MITRE ATT&CK и информационная безопасность

MITER ATT & CK — одна из самых популярных методик среди профессионалов в области информационной безопасности. В этой статье мы расскажем, как создавалась и организовывалась база знаний, с помощью которой они описывали возможности вредоносных программ, создавали профили для APT-групп и писали правила для автоматизации расследований.

Итак, что такое MITER и какие атаки? MITER — это некоммерческая организация, базирующаяся в США, которая управляет центрами исследований и разработок на федеральном и местном уровнях. Сферы интересов MITER включают искусственный интеллект, квантовую информатику, информатику здравоохранения, космическую безопасность, обмен киберугрозами и защитой и так далее.

В области информационной безопасности корпорация MITER известна своим списком общих уязвимостей и уязвимостей (CVE) cve.mitre.org. Это известная база данных уязвимостей безопасности, которая появилась в 1999 году и с тех пор стала одним из основных ресурсов, используемых для структурирования и хранения данных об ошибках в программном обеспечении. Эти базы данных используются киберпреступниками, когда они впервые пытаются проникнуть в инфраструктуру жертвы после сканирования сети.

CVE — не единс­твен­ный про­ект MITRE, свя­зан­ный с защитой информа­ции. Сущес­тву­ют и активно раз­вива­ются так­же такие нап­равле­ния:

• ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это струк­туриро­ван­ный спи­сок извес­тных тех­ник, при­емов и так­тик зло­умыш­ленни­ков, пред­став­ленный в виде таб­лиц;
• Structured Threat Information Expression (STIX) — это язык и фор­мат сери­али­зации, исполь­зуемый для обме­на информа­цией о киберуг­розах (CTI — Cyber Threat Intelligence) меж­ду сис­темами информа­цион­ной безопас­ности;
• CAR (Cyber Analytics Repository) — база зна­ний, раз­работан­ная на осно­ве модели ATT&CK. Она может быть пред­став­лена в виде псев­докода, и коман­ды защит­ников могут исполь­зовать ее при соз­дании логики детек­тирова­ния в сис­темах защиты;
• SHIELD Active Defense — база зна­ний по активной защите, которая сис­темати­зиру­ет методы безопас­ности и допол­няет меры сни­жения рис­ков, пред­став­ленные в ATT&CK;
• AEP (ATT&CK Emulation Plans) — это спо­собы модели­рова­ния поведе­ния зло­умыш­ленни­ка на осно­ве опре­делен­ного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.

Кстати, отечественные регуляторы тоже участвуют в подобных исследованиях. 5 февраля 2021 года ФСТЭК России выпустила методическое руководство по оценке угрозы информационной безопасности. На странице 30 показан пример сценария атаки.

Фраг­мент методи­чес­кого пособия

Зачем нужен ATT&CK

MITER представил матрицу ATT & CK в 2013 году для описания и категоризации поведения злоумышленников (выборка) на основе реальных наблюдений. Прежде чем мы начнем понимать, как использовать матрицу, давайте рассмотрим основные концепции.

APT (Advanced Persistent Threat) — это группа злоумышленников или даже страна, которая участвует в длительных кибератаках против организаций или стран. Дословный перевод этого термина представляет собой постоянно расширяющуюся угрозу. Прочитав всю статью, вы поймете, что здесь нет ничего особо продвинутого.

Боль­шой спи­сок извес­тных APT-групп, который ведут фанаты информа­цион­ной безопас­ности.

На­боры TTP (тех­ники, так­тики и про­цеду­ры), рас­шифро­выва­ются сле­дующим обра­зом:

• так­тика — как зло­умыш­ленник дей­ству­ет на раз­ных эта­пах сво­ей опе­рации, какая цель или задача зло­умыш­ленни­ка на опре­делен­ным шаге, нап­ример: TA0002 Execution — это ког­да зло­умыш­ленник пыта­ется запус­тить свой вре­донос­ный код. Да, зву­чит баналь­но, но ты пос­мотри, что будет даль­ше;
• техника — как злоумышленник достигает цели или поставленной задачи, какие инструменты, технологии, код, эксплойты, инструменты используются и т. д. Пример: T1059.001 PowerShell — использование PowerShell в атаке;
• процедура — как выполняется эта техника и почему. Например: вредоносная программа, использующая PowerShell, загружает полезную нагрузку, которая, в свою очередь, загружает Cobalt Strike, чтобы попытаться запустить ее на удаленных хостах (считаете ли вы, что это была комбинация технологии и тактики?).

