فریمورک MITER ATT&CK چیست؟
MITER ATT&CK را به عنوان مدلی برای مستندسازی و ردیابی تکنیکهای مختلفی که مهاجمان در مراحل مختلف یک حمله سایبری برای نفوذ به شبکه شما و استخراج دادهها استفاده میکنند، توسعه داد.
ATT&CK مخفف عبارت Adversarial Tactics, Techniques, and Common Knowledge است. این فریمورک ماتریسی از تکنیک های مختلف حمله سایبری است که بر اساس تاکتیک های مختلف مرتب شده اند. ماتریس های مختلفی برای ویندوز، لینوکس، مک و سیستم های موبایل وجود دارد.
از زمان آغاز به کار خود در سال 2013، ATT&CK به یکی از معتبرترین و معتبرترین منابع در امنیت سایبری تبدیل شده است. ATT&CK یک پایگاه دانش از تکنیک های هک است که می توانید از آن برای دفاع از شبکه خود در برابر تهدیدات امنیت سایبری استفاده کنید. شناخت ATT&CK به معنای درک دشمن است.
MITRE ATT&CK vs. Cyber Kill Chain
به طور کلی، هر دو سیستم از یک الگو پیروی می کنند – وارد شوید، گرفتار نشوید، چیزها را بدزدید. تفاوت اصلی بین این دو این است که ماتریس ATT&CK بیشتر فهرستی از تکنیک ها بر اساس تاکتیک ها است و ترتیب خاصی از عملیات را پیشنهاد نمی کند.
زنجیره کشتار سایبری (Cyber Kill Chain)، یک توالی مشخص از رویدادها است: تیم قرمز (اصطلاح نامطلوب برای مهاجمان) از شناسایی به نفوذ و غیره به این ترتیب حرکت می کند. برعکس، تیم قرمز از تکنیک های ATT&CK از تاکتیک های مختلف در زمان های مختلف سناریو بسته به موقعیت استفاده می کند. یک سناریوی ATT&CK میتواند با افزودن سختافزار از تاکتیک دسترسی اولیه شروع شود، سپس از تاکتیک افزایش امتیاز به دور زدن کنترل حساب کاربری بپرد و برای اجرای PowerShell به تاکتیک Execution برگردد.
- ATT&CK تاکتیک های زیر را که در یک حمله سایبری استفاده می شود تعریف می کند:
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Exfiltration
- Command and Control
- زنجیره کشتار سایبری (Cyber Kill Chain) اندکی کوتاهتر است:
- Reconnaissance
- Intrusion
- Exploitation
- Privilege Escalation
- Lateral Movement
- Obfuscation/ Anti-forensics
- Denial of Service
- Exfiltration
ماتریس های MITER ATT&CK
ATT&CK ماتریسی از تکنیک های هک توسط تاکتیک است. اگر میخواهید یاد بگیرید که چگونه تیم قرمز در طول نفوذ پنهان میماند، به دسته فرار از دفاع نگاه کنید و یکی از تکنیکهای آن ستون را انتخاب کنید و برای اطلاعات بیشتر روی پیوند کلیک کنید.
چندین ماتریس مختلف وجود دارد:
- ماتریس PRE-ATT&CK :شامل تکنیک هایی است که برای شناسایی، شناسایی هدف و برنامه ریزی حمله استفاده می شود.
- ویندوز: شامل تکنیک هایی است که برای هک کردن تمام طعم های ویندوز استفاده می شود.
- لینوکس: شامل تکنیک هایی است که برای هک کردن تمام سلیقه های لینوکس استفاده می شود.
- MacOS :شامل تکنیک هایی است که برای هک MacOS استفاده می شود.
- ماتریس Mobile ATT&CK: شامل تکنیک هایی است که برای حمله به دستگاه های تلفن همراه استفاده می شود.
ماتریس Enterprise ATT&CK: ابرمجموعه ای از ماتریس های Windows، MacOS و Linux است. در زمان نگارش این مقاله، 245 تکنیک در مدل Enterprise وجود دارد. MITER به طور مرتب ATT&CK را با جدیدترین و بهترین تکنیک های هک که هکرها و محققان امنیتی در طبیعت کشف می کنند به روز می کند.
تاکتیک ها و تکنیک های MITER ATT&CK
MITER دسته سطح بالا را “تاکتیک” می نامد. هر ستون زیر یک تاکتیک شامل فهرستی از “تکنیک” است که هدف آنها دستیابی به آن تاکتیک است.
