O que é MITRE ATT&CK e como ele é útil | Anomali

O que é MITRE ATT&CK e como ele é útil

O que é MITRE ATT&CK™?

A MITRE introduziu o ATT&CK (Adversarial Tactics, Techniques & Common Knowledge - Táticas, técnicas e conhecimento comum dos inimigos) em 2013 como uma forma de descrever e classificar os comportamentos dos inimigos com base em observações do mundo real. O ATT&CK é uma lista estruturada de comportamentos conhecidos do agressor, que foram compilados em táticas e técnicas e expressos em várias matrizes, bem como via STIX/TAXII. Como essa lista é uma representação abrangente dos comportamentos dos agressores ao comprometer as redes, ela é útil para várias análises ofensivas e defensivas, representações e outros mecanismos.

Entendendo as matrizes do ATT&CK

A MITRE dividiu o ATT&CK em várias matrizes diferentes: Enterprise, Mobile e PRE-ATT&CK. Cada uma dessas matrizes contém várias táticas e técnicas associadas ao tema da matriz.

A matriz Enterprise é formada por técnicas e táticas que se aplicam aos sistemas Windows, Linux e/ou MacOS. A Mobile contém táticas e técnicas que se aplicam a dispositivos móveis. A PRE-ATT&CK contém táticas e técnicas relacionadas às ações dos agressores antes de tentar explorar uma rede ou sistema em particular.

Aspectos práticos do ATT&CK: Táticas e técnicas

Ao olhar para o ATT&CK como uma matriz, os tátulos das colunas são táticas e, essencialmente, categorias de técnicas. As táticas são o que os agressores tentam alcançar, enquanto as técnicas individuais são como eles alcançam esses passos ou objetivos.

ATT&CK Enterprise Matrix
ATT&CK Enterprise Matrix em https://attack.mitre.org/matrices/enterprise/

Por exemplo, umas das táticas é o movimento lateral. Para que o agressor consiga fazer um movimento lateral na rede, ele utiliza uma ou mais técnicas listadas na coluna Movimento lateral na matriz do ATT&CK.

Uma técnica é um comportamento especáfico para alcançar um objetivo e, geralmente, é um passo único em uma sequência de atividades utilizada para concluir a missão do agressor no geral. O ATT&CK fornece vários detalhes sobre cada técnica, inclusive: descrição, exemplos, referências e sugestões para a mitigação e detecção.

Descrição de técnica no MITRE ATT&CK
Exemplo de descrição de técnica no MITRE ATT&CK

Como exemplo de como as táticas e técnicas funcionam no ATT&CK, o agressor pode querer obter acesso a uma rede e instalar um software de exploração de criptomoedas no maior número de sistemas possável de uma rede. Para alcançar esse objetivo geral, o agressor precisa realizar vários passos intermediários de maneira bem-sucedida. Primeiro, ele obtém acesso à rede - possivelmente por meio de um Spearphishing Link. Em seguida, ele pode precisar escalar o privilégio por meio da injeção de processo. Agora, ele pode obter outras credenciais do sistema por meio do depósito de credenciais e estabelecer a persistência ao configurar o script de exploração para ser executado como uma tarefa programada. Ao conseguir fazer isso, o agressor pode se mover lateralmente na rede com o Pass the Hash e espalhar seu software de exploração de moedas no maior número de sistemas possável.

Nesse exemplo, o agressor teve que executar cinco passos; cada um representou uma tática ou estágio especáfico do ataque em geral: Acesso inicial, Escalação de privilégios, Acesso a credenciais, Persistência e Movimento lateral. Eles usaram técnicas especáficas nessas táticas para concluir cada estágio do ataque (link de spearphishing, injeção de processo, depósito de credenciais, etc.).

