Wstęp
MITRE ATT&CK to zbiór technik i taktyk cyberprzestępców. Został utworzony w oparciu o obserwacje z prawdziwych ataków.
Źródło: https://attack.mitre.org/theme/images/ATT&CK_red.png
Przede wszystkim MITRE ATT&CK jest utożsamiane z macierzami – w tym przypadku przypisują daną technikę do taktyki. Owe macierze zawierają dane techniki i taktyki atakujących. Macierzy jest kilkanaście – jedną z nich jest MITRE ATT&CK Matrix for Enterprise.
Lista macierzy
Źródło: https://attack.mitre.org/matrices/
Część macierzy Enterprise. Po lewej stronie widać listę kilkunastu macierzy oferowanych przez MITRE.
Źródło: https://attack.mitre.org/matrices/enterprise/
Macierze MITRE ATT&CK są szczególnie przydatne podczas analizowania działań grup APT. Warto również podkreślić, że każda z nich ma nadane swoje ID w formacie TXXXX, gdzie X oznacza cyfrę. Jeśli chcesz dowiedzieć się więcej o działaniach grup APT oraz uzyskać PDF z atakami po zapisie do newslettera, zajrzyj tutaj.
Poza macierzami MITRE ATT&CK oferuje wiele ciekawych i przydatnych informacji. Warto zwrócić szczególną uwagę na zakładkę CTI, gdzie można znaleźć informacje co do poszczególnych grup APT, oprogramowania lub wybranych ataków hakerskich.
Źródło: https://attack.mitre.org/
Kilka słów o samym MITRE
MITRE to organizacja non-profit, założona w 1958 roku w USA. W 2013 roku stworzyła MITRE ATT&CK, które do dziś jest powszechnie stosowane w branży cyberbezpieczeństwa. Według raportu autorstwa Uniwersytetu Kalifornijskiego i McAfee, MITRE ATT&CK było używane przez 80% firm.
Mitre odpowiada również za utrzymanie bazy CVE (ang. Common Vulnerabilities and Exposures). O CVE przeczytasz więcej tutaj.
Po co stosuje się MITRE ATT&CK?
Przede wszystkim MITRE ATT&CK pozwala na wykrywanie taktyk i metod atakujących zamiast działania na podstawie np. IOC (ang. Indicator of Compromise), czyli indykatorów wskazujących na kompromitację systemu. Każda z taktyk przypisana jest do odpowiedniej kategorii.
Przykładowo, jeżeli chcemy dowiedzieć się, w jaki sposób atakujący uzyskują dostęp do danej infrastruktury, możemy zajrzeć do zakładki Initial Access. Zawiera się w niej 10 technik, z czego kilka z nich posiada dodatkowe sub-techniki.
Zakładka Initial Access, https://attack.mitre.org/matrices/enterprise/
Każda zbiór technik posiada swoje oznaczenie. Initial Access oznaczone jest jako TA0001.
To samo tyczy się poszczególnych technik. Przykładowo, phishing jest znany pod ID T1566.
Jak używać MITRE ATT&CK?
Korzystanie z MITRE ATT&CK znacząco ułatwia ATT&CK Navigator. Dzięki niemu możemy mapować zachowania w danym środowisku na konkretne techniki.
ATT&CK Navigator z jednym polem zaznaczonym na czerwono. Źródło: https://mitre-attack.github.io/attack-navigator/
Przykładowa analiza z wykorzystaniem macierzy MITRE ATT&CK
Grupa Lazarus
Lazarus to północnokoreańska grupa APT. Przypisuje się jej m.in. WannaCry (jeden z większych ataków hakerskich na świecie) lub atak na Sony Pictures.
Sama grupa Lazarus znana jest pod wieloma różnymi nazwami, o czym można przeczytać w opisie grupy. O Lazarusie można również przeczytać w newsletterze. Ale o samej grupie więcej znajdziecie w PDF w naszym newsletterze.
Źródło: https://attack.mitre.org/groups/G0032/
Kluczowym parametrem jest ID grupy. Dla tego APT zostało nadane ID G0032. Możemy również zapoznać się z opisem kampanii „Operation Dream Job”, której dokonał Lazarus.
Źródło: https://attack.mitre.org/groups/G0032/
MITRE pozwala nam również na zapoznanie się z technikami używanymi przez HIDDEN COBRA w tej operacji. Dane przedstawiane są w bardzo czytelnej, interaktywnej formie.
Każda z zastosowanych taktyk jest wyróżniona na niebiesko i posiada szczegółowy opis.
MITRE ATT&CK pozwala również na korelowanie odpowiedniego oprogramowania z daną grupą APT. Na zrzucie ekranu można zauważyć trzy z wielu programów, które używał Lazarus.
Źródło: https://attack.mitre.org/groups/G0032/
APT1
APT1 to grupa utożsamiana z Jednostką 61398 Chińskiej Armii Ludowo-Wyzwoleńczej.
Źródło: https://attack.mitre.org/groups/G0006/
Przy APT1 warto zwrócić uwagę na oprogramowanie, którego używa wspomniana grupa. Często są to programy, które mogą być używane przez każdego entuzjastę cyberbezpieczeństwa.
MITRE ATT&CK a inne źródła wiedzy
MITRE ATT&CK częściowo pokrywa się z Cyber Kill Chain, które również skupia się na działaniach cyberprzestępców i analizuje je krok po kroku.
Macierze od MITRE zawierają dokładne opisy każdej z technik używanych przez daną grupę APT. Należy jednak podkreślić, że techniki kategoryzowane są według kryteriów mocno zbliżonych do poszczególnych etapów Cyber Kill Chain.
Etapy Cyber Kill Chain. Źródło: https://commons.wikimedia.org/wiki/File:Intrusion_Kill_Chain_-_v2.png
Podział technik w MITRE ATT&CK. Źródło: https://attack.mitre.org/#
Podsumowanie
MITRE ATT&CK znacząco pomaga zrozumieć mechanizm działania atakujących. Dzięki działaniom MITRE można zobaczyć, w jakich kampaniach brały udział dane grupy APT i jakiego oprogramowania używają.
Przede wszystkim, MITRE ATT&CK to techniki atakujących. Ich zrozumienie znacząco pomaga w walce z cyberprzestępcami.
Pisał dla Was Oskar Klimczuk.