免费试用
最新研究
基于 ATT&CK 框架的红蓝对抗 有效提升检测能力
基于 ATT&CK 框架的红蓝对抗 有效提升检测能力
立即下载

ATT&CK

立足攻防最前线,探索ATT&CK理论与实践

四大使用场景之模拟攻击
2022-07-14

模拟攻击是红队作战的一种模拟类型,可以根据威胁情报来模拟一个已知的威胁,确定红队将采取的行为。因此,模拟攻击与渗透测试及其他形式的红队活动是不一样的。

模拟攻击是通过构建场景来测试攻击者战术、技术和步骤的一个过程。红队基于已知场景,测试目标网络上的防御系统是如何对抗攻击的。ATT&CK是一个真实攻击知识库,所以可以很容易地将红队与ATT&CK关联起来。当然不同成熟度的组织机构会有不同情况的场景。

对处于Level 1阶段的小公司团队而言,即便没有成熟、完整的红队,也可以从模拟攻击中获益。例如,公司可以利用开源项目Atomic Red Team来检测那些映射到ATT&CK框架中的攻击技术和步骤。Atomic Red Team可用于测试特定的技术和步骤,以验证行为分析和检测功能是否如预期的那样有效。

以T1135技术为例。在GitHub上搜索Atomic Red Team,打开项目后可以按编号找到该技术,看到关于该技术的介绍以及对攻击者不同攻击方式的复现。图1为T1135技术的页面展示,感兴趣的读者可以到GitHub页面查看详情。

 

图1  T1135的原子测试细节

该页面有6个技术复现方案,下面我们选择原子测试2。图2为该原子测试的页面。测试时,只需打开命令提示符,复制并粘贴命令,添加计算机名,然后执行命令。

 

图2  T1135的原子测试2

通过执行测试,可以发现我们期望检测到的内容是否和我们实际检测到的内容一样。例如,我们在SIEM中设定了一个行为分析工具,一旦发现某个行为就会报警,如果在实际情况中没有报警,而且通过故障排除发现导出的主机日志不正确,那么可以进行修改,这样就可以提高下次应对真实攻击时的检测能力。

这样的测试有利于针对ATT&CK技术进行聚焦检测,扩大对ATT&CK框架中的技术覆盖。处于初级安全阶段的组织机构可以参考图3中的五个步骤进行检测。

 

图3  针对ATT&CK技术的五个检测步骤

已经拥有红队能力的组织机构,可以将ATT&CK集成到现有项目中,将红队使用的技术映射到ATT&CK框架中,这对于编写模拟攻击方案、制定缓解措施都有帮助。

例如,如果红队模拟了whoami,通过在ATT&CK网站上搜索,就可以知道它可能应用了两种技术:T1059.003和T1033,如图4所示。

 

图4  通过命令搜索技术

当我们执行红队计划时,将其映射到ATT&CK带来的好处是,一旦我们执行了相关行动,后期只需将分析、检测和缓解措施映射回ATT&CK,即可基于一种通用语言实现红蓝队的交流。

对于Level 3级别的成熟组织机构,则可以和CTI团队一起制定基于特定攻击者的模拟攻击计划。这样可以更好地进行防御绕过测试,以及了解数据源方面的能力缺失。推荐用如图5所示5个步骤流程来创建一个模拟攻击计划。 

图5  模拟攻击的流程


预测、防御、检测、响应,让安全一触即达

免费试用

7*24小时安全监控

5*8小时故障诊断

安装升级服务

产品使用培训