硅谷来信丨一招阻击恶意软件***:沙箱集成MITRE ATT&CK***框架

现今的网络威胁不断地演化,***的类型和数量每年都在急剧增长。越来越多的企业和组织发生了被***侵入的事件。

每当被***以后,组织或企业的安全管理员都会问,“***者是怎么进来的”?“他们又是怎么把计算机病毒从一台内网主机传播到另外一台的?”等类似的问题。组织或企业都希望理解更多和***相关的漏洞和***的技术,以便于事后去修复其网络安全基础设施中存在的问题。MITRE ATT&CK框架旨在通过提供一种通用的***技术及其缓解方法的描述来帮助企业和组织回答这些问题。组织或企业可以利用MITRE ATT&CK框架来识别防御中的漏洞,并根据MITREATT&CK定义的风险等级,对修复工作进行优先级排序。


一、MITRE ATT&CK框架介绍


MITRE ATT&CK框架是一个***行为和分类的知识库。它比较全面地覆盖了已知地的***行为。该框架是开放的,任何个人或组织都可以免费使用;因此,它吸引了大批受众一起研究更有效的网络安全解决办法。很多网络安全厂商将MITRE ATT&CK框架集成到他们的网络防御产品中,包括SIEM、EDR、沙箱等产品。


针对企业的ATT&CK矩阵将***行为分为14大战术(tactics):


● 侦察

● 工具开发

● 初始访问

● 执行

● 驻留

● 权限提升

● 防御规避

● 凭证获取

● 探索发现

● 横向运动

● 收集信息

● 命令与控制

● 数据渗漏

● 影响


每个战术包含多种防御和缓解技术,其中大多数还包括子技术。将网络中看到的威胁与ATT&CK框架进行映射后,运维人员可以更方面通过优化他们的安全解决方案来防御这些威胁,减缓其带来的影响。


二、沙箱集成MITRE ATT&CK框架


很多沙箱产品集成MITRE ATT&CK框架。沙箱让恶意软件在受限的虚拟环境下运行。理想情况下,沙箱可以捕获到恶意软件在整个***生命周期中的各种***技术。


MITREATT&CK框架可以帮助沙箱用户更好地识别恶意软件的***行为,包括恶意软件可能组合使用了一些特定技术。


案例1:隐匿技术


例如,沙箱捕获了修改ntdll.dll模块内存的行为。之前,沙箱将此行为描述为“修改内存中的DLLs(ntdll.dll)文件”


然而,这种描述方式并不是很容易被用户理解。映射到MITRE ATT&CK矩阵的战术和技术后, MITRE ATT&CK知识库中将其描述为“防御规避”和“Rootkit”。通过这种映射,***行为变得更容易理解和识别了。


硅谷来信丨一招阻击恶意软件***:沙箱集成MITRE ATT&CK***框架


在ATT&CK数据库中,你可以向下滚动到防御规避(the Defense Evasion)列的恶意程式使用隐匿技术(Rootkit technique)。搜索此链接(https://attack.mitre.org/techniques/T1014/),您将看到应用此技术的威胁示例,及其威胁缓解和检测技术的列表。


案例2:软件加壳


让我们看另一个例子。沙箱发现一个恶意软件试图改写内存中已存在的PE映像文件。沙箱将这种行为描述为“改写映像文件头部数据”。然而,这也不容易被理解。


将这种行为映射为MITRE ATT&CK的战术和技术后,该***行为将被描述为“防御规避”,采用“文件或信息混淆”的技术和“软件加壳”的子技术。与前面一样,子技术页面提供了大量关于威胁示例、威胁缓解和检测技术的信息。


硅谷来信丨一招阻击恶意软件***:沙箱集成MITRE ATT&CK***框架


正如这些例子所示,MITRE ATT&CK框架帮助管理员将沙箱日志转换为可操作的策略,以防范恶意软件的***行为。


山石网科智能内网威胁感知系统山石智·感(BDS),***防护系统(NIPS),和下一代防火墙(NGFW)均包含云沙箱功能。山石网科的云沙箱服务山石云影,是一个高级威胁检测平台,它可提供模拟执行环境并分析与恶意文件有关的所有活动,有效识别高级威胁,同时协作BDS,NIPS和NGFW产品提供更加完善的解决方案。


如果您需要帮助,或想了解更多山石网科和ATT&CK如何帮助您的组织有效防护网络***,请与我们联系:400-828-6655。


上一篇:红日ATT&CK红队评估实战靶场1


下一篇:ClickHouse常用命令,基本数据类型