O que é o Mitre Att&ck?
O Mitre Att&ck é uma base de conhecimentos de Táticas, Técnicas e Procedimentos que atacantes utilizam para comprometer um ambiente, baseando-se em casos reais e trazendo o modus operandi de grandes grupos de cibercriminosos, sejam eles grupos individuais ou atrelados ao governo.
Em tese o Mitre ele auxilia tanto os profissionais de Red Team como os de Blue Team, trazendo técnicas que atacantes utilizam em determinados ambientes. Ao acessar o site, você vai perceber que tem técnicas para ambientes empresariais, ambientes na nuvem, conteiners e por ai vai. E esses TTPs são essênciais para auxiliar a equipe de Blue Team na implementação de controles de segurança e mitigação de riscos. Além de ser um bom provedor de técnicas para os profissionais de Red Team que precisam testar os controles de segurança da sua empresa, afiim de verificar se está ou não bem aplicado.
E ai entra um conceito bastante interessante.
Adversary Emulation
O Adversary Emulation tem como base testar o ambiente utilizando de TTPs para verificar a eficácia dos controles de segurança implementados e analisar o quão o seu ambiente está propenso a ser invadido, seja por um TTP especifico ou por diversos TTPs. Geralmente quando se fala de Adversary Emulation, é um processo que vem após um PenTest e um bom gerenciamento de vulnerabilidades, assim sendo algo que as organizações fazem mais como pós-comprometimento do que um pré-comprometimento. Como assim? O Pós-comprometimetno, seria as ações que um atacante ele faria após ter acesso a um ambiente especifico, com base nisso, utilizando TTPs você consegue ver se os controles de segurança vão ser eficiêntes em detectar um criminoso que já está dentro da sua rede. Já o PenTest ele tem como principio o pré-comprometimento, analisando o grau de exposição e riscos da sua empresa de maneira externa e no pós-comprometimento não sendo geralmente muito aprofundado.
Porém é claro que ambos os 2 tipos de operações, podem ser trabalhadas com o pré e pós comprometimento, mas geralmente você vai encontrar o Adversary Emulation sendo trabalhado como pós comprometimento.
E ai você tem ferramentas que podem te ajudar e tudo mais, veja um repositório que eu fiz.
https://github.com/CyberSecurityUP/Adversary-Emulation-Matrix
Em resumo é isso, claro que o conceito é bem mais profundo e a partir dele estou criando outro framework chamado Cracking The Perimeter ou Cracking The Bridge como alguns preferirem chamar.
https://github.com/CyberSecurityUP/Cracking-The-Perimeter-Framework
Como contribuir com o Mitre?
Diferente das CVE’s que submetemos, para contribuir com a matriz do Mitre Att&ck, antes precisa dar uma olhada nesse artigo:
https://medium.com/mitre-attack/attack-with-sub-techniques-is-now-just-attack-8fc20997d8de
Como o Mitre Att&ck está sempre em constante atualização, afinal os cibercriminosos sempre criam técnicas novas, a contribuição nossa é fundamental. Então se você tiver alguma técnica que acrescente a uma sub-técnica no Mitre, com certeza será muito bem vindo! Principalmente váriações de uma já existente ou até mesmo informações relevantes sobre uma técnica.
É claro que muita delas requer pesquisas, entender como as técnicas funcionam e demonstrar como um invasor utilizária essa técnica para comprometer um ambiente, fugindo do conceito CTF e indo mais para o mundo real. Trazendo provas de conceitos que podem ser úteis para agregar ao Mitre e que ajude outras organizações, afinal usamos muito o Mitre como referência nas nossas pesquisas, principalmente para implementar ou testar controles de segurança e mitigar alguns riscos.
Como posso efetuar minhas pesquisas?
Tem conhecimento de uma técnica nova? Sua empresa foi atacada e os cibercriminosos utilizaram algo nunca já visto antes? Você possui algum case em um PenTest realizado que pode ser de grande vália para o Mitre? Então é algo bom para você começar a enviar, é claro que eles vão analisar e procurar cenários que se encaixe na vida real, por isso os detalhes e como descrever cada passo a passo é fundamental. Além disso se for acrescentar algo em uma técnica, confira se é necessário utilizar outra tática ou técnica para que a técnica que você está enviando tenha efeito, afinal se sua técnica afeta apenas servidores que rodam um determinado serviço, isso tem que ser bem explicito e muita das vezes é algo que pode ser re-avaliado.
Toda contribuição é bem vinda, mas que seja realista, então considere as seguintes questões antes de submeter sua pesquisa:
- É uma técnica que já existe dentro do Mitre?
- Qual o grau de impacto essa técnica tem no respectivo ambiente?
- Para que essa técnica obtenha êxito, ela precisa de outra tática ou sub-técnica?
- Tem um cenário de exemplo sobre essa técnica?
- O que o criminoso precisaria para efetuar essa técnica?
- Ela já foi utilizado por um grupo APT?
- Como é o processo de mitigação?
- Quais referências você utilizou para dar embasamento na sua pesquisa?
- Os vetores de ataques são acessiveis?
*Grupos APTs são grupos organizados que realizam ataques direcionados ou de grande escalas, usando ameaças persistentes avançadas que basicamente são ameaças que tem um grande grau de impacto e pode gerar grandes danos.
Enfim, em resumo é isso, pretendo gravar um vídeo em detalhes sobre o Mitre Att&ck
Mas segue um exemplo do próprio site de uma contribuição
New Technique Example
(Sub-)Technique Name:
COM, ROM, & BE GONE
Tactic:
Persistence
Platform:
Windows
Required Permissions:
User
Sub-techniques: This is a sub-technique of T1XXX, or this would have T1XXX as a sub-technique
Data Sources: Windows API, Process monitoring, or other sources that can be used to detect this activity
Description: Component Object Model (COM) servers associated with Graphics Interchange Format (JIF) image viewers can be abused to corrupt arbitrary memory banks. Adversaries may leverage this opportunity to modify, mux, and maliciously annoy (MMA) read-only memory (ROM) regularly accessed during normal system operations.
Detection: Monitor the JIF viewers for muxing and malicious annoyance. Use event ID 423420 and 234222 to detect changes.
Mitigation: Configure the Registry key HKLM\SYSTEM\ControlSet\001\Control\WindowsJIFControl\ to 0 to disable MMA access if not needed within the environment.
Adversary Use: Here is a publicly-available reference about FUZZYSNUGGLYDUCK using this technique: (www[.]awesomeThreatReports[.]org/FUZZYSNUGGLYDUCK_NOMS _ON_ROM_VIA_COM). Additionally, our red team uses this in our operations.
Additional References: Here is a reference from the researcher who discovered this technique: (www[.]crazySmartResearcher[.]net/POC_DETECTIONS_&_MITIGATIONS_4_WHEN_COM_RAMS_ROM)
Group & Software Example
Group Name: FUZZYSNUGGLYDUCK (www[.]sourceX[.]com)
Associated Groups: APT1337 (www[.]sourceY[.]com)
Description: FUZZYSNUGGLYDUCK is a Great Lakes-based threat group that has been active since at least May 2018. The group focuses on targeting the aviation sector. (www[.]sourceY[.]com)
Techniques:
- Phishing: Spearphishing Attachment (T1566.001) – FUZZYSNUGGLYDUCK has used spearphishing email attachments containing images of stale bread to deliver malware. (www[.]sourceX[.]com)
- File and Directory Discovery (T1083) – FUZZYSNUGGLYDUCK has searched files and directories for the string *quack*. (www[.]sourceY[.]com)
Software Name: FLYINGV (www[.]sourceX[.]com) (wwwVsourceZ[.]com)
Group Association: FLYINGV has been used by FUZZYSNUGGLYDUCK. (www[.]sourceZ[.]com)
Description: FLYINGV is custom malware used by FUZZYSNUGGLYDUCK as a second-stage RAT. (www[.]sourceZ[.]com)
Platform: Windows
Techniques:
- Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) – FLYINGV has added the Registry Run key “HueyDeweyLouie” to establish persistence. (www[.]sourceX[.]com)
- File and Directory Discovery (T1083) – FLYINGV has used rundll32.exe to load its malicious dll file, estevez.dll. (www[.]sourceX[.]com)
Visits: 334
