Giacomo Lanzi
Mitre Att&ck ™: una panoramica
Tempo di lettura: 6 min
Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.
Cos’e’ e cosa significa MITRE ATT&CK ™?
ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.
Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.
La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.
Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?
MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).
Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.
L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.
Come si usa la matrice ATT&CK ™?
La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.
Ecco un esempio di matrice:
In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).
Esempio
Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.
Esempio: le tattiche e le tecniche usate nella fasi di un attacco
Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.
Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.
Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.
Consultare ATT&CK
Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio.
In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.
La parte iniziale della scheda della tecnica Spearphishing Link.
Conclusioni
I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.
Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano.
Link utili:
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Unificare la piattaforma per la threat detection
- L’importanza del monitoring ICT
- I benefici SOAR: semplificare indagine e risposta
- Security Code Review: come funziona il servizio
- Automated Response Integration: le automazioni nel SOCaaS
- Coordinazione tra CTI e SOC: come alzare ulteriormente le difese
- Novità Cloud Server: internet ridondata
- Certificato di qualità per il SOCaaS di SOD
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (15)
- Security (157)
- Cyber Threat Intelligence (CTI) (5)
- Ethical Phishing (8)
- SOCaaS (49)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- Risolte vulnerabilità in Google Chrome
(AL01/221130/CSIRT-ITA) Novembre 30, 2022Google ha rilasciato un aggiornamento per il browser Chrome per correggere 28 vulnerabilità di sicurezza, di cui 8 con gravità “alta”.
- Tecniche di infezione basate sull’uso di social network
(BL01/221129/CSIRT-ITA) Novembre 29, 2022Spear phishing tramite il social network LinkedIn.
- La Settimana Cibernetica del 27 novembre 2022 Novembre 28, 2022Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia 21 al 27 novembre 2022
- Tentativi di estorsione sfruttano finte vulnerabilità o compromissioni
(BL01/221125/CSIRT-ITA) Novembre 25, 2022Campagne di estorsione finalizzate alla richiesta di denaro utilizzano la minaccia di pubblicazione di dati aziendali sensibili nel caso non venga effettuato un pagamento in Bitcoin.
- Nuova versione di Google Chrome
(AL01/221125/CSIRT-ITA) - Aggiornamento Novembre 25, 2022Il team di Google ha rilasciato un aggiornamento di Chrome per Windows, MacOS e Linux che corregge una vulnerabilità di tipo 0-day.
- Rilevate vulnerabilità in Apache AirFlow
(AL01/221124/CSIRT-ITA) Novembre 24, 2022Rilevate vulnerabilità con gravità “critica” in Apache Airflow. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente malintenzionato remoto l’esecuzione di codice arbitrario sui dispositivi interessati.
- Scam: campagna di phishing a tema corrispondenza
(BL01/221124/CSIRT-ITA) Novembre 24, 2022È stata recentemente rilevata da questo CSIRT una nuova ondata di campagne di phishing a tema corrispondenza, che sfrutta riferimenti a marchi noti operanti nel settore delle spedizioni.
- Aggiornamenti per prodotti Zyxel
(AL02/221123/CSIRT-ITA) Novembre 23, 2022Zyxel rilascia aggiornamenti di sicurezza per sanare una vulnerabilità nel router LTE3301-M209.
- Vulnerabilità in prodotti Solarwinds
(AL01/221123/CSIRT-ITA) Novembre 23, 2022Rilevate vulnerabilità di sicurezza, di cui 4 con gravità “alta”, nei prodotti Platform, Orion Platform e Serv-U di Solarwinds. Tali vulnerabilità, qualora sfruttate, potrebbero permettere l’esecuzione di comandi arbitrari e l’elevazione dei privilegi utente sui sistemi interessati.
- Risolte vulnerabilità su Zimbra Collaboration
(AL02/221122/CSIRT-ITA) Novembre 22, 2022Rilasciati aggiornamenti e mitigazioni per sanare alcune vulnerabilità riscontrate nel software Zimbra Collaboration.
Feed sconosciuto
Full Disclosure
- CyberDanube Security Research 20221124-0 | Authenticated Command Injection Hirschmann BAT-C2 Novembre 29, 2022Posted by Thomas Weber on Nov 29CyberDanube Security Research 20221124-0 ------------------------------------------------------------------------------- title| Authenticated Command Injection product| Hirschmann (Belden) BAT-C2 vulnerable version| 8.8.1.0R8 fixed version| 09.13.01.00R04 CVE number| CVE-2022-40282 impact| High ...
- Exploiting an N-day vBulletin PHP Object Injection Vulnerability Novembre 29, 2022Posted by Egidio Romano on Nov 29Hello list, Just wanted to share with you my latest blog post: http://karmainsecurity.com/exploiting-an-nday-vbulletin-php-object-injection Best regards, /EgiX
- Win32.Ransom.Conti / Crypto Logic Flaw Novembre 29, 2022Posted by malvuln on Nov 29Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/99e55ce93392068c970384ab24a0e13d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Backup media: infosec.exchange/@malvuln Threat: Win32.Ransom.Conti Vulnerability: Crypto Logic Flaw Description: Conti ransomware FAILS to encrypt non PE files that have a ".exe" in the filename. Creating specially crafted file names...
- Ransomware Deception Tactics Part 1 Novembre 29, 2022Posted by malvuln on Nov 29Did you know? some Ransomware like CONTI and others will FAIL to encrypt non PE files that have a ".exe" in the filename. Test.exe.docx Test.exe.pdf Conti MD5: 9eb9197cd58f4417a27621c4e1b25a71 ATOMSILO MD5: 5559e9f5e1645f8554ea020a29a5a3ee
- Trojan.Win32.DarkNeuron.gen / Named Pipe Null DACL Novembre 29, 2022Posted by malvuln on Nov 29Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/d891c9374ccb2a4cae2274170e8644d8.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Backup media: infosec.exchange/@malvuln Threat: Trojan.Win32.DarkNeuron.gen Vulnerability: Named Pipe Null DACL Family: DarkNeuron (Turla Group) Type: PE32 MD5: d891c9374ccb2a4cae2274170e8644d8 Vuln ID: MVID-2022-0661 Disclosure: 11/24/2022...
- Backdoor.Win32.Autocrat.b / Weak Hardcoded Credentials Novembre 29, 2022Posted by malvuln on Nov 29Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/4262a8b52b902aa2e6bf02a156d1b8d4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Backup media: infosec.exchange/@malvuln Threat: Backdoor.Win32.Autocrat.b Vulnerability: Weak Hardcoded Credentials Description: The malware is packed with PeCompact, listens on TCP port 8536 and requires authentication. However, the password...
- Backdoor.Win32.Serman.a / Unauthenticated Open Proxy Novembre 29, 2022Posted by malvuln on Nov 29Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/f312e3a436995b86b205a1a37b1bf10f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Backup media: infosec.exchange/@malvuln Threat: Backdoor.Win32.Serman.a Vulnerability: Unauthenticated Open Proxy Family: Serman Type: PE32 MD5: f312e3a436995b86b205a1a37b1bf10f Vuln ID: MVID-2022-0659 Disclosure: 11/22/2022 Description: The...
- Open-Xchange Security Advisory 2022-11-24 Novembre 29, 2022Posted by Martin Heiland via Fulldisclosure on Nov 29Dear subscribers, we're sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX AppSuite, Dovecot and PowerDNS at HackerOne and soon at YesWeHack. Yours sincerely, Martin Heiland, Open-Xchange […]
- [CVE-2022-33942] Intel Data Center Manager Console <= 4.1.1.45749 ”UserMgmtHandler" Authentication Logic Error Leading to Authentication Bypass Novembre 29, 2022Posted by Julien Ahrens (RCE Security) on Nov 29RCE Security Advisory https://www.rcesecurity.com 1. ADVISORY INFORMATION ======================= Product: Intel Data Center Manager Vendor URL: https://www.intel.com/content/www/us/en/developer/tools/data-center-manager-console/overview.html Type: Authentication Bypass by Spoofing [CWE-290] Date found: 2022-06-01 Date published: 2022-11-23 CVSSv3 Score: 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) CVE:...
- crashing potplayer again Novembre 29, 2022Posted by houjingyi on Nov 29I disclosured a crash in potplayer last year : https://seclists.org/fulldisclosure/2021/Mar/76 And I found a new one this year, this time is a mid file. Again I contacted Korea Internet & Security Agency(first-team () krcert or kr), they shared report to the onwer of the potplayer, Kakao Corp as they said. […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Unificare la piattaforma per la threat detection Maggio 23, 2022
- L’importanza del monitoring ICT Maggio 11, 2022
- I benefici SOAR: semplificare indagine e risposta Aprile 18, 2022
- Security Code Review: come funziona il servizio Aprile 13, 2022
- Automated Response Integration: le automazioni nel SOCaaS Aprile 11, 2022
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications