MITRE ATT&CK フレームワークとは？

MITRE は、高度標的型攻撃 (APT) の一部である共通の戦術、技術、手順 (TTP) を文書化する手段として、2013 年に ATT&CK を作成しました。ATT&CK は、進化する攻撃活動や攻撃者の行動を把握して防御することに取り組んでいる防御者や研究者のための、共通の分類や関係モデルを作成する手段として人気が高まり、業界からの支持も得ています。

このフレームワークでは、4 つの主要な問題に取り組んでいます。

IP アドレス、ドメイン、レジストリキー、ファイルハッシュなどの典型的な指標は、攻撃者によってすぐに変更されてしまうため、検知の際にはあまり役に立ちません。これらの指標は、攻撃者が異なるシステムとどのようにやり取りするかを表すものではなく、ある時点であるシステムとのやり取りがあったことを示すだけです。敵対的な行動の可能性を検出することで、一時的で信頼性の低い戦術や技術に調査の焦点を合わせることができます。

攻撃ライフサイクルやサイバーキルチェーンの概念は、行動を防御に関連付けるには少し大まかすぎるため、このような抽象度の高い概念は、TTP を新しいタイプのセンサーにマッピングするのには役立ちませんでした。

観察されたインシデントやキャンペーンに基づいて TTP を作成し、その作業が適用可能であることを示すことが重要です。

TTP は、同じ語彙を使用することで、異なるタイプの攻撃者グループ間で比較可能である必要があります。

IP アドレスは、悪意のある攻撃元を示す最も基本的な指標の一つですが、プロキシサービスを利用して IP アドレスを借用し、頻繁に IP アドレスを変更することも可能です。

ドメイン名やある種のサブドメインには、登録され、利用料が支払われ、ホストされているものがありますが、登録基準がかなり緩和されている DNS サービスプロバイダーがたくさんあります。

ネットワークアーティファクトとは、悪意のあるユーザーを識別し、正当なユーザーと区別することができるアクティビティの一部です。標準的なものとしては、URI パターンや、ネットワークプロトコルに埋め込まれた C2 情報などがあります。

ホストアーティファクトとは、ホストに対する敵対的行為によって引き起こされる観測値のことで、悪意のある活動を識別し、正当な活動と区別するためのものです。このような識別子には、マルウェアによって作成されることが知られているレジストリキーや値、特定の領域にドロップされたファイルやディレクトリなどがあります。

ツールとは通常、攻撃者がターゲットに対して使用するソフトウェアの種類のことです。また、既存のコードやソフトウェアとやり取りするために持ち込まれる一連のツールであることもあります。ツールには、スピアフィッシング用の悪意のある文書を作成するユーティリティや、C2 やパスワードクラッカーを確立するバックドア、その他の危害を加えるユーティリティなどがあります。

ピラミッドの頂点に位置するのが、戦術、技術、手順です。これは、攻撃者がミッションを達成するための、最初の調査段階からデータの流出までの間のすべてのプロセスです。