自2015年上市以来,MITRE ATT&CK TM知识库见证了网络安全社区的巨大贡献。ATT&CK整理这些信息,以提供通用语言和针对多个威胁组中对手行为的结构化情报。ESET的最新贡献包括软件中的四个条目和ATT&CK的“组”类别中的一个扩展。
软件:
1. Attor(S0438)
Attor是一个以前从未报告的网络间谍平台,至少从2013年开始就用于针对主要位于俄罗斯的外交使团和政府机构的针对性攻击。Attor的体系结构由调度程序和可加载插件组成。发现
ESET并根据其插件的两个显着功能对其进行了命名:设备监视器插件具有使用AT命令对GSM设备进行指纹识别的功能,以及Tor客户端插件将Tor用于命令和控制通信以及渗透的功能。
Attor的功能映射到32种ATT&CK Enterprise技术和18种子技术。
2. Okrum(S0439)
Okrum是ESET首先检测到的先前未知的后门于2016年底袭击了斯洛伐克,比利时,智利,危地马拉和巴西的外交使团。Okrum背后的恶意行为者采取了多种策略以使其未被发现,例如将恶意有效载荷嵌入到合法的PNG图像中,采用了多种反仿真和反沙盒技巧,并对实现进行了频繁更改。
ESET发现Okrum后门提供了Ketrican示例,并将其与Ke3chang(APT15)组的工作联系起来。Okrum条目包括28个ATT&CK Enterprise技术和24个子技术。
3.科姆拉茨(S0126)
科姆拉茨,至少2007年以来使用的Turla威胁组最喜欢的后门,被发现ESET于2017年发布的最新版本(第四版),针对两个外交部和一个国会。操作人员正在使用后门来发现,窃取和泄露机密文件。
ESET研究人员发现了16种ATT&CK Enterprise技术和11种子技术。
4.防御者ID(S0479)
防御者ID是一个Android银行木马,当用户授予激活无障碍服务的权限时释放其愤怒。该应用程序包含许多恶意功能,其中包括窃取登录凭据,SMS和电子邮件消息,显示的加密货币私钥以及软件生成的多因素身份验证代码;清理银行账户和加密货币钱包;并接管电子邮件和社交媒体帐户。
防御者ID的功能映射到6种ATT&CK Mobile技术。
团体:
1. Turla(G0010)
ESET研究人员确定了ComRAT v4和Turla威胁组之间的若干联系。后门的第四版使用内部名称“ Chinch”(与以前的版本相同),在HTTP上使用与ComRAT v3相同的自定义命令和控制协议,与Mosquito(Turla使用的另一个后门)共享其网络基础结构的一部分,并且被看到放弃或放弃其他Turla恶意软件家族。
通过将ComRAT v4链接到Turla,ESET提供了13种ATT&CK Enterprise技术和Turla集团6种子技术的扩展。
MITRE ATT&CK评估:模拟Carbanak / FIN7 APT组
MITRE ATT&CK的评估也很著名。评估运行在第三轮中,它使用模拟攻击来测试安全产品的防范和检测能力,以对抗知名对手所采用的技术。ESET和MITER ATT&CK团队将参加红色和蓝色的团队活动,使ESET经受Carbanak / FIN7 APT组技术的考验。
FIN7以创建一家名为Combi Security 的前端公司而臭名昭著,该公司以各种网络安全角色(例如渗透测试仪)为幌子招聘了黑帽新兵。迄今为止,美国司法部已逮捕并指控了该组织的四名成员。发现 ESETCarbanak恶意软件针对赌场中信用卡数据的销售点系统。Carbanak以针对金融和零售行业而闻名,包括银行,外汇交易公司,赌场,酒店和餐馆。
ATT&CK如何使ESET受益?
截至2020年8月,ESET对MITER ATT&CK贡献的数量持续增长,ESET是直接参与MITER ATT&CK知识库的改进和推广的最受参考和参与的供应商之一。ESET与ATT&CK的合作继续为产品研发,恶意软件研究实践及其正在进行的网络安全意识工作提供信息。这些持续不断的贡献还有助于为将知识转移到紧密联系的社区提供其他可能性。