MITRE 已發布最新版本的 ATT&CK 框架,其中特別新增了專門覆蓋針對 VMware 虛擬化平台攻擊戰術、技術和程序(TTPs)的新矩陣。
ATT&CK 的矩陣分為三個主要群組:企業(Enterprise)、行動裝置(Mobile)和工業控制系統(ICS)。其中「企業矩陣」涵蓋了前期滲透 TTPs,以及與 Windows、macOS、Linux、雲服務(辦公套件、身份提供商、SaaS 和 IaaS 平台)、網路設備(以前稱為「網路平台」)和容器相關的攻擊。
MITRE ATT&CK 的17.0版 在「企業矩陣」下新增了一個類別:ESXi。
MITRE 首席網路威脅情報工程師 Amy L. Robertson 解釋:「我們原本考慮不鎖定ESXi ,但實際威脅報告顯示攻擊活動主要集中在 ESXi 上。儘管虛擬技術不斷演進,ESXi 的角色可能變化,目前攻擊者仍積極利用其功能,特別是在勒索軟體和持久性入侵活動中。隨著其他虛擬機監視器成為攻擊目標,我們將與社群合作,持續更新這些攻擊行為。此次更新旨在為防禦者提供必要工具,以偵測並緩解當今威脅行為者針對現有環境的攻擊。」
新版 ATT&CK 包括 34 種已適應 ESXi 環境的攻擊技術,並新增 4 種全新技術。
Robertson 指出,「此平台範圍主要聚焦在 ESXi虛擬機管理程式的核心作業系統,重點關注虛擬機管理程式本身,而非管理 ESXi 主機的 vCenter 伺服器。只有在 vCenter 相關技術直接影響 ESXi 時(例如利用 vCenter 入侵虛擬機管理程式),才會被納入框架中。」
延伸閱讀:最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
ATT&CK 框架的其他變更和新增內容包括:
- 新的攻擊者行為:包括惡意複製和貼上(如:點擊修復攻擊)、電子郵件轟炸(攻擊者用來為語音釣魚攻擊做準備)以及雲端應用整合(敵手濫用 SaaS 平台中的 OAuth 應用整合)
- 合併重疊技術
- 新的分析工具:幫助防禦者更輕鬆地實施方法,以更早識別入侵,更有效地追蹤敵手轉向,並更快速地做出響應。
- 緩解措施:包含逐步實施指南、真實使用案例和整合工具
- 行動裝置攻擊矩陣:新增攻擊者使用的新技術和工具
- 網路威脅情報部分已更新,新增攻擊群組和活動
關於 MITRE ATT&CK
MITRE ATT&CK 是一個定期更新的公共知識庫,記錄著真實發生的惡意駭客行動模式。它還列出已知/記錄的威脅行為者群組、惡意軟體,以及一些過去的高知名度攻擊活動。
這個框架被網路防禦人員和廠商用於威脅建模和改進防禦措施,建立偵測規則,制定模擬攻擊的劇本,將攻擊者行動映射到 ATT&CK 戰術,建立攻擊時間線,識別偵測或應對策略等。
17.0版的更新反映了虛擬化平台日益成為攻擊目標的趨勢,特別是當前針對 ESXi 環境的勒索軟體攻擊大幅增加。資安專家建議使用 VMware ESXi 的組織應特別關注此次更新,以增強對此類環境的防護能力。
本文轉載自helpnetsecurity。