Как вообще действует злоумышленник? Он открывает учебник хакеров, где на второй странице знакомит с концепцией Kill Chain. Kill Chain, то есть «цепочка убийства» — модель, определяющая последовательность действий, которые приводят преступника к цели. Он состоит из ряда обычно последовательных шагов:

• reconnaissance — раз­ведка;
• weaponization — под­готов­ка к ата­ке, опре­деле­ние инс­тру­мен­тария и delivery — дос­тавка;
• exploitation — экс­плу­ата­ция арсе­нала;
• installation — уста­нов­ка;
• command & control (С2) — управле­ние через коман­дные сер­веры;
• lateral movement — горизон­таль­ное переме­щение, рас­простра­нение внут­ри сети;
• objectives — целевое воз­дей­ствие.

Матрица MITER ATT & CK началась с собственной разработки, известной как FMX  (эксперимент Форт-Мид). В рамках этого перед специалистами по безопасности была поставлена ​​задача смоделировать враждебные TTP против сети, а затем были собраны и проанализированы данные об атаках на эту сеть. Именно эти данные впоследствии легли в основу АТТ и СК. Поскольку матрица ATT и CK представляет собой довольно полное описание поведения, которое злоумышленники используют при взломе сетей, матрица полезна для различных наступательных и защитных измерений, представлений и других механизмов (например, моделирование угроз FSTEC. 

MITRE раз­бил ATT&CK на нес­коль­ко свод­ных мат­риц:

• Enterprise — TTP, исполь­зуемые при ата­ках на орга­низа­ции;
• Mobile — TTP, свя­зан­ные с перенос­ными устрой­ства­ми;
• ICS — Industrial Control Systems, TTP для индус­три­аль­ных сис­тем.

Каждый из них содержит тактики и приемы, относящиеся к предмету этой матрицы. Самая популярная матрица — Enterprise. Она, в свою очередь, состоит из ветвей, каждая из которых отвечает за свою:

• PRE Matrix — пред­варитель­ные лас­ки;
• Windows — ата­ки на инфраструк­туры на осно­ве Windows;
• macOS — то же для ябло­компь­юте­ров;
• Linux — догадай­ся;
• Cloud — ата­ки на обла­ка;
• Network — ата­ки на сеть.

Далее мы рассмотрим именно эту матрицу. Разделение на подматрицы было сделано неспроста. Например, матрица PRE и другие части могут быть наложены на этапы цепочки уничтожения следующим образом.

Мат­рица ATT&CK Enterprise для модели Kill Chain

Как видите, матрица PRE содержит данные, относящиеся к подготовительным этапам атаки, таким как сканирование и инвентаризация сети, фишинг или социальная инженерия. А остальные подтаблицы матрицы предприятия содержат самое интересное. В верхней части матрицы есть 14 категорий. Каждая категория содержит тактику, которую может использовать злоумышленник.

Ка­тего­рии мат­рицы ATT&CK Enterprise и количес­тво вло­жен­ных тех­ник в каж­дой катего­рии

Например, давайте посмотрим на тактику исполнения. Во сколько способов может что-то работать в целевой системе? Больше не надо изобретать велосипед и строить консорциум, умные дядюшки давно уже все придумали. Давайте покажем некоторые тактики исполнения TA0002 Execution и посмотрим, сколько существует техник исполнения. Их всего десяток, не считая подтехник:

• T1059 — Command and Scripting Interpreter, коман­дные и скрип­товые интер­пре­тато­ры;
• T1203 — Exploitation for Client Execution, исполь­зование уяз­вимос­тей в кли­ент­ском ПО;
• T1559 — Inter-Process Communication, исполь­зование меж­про­цес­сно­го вза­имо­дей­ствия;
• T1106 — Native API, вза­имо­дей­ствие с API опе­раци­онной сис­темы;
• T1053 — Scheduled Task/Job, жизнь в пла­ниров­щиках;
• T1129 — Shared Modules, заг­рузка DLL;
• T1072 — Software Deployment Tools, исполь­зование сис­тем раз­верты­вания ПО;
• T1569 — System Services, при­мене­ние служб;
• T1204 — User Execution, дей­ствия поль­зовате­ля, нап­равлен­ные на удобс­тво зло­умыш­ленни­ка;
• T1047 — Windows Management Instrumentation, исполь­зование WMI.

У тех­ники могут быть свои под­техни­ки. Если ты клик­нешь на пра­вую часть (нев­разуми­тель­ную серую тра­пецию), они рас­кры­вают­ся.

Под­техни­ки T1059 Command and Scripting Interpreter

Скрипты и команды специфичны для различных популярных операционных систем, которые могут быть использованы во вредоносной кампании. При нажатии на надпись открывается страница, посвященная описанию конкретной техники, в качестве примера — после нажатия на Command and Scripting Interpreter открывается доступ ко всей сопутствующей информации об этом методе, а именно: краткое описание техники, примеры процедур для разных групп и меры по снижению рисков.

