Warming Up. Using ATT&CK for Self Advancement

Introdução

Muitos times azuis estão usando MITRE ATT&CK para avançar na maturidade de suas detecções e respostas. O arsenal do time azul de ferramentas EDR, logs de eventos e ferramentas de triagem estão todos revelando o que está ocorrendo nos endpoints. No entanto, anomalias são normais e esses alertas e fontes de dados precisam ser triados para avançar com ações de resposta ou filtragem. O projeto ATT&CK fornece aos defensores em progresso uma base de conhecimento e recursos que podem ser usados como ferramentas para entender ataques e, portanto, as regras e métodos de detecção. Utilizar o ATT&CK para essa reflexão pessoal ajudará você a progredir no mundo da cibersegurança.

Requisitos

Um laboratório que execute pelo menos um host Windows 7 ou Windows 10 é crítico para qualquer avanço pessoal de um defensor. Avançar sem prática em um ambiente de laboratório isolado levará apenas a uma compreensão superficial das técnicas. Usar um computador não isolado para testar técnicas de adversários não é recomendado. Eu recomendo fortemente, no mínimo, aumentar as configurações de log padrão (powershell, linha de comando do processo, etc.), instalar e configurar o sysmon, e ter o procmon em execução o tempo todo.

Como o ATT&CK pode Ajudar?

Frequentemente referido pela comunidade como um ‘framework’, os criadores do ATT&CK o chamam de ‘base de conhecimento’. O ATT&CK foi criado para rastrear técnicas de ataque que seriam usadas em emulações de adversários. O ‘CK’ em ATT&CK significa ‘Conhecimento Comum’. Cada tática e técnica coberta na base de conhecimento ATT&CK é considerada pela MITRE como algo que todo defensor deve saber.Antes de ComeçarVocê deve identificar um lugar para manter suas anotações sobre cada técnica. Uma forma simples de baixar todas as técnicas em um formato para anotações é via o MITRE ATT&CK Navigator, que tem a capacidade de baixar a matriz para um formato xlsx para Excel. Além disso, a SOC Prime fornece uma visualização fácil de navegar da matriz ATT&CK via o Threat Detection Marketplace, que está disponível gratuitamente.Navegador de Ataques:
https://mitre-attack.github.io/attack-navigator/enterprise/

Mercado de Detecção de Ameaças:
https://tdm.socprime.com/att-ck/

Aqui estão algumas sugestões de notas para tomar:

1. Escreva sua própria descrição da técnica.
2. Mantenha uma cópia do código POC.
3. Mantenha uma cópia das assinaturas escritas ou ideias de detecção.
4. Mantenha uma cópia (ou link) de ferramentas de código aberto úteis para investigar a técnica pós-comprometimento.
5. Acompanhe os recursos mais úteis que você identificou para cada técnica.
6. Acompanhe os especialistas que você achou mais influentes para sua compreensão.

Orientação Geral

1. Identifique uma Técnica da Matriz ATT&CKO método mais rápido e fácil de usar o ATT&CK para progressão pessoal é começar a mergulhar em cada técnica e tática listada na matriz ATT&CK da esquerda para a direita. Essa abordagem de força bruta permitirá que você passe por cada técnica, no entanto, pode não ser o mais eficiente para garantir que você esteja amadurecendo rapidamente nas áreas que mais importam.

Aqui estão algumas realidades das técnicas ATT&CK que devem influenciar como você aborda seu uso para orientar o aprendizado:

1. Algumas técnicas são mais difíceis de compreender e agir do que outras; você não quer ficar sobrecarregado por técnicas complicadas.
2. Algumas técnicas são muito específicas e outras são ‘amplas’; vou expandir sobre isso mais tarde.
3. Algumas técnicas são mais comumente usadas por adversários do que outras. Por exemplo, técnicas que abusam do .NET tornaram-se mais comuns à medida que os times azuis têm melhor posicionado contra ataques em powershell.

Felizmente, Travis Smith da Tripwire lançou uma matriz ATT&CK customizada com base em sua experiência de ensino que pode ser usada para identificar métodos mais fáceis dos mais difíceis. Não tenha medo de pular e voltar a uma técnica se achar certas técnicas mais difíceis de compreender.

