Представьте, что вы — специалист по кибербезопасности в крупной компании. Каждую минуту на вашу сеть идут атаки: кто-то пытается подобрать пароли, кто-то загружает вредоносное ПО, а кто-то уже внутри и двигается по инфраструктуре. Как понять, какие техники используют хакеры? Как научиться их предугадывать?
Ответ — MITRE ATT&CK. Это не просто база данных, а целая карта кибератак, которую используют как специалисты по кибербезопасности, так и сами хакеры.
На самом деле MITRE ATT&CK заслуживает не просто статьи, а целого отдельного раздела с подробным разбором всех тактик и соответствующих техник. Возможно мы так и сделаем.
Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить.
Ну или на канал в VK, если хотите видеть новые статьи у себя в ленте.
Сегодня мы разберем, откуда взялась ATT&CK, кто ее создал, как она работает и почему она важна как для специалистов по кибербезопасности, так и для злоумышленников.
📜 История создания MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) была создана в 2013 году американской некоммерческой организацией MITRE Corporation.
MITRE — это организация, которая разрабатывает технологии для правительства США, в том числе в области кибербезопасности. В начале 2010-х годов специалисты MITRE пытались понять, как хакеры ведут себя в скомпрометированной сети. Они проводили атаки в тестовых лабораториях, собирали данные и систематизировали их.
Так появилась первая версия ATT&CK, которая описывала реальные техники взлома, их цели и способы защиты.
С тех пор ATT&CK превратилась в глобальный стандарт, которым пользуются:
- Крупные компании (Microsoft, Google, IBM, Cisco) для защиты своих систем.
- Государственные организации (ФБР, АНБ, Евросоюз) для анализа угроз.
- Этичные хакеры (Red Team) для тестирования безопасности.
- Исследователи для изучения новых методик атак.
Что такое MITRE ATT&CK?
MITRE ATT&CK представляет собой матрицу, которая описывает:
- Тактики (Tactics) — высокоуровневые цели атакующих (например, получение доступа, закрепление, эскалация привилегий).
- Техники (Techniques) — конкретные методы, которые используют злоумышленники для достижения своих целей.
- Подтехники (Sub-techniques) — детализированные варианты атак.
- Процедуры (Procedures) — примеры реальных атак, использующих те или иные техники.
🔍 Как работает MITRE ATT&CK?
ATT&CK представляет собой матричную структуру, где атаки разделены на тактики и техники.
🔹 Тактики — это цели атакующих. Например:
- Initial Access — как злоумышленник получает начальный доступ.
- Execution — выполнение вредоносного кода.
- Persistence — закрепление в системе, чтобы не потерять доступ.
- Privilege Escalation — повышение привилегий.
- Defense Evasion — уклонение от антивирусов и EDR.
- Credential Access — кража паролей.
- Lateral Movement — перемещение по сети.
- Exfiltration — кража данных.
Матрица MITRE ATT&CK для корпоративных сетей (Enterprise) состоит из нескольких колонок, каждая из которых представляет одну из тактик:
🔹 Техники — это конкретные методы, которые используют хакеры. Например:
- Phishing (фишинг) — отправка вредоносных писем.
- Pass-the-Hash — кража хэшей паролей и их использование.
- Scheduled Task — создание запланированных задач для автозапуска вредоноса.
- DLL Injection — внедрение вредоносного кода в легитимные процессы.
Разбор тактики "Persistence" (Закрепление в системе)
В матрице MITRE ATT&CK тактика Persistence включает техники, которые атакующие используют для сохранения доступа к системе даже после перезагрузки или смены учетных данных.
Примеры техник закрепления:
1. Account Manipulation — изменение учетных записей (добавление новых пользователей, изменение паролей).
2. BITS Jobs — использование Background Intelligent Transfer Service (BITS) для выполнения вредоносных задач.
3. Boot or Logon Autostart Execution — автозапуск вредоносного ПО при загрузке системы.
4. Boot or Logon Initialization Scripts — использование скриптов при запуске системы.
5. Browser Extensions — установка вредоносных расширений для браузеров.
6. Scheduled Task/Job — создание запланированных задач для выполнения команд атакующего.
Эти техники позволяют злоумышленникам поддерживать доступ даже после перезагрузки системы и вмешательства специалистов по кибербезопасности.
🎭 Используют ли хакеры MITRE ATT&CK?
Да, и это одна из самых интересных и противоречивых сторон ATT&CK.
🔥 Сценарий 1: Специалисты по кибербезопасности
Blue Team (аналитики SOC) используют ATT&CK для выявления атак. Они изучают техники, настраивают детекторы (SIEM, EDR) и разрабатывают правила защиты.
🔥 Сценарий 2: Этичные хакеры
Red Team и пентестеры используют ATT&CK, чтобы тестировать системы на устойчивость к атакам. Они моделируют атаки, которые могли бы использовать реальные хакеры.
💀 Сценарий 3: Настоящие хакеры
Злоумышленники тоже изучают ATT&CK. Они смотрят, какие техники уже известны и, наоборот, какие реже детектируются. Например, если большинство антивирусов умеют ловить PowerShell-атаки, хакеры могут переключиться на WMI или Living Off The Land Binaries (LOLBins).
Таким образом, ATT&CK — это игра в шахматы между атакующими и специалистами по кибербезопасности.
💡 Интересные факты о MITRE ATT&CK
🔹 ATT&CK обновляется несколько раз в год, добавляя новые техники атак.
🔹 В 2020 году ФБР и АНБ использовали ATT&CK для анализа кибератак со стороны иностранных государств.
🔹 Многие антивирусы и EDR-системы (CrowdStrike, Microsoft Defender, SentinelOne) используют ATT&CK для выявления атак.
🔹 ATT&CK есть не только для Windows, но и для Linux, macOS, облачных сервисов и даже мобильных устройств.
🔹 В 2021 году Google профинансировала расширение ATT&CK для анализа атак на Kubernetes и облачные платформы.
📌 Как изучить MITRE ATT&CK?
Если вы хотите освоить ATT&CK, вот несколько полезных ресурсов:
📌 Официальный сайт: https://attack.mitre.org
📌 ATT&CK Navigator (интерактивная карта): https://mitre-attack.github.io/attack-navigator/
📌 Курсы по ATT&CK: https://attack.mitre.org/resources/training/
🎯 Вывод
MITRE ATT&CK — это один из самых важных инструментов в кибербезопасности. Он помогает специалистам по кибербезопасности предугадывать атаки, а хакерам — совершенствовать свои методы.
🔥 Если вы хотите стать экспертом по кибербезопасности, изучение ATT&CK — обязательный шаг.
🚀 А если вы хакер, ATT&CK может стать вашим путеводителем по современным техникам взлома.
💬 Как вы думаете, ATT&CK помогает больше специалистам по кибербезопасности или хакерам? Напишите в комментариях!
Читайте в следующей статье про первую технику (я бы назвал это первым этапом) атаки на корпоративные сети - Разведка (Reconnaissance).
Поддержать блог можно лайком и комментарием. А если хочется сделать больше, можно кинуть монетку на кофе.
Раз вы прочитали эту статью, скорее всего вам будет интересен весь раздел про Анонимность в сети, а также Инструменты хакера / пентестера
Если Вам интересно, что еще можно найти на канале QA Helper, прочитайте статью: Вместо оглавления. Что вы найдете на канале QA Helper - справочник тестировщика?
Не забудьте подписаться на канал, чтобы не пропустить полезную информацию: QA Helper - справочник тестировщика
Пишите в комментариях что еще было бы интересно рассмотреть более подробно.