
Qu'est-ce que MITRE ATT&CK™ ?
MITRE a introduit ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) en 2013 comme moyen de décrire et de catégoriser les comportements adverses basés sur des observations du monde réel. ATT&CK est une liste structurée de comportements connus des attaquants qui ont été compilés en tactiques et techniques et exprimés dans une poignée de matrices ainsi que via STIX/TAXII. Comme cette liste est une représentation assez complète des comportements employés par les attaquants lorsqu'ils compromettent des réseaux, elle est utile pour une variété de mesures offensives et défensives, de représentations et d'autres mécanismes.
Comprendre les matrices ATT&CK
MITRE a divisé ATT&CK en plusieurs matrices différentes : Entreprise, Mobile et PRE-ATT&CK. Chacune de ces matrices contient diverses tactiques et techniques associées au sujet de cette matrice.
La matrice Enterprise est composée de techniques et de tactiques qui s'appliquent aux systèmes Windows, Linux et/ou MacOS. La matrice Mobile contient des tactiques et des techniques qui s'appliquent aux dispositifs mobiles. PRE-ATT&CK contient des tactiques et des techniques liées à ce que les attaquants font avant d' essayer d'exploiter un réseau ou un système cible particulier.
Les rouages de l'ATT&CK : tactiques et techniques
Lorsque l'on regarde ATT&CK sous la forme d'une matrice, les titres des colonnes en haut sont des tactiques et sont essentiellement des catégories de techniques. Les tactiques sont les objectifs que les attaquants tentent d'atteindre, tandis que les techniques individuelles sont la manière dont ils accomplissent ces étapes ou ces objectifs.

Matrice d'entreprise ATT&CK de https://attack.mitre.org/matrices/enterprise/
Par exemple, l'une des tactiques est le mouvement latéral. Pour qu'un attaquant réussisse à effectuer un mouvement latéral dans un réseau, il devra employer une ou plusieurs des techniques énumérées dans la colonne Mouvement latéral de la matrice ATT&CK.
Une technique est un comportement spécifique permettant d'atteindre un objectif et constitue souvent une étape unique dans une série d'activités employées pour mener à bien la mission globale de l'attaquant. L'ATT&CK fournit de nombreux détails sur chaque technique, notamment une description, des exemples, des références et des suggestions d'atténuation et de détection.

Exemple de description d'une technique dans MITRE ATT&CK
Pour illustrer le fonctionnement des tactiques et des techniques dans l'ATT&CK, un attaquant peut souhaiter accéder à un réseau et installer un logiciel de minage de crypto-monnaies sur le plus grand nombre possible de systèmes à l'intérieur de ce réseau. Pour atteindre cet objectif global, l'attaquant doit franchir avec succès plusieurs étapes intermédiaires. Tout d'abord, il doit accéder au réseau, éventuellement par le biais d'un lien d'hameçonnage (Spearphishing). Ensuite, il peut avoir besoin d'élever ses privilèges par le biais d'une injection de processus. Il peut alors obtenir d'autres informations d'identification du système par le biais de la vidange d'informations d'identification, puis établir la persistance en configurant le script d'exploitation minière pour qu'il s'exécute en tant que tâche programmée. Une fois cette étape franchie, l'attaquant peut être en mesure de se déplacer latéralement sur le réseau avec Pass the Hash et de diffuser son logiciel de minage de pièces sur autant de systèmes que possible.
Dans cet exemple, l'attaquant a dû exécuter avec succès cinq étapes - chacune représentant une tactique ou une étape spécifique de son attaque globale : Accès initial, escalade des privilèges, accès aux informations d'identification, persistance et déplacement latéral. Il a utilisé des techniques spécifiques dans le cadre de ces tactiques pour accomplir chaque étape de son attaque (lien de spearphishing, injection de processus, vidage d'informations d'identification, etc.)
Les différences entre PRE-ATT&CK et ATT&CK Enterprise
PRE-ATT&CK et ATT&CK Enterprise se combinent pour former la liste complète des tactiques qui s'alignent grosso modo sur la chaîne de mise à mort cybernétique. La tactique PRE-ATT&CK s'aligne principalement sur les trois premières phases de la chaîne de la mort : la reconnaissance, l'armement et la livraison. La tactique ATT&CK Enterprise s'aligne bien sur les quatre dernières phases de la chaîne de mise à mort : l'exploitation, l'installation, le commandement et le contrôle, et les actions sur les objectifs.

