)記錄訪問文件、注冊表的數(shù)據(jù)。

2、選擇理由

從功能上來講，Sysmon一旦安裝在系統(tǒng)上，在駐留系統(tǒng)期間，可以監(jiān)視系統(tǒng)活動并將其記錄到Windows事件日志中。 與一般檢測工具相比，Sysmon可以執(zhí)行系統(tǒng)活動深度監(jiān)視，并記錄高級攻擊的高可信度指標(biāo)，是一款優(yōu)秀的HIDS、EDR的主機(jī)入侵檢測引擎。

穩(wěn)定性方面超過大部分自研的驅(qū)動，功能完善，對性能影響較小，雖然功能強(qiáng)大但卻有很多監(jiān)控盲區(qū)。若加以自研Agent與其配之，便可彌補(bǔ)自身監(jiān)控盲區(qū)及非查詢功能等其他需求。

接下來的針對ATT&CK的技術(shù)檢測主要依托sysmon的監(jiān)控,測試從終端捕獲事件數(shù)據(jù)進(jìn)行分析。后面我將向您展示如何安裝sysmon以及如何使用自定義配置來過濾噪聲并獲得威脅特征。

3、搭建環(huán)境測試

執(zhí)行sysmon程序進(jìn)行安裝，用于生成日志監(jiān)測數(shù)據(jù)。

模擬攻擊環(huán)境，編寫批處理文件，執(zhí)行minikatz惡意程序（可用于從內(nèi)存獲取明文密碼、黃金票據(jù)和****等）。

安裝winlogbeat產(chǎn)品，幫助我們將Windows事件日志實(shí)時流式傳輸?shù)轿覀兊腅LK存儲。

打開winlogbeat.yml文件編輯其收集的日志類型。在-name：System后添加以一行：-name：Microsoft-windows-sysmon / operational

進(jìn)行winlogbeat的配置測試，執(zhí)行.\winlogbeat.exe -c .\winlogbeat.yml -configtest -e。測試正常后，開啟服務(wù)，執(zhí)行start-service winlogbeat。

處理遭受攻擊后捕獲系統(tǒng)監(jiān)測數(shù)據(jù)，可用于二次分析處理。

建議優(yōu)先考慮您在環(huán)境中當(dāng)前可能看到的內(nèi)容，而不是僅選擇矩陣中的任何技術(shù)。例如，如果您的環(huán)境中正在運(yùn)行Sysmon，并且正在收集“ ProcessCreate”事件，則可以優(yōu)先考慮需要將“ Process Monitoring”或“ Process命令行參數(shù)”作為數(shù)據(jù)源的技術(shù)。

四、分析過程

在本文中，主要探討通過利用minikatz技術(shù)來利用獲取hash憑證或者傳遞的過程，這一類技術(shù)主要是通過命令行參數(shù)檢測及程序運(yùn)行上下文相關(guān)調(diào)用進(jìn)行監(jiān)測，然后通過對其特征進(jìn)行提取，分析如何有效降低數(shù)據(jù)噪聲，并模擬測試命令執(zhí)行建立會話進(jìn)行驗(yàn)證，不斷提升工程化實(shí)施檢測的效果。

以下通過調(diào)用系統(tǒng)API接口實(shí)時監(jiān)測系統(tǒng)命令行程序調(diào)用接口，通過匹配命令行參數(shù)特征，模擬檢測惡意攻擊。

但是單純通過匹配命令行參數(shù)特征，雖然能夠匹配一定的攻擊事件，但是也存在被容易繞過的現(xiàn)象。

1、Sysmon工具分析

我們可以借助Sysmonview 這類工具可以很好的將攻擊者的行為，惡意程序執(zhí)行過程完整呈現(xiàn)出來。有助于行為分析，特征提取。由下圖可以分析，mimikatz執(zhí)行過程中先后加載了cryptdll.dll、samlib.dll、hid.dll、WinSCard.dll、vaultcli.dll等動態(tài)鏈接庫，并訪問了系統(tǒng)lsass.exe進(jìn)程。

但是被調(diào)用的這些dll是不是只有mimikatz才會調(diào)用的程序，是不是存在噪聲，還是無法確定，可能存在某些程序也需要調(diào)用這些dll文件，還是需要進(jìn)一步分析確認(rèn)。

