最近一年多来，ATT&CK的概念在国内外安全社区被炒得很热。笔者陆续也读过国内各安全社区的一些关于ATT&CK的文章，读完后觉得还是读官方文档吧，于是有了这篇文章。

这篇文章的前半部分是三个月前笔者学习ATT&CK相关时的总结笔记，这部分所有的内容来自MITRE官方和部分ATT&CK生态圈的公开资料，我只是做了一个总结和阅读引导。

这篇文章的后半部分是关于如何在基于cuckoo的沙箱系统上运用公开资料搭建ATT&CK展示框架的一般性思考过程。

笔者才疏学浅，能力有限，不足之处请读者谅解。

祝大家国庆快乐！

这部分笔记基于对以下5个公开文档的学习：

ATT&CK的全称是Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK)。它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。

该模型由MITRE公司提出，这个公司一直以来都在为美国军方做威胁建模，之前著名的STIX模型也是由该公司提出的。

官方对ATT&CK定义如下：

MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) is a curated knowledge base and model for cyber adversary behavior, reflecting the various phases of an adversary’s attack lifecycle and the platforms they are known to target.

ATT&CK最直观的表现是一个矩阵。ATT&CK按照技术域(Technology Domains)和平台(Platform)进行了分类，如下：

在具体的矩阵表示中，上述分类都是基于post-compromise阶段。为了对这之前的pre-compromise阶段进行描述，ATT&CK又建立了另外一个矩阵，叫做PRE-ATT&CK Matrix。

根据官方表述，ATT&CK的抽象层次被定位在比较中间的阶段。

我们来看一张图：

由上图可以看到，MITRE公司认为洛克西·马丁公司的Cyber Kill Chain模型是比较高层次的抽象。

以下为洛克西·马丁官方给出的Cyber Kill Chain：

MITRE公司认为上面的模型对于理解高维度的过程和攻击者目标很有帮助，但这类模型无法有效描述对手在单个行动中做了什么，例如：

相反的，对于抽象层次比较低(或几乎没有抽象)的一些概念，诸如具体的漏洞利用数据集，各类恶意软件数据集。MITRE公司认为，这些概念在描述具体技术的实现细节方面是非常详细的，大部分还存在详细的代码片段。但它们的短板在于“只见树木，不见森林”。研究员在分析一个具体漏洞或利用时，或在分析一款具体的恶意软件时，并不知道它是什么时候在什么情况下被什么人使用的，从而缺乏有效的上下文。而且，这个层次的表述也没有考虑到一些合法的软件如何可以被用来实现恶意操作。

而ATT&CK这种中间层次的模型可以将上述这几个部分有效连接起来。ATT&CK中的战术和技术将一次生命周期中的攻击者行为定义到了一个能将其更有效映射到防御的程度。高级别的概念(战术)，诸如控制、执行和维持被进一步分解为更具描述性的分类(技术)。而且技术的具体实现过程还可以细分，一项技术可以通过多种方式去进行实现。

一个中间层次模型也可以有效地将低抽象层级的概念(如漏洞利用、恶意软件)放入上下文中进行思考。漏洞利用和恶意软件对于攻击者的武器库来说是很有用的，但要完全理解它们的实用性，有必要了解它们在实现目标过程中的上下文。 一个中间层次模也可以将威胁情报和事件数据联系起来，以显示谁正在做什么，以及特定技术的使用普遍性。

MITRE在定义ATT&CK时，定义了一些关键对象。

《MITRE ATT&CK：Design and Philosophy》一文中的第3节对这4个对象的数据结构进行了详细定义。以下是这4个对象之间的关系：

当对应到具体情境时原文举了一个APT28的例子：

关于这一节的详细信息可以阅读《MITRE ATT&CK：Design and Philosophy》

ATT&CK能用来干什么？以下是官方给出的答案：

Organize detections to enable:

更多关于Assessment and Engineering/Threat Intelligence/Adversary Emulation 的用法请阅读《Putting MITRE ATT&CK into Action with What You Have, Where You Are》和《ATT&CK™ Your CTI with Lessons Learned from Four Years in the Trenches》

外加：

这部分的详细信息可以阅读《ATT&CK™ Your CTI with Lessons Learned from Four Years in the Trenches》

这部分的详细信息可以阅读《ATT&CK™ Is Only as Good as Its Implementation: Avoiding Five Common Pitfalls》

这部分的详细信息可以阅读《Improving Threat Intellingence and Cyber Defense with MITRE ATT&CK》

这部分的详细信息可以阅读《Improving Threat Intellingence and Cyber Defense with MITRE ATT&CK》

我假定读到这里的读者有沙箱系统开发经验，至少熟悉cuckoo的整套流程。看着国内外各种云沙箱将ATT&CK集成到平台内，也许读者也在思考：如何比较快地将ATT&CK集成到自己正在为之工作的威胁情报平台？

下面笔者来分析一种可行性思考过程。

目前国内外主流沙箱产品都已经增加对ATT&CK的展示界面

Joe Sandbox

VMRAY

微步在线云沙箱

目前国内外主要威胁分析厂商也都已在报告中加入ATT&CK相关描述

FireEye

Kaspersky

ESET

如果要在沙箱平台上增加对ATT&CK矩阵的展示。具体需要分为如下几个步骤：

这里我以原生cuckoo为例，下面是官方文档中对其规则命中格式的描述：

故而，要完成上述步骤1，读者必须想办法在cuckoo的规则文件中绑定对应的规则，这不是什么难事，纯粹是体力活。

完成前置工作后，后面的问题主要是如何获取ID、Name、Description、Tactics、Data Source、Platforms、Urls这些信息。

MITRE在github开源了一个cti项目，里面恰好有我们所需的数据。

该项目中的如下目录中存储着每一个Technique对应的详细信息。

https://github.com/mitre/cti/tree/master/enterprise-attack/attack-pattern

里面的每一个json文件代表了ATT&CK内一个具体的Technique。

以该文件为例。具体说明如下：

MITRE自己也在对应的说明文档中对相关字段进行了详细的解释：

所以，从可行性来看，基于cuckoo的沙箱系统可以在比较短的时间内完成对每个任务ATT&CK矩阵的展示工作。

（当时写这篇文章时）这部分一共244个json文件（现在可能有所增加），只要确保查找算法可以在用户可以接收的时间内将相应的信息展示到界面即可。

ATT&CK矩阵得到展示后，对应的威胁分析人员可以尝试用矩阵中TTP的相似性去关联同源APT样本，负责检测的人员也可以通过该矩阵去继续细化没有覆盖到位的检测点。

MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) is a curated knowledge base and model for cyber adversary behavior, reflecting the various phases of an adversary’s attack lifecycle and the platforms they are known to target.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课