برای استفاده بهینه از ATT&CK، تیم قرمز یک استراتژی ایجاد میکند تا چندین تکنیک را از ستونهای مختلف به هم پیوند دهد تا دفاع هدف خود را آزمایش کند. تیم آبی (اصطلاح سخت برای مدافعان) برای مقابله با استراتژی تیم قرمز باید تاکتیک ها و تکنیک ها را درک کند.
این یک بازی شطرنج است، اما مهره ها به جای شوالیه ها و اسقف ها، تکنیک های ATT&CK هستند. هر طرف باید حرکات خاصی انجام دهد، مقابله کند، دفاع بسازد و تکنیک های بعدی را در بازی پیش بینی کند.
به عنوان مثال، یک استراتژی تیم قرمز ممکن است چیزی شبیه به لیست شماره گذاری شده در زیر باشد.
با کلیک بر روی هر یک از پیوندهای تکنیکهای زیر به صفحهای میروید که در آن توضیح کوتاهی درباره این تکنیک، فهرستی از برنامههای نمونه، همراه با نکات کاهش و تشخیص وجود دارد:
- تیم Red با استفاده از Replication Through Removable Media هدف را با بدافزار آلوده می کند
- با وجود بدافزار، مهاجمان به رایانه ای در شبکه دسترسی دارند و از PowerShell برای جستجوی حساب های دارای امتیاز استفاده می کنند.
- هنگامی که تیم قرمز یک هدف حساب ممتاز را پیدا کرد، از یک Exploitation for Privilege Escalation برای دسترسی به حساب استفاده می کند.
- با دسترسی به یک حساب کاربری ممتاز، مهاجم از Remote Desktop Protocol برای دسترسی به ماشین های دیگر در شبکه برای یافتن داده هایی برای سرقت استفاده می کند.
- تیم قرمز دادهها را جمعآوری و به پایگاه اصلی بازگرداند. آنها می توانند از فشرده سازی داده ها برای جمع آوری فایل های حساس استفاده کنند و سپس داده ها را با استفاده از تکنیک Exfiltration Over Alternative Protocol به خانه منتقل کنند.
برای مقابله با سناریوی مثال ما، تیم آبی باید بتواند دسترسی فایل به یک دستگاه رسانه قابل جابجایی را تشخیص دهد یا بدافزاری را که مهاجم مستقر میکند شناسایی کند. آنها باید اجرای PowerShell را شناسایی کنند و بدانند که این فقط یک مدیر نیست که کار معمولی را انجام می دهد. تیم آبی همچنین باید دسترسی حساب ممتاز دزدیده شده به داده های حساس و نفوذ را شناسایی کند. این تکنیکها در اکثر سیستمهای نظارتی به سختی قابل شناسایی و مرتبط هستند.
تیم قرمز معمولاً مانند هکرهای واقعی در صدر قرار می گیرد.
موارد استفاده MITER ATT&CK
- از ATT&CK برای برنامه ریزی استراتژی امنیت سایبری خود استفاده کنید. دفاع خود را برای مقابله با تکنیک های شناخته شده بسازید و نظارت خود را برای شناسایی شواهد تکنیک های ATT&CK در شبکه خود مجهز کنید.
- ATT&CK مرجعی برای تیم های واکنش به حادثه (Incident Response (IR)) است. تیم IR شما می تواند از ATT&CK برای تعیین ماهیت تهدیداتی که با آن مواجه هستید و روش هایی برای کاهش تهدید استفاده کند.
- تیم IR شما می تواند از ATT&CK به عنوان مرجعی برای تهدیدات جدید امنیت سایبری استفاده کند و از قبل برنامه ریزی کند.
- ATT&CK می تواند به شما کمک کند تا استراتژی کلی امنیت سایبری خود را ارزیابی کرده و هر شکافی را که کشف می کنید، ببندید.
مزایای ATT&CK برای تیم های قرمز
یکی دیگر از منابع عالی برای تیم قرمز در مخزن ATT&CK، دایرکتوری گروه است. دایرکتوری گروه فهرستی از گروه های هکر شناخته شده به همراه فهرستی از ابزارها و تکنیک هایی است که برای نفوذ به اهداف خود استفاده کرده اند.
به عنوان مثال، ورودی گروه Rancor تکنیک هایی را که در حمله خود استفاده کرده اند فهرست می کند: رابط خط فرمان، کپی فایل از راه دور، وظیفه برنامه ریزی شده، و غیره. در کنار هر تکنیک، توضیح کوتاهی درباره نحوه استفاده Rancor از آن تکنیک وجود دارد. همچنین لیستی از نرم افزارهایی که آنها استفاده می کردند وجود دارد – certutil، DDKONG، PLAINTEE و Reg.
