MITRE ATT&CK™ : et si on s’attaquait au haut de la ‘pyramid of pain’ ? (1/2) [FR]

Dans le lot des différents modèles de menaces connus (kill chain, diamant…), MITRE ATT&CK™ se démarque. La matrice de TTPs (tactiques, techniques et procédures) serait-elle en train de s’imposer comme standard de modélisation des attaques informatiques ?

Mettez de côté un instant les hash et signatures périmés, les adresses IP et FQDN sinkholés, les whois torpillés par le RGPD... À la différence d’autres modèles favorisant l’étude d’indicateurs statiques, MITRE ATT&CK™ est un attack model centré sur l’étape post-intrusion et sur le comportement dynamique de l’attaquant. Avec MITRE ATT&CK™, on cartographie et essaye de comprendre le détail des actions entreprises par l’attaquant une fois dans le système d’information ciblé. C’est cette succession d’actions, et les traces qu’elles laissent, les erreurs commises, qui vont constituer un tout, un profil, une empreinte de techniques caractérisant une attaque et, pourquoi pas, un mode opératoire spécifique.

Finally, at the apex are the TTPs. When you detect and respond at this level, you are operating directly on adversary behaviors, not against their tools. For example, you are detecting Pass-the-Hash attacks themselves (perhaps by inspecting Windows logs) rather than the tools they use to carry out those attacks. From a pure effectiveness standpoint, this level is your ideal. from : http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

La ‘Pyramid of pain’ de David J. Bianco. from : http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

[NB : Attention, les indicateurs traditionnels sont utiles, mais ici, on tente une approche complémentaire. Disposer d’IOCs, de TTPs, mais aussi des logiciels malveillants employés afin d’analyser statiquement et dynamiquement leur contenu et comportement permet une approche complète.]

MITRE ATT&CK™, le renseignement sur les menaces à la portée de tou·te·s

Entièrement libre d’accès, MITRE ATT&CK™ est un point de départ qui peut aider à structurer une démarche de threat intel en termes de capitalisation, d’analyse et de compréhension des modes opératoires attaquants, mais également en matière de détection et d’évaluation de ses propres défenses.

MITRE ATT&CK™, c’est de prime abord un wiki, une base de données considérable remplie de fiches sur les acteurs, les campagnes, les logiciels malveillants et leurs tactiques, techniques et procédures (TTPs). Particulièrement bien venu quand on démarre from scratch, ou si on n’a jamais réellement eu le temps de capitaliser de façon structurée sur ses recherches.

from : https://attack.mitre.org/wiki/Groups

Analyser les modes opératoires adverses à la lumière de la matrice MITRE ATT&CK™

MITRE ATT&CK™, c’est aussi, et surtout, une matrice (un framework) permettant de cartographier de façon simple les tactiques et techniques de modes opératoires adverses. Comme ces deux termes essentiels l’indiquent, le modèle ATT&CK™ sera donc centré sur les dimensions tactique et technique de la ‘threat intel’.

Tactique : exfiltration ; techniques associées. from : https://attack.mitre.org/wiki/Technique_Matrix

La “tactique” est ici un objectif que l’attaquant cherche à atteindre dans le système d’information compromis. MITRE en distingue 11 : accès initial, exécution, persistance, escalade de privilèges, contournement et évasion des défenses, vol d’identifiants, exploration du SI (ou discovery), mouvements latéraux, collection de données, exfiltration et C2 (commande et contrôle).

Pour atteindre ces objectifs tactiques, l’attaquant mettra en oeuvre une ou plusieurs “techniques”. Ce sont ces techniques qui seront cartographiées.

[NB : Et le stratégique ? En savoir plus sur la tactique d’un attaquant peut éclairer sur sa stratégie, en identifiant ses objectifs concrets → quelle partie du SI intéresse précisément l’attaquant ? Quelles sont les données subtilisées par l’attaquant ? Quels étaient les sujets abordés par les documents exfiltrés ?]

On décompose ainsi les différentes techniques mises en oeuvre dans les étapes post-intrusion d’un autre modèle, le ‘cycle de vie de l’attaque informatique’. De ce point de vue, MITRE est totalement compatible avec la Cyber Kill Chain®, et peut être utilisé en complément des étapes d’installation, d’exploitation ou encore d’actions sur objectifs. [La Cyber Kill Chain® fera l’objet d’un article dédié]

La modélisation peut se faire de façon interactive avec le ‘Navigator’.

ATT&CK Navigator, from : https://mitre.github.io/attack-navigator/enterprise/ & https://github.com/mitre/attack-navigator

Une fois l’instance du Navigator installée, il est possible de naviguer dans les différentes tactiques, techniques, mettre en surbrillance certaines d’entre-elles, afin de modéliser le mode opératoire que l’on souhaite étudier. Il est également possible d’afficher des matrices pré-remplies, voire de comparer des ‘layers’ entre-elles.

APT28 modelisation, from : https://mitre.github.io/attack-navigator/enterprise/

On peut ainsi :

Capitaliser notre connaissance des TTPs de certains attaquants, groupes de menaces, campagne(s) ou attaque(s) en la représentant visuellement sur une matrice.

Suivre l’évolution des TTPs d’attaquants, ou de groupes de menaces par la mise à jour et le versionning.

Comparer des TTPs rattachées à un ou plusieurs attaquants, groupes de menaces ou clusters d’activité. Certaines TTPs sont communes à plusieurs modes opératoires, bien que les outils employés soient différents.

Collaboratif, collaboratif, collaboratif : le renseignement sur les menaces est un sport d’équipe, et nous pouvons partager plus que des IOCs, mais également des TTPs modélisées. Les IOCs transmis sont ainsi re-positionnés dans un contexte et une succession d’actions informant sur les décisions prises par l’attaquant une fois installé dans le SI compromis.

Exemples

Selon un rapport de Microsoft, CORESHELL (ou Sofacy), logiciel malveillant utilisé par le mode opératoire APT28 (ou STRONTIUM), s’installe par l’intermédiaire de l’exécution de rundll32 avec un export nommé ‘init’ ou ‘initW’. Passer par rundll32.exe pour exécuter arbitrairement du code est une ‘technique’ (technique ‘Rundll32’) permettant d’atteindre les objectifs tactiques suivants :

• 1) échapper à la détection des outils de sécurité, qui peuvent whitelister le processus rundll32.exe (tactique : ‘defense evasion’);
• 2) exécuter du code, puisque rundll32 permet d’exécuter des scripts, de charger des DLL, etc. (tactique : ‘execution’).

from : Microsoft Security Intelligence Report Volume 19. Retrieved December 23, 2015.

CORESHELL se rend persistant sur le système infecté en s’assurant d’être automatiquement lancé à chaque redémarrage de l’hôte, lorsque l’utilisateur s’identifie, grâce à une clé de registre spécifique. Ici, la technique baptisée ‘Registry Run Keys / Start Folder’ est employée pour atteindre l’objectif tactique de ‘Persistance’.

from : Microsoft Security Intelligence Report Volume 19. Retrieved December 23, 2015.

[Pour en savoir plus sur cette technique : https://www.bleepingcomputer.com/tutorials/windows-program-automatic-startup-locations/]

Je peux donc colorer ces cases sur mon framework MITRE ATT&CK, dater et sourcer ces données. Ces techniques peuvent évoluer dans le temps. Surtout, elles ne sont certainement pas exclusives à un mode opératoire ou groupe de menaces. Elles peuvent, au contraire, être récurrentes. Mais elles seront exécutées de façon différente (manuelle ou automatisée), dans un timing qui leur est propre, avec des lignes de commande, des noms de fichiers ou valeurs parfois distinctes.

Différents cas d’utilisation de la techniqe ‘Registry Run Keys / Start Folder’, from : https://attack.mitre.org/wiki/Technique/T1060

Lire la suite

MITRE ATT&CK™ : convertir ses efforts d’analyse en renseignement actionnable (2/2) : https://medium.com/@TheNotebook/mitre-att-ck-un-tremplin-pour-convertir-ses-efforts-danalyse-en-donn%C3%A9es-actionnables-2-2-9b4d82d1f4f8

MITRE propose également une matrice baptisée PRE-ATT&CK. Ce modèle plus récent fera l’objet d’un prochain article.