■ATT&CKとは

一言で言えば、「攻撃者が用いる戦術や戦略のナレッジベース」です。
( ナレッジベース = 知識管理のための特殊なデータベース)

アメリカのMITER社が公開しています。
脅威情報は変化が早いため、四半期に一度は脅威情報が更新されているようです。

ATT&CKには主に以下4つの構成があります。
・Tactics
・Techniques
・Groups
・Software

・Tactics (戦術)
　→ 攻撃を行う目的の一覧。12の戦術が挙げられている。
　　また、目的達成のために様々な手法 (Techniques)を用いる。

・Techniques (手法)
　→ 目的を達成するために使う手法の一覧。Techniquesの中にもSub-Techniquesがある。
　　各手法のページでは、その手法を利用するグループ、手法が利用可能なツール、緩和策なども紹介されてる。

・Groups
　→ 攻撃者、攻撃グループの一覧

・Software
　→ 攻撃で使われるソフトウェア、ツールの一覧

■ATT&CKの各構成の例

12ある戦術として「Initial Access」「Execution」「Lateral Movement」などがあります。

今回例を取り上げるために、日本語化プロジェクトでまだ翻訳されていない「Privilege Escalation」をピックアップして、各構成について説明してみようと思います。

- 戦術 (Tactics) -

(公式の説明を引用)

Privilege Escalation - 権限昇格

攻撃者はより高いレベルの権限を取得することを試みます。

「Privilege Escalation」は、攻撃者がシステムやネットワーク上で高い権限を得るために使うテクニックで構成されています。
攻撃者はしばしば権限を得ずにネットワークに侵入し探索しますが、攻撃者の目的達成のために昇格した権限を要求することもできます。共通のアプローチとして、システムの弱点、設定不備、脆弱性を悪用することが挙げられます。高い権限の例として、「SYSTEM/root(システム権限/ルート権限)」「local administrator(ローカル管理者)」「user account with admin-like access(管理者に近いユーザ)」「user accounts with access to specific system or perform specific function(特定のシステムへのアクセスが可能なユーザ、もしくは特定の機能を実行することが可能なユーザ)」が挙げられます。これらの手法は時に「Persistence (永続化)」の手法と重複することがありますが、これはOSが権限が高いコンテキストで実行する場合があるためです。

- Techniques (手法) -

権限昇格を達成するための手法として以下のTechniquesとSub-Techniquesが挙げられています。
(多いので一部抜粋)

Abuse Elevation Control Mechanism - 昇格制御機構の悪用
　 (以下Sub-Techniques)
　　|_ Setuid and Setgid
　　|_ Bypass User Access Control

Access Token Manipulation - アクセストークンの操作
　　|_ Token Impersonation/Theft
　　|_ Create Process with Token

などなど。。。

- Group -
例えば上記の
Abuse Elevation Control Mechanism - Bypass User Access Control
の手法を用いる攻撃グループの例として
・APT29
・Cobalt Group
などが挙げられています。

そしてAPT29のGroupページを見ると以下のような説明があります。

APT29はロシア政府に関与するとされている脅威グループであり、少なくとも2008年には活動を開始しています。本グループは2015年の夏に始まったアメリカの民主党全国委員会に不正侵入したことが報道されています。

またその他の情報として
・その他関わりのあるグループはどこか
・どういった手法を用いるのか
などが記載されています。

- Software -
同様に
Abuse Elevation Control Mechanism - Bypass User Access Control
の手法が利用可能なソフトウェアの例として
・Cobalt Strike
・Empire
などが挙げられています。

そしてCobalt StrikeのSoftwareページを見ると以下のような説明があります。
(翻訳自信無い..)

Cobalt Strikeは、フル機能を備えた商用のペネトレーションツールで、自身を「標的への攻撃実行や高度な脅威アクターのpost-exploitationをエミュレートするように作成された敵対的シミュレーションソフトウェア」として宣伝しています。 (以下省略)

その他、そのツールで利用可能な手法、ツールを用いるグループなどが紹介されています。

■ATT&CKをもう少し知る

・他のサイバーセキュリティフレームワークとの比較

サイバーセキュリティのフレームワーク「Cyber Kill Chain」をご存知でしょうか。
「Cyber Kill Chain」は偵察活動から目的の実行までをフレームワーク化したものです。

ATT&CKは、この「Cyber Kill Chain」の侵入以降のプロセスを対象としてまとめられています。
(なお、侵入までのプロセスは、PRE-ATT&CKでまとめられている)

その他サイバーセキュリティには様々なフレームワーク、モデル、情報があります。
ATT&CKの位置付けとしては以下のようになっているらしいです。

・Exploitの情報や脆弱性情報(CVEなど)といったものよりも抽象的
・Cyber Kill ChainやMicrosoftの「STRIDE」のような戦略的な知識よりも具体的

つまり抽象度の大小で表すと

 (より具体的) CVE情報、Exploit情報 < ATT&CK < Cyber Kill Chain、STRIDE (より抽象的)

ということ、かなと (分かりにくいか。

・ATT&CKがどういった場面で使用されるか

また、ATT&CKがどういった場面で使用されるかについては
・レッドチーム演習
・SOC成熟度評価
・防御のギャップ評価
などなど、色々使い方はあるようですね。

最近読んでいる「インテリジェンス駆動型インシデントレスポンス」では、攻撃者の情報をトリガーとしてインシデント調査を進めるなどの内容があったので、そういった場合にもATT&CKは有用なのかなと思います。

■まとめ

個人的な備忘録としてATT&CKをまとめてみました。自分が実際に活用するのはほんの少し先になりそうですが、このタイミングでまとめておいてよかったです。公式ページで全ての情報を見ようとするとかなり多いですし、ここでまとめきれていない情報もたくさんあったりします。
とはいえ、時間があればちょっとずつでもいいので目を通していきたいですね。