Post do Blog do Travis Smith:
[https://www.tripwire.com/state-of-security/mitre-framework/using-attck-teacher/] Personalização do Navegador de Ataques do Travis Smith:
[https://github.com/TravisFSmith/mitre_attack/tree/master/teaching]

Nota: Tenha em mente que à medida que o ATT&CK evolui, essas matrizes customizadas podem se tornar desatualizadas.

2. Leia a Página da Técnica ATT&CKCada técnica listada no ATT&CK é geralmente mais complexa que o resumo de ~1.000 palavras fornecido pela MITRE. Por exemplo, ‘comprometimento via drive-by’ listado como a primeira técnica no canto superior esquerdo da matriz é uma técnica muito ampla. Muitos métodos que se encaixam nesta técnica existem, como targeting de extensões, bugs de navegadores, ou bugs de sistemas operacionais. A detecção e compreensão destes métodos podem diferir extremamente. Por exemplo, detectar um arquivo flash malicioso é diferente de detectar um javascript malicioso. Um exploit de arquivo flash provavelmente está contido no formato SWF e provavelmente envolve análise de actionscript enquanto um exploit baseado em javascript é um arquivo de texto simples e provavelmente tem como alvo o motor javascript do navegador.

O material que a MITRE fornece em cada página ATT&CK é uma boa introdução à técnica. Geralmente, fornecerá a terminologia e informações suficientes para guiá-lo em pesquisas adicionais. Para muitas técnicas, ler a descrição do ATT&CK provavelmente fornecerá mais perguntas que respostas. Isso é algo positivo.Coisas para pensar:Ao ler a Página da Técnica ATT&CK, você deve manter o seguinte em mente:

1. Quais substantivos são vagos para mim?
   a. Ex: O que é ‘Actionscript’.
2. Quantos adversários estão listados como usando esta técnica?
   a. Geralmente, quanto mais adversários listados, mais comum e fácil de abusar a técnica pode ser.
3. Quão específica é essa técnica?
   a. Algumas técnicas são muito específicas e podem não envolver tanta pesquisa adicional quanto uma técnica abrangente.
4. Quais ferramentas ofensivas estão listadas como associadas a esta técnica e elas são de código aberto ou disponíveis para teste?

3. Estudar Recursos (Pesquisa)Para cada Técnica, há uma abundância de recursos localizados na parte inferior da página. Geralmente, os recursos cobrem relatórios sobre quando adversários usaram a técnica no passado. Esses recursos podem ou não entrar nos detalhes técnicos da técnica. O melhor recurso, que pode estar listado sob a técnica, geralmente será o relatório ou post de blog de pesquisa ofensiva original.Coisas para pensar:Enquanto lê os recursos, você deve manter o seguinte em mente:

1. Quais substantivos são vagos para mim?
   a. Ex: O que é ‘Actionscript’.
2. Os autores desta publicação têm páginas no Github, postagens de blog, uma conta no Twitter, etc.
3. Quais ferramentas ofensivas estão listadas como associadas a esta técnica e elas são de código aberto ou disponíveis para teste?
4. Há código POC disponível?
5. Quais mecanismos de prevenção e detecção são apresentados pelo pesquisador? Eles citam especificamente a técnica?
6. Quais ferramentas ou técnicas estão disponíveis para detectar essa técnica após o comprometimento?
7. Cobri todos os aspectos dessa técnica? Existem métodos adicionais dessa técnica que não cobri?

4. Recursos Adicionais (Pesquisa)Como o ATT&CK é uma base de conhecimento comum, muitos recursos existem de pesquisadores que não estão necessariamente ligados ao ATT&CK. Os recursos podem agregar exemplos específicos de técnicas, identificar detecções específicas e publicar pesquisa de técnicas ofensivas.

Aqui estão alguns dos meus recursos favoritos que cobrem técnicas de adversários em ATT&CK e muitos fornecem links para recursos adicionais:Projeto Living Off the Land Binaries and Scripts:
https://github.com/LOLBAS-Project/LOLBAS
Site & Blog de Sean Metcalf:
https://adsecurity.org/
Threat-Hunter Playbook de Roberto Rodriguez:
https://github.com/Cyb3rWard0g/ThreatHunter-Playbook
Posters da SANS:
https://digital-forensics.sans.org/community/posters
Blog de Casey Smith:
http://subt0x11.blogspot.com/
Blog de Adam Hexacorn:
http://www.hexacorn.com/blog/Felizmente para nós, muitas dessas técnicas também foram explicadas por pesquisadores de segurança em conferências ao longo dos anos. Aqui estão alguns clássicos:Defendendo contra ataques PowerShell – Lee Holmeshttps://www.youtube.com/watch?v=LNlxGXGJPl8Abusando da Instrumentação de Gerenciamento do Windows – Matt Graeberhttps://www.youtube.com/watch?v=0SjMgnGwpq8Projetando Backdoors DACL do Active Directory – Andy Robbins e Will Schroederhttps://www.youtube.com/watch?v=ys1LZ1MzIxECoisas para pensar:Veja o Passo 3.5. Conduzindo uma Emulação (Emular)

Nota: Não baixe ferramentas de emulação a menos que você possua a rede ou tenha permissão explícita. Ferramentas de emulação são frequentemente sinalizadas por Antivírus e podem conter exploits.Emular uma técnica em um laboratório isolado é ótimo. O código de Prova de Conceito (POC) oferece aos defensores uma janela para dominar a compreensão de um ataque. Muitos scripts de emulação gratuitos e códigos POC existem e esses conjuntos de ferramentas fornecem uma janela para a técnica na forma de código simplificado. Simplesmente executar o código e observar o resultado não é suficiente. Deve-se tentar passar pelo POC linha por linha para entender a técnica. Além disso, logs capturados nativamente pelo sistema operacional, sysmon e procmon devem ser revisados. Em algumas instâncias, capturar telemetria adicional com ferramentas como wireshark, depuradores, monitores de API, dumps de memória, etc pode ser benéfico. Além disso, executar ferramentas forenses pós emulação (como as disponibilizadas por Eric Zimmerman) pode ser benéfico dependendo da técnica.

Escrever e testar a detecção dessa técnica é outra ótima maneira de entender o ataque e as limitações e contexto de alertar sobre esse evento. Hoje, muitas regras são compartilhadas via SIGMA um formato de assinatura de código aberto para SIEMs.

A SOC Prime fornece o Threat Detection Marketplace que consiste em emulações e regras para a maioria das técnicas no ATT&CK. Você pode criar uma conta gratuitamente e ter acesso a muitas regras gratuitamente (https://tdm.socprime.com/login/).

Algumas técnicas podem ser incrivelmente difíceis de entender ou replicar sem treinamento avançado e experiência. É normal, mesmo após conduzir uma emulação, entender ou até mesmo escrever seu próprio código, não compreender completamente o que está acontecendo. Se você chegou até aqui e tem perguntas restantes, entrar em contato diretamente com mentores ou pesquisadores pode ser útil.Coisas para pensar:Enquanto lê os recursos, você deve manter o seguinte em mente:

1. Posso mudar/alterar o POC para evitar a detecção?
2. Existem POCs adicionais disponíveis que se encaixam nesta técnica, mas usam um método diferente?

Limitações

TempoO tempo desde a descoberta ou solicitação de uma nova técnica a ser publicada até a técnica ser publicada pode levar vários meses. Alternativas como seguir pesquisadores no Twitter são uma ótima maneira de ganhar vantagem. No entanto, separar sinal de ruído com a enxurrada de informações que é compartilhada pode ser uma tarefa assustadora.ProfundidadeNem todos os tópicos aplicáveis à cibersegurança são cobertos pelas técnicas ATT&CK. Por exemplo, provavelmente não se aprenderá sobre as complexidades dos exploits baseados em uso após livre. Olhar para outros frameworks e bases de conhecimento, como a Enumeração de Fraquezas Comuns da MITRE, pode ajudar aqui.