使用 MITER ATT&CK 增强威胁搜寻

Andrew 2020-10-23
专栏 - 观点观察 发布于 2020-10-23 17:35:40 阅读 340 评论 0

什么是MITER ATT&CK?

MITRE ATT&CK是对手战术和技术的知识库。它已成为许多网络安全用例(例如威胁搜寻,红色团队和威胁情报充实)中的有用工具。RSA、Black Hat和Gartner安全与风险管理峰会等网络安全会议上经常讨论该框架。该框架提供了基于现实世界观察的情报信息,因此,它对威胁搜寻很有帮助。

Maze勒索软件

Maze 是2020年第三季度的两种顶级勒索软件之一。SandBlast Agent端点保护解决方案包括功能强大的反勒索软件保护模块,可以阻止上一章中介绍的Maze Ransomware。MITER ATT&CK已映射了迷宫勒索软件使用的技术:

图1 Maze MITER ATT&CK矩阵

使用MITRE ATT&CK

SandBlast Agent的威胁搜寻解决方案包括预定义的查询,使您可以快速找到活动的攻击,检测到的攻击,恶意文件等。此外,该解决方案还提供了一个MITER ATT&CK仪表板,可帮助根据MITER ATT&CK的情报调查攻击。在上面的用例中,当我们在MITER ATT&CK的矩阵中查找“Maza”勒索软件时(图1),我们看到了勒索软件所使用的技术列表。我们可以使用SandBlast Agent的hreat Hunting仪表板寻找这些技术。让我们首先看一下“ Windows Management Instrumentation(T1047)”。根据MITER分析,MAZE使用“ wmic.exe”试图删除计算机上的 shadow volumes。当看着SandBlast Agent的MITER ATT&CK仪表板(图2),我们可以看到SandBlast Agent在两台主机上观察到了115次该技术。

图2 MITER ATT&CK威胁搜寻仪表板

我们可以在SandBlast Agent的Threat Hunting仪表板上单击该技术,以查看有关该技术的更多详细信息,更重要的是,获得可以帮助我们快速找到所有相关事件并继续进行调查的查询(图3)。

图3 MITER ATT&K威胁搜寻预定义查询

当运行预定义的查询时,我们会得到令人印象深刻的结果。即使列表中的所有进程都是良性的,但大多数进程的父进程却不是。伟大的狩猎!

图4用MITER ATT&CK成功搜寻

概要

在本章中,我们展示了如何通过使用SandBlast Agent的Threat Hunting解决方案主动寻找MITER ATT&CK技术来增强Endpoint Security。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!