Diferenças entre PRE-ATT&CK e ATT&CK Enterprise

O PRE-ATT&CK e ATT&CK Enterprise se unem para criar uma lista completa de táticas que se alinham ao Cyber Kill Chain. Geralmente, o PRE-ATT&CK alinha-se às primeiras três fases do kill chain: reconhecimento, armamento e entrega. O ATT&CK Enterprise alinha-se bem às quatro últimas fases do kill chain: exploração, instalação, comando e controle, ações sobre objetivos.

Cyber Kill Chain

Táticas do PRE-ATT&CKTáticas do ATT&CK Enterprise
  • Definição de prioridades
  • Escolha do alvo
  • Coleta de informações
  • Identificação de pontos fracos
  • OpSec do inimigo
  • Estabelecer e manter a infraestrutura
  • Desenvolvimento de persona
  • Recursos de criação
  • Recursos de teste
  • ​Recursos de estágios
  • Acesso inicial
  • Execução
  • Persistência
  • Escalação de privilégios
  • Evasão de defesa
  • Acesso a credenciais
  • Descoberta
  • Movimento lateral
  • Coleta
  • Exfiltração
  • Comando e controle

O que pode ser feito com o ATT&CK

O ATT&CK é valioso em vários ambientes cotidianos. Qualquer atividade de defesa que faz referência aos agressores e seu comportamento pode se beneficiar da taxonomia do ATT&CK. Além de oferecer um léxico comum para os defensores cibernéticos, o ATT&CK também fornece uma base para testes de penetração e red teaming. Isso proporciona aos defensores e red teamers uma linguagem comum para se referir ao comportamento dos inimigos.

Exemplos de quando pode ser útil aplicar a taxonomia do ATT&CK:

  • Mapeamento de controles de defesa
    • Os controles de defesa podem ter um significado bem claro ao fazer referência às táticas e técnicas do ATT&CK às quais se aplicam.
  • ​Busca de ameaças
    • Mapear as defesas para o ATT&CK gera um mapa de falhas defensivas que fornecem aos caçadores de ameaças os locais perfeitos para encontrar atividades de agressores que passaram despercebidas.
  • Detecções e investigações
    • A central de operações de segurança (SOC) e a equipe de resposta a incidentes podem fazer referência às técnicas e táticas do ATT&CK detectadas ou descobertas. Isso ajuda a entender onde se encontram os pontos fortes e fracos de defesa, valida das mitigações e os controles de detecção e pode revelar configurações incorretas e outros problemas operacionais.
  • Agendes de referenciação
    • Os agentes e grupos podem ser associados a comportamentos especáficos e defináveis.
  • Integrações de ferramentas
    • Diferentes ferramentas e serviços podem padronizar-se em táticas e técnicas do ATT&CK, oferecendo uma coesão para a defesa que não costuma existir.
  • Compartilhamento​
    • Ao compartilhar informações sobre um ataque, um agente ou grupo ou controles de defesa, os defensores podem assegurar um entendimento comum utilizando as técnicas e táticas do ATT&CK.
  • Red Team/Atividades do teste de penetração
    • O planejamento, execução e geração de relatórios do red team, purple team, e as atividades do teste de penetração podem usar o ATT&CK para falar a mesma lángua dos defensores e destinatários dos relatórios, bem como entre eles.

Uso do ATT&CK para mapear as defesas e entender as falhas

Muitas organizações mantêm listas de controles de detecção e segurança preventiva em seu ambiente - um catálogo de controles. Observar esses controles pelas lentes do ATT&CK pode ajudar a aperfeiçoar os controles, expor as ineficiências e mostrar as falhas de proteção. é importante ter em mente que, embora o ATT&CK possa ser usado dessa forma, sua função é descrever o comportamento dos agressores - não oferecer mecanismos de defesa.

O processo de alinhar controles às técnicas do ATT&CK é bastante simples. Para cada controle, pense quais técnicas (e, especificamente, as formas de utilizar essas técnicas) podem ser detectadas ou evitadas por esse controle. Fazer referência às técnicas do ATT&CK (ou táticas, quando uma técnica especáfica não pode ser definida) permite a busca, ação e registro dos controles com base em como o ambiente aparece para os agressores. Por exemplo, quando as técnicas do ATT&CK estiverem associadas a todos os controles, deve ser fácil saber quais técnicas não têm nenhum controle de detecção ou prevenção. Utilizar o MITRE ATT&CK Navigator ié uma ótima maneira de visualizar esse esforço.

