MITRE ATT&CK ist eine Wissensdatenbank mit Taktiken und Techniken des Gegners, die auf Beobachtungen aus der Praxis basiert. ATT&CK ist offen und steht jeder Person oder Organisation kostenlos zur Verfügung. Nachfolgend finden Sie eine Sammlung von MITRE ATT&CK-Tools und -Ressourcen, die kostenlos zur Verfügung stehen.
E-Book: Erste Schritte mit ATT&CK
Dieses kostenlose eBook fasst die Inhalte aus Blogbeiträgen zu Bedrohungsinformationen, -erkennung und -analyse, Gegneremulation und Red Teaming sowie Bewertungen und Engineering in einem einzigen, praktischen Paket zusammen.
CALDERA
CALDERA ist eine Cybersicherheitsplattform, die die einfache Automatisierung der Gegneremulation, die Unterstützung manueller Red-Teams und die Automatisierung der Reaktion auf Vorfälle ermöglicht. Sie basiert auf dem MITRE ATT&CK-Framework und ist ein aktives Forschungsprojekt bei MITRE.
Das Framework besteht aus zwei Komponenten:
- Das Kernsystem. Dies ist der Framework-Code, der aus dem besteht, was in diesem Repository verfügbar ist. Eingeschlossen ist ein asynchroner Command-and-Control-Server (C2) mit einer REST-API und einer Weboberfläche.
- Plugins. Diese Repositories erweitern die Kernfunktionen des Frameworks und bieten zusätzliche Funktionen. Beispiele sind Agenten, Berichte, TTP-Sammlungen usw.
Whitepaper: Best Practices für MITRE ATT&CK Mapping
CISA verwendet ATT&CK als Linse, durch die das Verhalten von Gegnern identifiziert und analysiert wird. CISA hat diesen Leitfaden zusammen mit dem Homeland Security Systems Engineering and Development Institute (HSSEDI) erstellt, einem dem DHS gehörenden, staatlich finanzierten Forschungs- und Entwicklungszentrum (FFRDC), das mit dem MITRE ATT&CK-Team zusammengearbeitet hat.
KASKADE
CASCADE ist ein Forschungsprojekt bei MITRE, das darauf abzielt, einen Großteil der Ermittlungsarbeit zu automatisieren, die ein „Blue Team“ durchführen würde, um anhand von Hostdaten den Umfang und die Bösartigkeit verdächtigen Verhaltens in einem Netzwerk zu ermitteln.
Der CASCADE-Server-Prototyp kann Benutzerauthentifizierungen verarbeiten, Analysen ausführen und Untersuchungen durchführen. Der Server führt Analysen für in Splunk/ElasticSearch gespeicherte Daten durch, um Warnmeldungen zu generieren. Warnmeldungen lösen einen rekursiven Untersuchungsprozess aus, bei dem mehrere nachfolgende Abfragen verwandte Ereignisse erfassen. Zu den unterstützten Ereignisbeziehungen gehören übergeordnete und untergeordnete Prozesse (Prozessbäume), Netzwerkverbindungen und Dateiaktivität. Der Server generiert automatisch ein Diagramm dieser Ereignisse, das die Beziehungen zwischen ihnen zeigt, und kennzeichnet das Diagramm mit Informationen aus dem ATT&CK-Projekt.
Metta
Metta ist ein Tool zur Vorbereitung auf Informationssicherheit. Dieses Projekt verwendet Redis/Celery, Python und Vagrant mit VirtualBox, um eine gegnerische Simulation durchzuführen. Auf diese Weise können Sie Ihre hostbasierte Instrumentierung testen, aber je nachdem, wie Sie Ihre Vagrants einrichten, können Sie möglicherweise auch netzwerkbasierte Erkennung und Kontrollen testen. Das Projekt analysiert YAML-Dateien mit Aktionen und verwendet Celery, um diese Aktionen in die Warteschlange zu stellen und sie einzeln ohne Interaktion auszuführen.
Sandbox-Wahrsager
Sandbox Scryer ist ein Open-Source-Tool zur Generierung von Bedrohungssuche- und Geheimdienstdaten aus öffentlichen Sandbox-Detonationsausgaben. Das Tool nutzt das MITRE ATT&CK Framework, um Ergebnisse zu organisieren und zu priorisieren, und unterstützt so die Zusammenstellung von IOCs, das Verständnis von Angriffsbewegungen und die Suche nach Bedrohungen. Indem es Forschern ermöglicht, Tausende von Proben an eine Sandbox zu senden, um ein Profil für die Verwendung mit der ATT&CK-Technik zu erstellen, kann Sandbox Scryer dabei helfen, Anwendungsfälle in großem Maßstab zu lösen.
Whitepaper: Cyberbedrohungen mit ATT&CK-basierter Analytik aufspüren
Dieses Whitepaper stellt eine Methodik für die Verwendung des MITRE ATT&CK-Frameworks, eines verhaltensbasierten Bedrohungsmodells, vor, um relevante Abwehrsensoren zu identifizieren und verhaltensbasierte analytische Erkennungsfunktionen mithilfe der Gegneremulation aufzubauen, zu testen und zu verfeinern. Diese Methodik kann angewendet werden, um die Netzwerksicherheit von Unternehmen durch die Analyse von Abwehrlücken, die Bewertung von Produkten zur Endpunktsicherheit, die Erstellung und Feinabstimmung von Verhaltensanalysen für eine bestimmte Umgebung und die Validierung von Abwehrmaßnahmen gegen ein gängiges Bedrohungsmodell mithilfe eines Red Teams, das bekanntes Gegnerverhalten emuliert, zu verbessern.
Atomic Red Team
Atomic Red Team ist eine Bibliothek von Tests, die dem MITRE ATT&CK-Framework zugeordnet sind. Sicherheitsteams können Atomic Red Team verwenden, um ihre Umgebungen schnell, portabel und reproduzierbar zu testen. Sie können Atomic-Tests direkt von der Befehlszeile aus ausführen, eine Installation ist nicht erforderlich.
Red Team-Automatisierung (RTA)
RTA bietet ein Framework aus Skripten, mit denen Blue Teams ihre Erkennungsfunktionen gegenüber bösartigen Methoden testen können, nach dem Vorbild von MITRE ATT&CK.
RTA besteht aus Python-Skripten, die Beweise für über 50 verschiedene ATT&CK-Taktiken generieren, sowie einer kompilierten Binäranwendung, die nach Bedarf Aktivitäten wie das Anhalten der Dateizeit, Prozessinjektionen und Beacon-Simulation ausführt Confluence.
Zuordnung von CVEs zu MITRE ATT&CK
Das Forschungsteam von Vulcan Cyber hat diese Site erstellt , um ein laufendes Projekt zur Zuordnung dokumentierter CVEs zu relevanten Taktiken und Techniken aus der MITRE ATT&CK-Matrix vorzustellen. Sie können nach CVES basierend auf bestimmten Techniken suchen und umgekehrt. Weitere Informationen zu diesem Projekt finden Sie im zugehörigen Whitepaper.