Que peut-on faire avec l'ATT&CK ?
L'ATT&CK est utile dans de nombreux contextes quotidiens. Toutes les activités défensives qui font référence aux attaquants et à leurs comportements peuvent bénéficier de l'application de la taxonomie de l'ATT&CK. En plus d'offrir un lexique commun aux cyberdéfenseurs, l'ATT&CK fournit également une base pour les tests de pénétration et les équipes d'intervention. Les défenseurs et les membres de l'équipe rouge disposent ainsi d'un langage commun lorsqu'ils se réfèrent à des comportements adverses.
Exemples où l'application de la taxonomie d'ATT&CK peut s'avérer utile :
Cartographie des contrôles défensifs
Les contrôles défensifs peuvent avoir une signification bien comprise lorsqu'ils sont référencés par rapport aux tactiques et techniques ATT&CK auxquelles ils s'appliquent.
Intégration d'outils
Des outils et des services disparates peuvent normaliser les tactiques et les techniques d'ATT&CK, ce qui confère à la défense une cohésion qui fait souvent défaut.
Chasse aux menaces
La mise en correspondance des défenses avec ATT&CK permet d'obtenir une feuille de route des lacunes défensives qui fournit aux chasseurs de menaces les endroits parfaits pour trouver des activités manquées de la part des attaquants.
Partage
Lorsqu'ils échangent des informations sur une attaque, un acteur ou un groupe, ou sur des contrôles défensifs, les défenseurs peuvent s'assurer d'une compréhension commune en utilisant les techniques et tactiques de l'ATT&CK.
Détections et enquêtes
Le centre opérationnel de sécurité (SOC) et l'équipe de réponse aux incidents peuvent se référer aux techniques et tactiques ATT&CK qui ont été détectées ou découvertes. Cela permet de comprendre où se situent les forces et les faiblesses de la défense et de valider les contrôles d'atténuation et de détection, et peut mettre au jour des configurations erronées et d'autres problèmes opérationnels.
Intégration d'outils
La planification, l'exécution et l'établissement de rapports sur les activités de l'équipe rouge, de l'équipe violette et des tests de pénétration peuvent utiliser l'ATT&CK pour parler un langage commun avec les défenseurs et les destinataires des rapports, ainsi qu'entre eux.
Référencement des acteurs
Les acteurs et les groupes peuvent être associés à des comportements spécifiques et définissables.
Utiliser ATT&CK pour cartographier les défenses et comprendre les lacunes
La tendance naturelle de la plupart des équipes de sécurité, lorsqu'elles examinent la matrice ATT&CK de MITRE, est d'essayer de développer une sorte de contrôle de détection ou de prévention pour chaque technique de la matrice de l'entreprise. Bien que cette idée ne soit pas mauvaise, les nuances de l'ATT&CK rendent cette approche un peu dangereuse si certaines mises en garde ne sont pas gardées à l'esprit. Les techniques des matrices ATT&CK peuvent souvent être exécutées de différentes manières. Le fait de bloquer ou de détecter une seule façon de les exécuter ne signifie donc pas nécessairement qu'il existe une couverture pour toutes les façons possibles d'exécuter cette technique. Cela peut conduire à un faux sentiment de sécurité en pensant que parce qu'un outil bloque une forme d'utilisation d'une technique, cette technique est correctement couverte pour l'organisation. Pourtant, les attaquants peuvent toujours employer avec succès d'autres façons d'utiliser cette technique sans qu'aucune détection ou prévention ne soit en place.
La façon de résoudre ce problème est la suivante :
Par exemple, si un antivirus détecte la présence de Mimikatz, cela ne signifie pas que Pass the Hash (T1075) et Pass the Ticket (T1097) sont couverts car il existe encore plusieurs autres façons d'exécuter ces techniques qui n'impliquent pas l'utilisation de Mimikatz. Gardez cela à l'esprit si vous essayez d'utiliser ATT&CK pour montrer la couverture défensive dans une organisation.
Utilisation de l'ATT&CK pour le renseignement sur les cybermenaces
L'ATT&CK peut être utile pour le renseignement sur les cybermenaces car il permet de décrire les comportements adverses de manière standardisée. Les acteurs peuvent être suivis en les associant aux techniques et tactiques de l'ATT&CK qu'ils ont l'habitude d'utiliser. Les défenseurs disposent ainsi d'une feuille de route qu'ils peuvent appliquer à leurs contrôles opérationnels pour déterminer leurs faiblesses face à certains acteurs et leurs points forts. La création d'entrées dans le MITRE ATT&CK Navigator pour des acteurs spécifiques est un bon moyen de visualiser les forces et les faiblesses de l'environnement par rapport à ces acteurs ou groupes. ATT&CK est également disponible sous forme de flux STIX/TAXII 2.0, ce qui facilite son intégration dans les outils existants qui prennent en charge ces technologies.
ATT&CK fournit des détails sur près de soixante-dix acteurs et groupes, y compris les techniques et les outils qu'ils sont connus pour utiliser sur la base de rapports de sources ouvertes.

