Justice的博客

2024/8/7大约 6 分钟

一. 介绍

威胁情报是指归因于对手的信息或 TTPs（战术、技术和程序），通常由防御者用于协助检测措施。红队可以从攻击的角度利用 CTI 来协助模拟对手。

学习目标:

二. 威胁情报

在任务 1 的基础上，CTI（网络威胁情报）可以通过收集 IOC（入侵指标）和 TTP（战术、技术和程序）来加以利用，这些通常由 ISAC（信息共享和分析中心）分发和维护。情报平台和框架也有助于消费 CTI，主要关注所有活动的总体时间线。

注意：在威胁情报领域，ISAC 这个术语使用得比较宽泛，通常也指代威胁情报平台。

传统上，防御者利用威胁情报为不断变化的威胁态势提供背景信息并量化发现。IOC 通过敌人留下的痕迹来量化，例如域名、IP 地址、文件、字符串等。蓝队可以利用各种 IOC 来构建检测和分析行为。从红队的角度来看，可以将威胁情报视为红队对蓝队能够正确利用 CTI 进行检测能力的分析。

在这个讨论中，我们将重点关注 APT（高级持续性威胁）活动，以及如何利用其记录的 TTP。接下来的任务将详细说明威胁情报的具体内容及其对红队的重要性。

三. 将威胁情报应用于红队

如前所述，红队将利用 CTI（网络威胁情报）来帮助模拟对手行为，并支持对手行为的证据。

为了帮助处理 CTI 和收集 TTP（战术、技术和程序），红队通常会使用威胁情报平台和框架，如 MITRE ATT&CK、TIBER-EU 和 OST Map。

这些网络框架会收集已知的 TTP，并根据不同的特征进行分类，例如：

一旦选择了目标对手，目标是识别所有与该选定对手相关的 TTP，并将它们映射到已知的网络杀伤链中。这一概念将在下一任务中进一步探讨。

利用 TTP 是一种规划技术，而不是在参与执行过程中关注的内容。根据团队的规模，可能会雇佣 CTI 团队或威胁情报操作员来为红队收集 TTP。在参与执行过程中，红队将使用威胁情报来设计工具、修改流量和行为，并模拟目标对手。这一概念将在任务 5 中进一步探讨。

总体而言，红队利用威胁情报分析和模拟对手的行为，通过收集的 TTP 和 IOC（入侵指标）来实现。

四. TIBER-EU 框架(基于威胁情报的伦理红队)

TIBER-EU（Threat Intelligence-based Ethical Red Teaming）是一个由欧洲中央银行开发的常见框架，重点在于使用威胁情报。

根据欧洲中央银行 TIBER-EU 白皮书，“基于威胁情报的伦理红队框架（TIBER-EU）使欧洲和国家当局能够与金融基础设施和机构（以下简称‘实体’）合作，建立一个测试和提升其对复杂网络攻击的抵御能力的程序。”

该框架与其他框架的主要区别在于其“测试”阶段，需要威胁情报来支持红队的测试。

这个框架涵盖了最佳实践，而不是从红队角度可操作的内容。

如果你有兴趣进一步阅读关于该框架的内容，有几个公开的白皮书和文件：

五. TTP Mapping

TTP 映射是红队用来将对手收集的 TTP（战术、技术和程序）映射到标准网络杀伤链的过程。将 TTP 映射到杀伤链有助于红队规划一次演练，以模拟对手。

要开始 TTP 映射过程，首先必须选择一个对手作为目标。选择对手可以基于以下因素：

例如，在本任务中，我们决定使用 APT 39，这是一个由伊朗政府主办的网络间谍组织，因其攻击各种行业而闻名。

我们将使用 Lockheed Martin 网络杀伤链作为我们的标准网络杀伤链来映射 TTP。

我们将从 MITRE ATT&CK 收集 TTP。若你不熟悉 MITRE ATT&CK，它提供了已分类 TTP 的 ID 和描述。有关 MITRE 和如何使用 ATT&CK 的更多信息，请查看 MITRE 相关资料。

ATT&CK 提供了一个基础总结，描述了一个组织收集的 TTP。我们可以使用 ATT&CK Navigator 来帮助我们可视化每个 TTP，并将其归类到杀伤链中。Navigator 通过将对手指定的 TTP 高亮显示在相应的子部分下，来可视化 ATT&CK 链。

要使用 ATT&CK Navigator，请执行以下步骤：

通过 Navigator 层，我们可以分配在演练中要使用的各种 TTP。下面是为 APT39 编制的杀伤链及映射的 TTP：

MITRE ATT&CK 将完成大部分所需工作，但我们也可以通过其他平台和框架补充威胁情报信息。另一个 TTP 框架的例子是 OST Map。

OST Map 提供了一个可视化地图，将多个威胁行为者及其 TTP 关联起来。

其他开源和企业威胁情报平台可以帮助红队成员进行对手模拟和 TTP 映射，如：