MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK) är en kunskapsdatabas över tekniker och taktiker som angripare använder för att genomföra angrepp i cyberdomänen. I den här artikeln tänkte jag introducera dig till ATT&CK. Artikeln kommer att ha ett något mer tekniskt fokus och förutsätter därför en viss nivå av teknisk kompetens. Detta gör att målgruppen i huvudsak utgörs av exempelvis nätverkstekniker, säkerhetsanalytiker, säkerhetsarkitekter eller för dig som jobbar med incidentutredningar. Det finns givetvis ingenting som hindrar att även något mer tekniskt lagda chefer läser, men värdet hämtas antagligen bäst av ovan nämnda roller.

Inledning

Eftersom det finns så mycket vi skulle kunna läsa och lägga vår tid på, varför ATT&CK? Därför att den ger oss möjligheten att betrakta verkligheten utifrån en angripares perspektiv. För mig är detta ett så pass viktigt perspektiv att det blivit en av mina grundläggande principer i mitt arbete; utgå ifrån angriparen, se världen från dennes ögon.

Kunskap och förståelse för hur angripare planerar och genomför cyberangrepp kan ge er förutsättningarna för att bygga ett mer effektivt försvar. Etablera relevanta skyddsförmågor, simulera angrepp, verifiera upptäckande indikatorer och uppdatera skyddet. Detta är en av många möjliga användningsområden för kunskapen i ATT&CK.

I nästa avsnitt blir det en kort historielektion.

Historik och bakgrund

Arbetet med ATT&CK började för många år sedan (2010) när MITRE ville förbättra förmågan att upptäcka intrång efter att en angripare lyckats ta sig in i nätverket. För att uppnå denna målsättning visade det sig vara vettigt att dokumentera och kategorisera de observerade beteendena.

Den kunskap som läggs till i ATT&CK är manuellt inmatad. I all enkelhet har någon kunnig hos MITRE har läst en rapport, artikel eller liknande och gjort en beskrivning av denna. Det är endast sådana tekniker och taktiker som har visat sig användas på riktigt av angripare som finns med. Eller det kanske är en sanning med modifikation, det kan även vara så att tekniker som visat sig framgångsrika av penetrationstestare i någon utsträckning inkluderas i databasen.

Det finns ett långt dokument om design och filosofi bakom ATT&CK och bör läsas och du hittar det här.

I nästkommande avsnitt introducerar jag den övergripande strukturen på ATT&CK samt något mer detaljerade beskrivning av respektive delkomponent.

Strukturen på ATT&CK

Kunskapsdatabasen är uppdelad i tre överordnade kategorier: domäner, taktiker och tekniker.

Domäner finns det endast två av, Enterprise och Mobile. Enterprise omfattar traditionella företagsnätverk. Och Mobile omfattar som du kanske redan föreställt dig olika typer av mobila enheter.

Taktiker1 kan beskrivas som olika målsättningar, eller steg, som en angripare försöker uppnå. En taktik kan t.ex. avse Initial åtkomst eller Exfiltration. Du kan likställa taktiker med de steg som Lockheed Martin beskriver i sin Cyber Kill Chain.

Tekniker är köttet av ATT&CK så att säga, det är här du oftast kommer befinna dig. Under varje taktik finns det flera tekniker som kan användas särskilt för att uppnå en given målsättning (steg). Observera att en teknik inte alltid tillhör endast en taktik utan kan finnas under flera målsättningar.

Domäner

Det finns faktiskt inte särskilt mycket att säga om Domäner. Det är helt enkelt en överordnad uppdelning av taktiker inom ett slags avgränsat område. Idag finns det två, en domän för traditionella företagsnätverk och en för mobila enheter. I framtiden kanske det kan tänkas tillkomma fler domäner som t.ex. kritisk infrastruktur, eller Internet of Things om det nu skulle visa sig att angripare använder väsentligt annorlunda tekniker inom dessa domäner.

Taktiker

Om du läst min introduktion till Cyber Kill Chain kommer du känna dig rätt så bekväm med ATT&CK Taktiker. Det handlar om målsättningar, eller delsteg som en angripare troligen kommer genomföra i ett angrepp.

Vi tar ett exempel, initial åtkomst. Denna målsättning handlar om vad alla angripare behöver, ett fotfäste, en språngbräda in i ditt nätverk. Under denna taktik hittar du många olika tekniker som används för att få ett fotfäste i ditt företags nätverk eller dina mobila enheter. Några av dessa tekniker kommer jag givetvis att beskriva under avsnittet Tekniker.