Liste du groupe MITRE ATT&CK
Le processus de création de renseignements lui-même peut bénéficier de l'utilisation de la terminologie commune ATT&CK. Comme nous l'avons mentionné, cela peut s'appliquer aux acteurs et aux groupes, mais aussi aux comportements observés par le SOC ou les activités de réponse aux incidents. Les logiciels malveillants peuvent également être évoqués en termes de comportements par le biais de l'ATT&CK. Tous les outils de renseignement sur les menaces qui prennent en charge l'ATT&CK facilitent ce processus. Les renseignements commerciaux et de source ouverte qui appliquent la méthode ATT&CK à tous les comportements mentionnés sont également utiles pour assurer la cohérence. La diffusion de renseignements aux opérations ou à la direction est en fin de compte beaucoup plus facile lorsque toutes les parties parlent le même langage en ce qui concerne les comportements adverses. Si les opérations savent exactement ce qu'est l'authentification forcée et la voient mentionnée dans un rapport de renseignement, elles peuvent savoir exactement quelles actions doivent être prises ou quels contrôles sont déjà en place concernant cet élément de renseignement. Cette normalisation des références à l'ATT&CK dans les produits de renseignement peut considérablement améliorer l'efficacité et garantir une compréhension commune.
Simulation contradictoire et ATT&CK
La meilleure façon de procéder consiste à tester les techniques d'ATT&CK par rapport à l'environnement :
Le processus de simulation contradictoire n'est pas étranger à de nombreux environnements. Lorsqu'elles emploient des testeurs de pénétration pour tester l'environnement, les organisations s'engagent dans des tests de simulation contradictoire. Il en va de même pour les organisations qui disposent d'équipes rouges internes ou qui effectuent des missions d'équipe violette. L'application des activités de ces missions aux techniques d'ATT&CK permet aux défenseurs de mieux comprendre les résultats. Au lieu de signaler les échecs de détection d'une certaine activité, les rapports des tests d'intrusion et des équipes rouges peuvent contenir un meilleur contexte pour appliquer leurs activités directement aux contrôles opérationnels, aux outils de défense et aux procédures. Il est ainsi plus facile pour les défenseurs de prendre les mesures appropriées à la suite des rapports.
Les simulations peuvent être conçues pour refléter les outils et les techniques connus pour être utilisés par des acteurs spécifiques. Cela peut s'avérer particulièrement utile pour évaluer le degré de réussite de certains adversaires face aux contrôles présents dans l'environnement.
En outre, il existe des outils qui fournissent des mécanismes permettant de tester certaines techniques directement dans l'environnement et qui sont déjà alignés sur l'ATT&CK. Des outils commerciaux tels que Verodin, SafeBreach et AttackIQ permettent d'effectuer des simulations contradictoires conformes à l'ATT&CK. Il existe des options open-source qui permettent de réaliser des simulations contradictoires et de s'aligner sur l'ATT&CK (voir la liste ci-dessous). Comme toujours, il convient d'être prudent lorsque l'on effectue des simulations contradictoires sur des réseaux de production dont on ne connaît pas parfaitement l'étendue des ramifications potentielles.
