MITER ATTACKとは
ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略で、直訳すると「敵対的な戦術とテクニック、共通知識」となる。ATT&CK はCVEをもとに、脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースである。
なるほど・・・わからん・・・
Cyberkill Chainとは
Cyber Kill Chainとは、攻撃プロセスとその防御を示す軍事用語(Kill Chain)から転用した概念で、サイバー攻撃プロセスをハイレベルに示します。
Cyber Kill Chainの課題
Cyber Kill Chainを用いて具体的なセキュリティ対策に繋げるのは困難
初期侵入までのステップは丁寧に説明されているものの、初期侵入後のプロセスについて比較的曖昧に記載されている。
侵入されることを前提とした「事故前提社会」などという言葉がある通り、現代のセキュリティの考え方では、侵入されることを前提に、侵入を検知し対応する入口、内部、出口部分での対策を行うことがベストプラクティスとされています。
https://www.itmedia.co.jp/enterprise/articles/0912/01/news012.html
MITER ATT&CKの中身
MITER ATT&CKは6つの要素で構成されている
要素1:Tactics(戦術)
要素2:Techniques(手法・技術)
要素3:Common Knowledge(=Procedures)(手順)
要素4:Adversary Groups(グループ)
要素5:Software(ソフトウェア)
要素6:Mitigation(対策)
要素1:Tactics(戦術)
Tacticsは攻撃者の目的を表現しており、現在のMITRE ATT&CK Version 10では14のフェーズで構成されている。
https://atmarkit.itmedia.co.jp/ait/articles/2207/21/news003.html
Reconnaissance(偵察)攻撃者は、実際の攻撃プランを練るために情報を集める偵察活動を行います。ここで収集した情報を③Initial Accessやそれ以降の活動に役立てたり、侵入後の活動へ優先度を付けたりします。
Resource Development(リソースの確保)攻撃者は、攻撃をサポートするリソースを確保する必要があります。そのため、攻撃者はリソース(アカウント、攻撃基盤)を作成、購入、奪取します。ここで入手したリソースをもとに、C2通信を行ったり、フィッシングメールを送信したりします。
Initial Access(初期アクセス)攻撃者がネットワークに侵入し、足場(foothold)を構築するフェーズです。具体的には、標的型メールや脆弱なサーバへの攻撃などを行い侵入します。奪取できた足場は継続的なアクセスができない可能性もあるため、その場合は④ExecutionやPersistenceを行い、足場を継続的にアクセス可能な状態にします。
Execution(実行)攻撃者は、悪意のあるコードを実行します。この手法は、ネットワークの奥への侵入や情報窃取などのより大きな目的を達成するため、他のTacticsに分類されるTechniquesと組み合わせて利用します。代表的な方法として、PowerShellスクリプトの実行などが挙げられます。
Persistence(持続性確保)攻撃者は、構築した足場を継続的に利用できるように、持続性を確保しようと試みます。具体的には、システムを再起動されたり、認証情報が変更されたりした場合でも継続的にアクセスできるように、ASEPs(Auto-Start Extensibility Point)を設定する、バックドアを仕掛けるなどです。
Privilege Escalation(特権昇格)攻撃者が、システムやネットワーク上でより高いレベルの権限を得ることです。最初の足場構築では、非特権権限でネットワークに侵入することが一般的です。しかし、当初の目的を達成するためには特権(管理者権限)が必要になるケースが多々あります。一般的なアプローチは、システムの脆弱性や設定ミスを利用するなどです。
Defense Evasion(検知回避)攻撃者は、一般的に予防・検知されることを望みません。検知回避技術としては、セキュリティ製品のアンインストールや無効化、データやスクリプトの難読化・暗号化などが挙げられます。この技術は、単体で利用するというより、他のTacticsやTechniquesと組み合わせて利用することが一般的です。
Credential Access(クレデンシャルアクセス)攻撃者は、認証情報(アカウント、パスワード)を盗み出そうとします。認証情報を盗み出す技術として、キーロギングやクレデンシャル抽出などがあります。特に、正当な認証情報を利用することにより、攻撃者が検知されづらくなります。