Ett annat exempel på taktiker är central styrning (eng. command and control). Under den här taktiken hittar du olika tekniker som en angripare kan utnyttja för att styra de enheter som hen tagit över i steget initial åtkomst. Just central styrning är ett omfattande steg som innehåller mängder av tekniker. Det som finns beskrivet under denna taktik ska snarare ses som de vanligaste metoderna för att styra enheter, inte en fullständig och komplett lista på hur man fjärrstyr övertagna enheter.

Nu är det dags för huvudrätten och i nästa avsnitt blir det provsmakning men kocken väljer…

Tekniker

Detta är det absolut mest omfattande området av ATT&CK. Under rubriken Tekniker placeras allt som angripare har antingen observerats göra eller som penetrationstestare har demonstrerat. När du bygger ditt cyberskydd är det under tekniker du ska titta.

Varje teknik är uppbyggt av följande rubriker:

  1. Beskrivning
  2. Exempel
  3. Skyddande åtgärder
  4. Upptäckande åtgärder
  5. Referenser

Varje teknik inleds med en beskrivning i löpande text om vad tekniken i stort innebär.

Under varje teknik finns det som regel flera exempel på aktörer som använt den givna tekniken i verkliga angrepp.

Skyddande åtgärder är precis vad du föreställer dig, metoder för att skydda dig från denna typ av teknik. Åtgärderna är inga steg-för-steg skydd utan mer av en slags generell/detaljerad beskrivning av tekniken.

Upptäckande åtgärder är även detta precis vad du troligen föreställer dig, åtgärder för att upptäcka teknikens användande. Det går inte alltid att hindra ett inbrott, men det är väldigt enkelt att upptäcka det.

Referenser är ingenting annat än referenser till källmaterial.

Exempel

Jag tänkte att det nu kunde vara på sin plats med ett antal exempel och jag översätter, ibland, fritt från engelska till svenska. Tanken är bara att ge en känsla för hur det ser ut för en given teknik. Detaljrikedom och mängden innehåll varierar självklart beroende på teknik.

Det får lov att bli en framtida artikel om hur olika tekniker kan kedjas ihop till ett fullständigt angrepp från initial åtkomst till, exempelvis, exfiltration av känslig information.

Exempel 1 – Initial Åtkomst – Spearphishing länk

Spearphishing med länk är en specifik variant av spearphishing. Den skiljer sig från övriga typer av spearphishing i det avseende att den använder endast länkar till skadlig kod i e-post istället för bifogade filer vilket leder till att den undviker skyddande åtgärder som kontrollerar bifogade filer.

Alla typer av spearphishing är en typ av social attack riktad mot en specifik individ, företag eller bransch och skickas som regel på elektroniskt väg. Vanligtvis företräds länkar av en text som är anpassad för att få användaren att klicka eller kopiera länken till i en webbläsare för att utnyttja tekniken Exekvering av Användare. Beroende på sammanhanget av den sociala attacken kan den besökta sidan kompromettera webbläsaren genom exploits eller att användaren uppmanas att ladda ner applikationer, dokument, zip-filer eller andra typer av exekverbara filer. Angripare kan även inkludera länkar som är avsedda att interagera direkt med mottagarens t.ex. e-postklienten genom exempelvis inbäddade bilder som syftar till att utnyttja brister i användarens klient eller verifiera mottagandet av ett e-postmeddelande (i.e. web bugs/beacons).

Exempel (ej översatt)

  • APT29 has used spearphishing with a link to trick victims into clicking on a link to a zip file containing malicious files. 1
  • APT33 sent spear phishing emails containing links to .hta files.2
  • Elderwood has delivered zero-day exploits and malware to victims via targeted emails containing a link to malicious content hosted on an uncommon Web server.34
  • FIN8 has distributed targeted emails containing links to malicious documents with embedded macros.5
  • Leviathan has sent spearphishing emails with links, often using a fraudulent lookalike domain and stolen branding.6
  • Magic Hound sent shortened URL links over email to victims. The URLs linked to Word documents with malicious macros that execute PowerShells scripts to download Pupy.7
  • Patchwork has used spearphishing with links to deliver files with exploits to initial victims.8

Skyddande åtgärder

Eftersom den här tekniken utnyttjar användaren på klientenheten är det svårt att helt åtgärda. Det finns dock möjliga åtgärder. Användare kan utbildas i att identifiera sociala attacker och tekniker samt spearphishing meddelanden med skadliga länkar. Andra åtgärder kan vidtas när tekniken Exekvering av Användare sker. 

