()

Wstęp

MITRE ATT&CK to zbiór technik i taktyk cyberprzestępców. Został utworzony w oparciu o obserwacje z prawdziwych ataków.

Źródło: https://attack.mitre.org/theme/images/ATT&CK_red.png

Przede wszystkim MITRE ATT&CK jest utożsamiane z macierzami – w tym przypadku przypisują daną technikę do taktyki. Owe macierze zawierają dane techniki i taktyki atakujących. Macierzy jest kilkanaście – jedną z nich jest MITRE ATT&CK Matrix for Enterprise.

Lista macierzy

Źródło: https://attack.mitre.org/matrices/

Część macierzy Enterprise. Po lewej stronie widać listę kilkunastu macierzy oferowanych przez MITRE.
Źródło: https://attack.mitre.org/matrices/enterprise/

Macierze MITRE ATT&CK są szczególnie przydatne podczas analizowania działań grup APT. Warto również podkreślić, że każda z nich ma nadane swoje ID w formacie TXXXX, gdzie X oznacza cyfrę. Jeśli chcesz dowiedzieć się więcej o działaniach grup APT oraz uzyskać PDF z atakami po zapisie do newslettera, zajrzyj tutaj.

Poza macierzami MITRE ATT&CK oferuje wiele ciekawych i przydatnych informacji. Warto zwrócić szczególną uwagę na zakładkę CTI, gdzie można znaleźć informacje co do poszczególnych grup APT, oprogramowania lub wybranych ataków hakerskich.

Źródło: https://attack.mitre.org/

Kilka słów o samym MITRE

MITRE to organizacja non-profit, założona w 1958 roku w USA. W 2013 roku stworzyła MITRE ATT&CK, które do dziś jest powszechnie stosowane w branży cyberbezpieczeństwa. Według raportu autorstwa Uniwersytetu Kalifornijskiego i McAfee, MITRE ATT&CK było używane przez 80% firm.

Mitre odpowiada również za utrzymanie bazy CVE (ang. Common Vulnerabilities and Exposures). O CVE przeczytasz więcej tutaj.

Po co stosuje się MITRE ATT&CK?

Przede wszystkim MITRE ATT&CK pozwala na wykrywanie taktyk i metod atakujących zamiast działania na podstawie np. IOC (ang. Indicator of Compromise), czyli indykatorów wskazujących na kompromitację systemu. Każda z taktyk przypisana jest do odpowiedniej kategorii.

Przykładowo, jeżeli chcemy dowiedzieć się, w jaki sposób atakujący uzyskują dostęp do danej infrastruktury, możemy zajrzeć do zakładki Initial Access. Zawiera się w niej 10 technik, z czego kilka z nich posiada dodatkowe sub-techniki.

Zakładka Initial Access, https://attack.mitre.org/matrices/enterprise/

Każda zbiór technik posiada swoje oznaczenie. Initial Access oznaczone jest jako TA0001.

To samo tyczy się poszczególnych technik. Przykładowo, phishing jest znany pod ID T1566.

Jak używać MITRE ATT&CK?

Korzystanie z MITRE ATT&CK znacząco ułatwia ATT&CK Navigator. Dzięki niemu możemy mapować zachowania w danym środowisku na konkretne techniki.

ATT&CK Navigator z jednym polem zaznaczonym na czerwono. Źródło: https://mitre-attack.github.io/attack-navigator/

Przykładowa analiza z wykorzystaniem macierzy MITRE ATT&CK

Grupa Lazarus

Lazarus to północnokoreańska grupa APT. Przypisuje się jej m.in. WannaCry (jeden z większych ataków hakerskich na świecie) lub atak na Sony Pictures.

Sama grupa Lazarus znana jest pod wieloma różnymi nazwami, o czym można przeczytać w opisie grupy. O Lazarusie można również przeczytać w newsletterze. Ale o samej grupie więcej znajdziecie w PDF w naszym newsletterze.

Źródło: https://attack.mitre.org/groups/G0032/

Kluczowym parametrem jest ID grupy. Dla tego APT zostało nadane ID G0032. Możemy również zapoznać się z opisem kampanii „Operation Dream Job”, której dokonał Lazarus.

Źródło: https://attack.mitre.org/groups/G0032/


MITRE pozwala nam również na zapoznanie się z technikami używanymi przez HIDDEN COBRA w tej operacji. Dane przedstawiane są w bardzo czytelnej, interaktywnej formie.

Źródło: https://mitre-attack.github.io/attack-navigator//#layerURL=https%3A%2F%2Fattack.mitre.org%2Fcampaigns%2FC0022%2FC0022-enterprise-layer.json

Każda z zastosowanych taktyk jest wyróżniona na niebiesko i posiada szczegółowy opis.

Źródło: https://mitre-attack.github.io/attack-navigator//#layerURL=https%3A%2F%2Fattack.mitre.org%2Fcampaigns%2FC0022%2FC0022-enterprise-layer.json

MITRE ATT&CK pozwala również na korelowanie odpowiedniego oprogramowania z daną grupą APT. Na zrzucie ekranu można zauważyć trzy z wielu programów, które używał Lazarus.

Źródło: https://attack.mitre.org/groups/G0032/

APT1

APT1 to grupa utożsamiana z Jednostką 61398 Chińskiej Armii Ludowo-Wyzwoleńczej.

Źródło: https://attack.mitre.org/groups/G0006/

Przy APT1 warto zwrócić uwagę na oprogramowanie, którego używa wspomniana grupa. Często są to programy, które mogą być używane przez każdego entuzjastę cyberbezpieczeństwa.

MITRE ATT&CK a inne źródła wiedzy

MITRE ATT&CK częściowo pokrywa się z Cyber Kill Chain, które również skupia się na działaniach cyberprzestępców i analizuje je krok po kroku.

Macierze od MITRE zawierają dokładne opisy każdej z technik używanych przez daną grupę APT. Należy jednak podkreślić, że techniki kategoryzowane są według kryteriów mocno zbliżonych do poszczególnych etapów Cyber Kill Chain.

Etapy Cyber Kill Chain. Źródło: https://commons.wikimedia.org/wiki/File:Intrusion_Kill_Chain_-_v2.png

Podział technik w MITRE ATT&CK. Źródło: https://attack.mitre.org/#

Podsumowanie

MITRE ATT&CK znacząco pomaga zrozumieć mechanizm działania atakujących. Dzięki działaniom MITRE można zobaczyć, w jakich kampaniach brały udział dane grupy APT i jakiego oprogramowania używają.

Przede wszystkim, MITRE ATT&CK to techniki atakujących. Ich zrozumienie znacząco pomaga w walce z cyberprzestępcami.

Pisał dla Was Oskar Klimczuk.

Źródła

https://attack.mitre.org

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić