ATTCK实战指南_原创精品文档.pdfVIP

ATTCK实战指南

ATTCK框架作为安全领域继承KillChain的安全攻防框架，在全世界的信息安全领域正在如⽕如荼的发挥着影响。通过GoogleTrends可

以看出在最近两年的热度呈指数级增长。

图1：ATTCK框架的热度增长趋势

ATTCK框架早在2014年就已提出，但当时的框架还⽐较简单。

图2：2014年时的ATTCK框架

⽬前，这个框架还在不断演进，在今年10⽉份的ATTCKcon2.0⼤会上，披露的更新内容如下：

图3：ATTCK框架的新增内容（数字解读）

值得⼀提的是，ATTCK框架中加⼊了云相关⽅⾯的⼀些⽀持：

图4：ATTCK新增云⽀持

⽬前，国内⽬前已经有⼀些⽂档从理论层⾯来介绍该框架，但很少从框架落地⾓度来介绍。⽽本⽂将更着重于如何使⽤该框架，毕竟该框架

不像其它理论只是提供理论指导作⽤，这个框架的可落地性很强。

理论学习使⽤

ATTCKNavigator项⽬

对于ATTCK的学习是第⼀步的，⾸先需要介绍的就是ATTCKNavigator项⽬。与普通的⼤型矩阵图⽚相⽐，这个导航⼯具看上去给⼈

的压⼒更⼩，⽽且具有良好的交互性。通过简单地点击⿏标，就能学习到很多知识，这个项⽬主要是为之后的⼯作有很好的标记作⽤。这个

项⽬⽐较好⽤的⼏个功能都是筛选类的功能，⽐如你可以根据不同的APT组织以及恶意软件进⾏筛选，可以看出组织和恶意软件使⽤的

Technique，并进⾏着⾊，这样就可以很明显看出来这个组织的攻击使⽤技术。

图5：APT29使⽤的攻击技术

同时也可以根据不同的需求，保存为其它格式导出，包括Json、Excel以及SVG，也⽀持根据平台和阶段进⾏选择。

图6：根据平台和阶段进⾏选择

从上图可以看出，ATTCK框架⽀持三种常见系统Windows、Linux和MacOS，最近还新增了对云安全的⽀持，包括了国外主流的三个公

有云AWS、Azure和GCP，同时还加⼊了⼀些SaaS安全框架AzureAD、Office365和SaaS。虽然ATTCK框架中有关云计算的内容并

不多，但也是⼀种有价值的尝试。云安全的这块针对云平台更像是CSPM产品解决的问题，SaaS安全的是CASB产品解决的问题。这⾥不

详细描述，之后会有另外⼀篇⽂章说明。这个项⽬主要关注的是pre-attack和attack-enterprise的内容，包括mobile这块是有单独的项⽬

⽀持。

还有⽐较常见的场景就是标记红蓝对抗的攻守情况，可以⼀⽬了然安全的差距在哪⾥，能够进⾏改进。从下图可以看出，蓝⾊的是能够被检

测到的红队攻击技术，红⾊是蓝队没有检测到的。这在⼀定程度上与罚点球相似，蓝队是守门员，红队是射⼿，最后是衡量攻守结果。

图7：红蓝对抗攻守图

还有⼀种⽤法是对⽬前安全产品的技术有效性进⾏coverage的评估，如下图所⽰：

图8：EDR产品安全技术覆盖度

ATTCK的CARET项⽬

CARET项⽬是CAR（CyberAnalyticsRepository）项⽬的演⽰版本，有助于理解CAR这个项⽬表达的内容。CAR这个项⽬主要是分析

攻击⾏为，并如何检测的⼀个项⽬，在BlueTeam中详细介绍。这⾥，介绍⼀下CARET的⽹络图。该图从左到右分为五个部分：APT团

体、攻击技术、分析技术、数据模型、Sensor或者Agent。APT组织从左到右，安全团队从右到左，在“分析”这⼀列进⾏交汇。APT组

织使⽤攻击技术进⾏渗透，安全团队利⽤安全数据进⾏数据分类并进⾏分析，在“分析”环节进⾏碰撞。

图9：CARET⽹络图

最左侧两列已在上⽂有所介绍，此处不再赘述。我们从最右侧的Sensor开始分析。Sensor主要是⽤于数据收集，基本是基于sysmon、

autoruns等windows下的软件来收集信息。数据模型受到CybOX威胁描述语⾔影响，对威胁分为三元组（对象、⾏为和字段）进⾏描述，

对象分为9种：驱动、⽂件、流、模块、进程、注册表、服务、线程、⽤户session。数据模型是关键所在，它决定了sensor或者agent要

收集哪些数据、怎样组织数据，也为安全分析奠定了基础。“分析”列主要是基于数据模型进⾏安全分析，⼤部分都有伪代码表⽰。

RedTeam使⽤

RedCanaryAtomicRedTeam项⽬

红队使⽤ATTCK框架是⽐较直截了当的场景，可以根据框架的技术通过脚本的⾃动化攻击，这⾥重点推荐RedCanary公司的Atomic

RedTeam项⽬，也是⽬前Github上Star最多的关于ATTCK的项⽬。MITRE与RedCanary