با دایرکتوری گروهها، تیمهای قرمز همه چیز لازم را برای ایجاد دهها سناریو مختلف در دنیای واقعی برای مقابله با تیمهای آبی دارند.
بهترین شیوه های MITER ATT&CK
در اینجا نکاتی وجود دارد که باید هنگام استفاده از ATT&CK به عنوان بخشی از برنامه های کلی امنیت داده خود در نظر بگیرید:
- از نرم افزارها و سناریوهای دنیای واقعی از لیست گروه ها استفاده کنید. اگر نمی توانید در برابر تهدیدات شناخته شده محافظت کنید، هیچ راهی وجود ندارد که بتوانید تهدیدات ناشناخته را متوقف کنید.
- تکنیک های ATT&CK را به عنوان یک زبان مشترک برای تیم های امنیتی خود اجتماعی کنید و به اشتراک بگذارید.
- شکاف های دفاعی خود را با ماتریس های ATT&CK شناسایی کنید و راه حل هایی را برای آن شکاف ها پیاده سازی کنید.
- هرگز تصور نکنید که از آنجایی که می توانید به یک روش در برابر یک تکنیک دفاع کنید، با اجرای متفاوت آن تکنیک دچار مشکل نخواهید شد. فقط به دلیل اینکه آنتی ویروس شما “Mimikatz” را می گیرد، تصور نکنید که “tnykttns” را نیز می گیرد – یا هر نوع دیگری از Mimikatz که بعداً منتشر می شود.
چالش ها هنگام استفاده از ATT&CK
- هر رفتاری که با تکنیک ATT&CK مطابقت دارد، مخرب نیست. به عنوان مثال، حذف فایل (File Deletion) یک تکنیک فهرست شده در قسمت Defence Evasion است – که کاملاً منطقی است. اما چگونه میتوانید حذفهای عادی فایل را از تلاشهای مهاجم برای فرار از شناسایی تشخیص دهید؟
- به طور مشابه، تشخیص برخی از تکنیک های ATT&CK حتی در یک روز خوب نیز دشوار است. تشخیص حملات Brute Force نسبتاً آسان است اگر بدانید به دنبال چه باشید. تشخیص استخراج از طریق پروتکل جایگزین (Exfiltration over Alternative Protocol)، مانند یک تونل DNS، حتی اگر به دنبال آن هستید، می تواند بسیار دشوار باشد. توانایی کشف تکنیکهایی که یافتن آنها دشوار است، کلید استراتژی بلندمدت امنیت داده شما است.
MITER ATT&CK امروز
ATT&CK یکی از کامل ترین و قطعی ترین منابع تکنیک های هکری است که امروزه در دسترس است. متخصصان امنیتی به طور فزایندهای در مورد تکنیکهای حمله سایبری با اصطلاحات ATT&CK صحبت میکنند و در حال ساخت دفاعی و انتخاب نرمافزار بر اساس مدلهای MITER ATT&CK هستند.
به روز رسانی به ATT&CK
MITER بهروزرسانیهای منظم ATT&CK را انجام میدهد: برای اطلاع از آخرین اخبار، با وبلاگ آنها همراه باشید.اخیراً، MITER فرآیند صدور گواهینامه نرم افزاری را منتشر کرده است. شرکت های نرم افزاری می توانند بر اساس توانایی خود در تشخیص تکنیک های ATT&CK توسط MITER گواهی دریافت کنند.
پروژه ها و منابع ATT&CK
MITER و سایر توسعه دهندگان شخص ثالث از ATT&CK برای کمک به تیم های قرمز و آبی برای اجرای تلاش های دفاعی و دفاعی خود استفاده می کنند:
- Caldera ابزار شبیهسازی تکنیک پیوست خودکار MITRE است
- Cascade مجموعه ابزار اتوماسیون تیم آبی MITRE است
- Attack Navigator یک برنامه وب است که می توانید از آن برای یادداشت برداری و ردیابی وضعیت ATT&CK خود استفاده کنید
- Oilrig کتاب بازی دشمن پالو آلتو است که بر اساس مدل ATT&CK ساخته شده است.
- مخزن تجزیه و تحلیل سایبری MITRE یک پروژه جداگانه از ATT&CK است که اطلاعات دقیق در مورد نحوه شناسایی تکنیک ها را ردیابی می کند.
دیدگاهتان را بنویسید