Discovery(発見)攻撃者は、侵入した環境を把握しようとします。このフェーズは、攻撃者がシステムや内部ネットワークに関する知識を得るために利用する技術で構成されています。特にこのフェーズでは、気付かれないようにOSネイティブのツールがよく使われます。
Lateral Movement(横断的侵害)攻撃者は、Discoveryの結果に基づき、環境内を移動していきます。この技術を横断的侵害(Lateral Movement)と言い、ネットワーク上の遠隔システムに侵入し、操作・制御する技術で構成されています。特にこのフェーズでは、ネットワークやOSの正規の認証情報を奪取し、OSネイティブの機能を利用することでステルス性を確保します。
Collection(データの収集)攻撃者は、自分の目的を達成するためデータを収集します。収集は、(ブラウザ、クリップボード、ドライブなど)重要データが格納されている格納場所、および情報漏洩を目的とした情報収集技術(キーロギング、中間者攻撃など)の二つで構成されています。
Command & Control(コマンド&コントロール)攻撃者は、掌握したシステムでC2基盤と通信し、当該システムを制御しようとします。Command & Controlは、攻撃者が被害組織ネットワーク内で制御下にあるシステムと通信するために使用するもので、検出を避けるため、すでに示したステルス性を持つさまざまな技術を利用します。
Exfiltration(情報漏洩)攻撃者がデータを持ち出す技術です。データ収集後、C2通信や他のチャネルを利用し、検知されないよう圧縮・暗号化して持ち出すことが一般的です。攻撃者目線で、データ流出の方法は大きく二種類に分類されます。Smash & Grab(大量のデータを一気に持ち出す)と、Low & Slow(データを細かく分割して少しずつ持ち出す)です。防御側としては両方に対応できる必要があります。
Impact(影響)攻撃者は、システムやデータを操作したり、妨害したり、破壊しようとしています。Impactとは、ビジネスプロセスや運用プロセスを操作することで、可用性を阻害したり、完全性を損なわせたりするために敵対者が使用する技術で、データ破壊や改竄などが挙げられます。昨今のインシデントでは、ランサムウェアによるファイル暗号化などがここに該当します。
要素2:Techniques(手法・技術)
戦術を実現するための技術が記載されています。各Techniquesには、T1003などの番号が割り当てられており、番号により識別を行うことができます。
要素3:Common Knowledge(=Procedures)(手順)
要素4:Adversary Groups(グループ)
要素5:Software(ソフトウェア)
要素6:Mitigation(対策)
六要素の関係性を図示すると以下のとおりです。
(『MITRE ATT&CK : DESIGN AND PHILOSOPHY』に作成されるもので、複数のATT&CK解説サイトで参照されています)攻撃に関連する技術を体系的に示すフレームワークであり、非常に完成度が高いと考えられています。
※驚異インテリジェンスの教科書より
参考文献など
Cyber Kill Chain、MITRE ATT&CKなどは、主に標的型攻撃(APT攻撃:Advanced Persistent Threat攻撃)に注目したフレームワークです。標的型攻撃とは、特定の組織から機密情報・個人情報を窃取することを目的とした攻撃です。
攻撃者が対象システムへ侵入するプロセスをわかりやすく抽象化している点です。
経営層に説明する際に重要なことは、抽象度を上げることです。具体的には、3~7ステップ程度で説明できることが望ましいと言われており、その一つにCyber Kill Chainなどが挙げられます。Cyber Kill Chainが今でも説明に利用される理由として、7ステップで非常にわかりやすく、説明しやすい点があると思います。これを攻撃シナリオと呼び、具体的手法を現在の環境に重ね合わせることで、どのように攻撃者が目的を実現するのか説明していきます。
MITRE ATT&CK: Design and Philosophy MITRE ATT&CKの設計、作成、保守の動機と詳細を説明しています。ATT&CKのガイドとして、また知識の習得として役立ちます。 https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
MITRE ATT&CKとは?概要や活用例を徹底解説 – ManageEnginehttps://www.manageengine.jp/products/EventLog_Analyzer/solution-idm_mitre-attack.html