NEC、MITRE ATT&CK v10のアップデートについて解説
日本電気株式会社(NEC)は11月12日、MITRE ATT&CK v10のアップデートについて、同社セキュリティブログで解説している。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同解説によると、10月21日に公開されたMITRE ATT&CK v10では、テクニックやグループ、ソフトウェアに新たなIDが追加され、データソースにもIDが割り当てができる。
またATT&CK v10では、下記の通り新たに15個のテクニック、またはサブテクニックが追加されている。
・Persistence(永続化)
T1547.015 - Boot or Logon Autostart Execution: Login Items
T1505.004 - Server Software Component: IIS Components
・Privilege Escalation(権限昇格)
T1547.015 - Boot or Logon Autostart Execution: Login Items
・Defense Evasion(防御策の回避)
T1564.008 - Hide Artifacts: Email Hiding Rules
T1564.009 - Hide Artifacts: Resource Forking
T1562.010 - Impair Defenses: Downgrade Attack
T1562.009 - Impair Defenses: Safe Mode Boot
T1036.007 - Masquerading: Double File Extension
T1027.006 - Obfuscated Files or Information: HTML Smuggling
T1620 - Reflective Code Loading
T1218.014 - Signed Binary Proxy Execution: MMC
T1218.013 - Signed Binary Proxy Execution: Mavinject
・Discovery(発見)
T1619 - Cloud Storage Object Discovery
T1615 - Group Policy Discovery
T1614.001 - System Location Discovery: System Language Discovery
・Collection(収集)
T1213.003 - Data from Information Repositories: Code Repositories
同解説ではこの内、「T1562.010 - Impair Defenses: Downgrade Attack」「T1562.009 - Impair Defenses: Safe Mode Boot」「T1619 - Cloud Storage Object Discovery」「T1213.003 - Data from Information Repositories: Code Repositories」についてコメントしている。
またNECが、これまでMITRE ATT&CKに提供した脅威情報のうちv9で1件、v10で8件採用されたものについて紹介している。
《ScanNetSecurity》