تشریح مدل MITRE – ATT&CK

مدل ATT&CK ارایه شده توسط شرکت MITRE، مجموعهای از تاکتیکها و تکنیکهایی است که توسط مهاجمان بکار گرفته میشوند. بهبیان جزییتر، تاکتیکها در واقع همان اهدافی هستند که مهاجمان به دنبال آن هستند و تکنیکها، روشهایی هستند که مهاجمان برای رسیدن به اهداف (تاکتیک) های مورد نظر خود از آن استفاده میکنند.

 

جهت روشنتر شدن موضوع، در مدل ATT&CK، تاکتیکی به نام Credential Access داریم که بهمعنای دسترسی مهاجم به اطلاعات احراز هویت است. این تاکتیک، Credential Access، هدفی است که مهاجم با استفاده از ابزارها و روش های مختلف میتواند به آن دست یابد. به عنوان نمونه مهاجم با استفاده از نرم افزار Mimkatz و تکنیک Credential Dumping میتواند به هدف یا تاکتیک Credential Access برسد. شکلهای زیر، روابط بین تاکتیک و تکنیک را نشان میدهد.

 

تاکتیکها و تکنیکهای مندرج در مدل ATT&CK، بر اساس دامنه تکنولوژی و بستر (سیستم عامل) هدف (قربانی) تفکیک شده است. بر این اساس، تاکتیکها و تکنیکها به دو دامنه شبکههای سازمانی (Enterprise) و شبکههای موبایلی تقسیمبندی شده است. در دامنه شبکههای سازمانی، تاکتیکها و تکنیک ها برای سیستمهای ویندوزی، لینوکسی و مک، بهصورت جداگانه مستند شده است و در دامنه شبکههای موبایل، این تفکیک بر اساس Android و iOS است.  با این وجود، میتوان تمامی این تکنیکها را به صورت یکجا نیز داشت.

 

در مدل ATT&aCK تمامی مؤلفههای یک تهدید (شامل گروه مهاجم، تاکتیک، تکنیک، ابزار مورد استفاده) پروفایل شدهاند. به بیان دقیقتر، برای تمامی تاکتیکها، تکنیکها، گروه های مخرب و مهاجمان و همچنین نرم افزارهای مورد استفاده توسط مهاجمان، شناسنامه دار و ساخت یافته هستند. در شکل زیر یک نمونه از این پروفایل ها که مربوط به بدافزار ۳PARA RAT است مشاهده میشود.

 

 

 

 

 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *