Mitre Att&ck cover Giacomo Lanzi

Mitre Att&ck ™: una panoramica

Tempo di lettura: 6 min

Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.

Cos’e’ e cosa significa MITRE ATT&CK ™?

ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.

Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.

La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.

Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?

MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).

Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.

L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.

Come si usa la matrice ATT&CK ™?

La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.

Ecco un esempio di matrice:

Mitre Atta&ck matrice

In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).

Esempio

Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.

Fasi di un attacco

Esempio: le tattiche e le tecniche usate nella fasi di un attacco

Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.

Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.

Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.

Consultare ATT&CK

Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio. 

In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.

Tecnica Spearphishing Link Scheda Mitre Att&ck

La parte iniziale della scheda della tecnica Spearphishing Link.

Conclusioni

I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.

Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano. 

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

Il SOCaaS e’ utile per la tua azienda?

SOCaaS – Security Operation Center as a Service

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • SEC Consult SA-20210113-1 :: Multiple vulnerabilities in flatCore CMS Gennaio 13, 2021
    Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-1 > ======================================================================= title: Multiple Vulnerabilities product: flatCore CMS vulnerable version: < 2.0.0 Build 139 fixed version: Release 2.0.0 Build 139 CVE number: CVE-2021-23835, CVE-2021-23836, CVE-2021-23837, CVE-2021-23838 impact: High homepage:...
  • SEC Consult SA-20210113-0 :: Multiple vulnerabilities in Pepperl+Fuchs IO-Link Master Series Gennaio 13, 2021
    Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-0 > ======================================================================= title: Multiple vulnerabilities product: Pepperl+Fuchs IO-Link Master Series See "Vulnerable / tested versions" vulnerable version: System 1.36 / Application 1.5.28 fixed version: System 1.52 / Application 1.6.11 CVE number:...
  • Backdoor.Win32.Zombam.a / Remote Stack Buffer Overflow Gennaio 13, 2021
    Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6c5081e9b65a52963b0b1ae612ef7eb4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on TCP port 80, sending an HTTP GET request with 300 or more bytes will trigger buffer overflow overwriting EIP. Type: […]
  • Backdoor.Win32.Levelone.b / Remote Stack Buffer Overflow Gennaio 13, 2021
    Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/3f82e6ddc9f5242f5af200d2fbae4ce4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.b Vulnerability: Remote Stack Buffer Overflow Description: The backdoor listens on Port 7777, sending two large consecutive HTTP OPTIONS requests trigger the buffer overflow overwriting EIP. Type: PE32 MD5:...
  • Backdoor.Win32.Levelone.a / Remote Stack Buffer Overflow Gennaio 13, 2021
    Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6a2d09c4527cf222e4e2571b074fcc0c.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on Port 1500, sending a specially crafted HTTP TRACE request causes a buffer overflow and overwrites EIP with our payload. If […]
  • Backdoor.Win32.Ketch.b / Remote Stack Buffer Overflow Gennaio 13, 2021
    Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/9d7be3799594a82bf7056905f501af03.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Ketch.b Vulnerability: Remote Stack Buffer Overflow Description: Makes HTTP GET request for a file "script.dat", and writes the server response to temporary file named "watchb.tmp" under c:\Windows dir. At 1032...
  • Re: Backdoor.Win32.Xtreme.yvp / Insecure Permissions EoP Gennaio 13, 2021
    Posted by bo0od on Jan 12When you say backdoor, you mean backdoor which microsoft remotely using it or you mean a malware can take advantage of? malvuln:
  • Advisory: ES2021-01 - Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address Gennaio 13, 2021
    Posted by Sandro Gauci on Jan 12# Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address - Fixed version: 4.5.2 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-01-coturn-access-control-bypass - Coturn Security Advisory: https://github.com/coturn/coturn/security/advisories/GHSA-6g6j-r9rf-cm7p - Other references: - CVE-2020-26262 -...
  • Re: Trovent Security Advisory 2010-01 [updated] / CVE-2020-28208: Rocket.Chat email address enumeration vulnerability Gennaio 13, 2021
    Posted by Stefan Pietsch on Jan 12# Trovent Security Advisory 2010-01 # ##################################### Email address enumeration in reset password ########################################### Overview ######## Advisory ID: TRSA-2010-01 Advisory version: 1.1 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2010-01 Affected product: Web application Rocket.Chat Affected version:
  • Envira Gallery - Lite Edition - Version 1.8.3.2 CVE-2020-35581 CVE-2020-35582 Gennaio 13, 2021
    Posted by Rodolfo Augusto do Nascimento Tavares on Jan 12==== [Tempest Security Intelligence - ADV-12/2020] ============================= Envira Gallery - Lite Edition - Version 1.8.3.2 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil ===== [Table of Contents] ================================================ • Overview • Detailed description • Disclosure timeline • Acknowledgements • References ===== [Vulnerability Information]...

Customers

Newsletter