MITRE ATT&CK — одна из популяр­ней­ших методо­логий сре­ди спе­циалис­тов по информа­цион­ной безопас­ности. В этой статье мы рас­ска­жем, как соз­давалась и как устро­ена база зна­ний, при помощи которой опи­сыва­ют воз­можнос­ти мал­вари, сос­тавля­ют про­фили APT-груп­пировок и пишут пра­вила для авто­мати­зации рас­сле­дова­ний.

Итак, что такое MITRE и что за ата­ки? MITRE — это неком­мерчес­кая орга­низа­ция, которая работа­ет в США и управля­ет цен­тра­ми иссле­дова­ний и раз­работок на уров­не федераль­ного пра­витель­ства и мес­тно­го само­управле­ния. В зону инте­ресов MITRE вхо­дят: искусс­твен­ный интеллект, кван­товая информа­тика, информа­тика в области здра­воох­ранения, кос­мичес­кая безопас­ность, обмен дан­ными о киберуг­розах и средс­твах защиты и так далее.

В сфе­ре информа­цион­ной безопас­ности кор­порация MITRE извес­тна бла­года­ря спис­ку CVE (Common Vulnerabilities and Exposures) cve.mitre.org. Это база обще­извес­тных уяз­вимос­тей, которая появи­лась в 1999 году и с тех пор ста­ла одним из основных ресур­сов, где струк­туриру­ют и хра­нят дан­ные по багам в ПО. Имен­но эти базы исполь­зуют зло­умыш­ленни­ки при пер­вой попыт­ке про­ник­нуть в инфраструк­туру жер­твы пос­ле ска­ниро­вания сети.

CVE — не единс­твен­ный про­ект MITRE, свя­зан­ный с защитой информа­ции. Сущес­тву­ют и активно раз­вива­ются так­же такие нап­равле­ния:

  • ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это струк­туриро­ван­ный спи­сок извес­тных тех­ник, при­емов и так­тик зло­умыш­ленни­ков, пред­став­ленный в виде таб­лиц;
  • Structured Threat Information Expression (STIX) — это язык и фор­мат сери­али­зации, исполь­зуемый для обме­на информа­цией о киберуг­розах (CTI — Cyber Threat Intelligence) меж­ду сис­темами информа­цион­ной безопас­ности;
  • CAR (Cyber Analytics Repository) — база зна­ний, раз­работан­ная на осно­ве модели ATT&CK. Она может быть пред­став­лена в виде псев­докода, и коман­ды защит­ников могут исполь­зовать ее при соз­дании логики детек­тирова­ния в сис­темах защиты;
  • SHIELD Active Defense — база зна­ний по активной защите, которая сис­темати­зиру­ет методы безопас­ности и допол­няет меры сни­жения рис­ков, пред­став­ленные в ATT&CK;
  • AEP (ATT&CK Emulation Plans) — это спо­собы модели­рова­ния поведе­ния зло­умыш­ленни­ка на осно­ве опре­делен­ного набора TTP (Tactics, Techniques, and Procedures) по ATT&CK.

Оте­чес­твен­ные регуля­торы, кста­ти, тоже занима­ются подоб­ными иссле­дова­ниями — 5 фев­раля 2021 года ФСТЭК Рос­сии выпус­тил ме­тоди­чес­кое пособие по оцен­ке угроз безопас­ности информа­ции. На трид­цатой стра­нице показан при­мер сце­нария ата­ки.

Фрагмент методического пособия
Фраг­мент методи­чес­кого пособия

В народе эту таб­лицу уже проз­вали FST&CK, но это уже сов­сем дру­гая исто­рия...

 

Зачем нам ATT&CK

MITRE пред­ста­вил мат­рицу ATT&CK в 2013 году как спо­соб опи­сания и катего­риза­ции поведе­ния зло­умыш­ленни­ков (сос­тавле­ния пат­тернов поведе­ния) на осно­ве реаль­ных наб­людений. Преж­де чем начать раз­бирать, как поль­зовать­ся мат­рицей, давай прой­дем­ся по основным поняти­ям (не пережи­вай, их все­го три).

APT (Advanced Persistent Threat) — это груп­па зло­умыш­ленни­ков или даже стра­на, которые учас­тву­ют в про­дол­житель­ных кибера­таках на орга­низа­ции или стра­ны. Дос­ловный перевод тер­мина — прод­винутая пос­тоян­ная угро­за. Про­читав всю статью, ты пой­мешь, что осо­бо прод­винуто­го ничего нет.

www

Боль­шой спи­сок извес­тных APT-групп, который ведут фанаты информа­цион­ной безопас­ности.

На­боры TTP (тех­ники, так­тики и про­цеду­ры), рас­шифро­выва­ются сле­дующим обра­зом:

  • так­тика — как зло­умыш­ленник дей­ству­ет на раз­ных эта­пах сво­ей опе­рации, какая цель или задача зло­умыш­ленни­ка на опре­делен­ным шаге, нап­ример: TA0002 Execution — это ког­да зло­умыш­ленник пыта­ется запус­тить свой вре­донос­ный код. Да, зву­чит баналь­но, но ты пос­мотри, что будет даль­ше;
  • тех­ника — как зло­умыш­ленник дос­тига­ет цели или пос­тавлен­ной задачи, какие исполь­зует инс­тру­мен­ты, тех­нологии, код, экс­пло­иты, ути­литы и так далее. При­мер: T1059.001 PowerShell — исполь­зование PowerShell при ата­ке;
  • про­цеду­ра — как эта тех­ника выпол­няет­ся и для чего. Нап­ример: вре­донос­ная прог­рамма, исполь­зуя PowerShell, ска­чива­ет пей­лоад, который, в свою оче­редь, заг­ружа­ет Cobalt Strike для попыт­ки запус­ка на уда­лен­ных хос­тах (чуешь, что тут про­изош­ло объ­еди­нение тех­ники и так­тики?).

Как вооб­ще дей­ству­ет ата­кующий? Он откры­вает свой учеб­ник для мам­киных хакеров, где на вто­рой стра­нице зна­комит­ся с поняти­ем Kill Chain. Kill Chain, то есть «цепоч­ка убий­ства», — модель, опре­деля­ющая пос­ледова­тель­ность дей­ствий, ведущих наруши­теля к цели. Она сос­тоит из ряда обыч­но пос­ледова­тель­ных эта­пов:

  • reconnaissance — раз­ведка;
  • weaponization — под­готов­ка к ата­ке, опре­деле­ние инс­тру­мен­тария и delivery — дос­тавка;
  • exploitation — экс­плу­ата­ция арсе­нала;
  • installation — уста­нов­ка;
  • command & control (С2) — управле­ние через коман­дные сер­веры;
  • lateral movement — горизон­таль­ное переме­щение, рас­простра­нение внут­ри сети;
  • objectives — целевое воз­дей­ствие.

Мат­рица MITRE ATT&CK началась с внут­ренне­го про­екта, извес­тно­го как FMX (Fort Meade Experiment). В рам­ках его спе­циалис­там по безопас­ности пос­тавили задачу ими­тиро­вать враж­дебные TTP про­тив сети, а дан­ные об ата­ках на эту сеть затем собира­ли и ана­лизи­рова­ли. Имен­но эти дан­ные потом лег­ли в осно­ву ATT&CK. Пос­коль­ку мат­рица ATT&CK пред­став­ляет собой доволь­но пол­ное опи­сание поведе­ния, которое зло­умыш­ленни­ки исполь­зуют при взло­ме сетей, мат­рица полез­на для раз­личных нас­тупатель­ных и защит­ных изме­рений, пред­став­лений и дру­гих механиз­мов (нап­ример, модели­рова­ния угроз по ФСТЭК).

MITRE раз­бил ATT&CK на нес­коль­ко свод­ных мат­риц:

  • Enterprise — TTP, исполь­зуемые при ата­ках на орга­низа­ции;
  • Mobile — TTP, свя­зан­ные с перенос­ными устрой­ства­ми;
  • ICS — Industrial Control Systems, TTP для индус­три­аль­ных сис­тем.

В каж­дой из них — так­тики и тех­ники, свя­зан­ные с пред­метом этой мат­рицы. Самая популяр­ная мат­рица — Enterprise. Она, в свою оче­редь, сос­тоит из ответ­вле­ний, ответс­твен­ных каж­дое за свое:

  • PRE Matrix — пред­варитель­ные лас­ки;
  • Windows — ата­ки на инфраструк­туры на осно­ве Windows;
  • macOS — то же для ябло­компь­юте­ров;
  • Linux — догадай­ся;
  • Cloud — ата­ки на обла­ка;
  • Network — ата­ки на сеть.

Даль­ше мы рас­смот­рим имен­но эту мат­рицу. Раз­бивка на под­матри­цы сде­лана не прос­то так. Нап­ример, PRE Matrix и осталь­ные час­ти мож­но наложить на эта­пы кил­лчейн сле­дующим обра­зом.

Матрица ATT&CK Enterprise для модели Kill Chain
Мат­рица ATT&CK Enterprise для модели Kill Chain

Как видишь, в PRE Matrix содер­жатся дан­ные, которые каса­ются под­готови­тель­ных эта­пов ата­ки, нап­ример ска­ниро­вание и инвента­риза­ция сети, фишинг или соци­аль­ная инже­нерия. А осталь­ные под­табли­цы мат­рицы Enterprise содер­жат самое инте­рес­ное. В вер­хней час­ти мат­рицы рас­положе­но 14 катего­рий. Каж­дая катего­рия содер­жит так­тики, которые может исполь­зовать зло­умыш­ленник.

Категории матрицы ATT&CK Enterprise и количество вложенных техник в каждой категории
Ка­тего­рии мат­рицы ATT&CK Enterprise и количес­тво вло­жен­ных тех­ник в каж­дой катего­рии

Раз­берем, нап­ример, так­тику Execution (исполне­ние). Сколь­кими спо­соба­ми мож­но что‑либо запус­тить на конеч­ной сис­теме? Выдумы­вать велоси­пед и собирать кон­сорци­ум уже не нуж­но, все дав­но про­дума­ли умные дяди. Рас­кро­ем выб­ранную так­тику TA0002 Execution и уви­дим, сколь­ко тех­ник исполне­ния быва­ет. Их все­го десяток, не счи­тая под­техник:

  • T1059 — Command and Scripting Interpreter, коман­дные и скрип­товые интер­пре­тато­ры;
  • T1203 — Exploitation for Client Execution, исполь­зование уяз­вимос­тей в кли­ент­ском ПО;
  • T1559 — Inter-Process Communication, исполь­зование меж­про­цес­сно­го вза­имо­дей­ствия;
  • T1106 — Native API, вза­имо­дей­ствие с API опе­раци­онной сис­темы;
  • T1053 — Scheduled Task/Job, жизнь в пла­ниров­щиках;
  • T1129 — Shared Modules, заг­рузка DLL;
  • T1072 — Software Deployment Tools, исполь­зование сис­тем раз­верты­вания ПО;
  • T1569 — System Services, при­мене­ние служб;
  • T1204 — User Execution, дей­ствия поль­зовате­ля, нап­равлен­ные на удобс­тво зло­умыш­ленни­ка;
  • T1047 — Windows Management Instrumentation, исполь­зование WMI.

У тех­ники могут быть свои под­техни­ки. Если ты клик­нешь на пра­вую часть (нев­разуми­тель­ную серую тра­пецию), они рас­кры­вают­ся.

Подтехники T1059 Command and Scripting Interpreter
Под­техни­ки T1059 Command and Scripting Interpreter

Скрип­ты и коман­ды ука­заны для раз­ных популяр­ных ОС, которые могут исполь­зовать­ся при про­веде­нии вре­донос­ной кам­пании. Если клик­нуть по над­писи, откры­вает­ся стра­ница, пос­вящен­ная опи­санию опре­делен­ной тех­ники, как при­мер — по кли­ку на Command and Scripting Interpreter откры­вает­ся дос­туп ко всей свя­зан­ной информа­ции, каса­ющей­ся это­го метода, а имен­но: крат­кое опи­сание тех­ники, при­меры про­цедур по раз­личным груп­пиров­кам и меры для сни­жения рис­ков.

При модели­рова­нии угроз по новой методи­ке ФСТЭК ты дол­жен исполь­зовать набор TTP, как конс­трук­тор Lego. Видишь ата­ку — фор­мируй все пути ее реали­зации (сце­нарии) из кубиков TTP, при­чем MITRE ATT&CK ука­зыва­ется как один из воз­можных источни­ков для фор­мирова­ния исходных дан­ных.

Что­бы выделить исполь­зуемые тех­ники, так­тики и про­цеду­ры, пос­ле ана­лиза вре­донос­ной прог­раммы мож­но вос­поль­зовать­ся MITRE ATT&CK Navigator вмес­то Excel. Для при­мера можешь пос­мотреть раз­ложения целевой ата­ки Carbanak на TTP.

Ко­роче, мат­рицу MITRE ATT&CK исполь­зовать мож­но и нуж­но — и в рам­ках ана­лиза вре­донос­ного ПО, и для сопос­тавле­ния так­тик и методов раз­ных груп­пировок. В качес­тве при­мера можешь пос­мотреть ис­сле­дова­ние Group-IB, в котором раз­бира­ется шиф­роваль­щик ProLock. Там есть раз­дел MITRE ATT&CK Mapping, где рас­писаны исполь­зуемые так­тики и тех­ники.

Для авто­мати­зации мап­пинга мож­но исполь­зовать офи­циаль­ный инс­тру­мент (пока он beta) Threat Report ATT&CK Mapper (TRAM), который с помощью механиз­мов NLP (обра­бот­ка тек­стов на естес­твен­ном язы­ке) по клю­чевым сло­вам пред­лага­ет соот­ветс­тву­ющую так­тику или тех­нику. Ана­лити­ку в таком слу­чае оста­ется толь­ко под­твер­дить либо откло­нить пред­ложение. Эту ути­литу мы рас­смот­рим в одном из будущих матери­алов.

 

Правила CAPA

Раз­решения, которые зап­рашива­ет при уста­нов­ке поч­ти любое при­ложе­ние для Android, дав­но прив­лека­ют вни­мание ИБ‑спе­циалис­тов. Обыч­но про­сят и дос­туп к камере, и к мик­рофону, и к сети... Конеч­но же, что­бы отправ­лять все это тво­ему курато­ру!

Ис­сле­дова­телям из FireEye это пон­равилось — а что меша­ет про­верить, какие воз­можнос­ти есть у опре­делен­ного исполня­емо­го фай­ла? Ска­зано — сде­лано, и тут в игру всту­пают пра­вила CAPA.

Пример Android-приложения с его разрешениями
При­мер Android-при­ложе­ния с его раз­решени­ями

При динами­чес­ком ана­лизе объ­екта он запус­кает­ся в изо­лиро­ван­ной сре­де и монито­рит­ся вся активность на уров­не гипер­визора или спе­циаль­ных ути­лит. Исполь­зуя CAPA-пра­вила (они, кста­ти, опен­сор­сные), ана­литик может сок­ратить вре­мя, про­вес­ти пред­варитель­ный ста­тичес­кий ана­лиз объ­екта и скон­цен­три­ровать­ся на потен­циаль­ных активнос­тях и воз­можнос­тях прог­раммы по мат­рице MITRE ATT&CK.

Вот как выг­лядит вывод CAPA при ана­лизе .exe. Подопыт­ная прог­рамма была написа­на на Python и соб­рана в исполня­емый файл с помощью auto_py_to_exe.

Пример анализа с помощью правил САРА файла 1.exe
При­мер ана­лиза с помощью пра­вил САРА фай­ла 1.exe

Ви­дим, что ана­лизи­руемый файл исполь­зует три так­тики и пять тех­ник по мат­рице MITRE ATT&CK. Помимо это­го, CAPA выводит спи­сок воз­можнос­тей исполня­емо­го фай­ла по исполь­зуемым фун­кци­ям.

Используемые функции объекта 1.exe
Ис­поль­зуемые фун­кции объ­екта 1.exe

Ав­томати­чес­кое опре­деле­ние воз­можнос­тей в CAPA реали­зова­но через поиск харак­терных арте­фак­тов. Это исполь­зуемые вызовы API, стро­ки, кон­стан­ты, соз­дание мьютек­сов и сокетов, под­гру­жаемые либы. Эти арте­фак­ты зада­ются пра­вила­ми (похожи­ми на пра­вила YARA), которые помога­ют выявить фун­кции, реали­зован­ные во вре­доно­се.

Рас­смот­рим при­мер пра­вила САРА.

CAPA-правило: schedule task via command line
CAPA-пра­вило: schedule task via command line

В пер­вую оче­редь CAPA извле­кает стро­ки и кон­стан­ты, которые могут быть име­нами фун­кций или о чем‑то говорить экспер­ту. Най­ден­ное раз­деля­ется на фай­ловые свой­ства и резуль­таты дизас­сем­бли­рова­ния (стро­ки, кон­стан­ты, вызовы). Фай­ловые свой­ства — это заголов­ки и импорти­руемые API (в том чис­ле наз­ваний исполь­зуемых фун­кций). В при­мере выше исполь­зует­ся логичес­кое усло­вие:

создание_процесса И [(строка /schtasks/i И строка /\/create /i) ИЛИ строка /Register-ScheduledTask /i]

То есть пра­вило детек­тиру­ет кон­соль­ные коман­ды, с помощью которых соз­дают­ся задачи в пла­ниров­щике Windows.

Сто­ит упо­мянуть, что пра­вила CAPA работа­ют толь­ко с объ­екта­ми фор­матов PE (Portable Executable). Для получе­ния боль­шего количес­тва деталей по образцу исполь­зуй клю­чи -v и -vv.

 

Выводы

Со­общес­тво людей, заин­тересо­ван­ных в под­дер­жке филосо­фии MITRE ATT&CK, с каж­дым годом все боль­ше, поэто­му и при­мене­ние этой мат­рицы ста­новит­ся мей­нстри­мовым. К при­меру, вен­доры исполь­зуют ATT&CK для соз­дания алер­тов в сво­их про­дук­тах. Такой под­ход упро­щает рас­сле­дова­ние инци­ден­тов и реаги­рова­ние на них. В общем, ATT&CK — это не прос­то хайп, а важ­ная и для все­го рын­ка кибер­безопас­ности база зна­ний.

Матрица MITRE ATT&CK в отчете Group-IB Polygon комплекса Threat Hunting Framework
Мат­рица MITRE ATT&CK в отче­те Group-IB Polygon ком­плек­са Threat Hunting Framework

Мат­рица поз­воля­ет стро­ить модели угроз для раз­ных типов ком­паний и показы­вать, какие из извес­тных угроз мож­но зак­рыть кон­крет­ными решени­ями. В теории это выг­лядит так: ком­пания, выбира­ющая решения для защиты сво­ей инфраструк­туры, про­еци­рует воз­можнос­ти зло­умыш­ленни­ка на мат­рицу ATT&CK и смот­рит, какие акту­аль­ные угро­зы оста­лись незак­рытыми.

Про­филь кибер­груп­пировок и их кам­паний по MITRE ATT&CK помога­ет понять, какие инс­тру­мен­ты исполь­зуют зло­умыш­ленни­ки, озна­комить­ся с их тех­никами и так­тиками. Эти зна­ния поз­воля­ют прог­нозиро­вать веро­ятную точ­ку вхо­да в орга­низа­ции.

Ак­тивное и пов­семес­тное при­мене­ние базы зна­ний ATT&CK поз­волит уни­фици­ровать под­ход все­го сооб­щес­тва кибер­безопас­ности — как бы поможет говорить на общем язы­ке.

При этом важ­но пом­нить, что две пос­ледние бук­вы в сок­ращении ATT&CK озна­чают Common Knowledge, то есть «обще­извес­тные вещи». Мат­рица стро­ится на осно­ве уже про­веден­ных атак и дает поведен­ческую справ­ку о том, какие TTP исполь­зовались. Бес­спор­но, это отличная база зна­ний, которая удоб­на в исполь­зовании, и у нее очень силь­ная под­дер­жка. Одна­ко парадокс в том, что она никог­да пол­ностью не опи­шет абсо­лют­но все тех­ники зло­умыш­ленни­ка, хоть и стре­мит­ся имен­но к это­му.

Аватар

Борис Осепов

Специалист ИБ. Увлекаюсь средствами анализа вредоносного ПО. Люблю проверять маркетинговые заявления на практике :)

Аватар

Александр Мессерле

ИБтивист. Исследую в ИБ то, что движется. То, что не движется, кладу в песочницу.

Check Also

GhostEmperor атакует телекомы и правительственный сектор

По данным «Лаборатории Касперского», во втором квартале 2021 года увеличилось количество с…

3 комментария

  1. Аватар

    Cubik101

    17.03.2021 в 23:09

  2. Аватар

    georgioszm

    24.04.2021 в 18:05

  3. Аватар

    georgioszm

    24.04.2021 в 18:05

Оставить мнение