Ao percorrer as táticas (colunas) na matriz ATT&CK Enterprise e selecionar as técnicas que não possuem controle, os possáveis cenários de ataque podem ser definidos onde a organização não tem visibilidade nem prevenção para impedi-los. Defina a probabilidade dos cenários resultantes e classifique-os por viabilidade. Os cenários mais viáveis devem ser fontes de busca de ameaças para verificar se os agressores já os exploraram. Essas também devem ser as áreas a receber investimentos para assumir o controle de alguns aspectos.

Em vez de operar com base em suposições de que os controles serão eficazes contra técnicas especáficas do agressor, deve-se simular as técnicas contra os controles sempre que possável. Os controles podem não ser tão eficazes quanto pensamos, e testá-los é a única forma de saber com certeza. Além disso, podem haver erros de configuração ou problemas no sistema que impedem que os controles operem corretamente. Esses problemas podem não ser conhecidos caso os controles não sejam testados de tempos em tempos.

Realizar testes também é uma boa forma de validar os investimentos em ferramentas, pois identifica quais ferramentas realmente oferecem detecção e prevenção, quais não fazem isso ou são redundantes a outras ferramentas do ambiente.

Utilizando o ATT&CK com inteligência sobre ameaças cibernéticas

O ATT&CK pode ser útil para a inteligência sobre ameaças cibernéticas, pois permite descrever os comportamentos dos inimigos de maneira padronizada. Os agentes podem ser rastreados e associados às técnicas e táticas do ATT&CK que utilizam. Isso fornece um mapa aos defensores, que pode ser aplicado em seus controles operacionais para ver seus pontos fortes e fracos contra determinados agentes. Criar entradas para agentes especáficos no MITRE ATT&CK Navigator é uma boa forma de visualizar os pontos fortes e fracos do ambiente contra esses agentes ou grupos. O ATT&CK também está disponável como um feed STIX/TAXII 2.0, o que facilita sua ingestão em ferramentas existentes que suportam essas tecnologias.

O ATT&CK fornece informações sobre quase setenta agentes e grupos, inclusive as técnicas e ferramentas que utilizam com base em relatórios de código aberto.

Lista de grupos do MITRE ATT&CK
Lista de grupos do MITRE ATT&CK

O processo de criação de inteligência pode se beneficiar com o uso do vernáculo comum do ATT&CK. Como já mencionado, isso pode aplicar-se a agentes e grupos, mas também aos comportamentos observados, como visto nas atividades de resposta a incidentes e SOC. Também pode haver referência ao malware em termos de comportamentos via ATT&CK. Quaisquer ferramentas de inteligência contra ameaças que têm suporte ao ATT&CK ajudam a simplificar esse processo. A inteligência de código aberto e comercial que aplica o ATT&CK a qualquer comportamento mencionado também é útil para manter as coisas consistentes. A disseminação da inteligência às operações ou à administração é muito mais fácil quando todas as partes falam a mesma lángua em relação aos comportamentos dos inimigos. Caso a equipe de operações saiba exatamente o que significa autenticação forçada e veja essa expressão em um relatório de inteligência, ela poderá saber quais medidas devem ser tomadas ou quais controles já estão em uso em relação a essa parte da inteligência. Padronizar as referências do ATT&CK sobre os produtos de inteligência dessa forma pode aprimorar muito a eficiência e garantir o entendimento comum.

