目录
- 目录
- 1、前文提要
- 2、攻防演练/攻击活动中的特征
- 3、ATT&CK TTP描述的不足
- 4、区域边界网络架构下的核心攻击循环(BLA)
- 5、BLA和Unified Kill Chain统一杀伤链
- 6、总结
0、前前言
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在 同名公众号(非典型产品经理笔记) 上写的原创内容,挑一部分发一下。
后续新内容会考虑同步在freebuf上发送。
1、前文提要
参考《 HVV-Learning-003-浅析ATT &ck和Cyber Kill Chain 》,ATT&CK通过14个战术步骤,说明攻击者可以通过下述战术组合, 达成最终的攻击目标(如拿下标靶系统、盗窃所需数据等) 。
2、攻防演练/攻击活动中的特征
ATT&CK描述的 战术阶段之间没有严格的时序关系 ,攻击者可以任意组合。防守方可以通过TTP,来描述某一次 攻击事件 或 攻击活动 所采用的 战术/技术组合 。
但是ATT&CK对攻击路径的描述有所不足,在真实的攻击场景,攻击路径具有如下特征(如下图):
1)、攻防演练中,往往只有一个靶标系统(Target)。但是在真实攻击活动中(如APT组织盗窃企业机密数据),针对一个受攻击企业/机构,往往有多个攻击目标 ,甚至是在攻击过程中 动态确认攻击目标 ,把攻击中发现的有价值的业务系统/数据纳入攻击范围。
2)、针对一个TARGET(目标),有多条攻击路径 。
3)、每条攻击路径,有多个攻击/失陷节点。
4)、针对一个攻击/失陷节点,往往会采用多种攻击战术组合 。以下图为例,仅其中一个失陷节点,即有可能会采用:Initial Access、Execution、Persistence、Privilege Escatation等多种攻击战术,及其技术。
3、ATT&CK TTP描述的不足
参考《 HVV-Learning-003-浅析ATT &ck和Cyber Kill Chain 》 提到的 工业恶意软件Triton 的TTP。我们可以发现TTP更适用于 形容攻击战术和技术的组合 (尤其是创新性组合或创新性技术应用),缺乏 时序和路径 的描述。
4、区域边界网络架构下的核心攻击循环(BLA)
在区域边界网络下,典型网络架构是分区分域的,通过层层设防实现纵深防护。
有一个脑筋急转弯是这么问的, 将大象关进冰箱需要几步 ?答案是三步,打开冰箱门,将大象放进冰箱,关上冰箱门。
那么,攻击者拿下攻击目标需要几步呢?也是3步。
突破边界(Break Boundary): 类似于 ATT &CK中的TA0001 Initial Access 入口点/突破口 ,只是ATT&CK中的 Init Access 多指互联网边界。而突破边界,是指任意一层边界。
横向移动(Lateral Movement ): 在边界内进行横向移动,获取更多权限,同时 找到通往下一个边界的跳板。
目标行动(Actions on Objective): 最终接触到目标后,针对攻击目标进行盗窃数据、破坏等攻击行为。
当然,和将大象关进冰箱不同的是,这3步在区域边界下,是需要反复执行的。可以将之称为" BLA核心攻击循环 ", BLA攻击三步曲 。
比如针对单一攻击目标,前2步可能需要反复执行(如BLBLA),即 突破边界→横向移动→突破边界→横向移动 .......最终接触到目标, 进行目标行动 。
BLA相比于ATT&CK而言,从14个战术阶段,即可以看出ATT&CK 更加技术化和战术化 ,则BLA则更加抽象和总结,更有助于 让我们在逻辑上理解攻击过程 。
5、BLA和Unified Kill Chain统一杀伤链
BLA相当于是为了理解攻击过程,而进一步总结的 逻辑攻击模式 。
秉承着 非必要不原创,原创后也要找参考 的原则,我又进一步搜寻了业界相关发展资料。
最后发现, UKC统一杀伤链 已经体现了时序性和逻辑性,并且将战术和逻辑进行了统一 。
5.1、Unified Kill Chain简介
下方为维百(见:en.wiki敏pedia感.org/wiki/Kill\\...%25E4%25B8%25AD%25E7%25BB%2599%25E5%2587%25BA%25E7%259A%2584%25E8%25AF%25B4%25E6%2598%258E%25E5%2592%258C%25E8%25A7%25A3%25E9%2587%258A%25EF%25BC%259A "https://en.wiki%E6%95%8Fpedia%E6%84%9F.org/wiki/Kill\\\\_chain[1])%E4%B8%AD%E7%BB%99%E5%87%BA%E7%9A%84%E8%AF%B4%E6%98%8E%E5%92%8C%E8%A7%A3%E9%87%8A%EF%BC%9A")
