ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)とは

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

  • デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順(TTP)を体系化し分類したプラットフォーム
  • 企業や組織が防御の弱点を特定するのに役立つ
  • ナレッジベースとフレームワークの両側面を持つ
  • 4半期に一度、公開情報や提供された情報から更新を行う
  • オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
  • MITRE ATT&CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用:https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用:https://www.socyeti.jp/posts/4873582

続きを読む

APT19について

概要

防衛、金融、エネルギー、製薬、通信、ハイテク、教育、製造、法律サービスなど、さまざまな業界を標的とした中国を拠点とする脅威グループ。
2017年、フィッシングキャンペーンが7つの法律および投資会社を標的にするために使用されました。一部のアナリストはAPT19とDeep Pandaを同じグループとして追跡していますが、グループが同じであるかどうかはオープンソース情報からは不明です。
参照:https://attack.mitre.org/groups/

詳細は以下を参照

参考リスト

WEB

APT29について

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

APT29はロシア政府が原因であるとされる脅威グループであり、少なくとも2008年以降活動しています。[1] [2]このグループは2015年の夏に始まる民主国家委員会を侵害しました。
引用:https://attack.mitre.org/groups/G0016/

APT29は、適応性が高く、高度な訓練を受けている攻撃グループです。侵入先ネットワークでの活動を隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を行います。ポピュラーな正規のWebサービスを利用し、接続もSSLで暗号化するため、検知が一層困難になっています。APT29は、最も進化を遂げ、高い能力を備えている攻撃グループの1つです。新しいバックドアを用いて自らバグの修正や機能の追加を行う以外にも、ネットワーク・セキュリティ担当者の行動を監視し、システムへのアクセスを維持します。C&Cサーバーとの通信には感染サーバーのみを使用します。攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く変更します。
引用:https://www.fireeye.jp/current-threats/apt-groups.html#apt29

続きを読む