2、Sysmon數(shù)據(jù)平臺分析

面對海量的數(shù)據(jù)日志，我們需要有個大的數(shù)據(jù)平臺，進(jìn)行分析，了解主機(jī)，進(jìn)程、文件、網(wǎng)絡(luò)、驅(qū)動、注冊表、管道等一系列對象間的關(guān)聯(lián)關(guān)系，分析比對，篩選出符合某些攻擊技術(shù)的能夠識別的最小唯一特征。

3、Sysmon規(guī)則分析

通過行為分析，初步提取特征后，我們可以通過sysmon規(guī)則進(jìn)行特征匹配。

ATT&CK技術(shù)編號T1003-憑證轉(zhuǎn)儲可通過以下sysmon規(guī)則配置，進(jìn)行監(jiān)測。

或者通過yaml規(guī)則，進(jìn)行配置檢測。

在系統(tǒng)日志檢測，結(jié)果成功捕獲minikatz相關(guān)運(yùn)行信息。

因?yàn)槭褂胋at腳本來運(yùn)行minikatz程序，所以下圖顯示命中技術(shù)T1036-混淆攻擊的檢測規(guī)則

像Mimikatz這樣的憑證轉(zhuǎn)儲程序可以直接通過本地二進(jìn)制程序文件執(zhí)行，也可以通過Powershell直接加載到內(nèi)存中運(yùn)行，并從內(nèi)存中讀取其他進(jìn)程的數(shù)據(jù)。分析查找這類程序時，可進(jìn)一步分析提取進(jìn)程請求特定的權(quán)限以讀取LSASS進(jìn)程的部分，用以檢測何時發(fā)生憑證轉(zhuǎn)儲。辨別Mimikatz與其他程序使用的常見訪問模式。

常見的Mimikatz GrantedAccess模式。

這些特征特定于Mimikatz當(dāng)前版本的工作方式，因此對于Mimikatz的將來更新和非默認(rèn)配置都是不可靠的。

EventCode=10

TargetImage="C:\\WINDOWS\\system32\\lsass.exe"

(GrantedAccess=0x1410 OR GrantedAccess=0x1010 OR GrantedAccess=0x1438 OR GrantedAccess=0x143a OR GrantedAccess=0x1418)

CallTrace="C:\\windows\\SYSTEM32\\ntdll.dll+*|C:\\windows\\System32\\KERNELBASE.dll+20edd|UNKNOWN(*)"

| table _time hostname user SourceImage GrantedAccess

以下是編號T1003憑證訪問階段戰(zhàn)術(shù)憑證轉(zhuǎn)儲技術(shù)映射更細(xì)粒度多個子技術(shù)的sysmon配置語句。

以下為系統(tǒng)檢測到鍵盤記錄器創(chuàng)建文件的行為，可以通過檢測異常行為，提升檢測攻擊的能力，發(fā)現(xiàn)主機(jī)側(cè)更多的安全問題。

五、Sysmonhunter分析

利用Empire工具進(jìn)行模擬測試，Empire是一款內(nèi)網(wǎng)滲透測試?yán)鳎淇缙脚_的特性類似于Metasploit，有豐富的模塊和接口，用戶可以自行添加模塊和功能，是針對PowerShell 利用較好的平臺。

通過對終端監(jiān)測的數(shù)據(jù)進(jìn)行特征匹配處理，并將結(jié)果推送到Elasticsearch數(shù)據(jù)庫，查看數(shù)據(jù)的錄入情況。

通過分析查看dll的調(diào)用次數(shù)，分析文件是不是存在被正常程序調(diào)用的情況。

分析某些dll是只被某些程序調(diào)用，或是某些操作必須調(diào)用的過程，需要逐個分析，判斷能夠被當(dāng)成特征工程的一個指標(biāo)。

通過導(dǎo)入圖數(shù)據(jù)庫進(jìn)行關(guān)聯(lián)分析，藍(lán)色表示程序，紅色表示調(diào)用過程，黃色表示節(jié)點(diǎn)，綠色表示終端編號。

六、實(shí)際應(yīng)用

結(jié)合產(chǎn)品進(jìn)行檢測，通過抽象提煉，完成了適當(dāng)?shù)姆诸?，將攻擊者的行為和具體的檢測方式聯(lián)系起來。通過抽象提煉，形成一個通用檢測方法，讓產(chǎn)品可以檢測單項(xiàng)對抗行為及其目標(biāo)。

1、單點(diǎn)測試

·測試框架應(yīng)用

Atomic Red Team是一個簡單測試庫，每個安全團(tuán)隊(duì)都可以執(zhí)行此測試來測試安全產(chǎn)品的檢測能力。該測試庫是映射到MITER ATT＆CK框架的小型、高度可移植的檢測測試框架。每個測試旨在映射特定的策略。