Simulação de inimigos e ATT&CK

Testar as técnicas no ATT&CK em relação ao ambiente é a melhor forma de:

  • Testar os controles e sua eficácia
  • Garantir a cobertura contra diferentes técnicas
  • Entender as falhas de visibilidade e proteção
  • Validar a configuração das ferramentas e sistemas
  • Demonstrar onde os diferentes agentes seriam bem-sucedidos ou pegos no ambiente
  • Evitar adivinhações e suposições com controles ao saber exatamente o que é ou não detectado ou mitigado

O processo de realizar uma simulação de inimigos já é conhecido por muitos ambientes. Ao utilizar testadores de penetração para testar o ambiente, as organizações se envolvem com o teste de simulação de inimigos. O mesmo se aplica às organizações que contam com red teams internos ou que realizam o envolvimento de purple teams. Aplicar as atividades desses envolvimentos às técnicas do ATT&CK aumenta o entendimento dos resultados por parte dos defensores. Em vez de registrar falhas para detectar uma atividade especáfica, os relatórios de testes de penetração e red teams podem conter mais contexto para aplicar suas atividades diretamente aos controles operacionais, ferramentas de defesa e procedimentos. Isso faz com que seja mais fácil os defensores tomarem as medidas adequadas como resultado dos relatórios.

As simulações também podem ser criadas de forma a imitar as ferramentas e técnicas utilizadas por agentes especáficos. Isso pode ser útil principalmente para tentar avaliar o grau de sucesso de determinados inimigos em relação aos controles presentes no ambiente.

Além disso, algumas ferramentas disponáveis fornecem mecanismos para testar certas técnicas diretamente dentro do ambiente e já estão alinhadas ao ATT&CK. Ferramentas comerciais, como Verodin, SafeBreach e AttackIQ oferecem a capacidade de realizar uma simulação de inimigos alinhada ao ATT&CK. Há algumas opções de código aberto para realizar simulações de inimigos e alinhar-se ao ATT&CK (listadas abaixo). Como sempre, tenha cuidado ao realizar simulações de inimigos em redes de produção em que o escopo das potenciais ramificações não é entendido em sua totalidade.

O processo de utilizar essas ferramentas é simples:

  1. Simulação - Selecione os critérios de simulação com base no teste desejado e execute a ferramenta ou realize a técnica manualmente
  2. Busca - Examine os registros e ferramentas em busca de evidências da atividade simulada; observe as expectativas não realizadas com controles de detecção e prevenção
  3. Detecção - Adicione novas detecções ou mitigações com base no que foi encontrado; também observe as falhas de visibilidade e nas ferramentas usadas para detecção ou mitigação

Melhores práticas de uso do ATT&CK

A seguir, apresentamos uma lista de melhores práticas para o ATT&CK.

  • Compartilhe os métodos descobertos de detecção e mitigação
  • Compartilhe as táticas e técnicas dos comportamentos observados nos agressores
  • Aproveite a integração do ATT&CK nas ferramentas existentes
  • Estimule os fornecedores e prestadores de serviços a adicionarem suporte ao ATT&CK quando for útil

Desafios ao aproveitar o ATT&CK

O uso do ATT&CK representa alguns desafios. é bom tê-los em mente ao aproveitar o ATT&CK.

  • Nem todas as técnicas são sempre maliciosas
  • Nem todas as técnicas são fáceis de detectar
  • Algumas técnicas têm vários métodos de execução possáveis
  • Algumas técnicas estão listadas como várias táticas
    • Exemplo: DLL Search Order Hijacking (T1038)
    • Aparece nas táticas de persistência, escalação de privilégios e evasão de defesa
    • Algumas táticas, como essa, podem ser usadas para vários casos práticos e são úteis em vários estágios do ataque

Ferramentas e recursos do ATT&CK

A seguir, apresentamos uma lista de ferramentas e outros recursos que utilizam o ATT&CK. Alguns já foram mencionados anteriormente, mas são incluádos aqui para facilitar a consulta. Para acrescentar algo a esta lista, envie um e-mail para marketing@anomali.com.

ATT&CK Navigator

O ATT&CK Navigator é uma excelente ferramenta para mapear os controles contra técnicas do ATT&CK. Podem ser adicionadas camadas que mostram especificamente os controles de detecção, os controles de prevenção ou até mesmo os comportamentos observados. O Navigator pode ser utilizado on-line para modelos ou cenários rápidos, ou pode ser baixado e configurado internamente como uma solução mais permanente.