Upptäckande åtgärder

Inspektering av URL:er i ett e-postmeddelande (inkluderar även expansion av URL-förkortare) kan hjälpa till att uppäcka länkar som leder till kända skadliga platser. ”Detonationsrum” kan användas för att upptäcka sådana här länkar eller automatiskt besöka sidorna och försöka avgöra om de möjligtvis är skadliga, eller vänta och spara ner innehållet om användaren besöker länken.

Eftersom den här tekniken involverar interaktion av användaren på klienten finns det många upptäckande åtgärder för spearphishing länkar när användaren väl har försökt exekvera filen.

Exempel 2 – Exekvering – Schemalagd Uppgift (Scheduled Task)

Verktyg som t.ex. at och schtasks, i kombination med Windows Task Scheduler, kan användas för att schemalägga program eller skript att exekvera på ett givet datum och tidpunkt. En uppgift kan också schemaläggas på ett fjärrsystem, givet en tillräcklig autentisering för att använda RPC och att ”fil-och skrivardelning” är påslaget. Schemaläggning av uppgifter på ett fjärrsystem kräver vanligtvis medlemskap i Administratörsgruppen på fjärrsystemet.1

En angripare kan använda schemaläggning av uppgifter för att exekvera program när systemet startar eller som ett återkommande jobb för persistens, eller för fjärrexekvering som del av Lateral Movement, för att få SYSTEM-privilegier eller för att köra en process i sammanhang av ett specifikt konto.

Exempel

  • APT18 actors used the native at Windows task scheduler tool to use scheduled tasks for execution on a victim network.2
  • APT29 used named and hijacked scheduled tasks to establish persistence.3
  • An APT3 downloader creates persistence by creating the following scheduled task: schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru "System".4
  • APT32 has used scheduled tasks to persist on victim systems.5
  • BRONZE BUTLER has used at and schtasks to register a scheduled task to execute malware during lateral movement.6
  • Dragonfly has used a scheduled task to execute a malicious file.7
  • FIN10 has established persistence by using S4U tasks as well as the Scheduled Task option in PowerShell Empire.89
  • FIN6 has used scheduled tasks to establish persistence for various malware it uses, including downloaders known as HARDTACK and SHIPBREAD and PoS malware known as TRINITY.10
  • FIN7 malware has created scheduled tasks to establish persistence.1112
  • FIN8 has used scheduled tasks to maintain RDP backdoors.13
  • […] och exemplen fortsätter

Skyddande åtgärder

Begränsa rättigheterna hos användarkonton och försök åtgärda olika tekniker för Elevering av Rättigheter så att endast behöriga administratörer kan skapa schemalagda uppgifter på fjärrsystem. Verktygslådor som PowerSploit-ramverket innehåller PowerUp-moduler som kan användas för att utforska diverse rättighetsbrister i schemalagda uppgifter som skulle kunna användas för att höja sina rättigheter.40

[…]

Upptäckande åtgärder

[…]

Konfigurera loggning för skapande av schemalagda uppgifter och ändringar genom att slå på ”Microsoft-Windows-TaskScheduler/Operational” inställningen i tjänsten för eventloggen. Flera händelser kommer då att loggas, t.ex:

  • Event ID 106 – Scheduled task registered
  • Event ID 140 – Scheduled task updated
  • Event ID 141 – Scheduled task removed

Sammanfattning

I den här artikeln har jag gjort en övergripande presentation på MITRE ATT&CK, en kunskapsdatabas för tekniker och taktiker som angripare använder i riktiga cyberangrepp. Det finns många användningsområden för databasen, exempelvis simulera kedjor av angrepp eller testa övervakningsförmågor i förhållande till tekniker som används i verkligheten, eller som underlag för riskanalyser.

Min förhoppning är att ni fått upp ögonen för ATT&CK och kanske blivit nyfikna på hur ni eventuellt skulle kunna använda den i er organisation. På återseende!

  1. Detta är en direktöversättning av engelskans tactics vilket kanske egentligen inte är helt korrekt. Det vore kanske bättre att säga målsättningar från engelskans objectives.