Unified Kill Chain 由Paul Pols于2017年与Fox-IT和莱顿大学[2]合作开发, 通过统一和扩展 洛克希德马丁 [3] 公司的杀伤链 MITRE [4] 的ATT &CK框架 ,克服对传统网络杀伤链的常见批评。杀伤链的统一版本是18个独特攻击阶段的 有序排列 ,这些阶段可能发生在端到端网络攻击[5]中,涵盖了在防御网络内外发生的活动。因此, 统一杀伤链改进了传统杀伤链的范围限制以及MITRE的ATT &CK中战术的时间不可知性。统一模型可用于分析、比较和防御****高级持续性威胁[6]** (APT) 的端到端网络攻击。**
5.1.1、关于作者Paul Pols
5.2、统一杀伤链核心逻辑
参考UKC官方说明(www.unifiedkillchain.com/#unifiedkil... ) ,统一杀伤链将攻击分为如下三步曲 :
初始立足点(Initial Foothold):通常是指互联网边界的突破,从而进入客户的内部网络中的某个分区 。
网络传播(Network Propagation): 是指攻击者在用户内部网络中 横向移动 的过程,UKC白皮书中指出, 网络传播是一个循环,直至获取到目标访问权限 。
目标行动(Actions on Objective): 最终接触到目标后,针对攻击目标进行盗窃数据、破坏等攻击行为。
5.2.1、UKC统一杀链的ILA核心攻击循环
同样参考BLA的方式,将UKC统一杀伤链的攻击循环进行总结,可以得出如下图:
可以看到,UKC主张,只要进入到内部网络后,在 内部突破下一个区域边界 、或 在区域内移动到下一个节点 ,都被称为 网络传播 。
UKC的 INA三步曲 有严格的时序性,其中Network Propagation网络传播通常反复执行。
如上图, 初始立足点→网络传播→网络传播→网络传播.....目标行动 。
5.3、UKC的战术阶段
5.4、UKC 和ATT&CK的对比
前面我们知道ATT&CK划分了14个战术阶段,而 UKC有3步曲共18个战术阶段。
相比ATT&CK,其主要新增了如下4项:
社会工程学 Social Engineering: 指对人进行心理操纵(引诱、欺骗等),使其采取行动或泄露机密信息(比如说引导运行木马程序)
漏洞利用Exploitation : 当武器(恶意软件)触及到目标系统或终端时,会通过漏洞等方式,控制受害者的终端或业务系统服务器。
跳板转发Pivoting :指通过隧道转发流量,以便 访问不可直接访问的系统。可理解为跳板代理攻击的过程。
目标行动Action On Objectives : 当攻击者接触到既定攻击目标时,可以对其进行各种既定行动(如盗窃机密数据、破坏/加密数据进行勒索等)
如下是UKC白皮书中,对于CKC、ATT&CK的一个阶段列表对比。
6、总结
在攻击活动中, 防守方视角的攻击事件(广义),往往是呈攻击链路 形式,而且是 多条攻击链 (不同的突破口,引发不同的链)。
ATT&CK框架, 可以通过TTP形式描述出所有使用过的战术、技术集合 ,但是不能TTP很好描述其时序性、链路性。
不少安全防护产品,已支持通过 ATT &CK来描述攻击事件(狭义),比如说某台主机中了勒索病毒 ,可以展示出 以该主机为视角, 该勒索病毒的攻击过程,但是很难描述出攻击者从 初始突破口→不断横向移动→主机沦陷身中勒索病毒的 整个过程。
这里首先受限于技术上的因素,当前很难采集到非常完整的攻击链。即使技术因素解决,ATT&CK本身是一个战术、技术性框架,对于完整描述整个非常完善的攻击链,还有一定的不适应性。
而UKC+ATT&CK或许是一种可行的呈现方式,从攻击目标出发,通过3步曲,将 一条完整的攻击链路 ,以ATT&CK形式描述清楚。
部分参考:
www.unifiedkillchain.com/#unifiedkil...
参考资料
[1]
en.wiki敏pedia感.org/wiki/Kill_chain: en.wiki敏pedia感.org/wiki/Kill_chain
[2]
莱顿大学: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Leiden_University
[3]
洛克希德马丁: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Lockheed_Martin
[4]
MITRE: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Mitre_Corporation
[5]
网络攻击: https://en.[wiki敏](https://en.xn--wiki-og2k)pedia感.org/wiki/Cyberattack
[6]
高级持续性威胁: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Advanced_persistent_threat
[7]
www.unifiedkillchain.com/#unifiedkil...: www.unifiedkillchain.com/#unifiedkil...
[8]
attack.mitre.org/: attack.mitre.org
[9]
www.unifiedkillchain.com/#unifiedkil...: www.unifiedkillchain.com/#unifiedkil...