Mitre ATT&CK v16 版本发布

Fadouse

原文地址: https://medium.com/mitre-attack/attack-v16-561c76af94cf

GPT给的总结
V16 更新通过调整云矩阵、添加新行为和检测分析、更新网络威胁情报等方式，在熟悉与创新之间找到平衡，提升了网络安全防御的实用性和有效性。

GPT给的翻译

V16 带来（重新）平衡：重组云、新分析和更多网络犯罪分子
作者：Amy L. Robertson
发布于 MITRE ATT&CK®

在 v16 中，我们关注平衡——在熟悉和创新之间找到完美的和谐，使其保持真实和可操作。
此更新细化了我们对云环境的覆盖，找到了深度和实用性之间的平衡，确保它对防御者来说是实用的。作为平衡的一部分，我们不仅扩展了熟悉的威胁，还引入了一些新的行为和团体。此版本还提供了优化的检测工程产品，并提升了 ATT&CK 工具的可用性，目标是为每个人提供平衡的资源。
有关我们在技术、软件、团体和活动方面的更新/新增内容的全部详情，请查看我们的发布说明、详细更改日志或 changelog.json。
企业云重新对齐
我们一直在努力在云矩阵中细化抽象和细节之间的平衡，以涵盖各种云环境和威胁，同时保持足够的特异性以指导可操作的防御措施。v16 推出了我们在多样化设置中保持矩阵对防御者实用性的努力，明确了技术描述，并确保其直观易懂。
我们想介绍重新校准的云矩阵，现在包括四个平台（IaaS、SaaS、身份提供者和办公套件）——主要变化包括：