Le processus d'utilisation de ces outils est simple :
- Simuler - Choisir les critères de simulation en fonction des tests souhaités, puis exécuter l'outil ou effectuer la technique manuellement.
- Chasse - Examiner les journaux et les sorties d'outils pour trouver des preuves de l'activité simulée ; noter les attentes non satisfaites avec des contrôles correctifs ou préventifs.
- Détecter - Ajouter de nouvelles détections ou des mesures d'atténuation sur la base des résultats ; noter également les lacunes en matière de visibilité et les outils utilisés pour la détection ou l'atténuation.
Bonnes pratiques pour l'utilisation de l'ATT&CK
Voici une liste de bonnes pratiques pour l'ATT&CK :
Utiliser des tactiques lorsque les techniques sont ambiguës ou difficiles à cerner
Partager les méthodes de détection et d'atténuation découvertes
Partager les tactiques et les techniques des comportements observés chez les attaquants
Tirer parti de l' intégration de l'ATT&CK dans les outils existants
Suivre les recherches externes sur les détections et les mesures d'atténuation.
Encourager les vendeurs et les prestataires de services à ajouter la prise en charge de l'ATT&CK là où elle serait utile
Défis liés à l'utilisation de l'ATT&CK
L'utilisation de l'ATT&CK n'est pas sans poser de problèmes. Il est bon de garder ceux-ci à l'esprit lorsque l'on utilise l'ATT&CK.
Toutes les techniques ne sont pas toujours malveillantes
- Exemple : Données provenant d'un lecteur partagé en réseau (T1039)
- Clé de la détection : Comment cette technique est-elle utilisée ?
Certaines techniques sont répertoriées sous plusieurs tactiques
- Exemple : Détournement de l'ordre de recherche des DLL (T1038)
- Apparaît dans les tactiques de persistance, d'escalade des privilèges et d'évasion de la défense.
- Certaines techniques, comme celle-ci, peuvent être utilisées dans plusieurs cas et sont utiles à plusieurs stades de l'attaque.
Toutes les techniques ne sont pas faciles à détecter
- Exemple : Lien de spearphishing (T1192)
- Clé de détection : Autres événements entourant la réception du courrier électronique
Certaines techniques ont de nombreuses méthodes d'exécution possibles
- Exemple : Dumping de données d'identification (T1003)
- La clé de la détection : Élaborer des méthodes connues pour évoquer la technique et les qualifier toutes d'extraction de données d'identification (Credential Dumping).
- MITRE publiera des sous-techniques pour aider à résoudre ce problème.
Outils et ressources de l'ATT&CK
Voici une liste d'outils et d'autres ressources qui utilisent l'ATT&CK. Certains d'entre eux ont déjà été mentionnés précédemment, mais ils sont présentés ici à titre de référence. Si vous souhaitez que quelque chose soit ajouté à cette liste, envoyez un courriel à marketing@anomali.com.
Navigateur ATT&CK
ATT&CK Navigator est un excellent outil pour cartographier les contrôles par rapport aux techniques de l'ATT&CK. Des couches peuvent être ajoutées pour montrer spécifiquement les contrôles de détection, les contrôles préventifs ou même les comportements observés. Navigator peut être utilisé en ligne pour des maquettes ou des scénarios rapides ou peut être téléchargé et installé en interne comme solution plus permanente.

