MITRE ATT&CKは、実際のサイバー攻撃を元に攻撃者の戦術と技術に関するナレッジベースです。
ATT&CKナレッジベースは、民間企業、政府機関、サイバーセキュリティ製品・サービスのコミュニティにおいて脅威モデルや防御方法を開発するための基盤として利用されており、ATT&CK はMITRE のミッションである「より安全な世界のために問題を解決する」ことを実現するためコミュニティが協力してより効果的なサイバーセキュリティを開発しています。
ATT&CK は無料で公開されており誰でも利用することができるものとなっています
ここでは実際のサイバー攻撃の攻撃プロセスがどのように行われているのかを「MITRE ATT&CK」で理解していただき、効果的なサイバー攻撃対策について見直すきっかけにしてもらえればと思います。
もしかすると今行っているサイバー攻撃対策は、実際の攻撃に当てはめると無意味なものである可能性もあります。
ATT&CKは敵をシュミレーションするテストを計画する際にもインシデント検知チームが進捗状況を確認する際にも不可欠なツールとなっています。
さらにATT&CKはmacOSやLinuxに対して使用する技術、モバイルデバイスに対して使用する技術、攻撃者が攻撃前の作戦を計画・実施する戦略なども取り入れて拡張しつづけています。
ATT&CKとは?
ATT&CKは主に攻撃手法のナレッジベースであり、Windowsなどの特定のプラットフォームに対して使用可能な攻撃手法と内訳と分類を行っています
攻撃者が使用するツールやマルウェアを解説するものではなく、攻撃者が攻撃中にシステムにどのように攻撃してくるのかに焦点を当てています。
各テクニックには、レッドチームやペネトレーション担当者が攻撃技術の本質を理解するために、また防御側が攻撃技術を使用することにより発生するイベントやログなどに関係するものを理解するための関連する情報が含まれています。
ATT&CKのTactics(戦術)について
ATT&CKのTactics(戦術)は、ATT&CKテクニックを行う「理由」を表しています。
Tactics(戦術)はある行動を行うための敵の戦術的な目的であり、個々のテクニックのためのカテゴリとして機能し、アクセスの持続、情報発見、横方向移動、ファイル実行、データ流出など攻撃者が攻撃中に行う行動の内容をカバーしています。
実際のサイバー攻撃における戦術(プロセス)は後述を参考にしてください。
ATT&CKのTechniques(テクニック)について
ATT&CKのTechniques(テクニック)とは、攻撃者がある行動を行うことで戦術的な目的を達成することができる「方法」を表しています。
例えば、攻撃者はネットワーク内で認証情報を入手するためにダンプを行い、入手した認証情報を元に横移動を行うことができます。Techniques(テクニック)は、敵対者がアクションを実行することで得られる「何」を表すこともあります。
これにより、攻撃者が特定の行為によってどのような種類の情報を得ようとしているのかを明らかにすることができます。
戦術目標を達成するためには多くの方法(Techniques(テクニック))を使用するため、各Tactics(戦術)カテゴリには複数のTechniques(テクニック)が存在することが多いです。
実際のサイバー攻撃におけるテクニックは後述を参考にしてください。
ATT&CKマトリックス
Tactics(戦術)とTechniques(テクニック)の関係は、ATT&CKマトリックスで可視化することができます。
例えば、ターゲット環境に残留する戦術「Persistence(アクセスの維持)」の下に「AppInit DLL」、「New Service」、「Scheduled Task」などの一連のテクニックがあります。
これらはそれぞれ、攻撃者がPersistenceという目標を達成するために使用する可能性のある1つのテクニックです。
ATT&CKマトリクスは、ATT&CKの中でも最も広く認知されているもので以下のように表として示されています。
ATT&CKマトリクスは、環境の防御範囲やセキュリティ製品の検知能力、インシデントやレッドチームの活動結果などを示すのによく使用されており、ATT&CKの中でも最も広く知られているものになります。
ATT&CKのTactics(戦術)一覧
ATT&CKのTactics(戦術)で紹介されているものはEnterpriseとMobileの2種類あり、この2つはほとんどの項目が重複していますが、Mobileだけにある戦術もあります。
基本的な攻撃プロセスは上から下のゴールに向かって攻撃が展開されますので、どのような攻撃プロセスが行われるのかに着目しましょう。
Enterprise tactics
| ID | Name | Description |
|---|---|---|
| TA0043 | Reconnaissance(偵察) | 攻撃者が作戦を計画するために使用できる情報を集めようとしている |
| TA0042 | Resource Development(リソース開発) | 攻撃者が作戦を遂行するために使用できるリソースを開発しようとしている |
| TA0001 | Initial Access(初期アクセス) | 攻撃者がネットワークに侵入しようとしている |
| TA0002 | Execution(実行) | 攻撃者が悪意のあるコードを実行しようとしている |
| TA0003 | Persistence(アクセスの維持) | 攻撃者が侵入できるアクセスを維持しようとしている |
| TA0004 | Privilege Escalation(権限昇格) | 攻撃者がより高いレベルの権限を得ようとしている |