以下通過該交互式測試框架，檢驗(yàn)EDR的檢測能力。

任何攻擊者進(jìn)入內(nèi)網(wǎng)最想要的是竊取盡可能多的憑據(jù)。如果他們能用憑證登錄其他系統(tǒng)，就沒必要在通過研究其他資產(chǎn)尚存的漏洞，進(jìn)行測試攻擊，所以主機(jī)憑據(jù)獲取，歷來都是兵家必爭之地，不管是滲透測試、紅藍(lán)對抗還是護(hù)網(wǎng)行動，得憑證者得天下。故以下選取相關(guān)憑證獲取相關(guān)攻擊的應(yīng)用檢測。

·卷影副本操作

vssadmin用于創(chuàng)建/刪除Windows驅(qū)動器的卷影副本的命令。卷影副本簡單理解就是備份，您可以創(chuàng)建卷影副本備份和完全相同的文件副本。例如，以獨(dú)占方式打開的數(shù)據(jù)庫以及由操作員和系統(tǒng)活動打開的文件都可以通過命令在創(chuàng)建卷影副本過程中備份。可以使用卷影副本將SAM文件導(dǎo)出，配合SYSKEY利用mimikatz等工具獲得NTLM Hash。也可以利用VSS卷影副本拷貝ntds.dit，ntds.dit是AD（活動目錄）中的數(shù)據(jù)庫文件，包含有關(guān)活動目錄域中所有對象的所有信息，其中包含所有域用戶和計算機(jī)帳戶的密碼哈希值。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測情況。

·Mimikatz

mimikatz是法國人Gentil Kiwi編寫的一款windows平臺下的神器，它具備很多功能，其中最亮的功能是直接從 lsass.exe 進(jìn)程里獲取windows處于active狀態(tài)賬號的明文密碼。mimikatz的功能不僅如此，它還可以提升進(jìn)程權(quán)限，注入進(jìn)程，讀取進(jìn)程內(nèi)存，hash傳遞等等

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測情況。

·Procdump

Procdump是Windows工具包里的一款工具，由于有微軟的官方簽名，所以大部分殺軟不會查殺。通過procdump導(dǎo)出lsass.exe的內(nèi)存文件，在用mimikatz.exe在本地讀取內(nèi)存文件提取密碼。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測情況。

·Ntdsdump

Ntdsdump是NTDS.dit（活動目錄數(shù)據(jù)庫）密碼快速提取工具，可通過從域控制器上導(dǎo)取的ntds.dit文件以及SYSTEM文件，離線獲取域控制器上所有hash的神器。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測情況。

2、場景測試

·勒索檢測

模擬執(zhí)行勒索程序后，通過提取行為特征，hash比對，匹配特征庫，檢測異常告警。

最終通過自動分析判定主機(jī)正遭受勒索病毒攻擊。

七、持續(xù)演進(jìn)

1、ATT&CK細(xì)化子攻擊的粒度

雖然ATT&CK提供了一套系統(tǒng)的理論指導(dǎo)，但仍任然不能解決具體的檢測點(diǎn)技術(shù)問題，沒有描述技術(shù)的特定實(shí)現(xiàn)的方法。對于某些技術(shù)描述還是比較籠統(tǒng)，對于檢測安全產(chǎn)品的檢測覆蓋率還是不夠。ATT&CK的廣度問題目前已經(jīng)基本解決了，往后發(fā)展就是不斷增加深度，不是一個測試用例就算覆蓋一個指標(biāo)了，而是一組測試用例可以驗(yàn)證一個指標(biāo)的深度。

近期ATT&CK組織為了增強(qiáng)框架結(jié)構(gòu)，開始對整個框架進(jìn)行調(diào)優(yōu)和重新設(shè)計，細(xì)化描述攻擊技術(shù)的粒度，提出了子技術(shù)概念。子技術(shù)是一種更詳細(xì)地描述技術(shù)的特定實(shí)現(xiàn)的方法。后期可以在技術(shù)列表中，查看可以執(zhí)行技術(shù)的各種方式。例如憑據(jù)轉(zhuǎn)儲就是一個很好的例子。

在“憑據(jù)轉(zhuǎn)儲”的技術(shù)中，可以執(zhí)行該操作的方式共計9個，例如Windows SAM和“緩存的憑據(jù)”。盡管最終結(jié)果每次都是相似的，但很多不同的行為都集中在一種技術(shù)中。對于子技術(shù)，我們將對其進(jìn)行拆分，并擁有一種頂級的憑證轉(zhuǎn)儲技術(shù)，其下具有九種子技術(shù)，以更詳細(xì)地介紹這些變化，以了解它們?nèi)绾我蕴囟ǚ绞綉?yīng)用于各個平臺。

