来源:https://car.mitre.org/
MITRE网络分析知识库(MITRE Cyber Analytics Repository,CAR)是MITRE基于MITRE ATT&CK敌手模型开发的分析知识库。
如果您想开始探索,请尝试查看完整的分析列表或使用CAR Exploration Tool (CARET)。此外,请查看新的ATT&CK导航层,该层捕获当前的ATT&CK战术和技术集合。
存储在CAR中的分析包含以下信息:
(1)解释分析背后思想的假设
(2)信息域或分析的主要域被设计用于内部操作(例如,主机、网络、进程、外部)
(3)引用检测到的ATT&CK技术和战术
(4)术语表
(5)关于如何实现分析的伪代码描述
(6)可以运行以触发分析的单元测试
除了分析,CAR还包含用于运行分析的可观察数据的数据模型,以及用于收集数据的传感器。
1、方法
CAR分析是为了检测ATT&CK的对手行为而开发的。分析的发展是基于以下活动:
从ATT&CK对手模型中识别和区分对手的行为
识别检测对手行为所需的数据
识别或创建一个传感器来收集必要的数据
实际创建分析来检测识别的行为
CAR旨在与整个社区的网络防御者共享。
2、CAR和ATT&CK
重要的是要记住,ATT&CK和CAR是有充分理由的独立项目。关键的是要保持我们如何使用ATT&CK表达威胁与使用分析方法检测威胁分开。我们不希望ATT&CK中的防御者内容对于如何防御ATT&CK技术有过多的规定,因为可能有许多不同的方法,而实现这些方法的组织需要确定哪些方法最适合他们的环境和他们所面临的威胁。这就是为什么我们没有把分析放在ATT&CK的开始。CAR对于许多组织来说是一个很好的起点,并且可以成为开放分析协作的一个很好的平台——但是它不是防御ATT&CK所描述的威胁的最重要的/最终的。
3、分析源代码库
有些分析是作为特定产品的源代码构建的。在这些情况下,代码可能会以一种难以描述一组不同分析的方式支持一组广泛的检测。对于这些类型的分析,我们并没有将它们集成到主要的CAR库中,而是将它们收集到一个实现库中。目前,惟一的库是BZAR,它是Zeek (Bro)脚本的集合,主要关注SMB和RPC流量。
4、BZAR(Bro/ Zeek 基于ATT&CK的分析和报告)
4.1介绍
BZAR项目使用Bro/Zeek网络安全监视器来检测基于攻击和通信的对抗活动。
MITRE ATT&CK是一个公开的,策划的网络对手行为知识库,反映了对手生命周期的各个阶段和他们已知的目标平台。ATT&CK模型包含多个威胁组的行为。
BZAR是一组Bro/Zeek脚本,利用SMB和DCE-RPC协议分析器和文件提取框架来检测ATT&CK类活动、发出通知并写入通知日志。
4.2检测att&ck类活动的复杂分析
BZAR分析使用Bro/Zeek摘要统计(SumStats)框架来结合SMB和DCE-RPC流量中的两个或多个简单指标,以更大的可信度检测att&ck类活动。三(3)个BZAR分析如下。
4.3对ATT&CK横向移动和执行的SumStats
如果在指定的时间内观察到SMB横向移动指示器(例如,SMB文件写入到Windows管理文件共享:Admin $或C$ only)和DCE-RPC执行指示器同时指向同一(目标)主机,则使用SumStats引发Bro/Zeek通知事件。
1、有关ATT&CK技术
T1077 Windows管理共享(仅文件共享,没有命名管道)和
T1105远程文件拷贝
下列之一:
T1035服务执行
T1047 Windows管理工具
T1053计划任务
2、Bro/Zeek检测到相关指标
smb1_write_andx_response::c$smb_state$path包含ADMIN$或c$
smb2_write_request::c$smb_state$path包含ADMIN$或c$ *
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
svcctl: CreateServiceW
svcctl: CreateServiceA
svcctl: StartServiceW
svcctl: StartServiceA
IWbemServices: ExecMethod
IWbemServices: ExecMethodAsync
atsvc: JobAdd
ITaskSchedulerService: SchRpcRegisterTask
ITaskSchedulerService: SchRpcRun
ITaskSchedulerService: SchRpcEnableTask
注意:首选是检测smb2_write_response事件(而不是smb2_write_request),因为它将确认文件确实被写入了远程目的地。不幸的是,Bro/Zeek还没有针对SMB消息类型的事件。
4.4ATT&CK横向移动的SumStats分析(多次尝试)
如果观察到多个SMB横向移动指示器(例如,多个连接到Windows管理文件共享的尝试:Admin $或C$ only)来自同一主机,不管是否有写尝试,也不管是否有连接成功(只是连接尝试),那么使用SumStats引发Bro/Zeek通知事件。
1、有关ATT&CK技术
T1077 Windows管理共享(仅文件共享,不指定管道)
2、由Bro/Zeek检测到的指标
smb1_tree_connect_andx_request::c$smb_state$path包含ADMIN$或c$
c$smb_state$path包含ADMIN$或c$
4.5ATT&CK发现的SumStats分析
如果在指定的时间段内观察到来自同一主机的多个DCE-RPC发现指示器实例,则使用SumStats引发Bro/Zeek通知事件。
1、有关ATT&CK技术
T1016系统网络配置发现
T1018远程系统发现
T1033系统所有者/用户发现
T1069权限组发现
T1082系统信息发现
T1083文件和目录发现
T1087帐户发现
T1124系统时间发现
T1135网络共享发现
2、Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
lsarpc: LsarEnumerateAccounts
lsarpc: LsarEnumerateAccountRights
lsarpc: LsarEnumerateAccountsWithUserRight
lsarpc: LsarEnumeratePrivileges
lsarpc: LsarEnumeratePrivilegesAccount
lsarpc: LsarEnumerateTrustedDomainsEx
lsarpc: LsarGetSystemAccessAccount
lsarpc: LsarGetUserName
lsarpc: LsarLookupNames
lsarpc: LsarLookupNames2
lsarpc: LsarLookupNames3
lsarpc: LsarLookupNames4
lsarpc: LsarLookupPrivilegeDisplayName
lsarpc: LsarLookupPrivilegeName
lsarpc: LsarLookupPrivilegeValue
lsarpc: LsarLookupSids
lsarpc: LsarLookupSids2
lsarpc: LsarLookupSids3
lsarpc: LsarQueryDomainInformationPolicy
lsarpc: LsarQueryInfoTrustedDomain
lsarpc: LsarQueryInformationPolicy
lsarpc: LsarQueryInformationPolicy2
lsarpc: LsarQueryTrustedDomainInfo
lsarpc: LsarQueryTrustedDomainInfoByName
samr: SamrLookupNamesInDomain
samr: SamrLookupIdsInDomain
samr: SamrLookupDomainInSamServer
samr: SamrGetGroupsForUser
samr: SamrGetAliasMembership
samr: SamrGetMembersInAlias
samr: SamrGetMembersInGroup
samr: SamrGetUserDomainPasswordInformation
samr: SamrEnumerateAliasesInDomain
samr: SamrEnumerateUsersInDomain
samr: SamrEnumerateGroupsInDomain
samr: SamrEnumerateDomainsInSamServer
samr: SamrQueryInformationAlias
samr: SamrQueryInformationDomain
samr: SamrQueryInformationDomain2
samr: SamrQueryInformationGroup
samr: SamrQueryInformationUser
samr: SamrQueryInformationUser2
samr: SamrQueryDisplayInformation
samr: SamrQueryDisplayInformation2
samr: SamrQueryDisplayInformation3
srvsvc: NetrConnectionEnum
srvsvc: NetrFileEnum
srvsvc: NetrRemoteTOD
srvsvc: NetrServerAliasEnum
srvsvc: NetrServerGetInfo
srvsvc: NetrServerTransportEnum
srvsvc: NetrSessionEnum
srvsvc: NetrShareEnum
srvsvc: NetrShareGetInfo
wkssvc: NetrWkstaGetInfo
wkssvc: NetrWkstaTransportEnum
wkssvc: NetrWkstaUserEnum
4.6检测类att&ck活动的简单指标
除了上面描述的分析之外,BZAR还在SMB和DCE-RPC流量中使用简单的指示器来检测att&ck类活动,尽管与通过SumStats分析检测相比,BZAR的置信度要低一些。BZAR指标分为六类,如下所述。
4.6.1ATT&CK横向运动指标
如果观察到SMB横向移动指示器的单个实例(例如,SMB文件写入到Windows管理文件共享:Admin $或C$ only),则引发Bro/Zeek通知事件,这表示类似于att&ck的活动。
有关ATT&CK技术
T1077 Windows管理共享(仅文件共享,不指定管道)
T1105远程文件复制
Bro/Zeek检测到相关指标
smb1_write_andx_response::c$smb_state$path包含ADMIN$或c$
smb2_write_request::c$smb_state$path包含ADMIN$或c$ *
注意:首选是检测smb2_write_response事件(而不是smb2_write_request),因为它将确认文件确实被写入了远程目的地。不幸的是,Bro/Zeek还没有针对SMB消息类型的事件。
4.6.2用于文件提取框架的指示器
启动Bro/Zeek文件提取框架,将与att&ck类横向移动相关的文件的副本保存到远程系统上。为提取的文件的横向移动提出一个Bro通知事件。
有关ATT&CK技术
T1077 Windows管理共享(仅文件共享,不指定管道)
T1105远程文件复制
Bro/Zeek检测到相关指标
smb1_write_andx_response::c$smb_state$path包含ADMIN$或c$
smb2_write_request::c$smb_state$path包含ADMIN$或c$ *