При моделировании угроз с помощью нового метода FSTEC необходимо использовать пакет TTP как конструктор Lego. Если вы видите атаку, формируйте все формы ее реализации (сценарии) из кубов TTP, и MITER ATT & CK указывается как один из возможных источников для формирования исходных данных.

Чтобы выделить используемые методы, тактики и процедуры, вы можете использовать MITER ATT & CK Navigator вместо Excel после анализа вредоносного ПО. Например, вы можете увидеть распределение целевых атак Carbanak на TTP.

Короче говоря, матрица MITER ATT & CK может и должна использоваться как при анализе вредоносных программ, так и для сравнения тактик и методов различных групп. В качестве примера вы можете увидеть исследование Group-IB, посвященное вымогателю ProLock. Есть раздел MITER ATT & CK Mapping, где описываются используемые тактики и техники.

Для авто­мати­зации мап­пинга мож­но исполь­зовать офи­циаль­ный инс­тру­мент (пока он beta) Threat Report ATT&CK Mapper (TRAM), который с помощью механиз­мов NLP (обра­бот­ка тек­стов на естес­твен­ном язы­ке) по клю­чевым сло­вам пред­лага­ет соот­ветс­тву­ющую так­тику или тех­нику. Ана­лити­ку в таком слу­чае оста­ется толь­ко под­твер­дить либо откло­нить пред­ложение. Эту ути­литу мы рас­смот­рим в одном из будущих матери­алов.

Правила CAPA

Разрешения, которые запрашивают почти все приложения Android при установке, давно привлекают внимание специалистов по информационной безопасности. Обычно просят доступ и к камере, и к микрофону, и к сети.

Исследователям FireEye это понравилось, но что мешает им проверить, какими возможностями обладает тот или иной исполняемый файл? Здесь в игру вступают правила CAPA.

При­мер Android-при­ложе­ния с его раз­решени­ями

Когда он динамически сканирует объект, он работает в изолированной среде и отслеживает все действия на уровне гипервизора или специальной утилиты. Используя правила CAPA (которые, кстати, имеют открытый исходный код), аналитик может сократить время, провести предварительный статический анализ объекта и сосредоточиться на потенциальных действиях и возможностях программы согласно матрице MITER ATT & CK.

Вот как выг­лядит вывод CAPA при ана­лизе .exe. Подопыт­ная прог­рамма была написа­на на Python и соб­рана в исполня­емый файл с помощью auto_py_to_exe.

При­мер ана­лиза с помощью пра­вил САРА фай­ла 1.exe

Мы видим, что в анализируемом файле используются три тактики и пять приемов согласно матрице MITER ATT & CK. Кроме того, CAPA перечисляет возможности исполняемого файла по используемым функциям.

Ис­поль­зуемые фун­кции объ­екта 1.exe

Автоматическое обнаружение возможностей CAPA осуществляется путем поиска отличительных артефактов. Это используемые вызовы API, строки, константы, создание мьютексов и сокетов, загруженные библиотеки. Эти артефакты определяются правилами (похожими на правила YARA), которые помогают идентифицировать функции, реализованные во вредоносном ПО.

Рас­смот­рим при­мер пра­вила САРА.

CAPA-пра­вило: schedule task via command line

Прежде всего, CAPA извлекает строки и константы, которые могут быть именами функций или чем-то, что можно сообщить эксперту. Найдено разбито на свойства файла и результаты разборки (строки, константы, вызовы). Свойства файла — это заголовки и импортированные API (включая имена используемых функций). В приведенном выше примере используется логическое условие:

создание_процесса И [(строка /schtasks/i И строка /\/create /i) ИЛИ строка /Register

То есть правило определяет консольные команды, используемые для создания задач в планировщике Windows.
Стоит отметить, что правила CAPA работают только с объектами в формате PE (Portable Executable). Для получения дополнительных сведений используйте параметры -v и -vv.

Выводы

Сообщество людей, заинтересованных в поддержке философии MITER ATT & CK, растет с каждым годом, поэтому использование этой матрицы становится все более популярным. Например, производители используют ATT & CK при создании предупреждений в своих продуктах. Этот подход облегчает расследование происшествий, а также позволяет оперативно реагировать на них. ATT & CK – это не просто рекламная кампания, но важный источник знаний для всего рынка кибербезопасной индустрии.

Именно благодаря этому все сообщество кибербезопасности, в том числе и разработчики программ, используют базу знаний ATT & CK для того, чтобы общаться на общем языке.

Важно помнить, что последние две буквы в аббревиатуре ATT & CK обозначают общие знания, то есть «хорошо известные вещи». Матрица основана на предыдущих атаках и дает поведенческие подсказки относительно того, какие TTP использовались. Это, несомненно, отличная база знаний, простая в использовании и пользующаяся очень сильной поддержкой. Однако парадокс заключается в том, что она никогда не сможет полностью описать все приемы атакующего, хотя и стремится именно к этому.