• 拓宽了身份概念，以涵盖多个产品和服务，反映了身份功能在不同云设置中的相似性。
  
  • 这包括将 Azure AD 合并到身份提供者中，以便更清楚地区分云功能。
    
• 通过新的办公套件平台，明确了 Google Workspace 和 Microsoft 365 的重叠，因为它们在技术层面上表现几乎相同。
  

行为平衡举措
我们在此次发布中保持了“熟悉 + 新颖 = 现实”的完美平衡公式，扩展了现有技术，增加了您熟悉但之前不在矩阵中的行为，例如 T1557.004：中间人攻击：邪恶双胞胎，T1213.004：信息库中的数据：客户关系管理软件，以及 T1213：信息库中的数据：消息应用。
为了增加新颖度，此版本还加入了一些引人注目的新行为，例如 T1496.004：资源劫持：云服务劫持，攻击者可以劫持已被入侵的 SaaS 应用程序（如电子邮件和消息服务）来发送垃圾邮件，同时消耗您的资源并影响服务可用性。我们还新增了 T1666：修改云资源层级，强调攻击者如何通过创建 Azure 的隐蔽订阅或从其组织中分离 AWS 帐户来操纵 IaaS 层级以躲避防御和利用资源。
我们的 Linux 和 macOS 行为库也有所扩展，新增了备受需求的 T1546.017：事件触发执行：Udev 规则，攻击者可以通过修改 udev 规则来使恶意代码在 Linux 上持久运行，利用其权限和后台功能。新的 T1558.005：窃取或伪造 Kerberos 票据：Ccache 文件提醒我们攻击者可以从凭据缓存文件中窃取 Kerberos 票据，以当前用户的身份访问多个服务，甚至提升特权或横向移动。
欲了解完整的（子）技术新增和扩展列表，请查看更改日志！
接下来是什么：
我们正在研究优化一些不同的领域——包括重构防御规避，以提高清晰度和可用性。我们正在评估的一种方法是根据具体行为来组织技术：那些专注于逃避检测的行为，以及那些旨在规避特定缓解措施的行为。我们还在评估如何重构元数据，仅保留可用且相关的部分。如果您有任何想法或愿意为这些讨论提供见解，请通过 Slack 或电子邮件与我们分享！
防御覆盖检测工程
我们今年的防御目标是扩展检测和缓解措施，并通过检测工程使其更具可操作性。通过优化分析的伪代码格式——反映现实中的查询语言，旨在作为您定制查询的模板——v16 带来了大量新的分析蓝图。
在执行方面，我们新增了 85 个新的分析，帮助您识别执行恶意代码的技术；新增了 120 个针对凭据访问的分析，旨在捕捉用于窃取凭据的行为；还新增了 26 个云分析，旨在突出利用 Microsoft 365 和 Azure AD 的技术。
作为奖励，v16 还包含了一个 STIX 分析提取 Python 脚本，允许您快速提取和导出分析。
缓解措施
在缓解措施方面，我们增加了一项新的缓解措施：带外通信，专注于安全的替代通信渠道——如加密消息或卫星线路——以在事故期间保持关键通信的安全和运行，并绕过任何被攻陷的网络系统。我们还增强了活动目录配置，加入了社区贡献的更清晰示例和组策略设置的详细解释。在不断更新缓解措施的过程中，我们需要您的见解！当您分享具体的用例、更清晰的示例和详细的配置时，您就使其他防御者更容易理解和有效实施缓解措施。
接下来是什么：
我们有很多待办事项，一些仍在考虑的领域包括为数据组件实施 STIX ID 以提高清晰度和跟踪，开发用于初始访问、外流和发现的分析，以及改进我们的数据源以提高可操作性。我们还将研究多事件分析，检查文件修改和进程创建等不同来源在短时间内如何交互，而不是仅关注一个收集源。我们非常希望得到您的见解和合作——请通过电子邮件或加入 #defensive_attack 进行参与！
网络威胁情报
我们的 CTI 更新也体现了完美的平衡公式：我们正努力填补网络犯罪领域的表示差距，同时继续更新国家归因的团体。
v16 中新增的部分网络犯罪分子包括 G1032（Inc 勒索），这是一个以双重勒索策略臭名昭著的团体，以及 G1040（Play）勒索软件团体，利用高级加密并以高价值受害者为目标。这两个团体都利用已知漏洞获取初始访问权限，并在部署勒索软件前窃取数据。此外，G1037 作为初始访问经纪人，使用网络钓鱼技术渗透网络。
在国家方面，我们更新了 G0007 和 G0034，这两个团体都与俄罗斯总参谋部情报局（GRU）的不同单位有关，具有共同的行为特征，例如在鱼叉式网络钓鱼电子邮件中使用恶意 Microsoft Office 附件。
接下来是什么：
展望未来，我们计划继续响应您的贡献——突出对实践者重要的团体、软件和活动，同时展示独特和卓越的技巧以突出技术。如果您有出色的见解或行为要分享，请加入 #attack-cti 或进行贡献。
软件开发
我们今年的软件目标是提高 ATT&CK 工具和基础设施的可用性并简化流程。我们一直在努力实现这些目标，但最重要的是，我们推出了新的 TAXII 服务器：MITRE ATT&CK Workbench TAXII 2.1 服务器，并将 TAXII 2.1 代码开源，使您能够在组织中建立自己的服务器并为其改进做出贡献。在您探索新的 2.1 服务器时，请记住我们将于 12 月 18 日退役 TAXII 2.0 服务器。要继续接收更新的 ATT&CK 数据，您需要从 cti-taxii.mitre.org 迁移到 attack-taxii.mitre.org。有关更多详情，请查看我们的 TAXII 2.1 博客文章。
接下来是什么：
我们计划推出 ATT&CK 数据模型 1.0，其中将引入平台对象并为数据组件分配 ATT&CK ID，以便于跟踪。我们还将更新防御对象结构，以提高直观性，并简化 Workbench 流程。在网站方面，我们的目标是向现代框架迈进，确保 ATT&CK 工具和文档的一致性和清晰性，采用 STIX 2.1。
您带来见解，我们提供更新
我们非常重视我们的社区，您的真实案例和现实中的实施使 ATT&CK 保持相关性和可操作性，因此，如果您发现了什么，请贡献点什么。
展望未来，我们迫不及待地想继续与您合作，处理我们已安排的一切——以及所有尚未计划但必定会因您的出色贡献而加入我们的议程的事情。
通过电子邮件、Twitter、LinkedIn 或 Slack 与我们联系。
©2024 MITRE Corporation. 版权所有。批准公开发布。分发无限制 24–00779–4。