MITRE ATT&CK Navigator
MITRE ATT&CK Navigator

Uber Metta

O Metta é um projeto de código aberto da Uber que realiza simulação de inimigos e está alinhado ao MITRE ATT&CK.

Uber Metta

MITRE Caldera

O Caldera é uma ferramenta automática de código aberto para simulação de inimigos, baseada no MITRE ATT&CK.

MITRE Caldera
Captura de tela do MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team é uma ferramenta de código aberto da Red Canary para simular comportamentos dos inimigos mapeados para o MITRE ATT&CK. Para obter mais informações, acesse: https://atomicredteam.io/

Red Canary Atomic Red Team
Exemplo de teste do Atomic Red Team

Endgame Red Team Automation

Red Team Automation é uma ferramenta de código aberto da Endgame que testa comportamentos maliciosos que servem como modelo no MITRE ATT&CK.

Endgame Red Team Automation
Lista atual de técnicas suportadas pelo Red Team Automation (RTA)

Malware Archeology Windows ATT&CK Logging Cheat Sheet

A equipe da Malware Archeology fornece várias anotações de registros no Windows para ajudar os defensores a encontrar atividade maliciosa nos registros. Eles têm uma dedicada a encontrar técnicas do MITRE ATT&CK.

Malware Archeology Windows ATT&CK Logging Cheat Sheet
Exemplo de informações incluádas no ATT&CK Logging Cheat Sheet da Malware Archeology

MITRE Cyber Analytics Repository (CAR)

A MITRE conta com um recurso chamado Cyber Analytics Repository (CAR), que é um site de referência para várias análises úteis para detectar comportamentos no MITRE ATT&CK.

MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)

ATT&CK Tableau Table by Cyb3rPanda

Cyb3rPanda carregou o ATT&CK em um Tableau público para facilitar a ação e a filtragem.

ATT&CK Tableau Table por Cyb3rPanda
ATT&CK Enterprise Matrix em um Tableau público por Cyb3rPanda

Palo Alto Unit 42 Playbook Viewer

O grupo Palo Alto’s Unit 42 lançou um visualizador de manual de estratégia gratuito que apresenta comportamentos conhecidos dos inimigos para vários grupos de ameaça alinhados ao MITRE ATT&CK.

Palo Alto Unit 42 Playbook Viewer
Palo Alto Unit 42’s Playbook Viewer

Informe semanal sobre ameaças da Anomali

O informe semanal sobre ameaças da Anomali é um relatório semanal gratuito dos principais desenvolvimentos de segurança e ameaças da semana. O relatório inclui IOCs relevantes e técnicas do ATT&CK para cada estória do informe.

Informe semanal sobre ameaças da Anomali
Exemplo de Informe semanal sobre ameaças da Anomali

Resumo

A MITRE fez uma contribuição significativa para a comunidade de segurança ao nos proporcionar o ATT&CK e suas ferramentas e relatórios relacionados. Isso não poderia ter vindo em melhor hora. á medida que os agressores encontram formas de ficarem mais ocultos e evitar a detecção pelas ferramentas de segurança tradicionais, os defensores precisam mudar sua abordagem à detecção e à defesa. O ATT&CK muda nossa percepção de indicadores de nável baixo como endereços IP e nomes de dománio e faz com que vejamos os agressores e nossas defesas pelas lentes dos comportamentos. No entanto, a nova percepção não significa que os resultados virão facilmente. A facilidade das listas de bloqueio e filtros simples não existe mais. O caminho para detectar e prevenir comportamentos é muito mais árduo que as ferramentas do passado. Além disso, os agressores certamente se adaptarão à medida que os defensores apresentam novos recursos para suportar. O ATT&CK oferece uma forma de descrever as novas técnicas desenvolvidas e, esperamos, de manter os defensores a par.