注意:首选是检测smb2_write_response事件(而不是smb2_write_request),因为它将确认文件确实被写入了远程目的地。不幸的是,Bro/Zeek还没有针对SMB消息类型的事件。
4.6.3ATT&CK证书访问指示符
如果观察到下列任一Windows DCE-RPC函数(endpoint::operation)的单个实例,则引发Bro/Zeek通知事件,这表明远程系统上存在类似于att&ck的凭据访问技术。
有关ATT&CK技术(s)
T1003凭据倾销
Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
drsuapi: DRSReplicaSync
drsuapi: DRSGetNCChanges
4.6.4用于文件提取框架的指示器
启动Bro/Zeek文件提取框架,将与att&ck类横向移动相关的文件的副本保存到远程系统上。为提取的文件的横向移动提出一个Bro通知事件。
有关ATT&CK技术
T1077 Windows管理共享(仅文件共享,不指定管道)
T1105远程文件复制
Bro/Zeek检测到相关指标
smb1_write_andx_response::c$smb_state$path包含ADMIN$或c$
smb2_write_request::c$smb_state$path包含ADMIN$或c$ *
注意:首选是检测smb2_write_response事件(而不是smb2_write_request),因为它将确认文件确实被写入了远程目的地。不幸的是,Bro/Zeek还没有针对SMB消息类型的事件。
4.6.5ATT&CK凭证访问指示符
如果观察到下列任一Windows DCE-RPC函数(endpoint::operation)的单个实例,则引发Bro/Zeek通知事件,这表明远程系统上存在类似于att&ck的凭据访问技术。
有关ATT&CK技术(s)
T1003凭据倾销
Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
drsuapi: DRSReplicaSync
drsuapi: DRSGetNCChanges
4.6.6ATT&CK 防御闪避指标
如果下列任何一个实例存在,则引发Bro/Zeek通知事件
可以观察到Windows DCE-RPC函数(endpoint::operation),这表明远程系统上存在类似于att&ck的防御规避技术。
有关ATT&CK技术
T1070:主机上的指示器移除
Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
事件日志:ElfrClearELFW
事件日志:ElfrClearELFA
IEventService: EvtRpcClearLog
InitShutdown: BaseInitiateShutdown
InitShutdown: BaseInitiateShutdownEx
WindowsShutdown: WsdrInitiateShutdown
winreg: BaseInitiateSystemShutdown
winreg: BaseInitiateSystemShutdownEx
winstation_rpc: RpcWinStationShutdownSystem
samr: SamrShutdownSamServer # MSDN表示网络上未使用
4.6.7ATT&CK执行指标
如果观察到下列任一Windows DCE-RPC函数(endpoint::operation)的单个实例,则引发Bro/Zeek通知事件,这表明远程系统上存在类似于att&ck的执行技术。
有关ATT&CK技术(s)
T1035服务执行
T1047 Windows管理工具
T1053计划任务
Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
atsvc: JobAdd
ITaskSchedulerService: SchRpcEnableTask
ITaskSchedulerService: SchRpcRegisterTask
ITaskSchedulerService: SchRpcRun
IWbemServices: ExecMethod
IWbemServices: ExecMethodAsync
svcctl: CreateServiceA”
svcctl: CreateServiceW
svcctl: StartServiceA
svcctl: StartServiceW
4.6.8ATT&CK持久性指标
如果观察到下列任一Windows DCE-RPC函数(endpoint::operation)的单个实例,则引发Bro/Zeek通知事件,这表明远程系统上存在类似于att&ck的持久性技术。
有关ATT&CK技术(s):
T1004 Winlogon帮助DLL
T1013端口监视器
Bro/Zeek检测到相关指标
dce_rpc_response::c$dce_rpc$endpoint + c$dce_rpc$operation包含以下任何一个:
spoolss::RpcAddMonitor #又名winspool | spoolss
spoolss::RpcAddPrintProcessor #又名winspool | spoolss
IRemoteWinspool: RpcAsyncAddMonitor
IRemoteWinspool: RpcAsyncAddPrintProcessor
ISecLogon: SeclCreateProcessWithLogonW
ISecLogon: SeclCreateProcessWithLogonExW
附加的DCE-RPC接口和方法
BZAR项目又增加了144个Microsoft DCE-RPC接口uuid(也称为。到Bro/Zeek DCE_RPC::uuid_endpoint_map。
BZAR项目还增加了1145个Microsoft DCE-RPC接口方法(也称为。“操作”)到Bro/Zeek DCE_RPC::操作。