子技術(shù)將從.001開始，并隨著每個新的子技術(shù)遞增。例如，訪問令牌操縱仍將是T1134，但是“令牌操縱/盜竊”將是T1134.001，“使用令牌創(chuàng)建進(jìn)程” T1134.002，等等

對子技術(shù)所需的技術(shù)的進(jìn)行深入分析，導(dǎo)致戰(zhàn)術(shù)和技術(shù)之間歸屬位置的調(diào)整。可能會刪減了一些不適合該策略核心定義的技術(shù)，例如“ 隱藏文件”和“目錄”不適合“持久性”，以及一小部分需要棄用的技術(shù)，例如“ Hypervisor”，在該系統(tǒng)中，我們發(fā)現(xiàn)沒有證明的用例概念。以及技術(shù)降級到子技術(shù)的調(diào)整。例如，由于我們添加了“ Pre-OS Boot” 技術(shù)，因此將現(xiàn)有的Bootkit技術(shù)作為其子技術(shù)移至其下方。

以下是將舊技術(shù)映射到新子技術(shù)的對應(yīng)表

2、攻防檢測對抗

ATT&CK在持續(xù)更新升級，攻擊者也在不斷尋找更隱蔽的方法，繞過傳統(tǒng)安全工具的檢測，因此防御者也不得不改變檢測和防御方式。

就像上面我們用于入侵檢測的sysmon檢測引擎，很多人在安裝Sysmon的過程中直接使用默認(rèn)配置，不更改文件名、服務(wù)名、驅(qū)動名，在攻擊者發(fā)現(xiàn)主機(jī)環(huán)境裝有Sysmon后，通過對現(xiàn)有規(guī)則及對環(huán)境分析，結(jié)合具體情境使用繞過及阻斷方式組合技術(shù)，可輕松突破Sysmon日志記錄。所以防御方需要對sysmon進(jìn)行隱藏，否則將影響對攻擊者TTP檢測，及入侵行為檢測。

從戰(zhàn)術(shù)、技術(shù)和過程（TTPs）的攻擊層面分析，現(xiàn)在攻擊者使用工具，往定制化、模塊化、無文件落地發(fā)展，可繞過大部分傳統(tǒng)的安全防護(hù)設(shè)備。例如以下工具運(yùn)行不帶任何參數(shù)可直接轉(zhuǎn)儲lsass.exe的內(nèi)存。

這就需要依托安全廠商投入研究，研究分析得越透徹，攻擊者繞過的難度就越高。尤其是針對現(xiàn)有的TTPs的研究，研究如何精確匹配攻擊事件，我覺得這也是未來的趨勢，往精準(zhǔn)化檢測前行，否則安全分析人員，將被淹沒在各種設(shè)備海量的告警中，剪不斷理還亂，當(dāng)然這是個持續(xù)的過程，在攻防對抗中不斷升級，不斷演進(jìn)。

3、大數(shù)據(jù)智能平臺分析

往更深層次上講，如果僅僅只為了發(fā)現(xiàn)特定的已知攻擊行為而進(jìn)行的檢測會是什么樣場景？一個新的特征，一個新的告警，一個新簽名，一個接一個！是的，這很可能是作為安全分析師在每天工作中所經(jīng)歷的對于威脅的檢測分析處理。我們是否想過，通過由幾個開源框架組成的生態(tài)系統(tǒng)，自研啟用高級分析功能來增強(qiáng)威脅檢測能力，通過賦能機(jī)器學(xué)習(xí)，構(gòu)建大數(shù)據(jù)智能分析平臺，進(jìn)一步發(fā)展根據(jù)數(shù)據(jù)做出預(yù)測或建議的分析技術(shù)，解決檢測已知的威脅，通過關(guān)聯(lián)分析，挖掘未知的威脅，提高檢測率。

看完上述內(nèi)容，你們掌握怎么進(jìn)行ATT及CK對提升主機(jī)EDR檢測能力的分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁名稱：怎么進(jìn)行ATT及CK對提升主機(jī)EDR檢測能力的分析
轉(zhuǎn)載來于：http://muchs.cn/article20/ghehjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、ChatGPT、網(wǎng)站制作、靜態(tài)網(wǎng)站、Google、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)