MITRE ATT&CK Navigator

Exemple de détails inclus dans l'aide-mémoire de l'enregistrement ATT&CK de Malware Archeology
Archéologie des logiciels malveillants - Fiche de vérification de l'enregistrement de l'ATT&CK dans Windows
Les professionnels de confiance de Malware Archeology fournissent un certain nombre d'antisèches sur la journalisation Windows pour aider les défenseurs à trouver des activités malveillantes dans les journaux. L'une d'entre elles est consacrée aux techniques de recherche de MITRE ATT&CK.
Uber Metta
Metta est un projet open source d'Uber qui effectue des simulations contradictoires et est aligné sur MITRE ATT&CK.


MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)
MITRE dispose d'une ressource appelée Cyber Analytics Repository (CAR) qui est un site de référence pour diverses analyses utiles à la détection de comportements dans MITRE ATT&CK.
MITRE Caldera
Caldera est un outil de simulation automatisée d'adversaires à code source ouvert, basé sur ATT&CK de MITRE.

MITRE Caldera Capture d'écran

ATT&CK Enterprise Matrix dans un tableau public par Cyb3rPanda
ATT&CK Table Table par Cyb3rPanda
Cyb3rPanda a chargé ATT&CK dans une instance publique de Tableau pour faciliter le pivotement et le filtrage.
Red Canary Atomic Red Team
Atomic Red Team est un outil open source de Red Canary qui permet de simuler des comportements adverses correspondant à MITRE ATT&CK. Plus d'informations sont disponibles à l'adresse suivante : https://atomicredteam.io/

Exemple de test de l'équipe rouge atomique

Visualisation du livret de jeu de l'unité 42 de Palo Alto
Palo Alto Unit 42 Playbook Viewer (en anglais)
Le groupe Unit 42 de Palo Alto a publié une visionneuse gratuite qui montre les comportements adverses connus d'une poignée de groupes de menaces alignés sur MITRE ATT&CK.
Automatisation de l'équipe rouge d'Endgame
Red Team Automation est un outil open-source d'Endgame qui teste les comportements malveillants sur le modèle de MITRE ATT&CK.

Liste actuelle des techniques prises en charge par Red Team Automation (RTA)

Anomali Exemple de cyberveille
Anomali Cyberveille
Ce rapport hebdomadaire gratuit présente les principaux développements de la semaine en matière de sécurité et de menaces. Le rapport comprend les CIO pertinents et les techniques ATT&CK pour chaque histoire incluse dans le briefing.
Résumé
MITRE a apporté une contribution significative à la communauté de la sécurité en nous donnant ATT&CK et ses outils et ressources connexes. Cela ne pouvait pas mieux tomber. Alors que les attaquants trouvent des moyens d'être plus furtifs et d'éviter d'être détectés par les outils de sécurité traditionnels, les défenseurs se voient contraints de modifier leur approche de la détection et de la défense. L'ATT&CK modifie notre perception des indicateurs de bas niveau tels que les adresses IP et les noms de domaine et nous amène à voir les attaquants et nos défenses sous l'angle des comportements. Cette nouvelle perception ne signifie pas pour autant que les résultats seront faciles à obtenir. L'époque des listes de blocage et des simples filtres est pratiquement révolue. Le chemin de la détection et de la prévention des comportements est beaucoup plus difficile que celui des outils du passé, que l'on pouvait utiliser et que l'on oubliait. En outre, les attaquants s'adapteront certainement au fur et à mesure que les défenseurs mettront en œuvre de nouvelles capacités. ATT&CK permet de décrire les nouvelles techniques qu'ils développent et, espérons-le, de maintenir les défenseurs dans la course.