| TA0005 | Defense Evasion(防御回避) | 攻撃者が発見されるのを避けようとしている |
| TA0006 | Credential Access(認証搾取) | 攻撃者がアカウント名やパスワードを盗もうとしている |
| TA0007 | Discovery(環境把握) | 攻撃者が侵入した環境を把握しようとしている |
| TA0008 | Lateral Movement(横展開) | 攻撃者が侵入した環境の更に奥に移動しようとしている |
| TA0009 | Collection(情報収集) | 攻撃者が目的のために必要なデータを集めようとしている |
| TA0011 | Command and Control(C&C) | 攻撃者が用意したC&Cシステムと通信してシステムを制御しようとしている |
| TA0010 | Exfiltration(データ漏えい) | 攻撃者がデータを盗もうとしている |
| TA0040 | Impact(実被害) | 攻撃者がシステムやデータを操作したり、妨害したり、破壊しようとしている |
Mobile Tactics
| ID | Name | Description |
|---|---|---|
| TA0027 | Initial Access(初期アクセス) | 攻撃者がネットワークに侵入しようとしている |
| TA0041 | Execution(実行) | 攻撃者が悪意のあるコードを実行しようとしている |
| TA0028 | Persistence(アクセスの維持) | 攻撃者が侵入できるアクセスを維持しようとしている |
| TA0029 | Privilege Escalation(権限昇格) | 攻撃者がより高いレベルの権限を得ようとしている |
| TA0030 | Defense Evasion(防御回避) | 攻撃者が発見されるのを避けようとしている |
| TA0031 | Credential Access(認証搾取) | 攻撃者がアカウント名やパスワードを盗もうとしている |
| TA0032 | Discovery(環境把握) | 攻撃者が侵入した環境を把握しようとしている |
| TA0033 | Lateral Movement(横展開) | 攻撃者が侵入した環境の更に奥に移動しようとしている |
| TA0035 | Collection(情報収集) | 攻撃者が目的のために必要なデータを集めようとしている |
| TA0037 | Command and Control(C&C) | 攻撃者が用意したC&Cシステムと通信してシステムを制御しようとしている |
| TA0036 | Exfiltration(データ漏えい) | 攻撃者がデータを盗もうとしている |
| TA0034 | Impact(実被害) | 攻撃者がシステムやデータを操作したり、妨害したり、破壊しようとしている |
| TA0038 | Network Effects(ネットワーク影響) | 攻撃者がデバイスとの間のネットワークトラフィックを傍受または操作しようとしている |
| TA0039 | Remote Service Effects(リモートサービス影響) | 攻撃者がリモートサービスを使用してデバイスを制御または監視しようとしている |
ATT&CKのTechniques(テクニック)一覧
ATT&CKのTechniques(テクニック)で紹介されているものはTacticsと同じくEnterpriseとMobileの2種類あります。
どのような攻撃手法が行われるのかチェックしましょう
Enterprise Techniques
| ID | Name | Description |
|---|---|---|
| T1548 | Abuse Elevation Control Mechanism | |
| T1134 | Access Token Manipulation | |
| T1531 | Account Access Removal | |
| T1087 | Account Discovery | |
| T1098 | Account Manipulation | |
| T1583 | Acquire Infrastructure | |
| T1595 | Active Scanning | |
| T1071 | Application Layer Protocol | |
| T1010 | Application Window Discovery | |
| T1560 | Archive Collected Data | |
| T1123 | Audio Capture | |
| T1119 | Automated Collection | |
| T1020 | Automated Exfiltration | |
| T1197 | BITS Jobs | |
| T1547 | Boot or Logon Autostart Execution | |
| T1037 | Boot or Logon Initialization Scripts | |
| T1217 | Browser Bookmark Discovery | |
| T1176 | Browser Extensions | |
| T1110 | Brute Force | |
| T1612 | Build Image on Host | |
| T1115 | Clipboard Data | |
Comments