Хабрахабр

The Matrix has you: обзор проектов, использующих MITRE ATT&CK

Можно сказать, что сообщество приняло эту модель, более того — многие начали ее использовать. Уже давно на разных площадках обсуждается матрица MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), в том числе есть целая серия статей здесь, на самом Хабре. Сегодня мы составили для вас небольшой обзор различных проектов, которые направлены на:

  • Улучшение восприятия и удобства работы с матрицей;
  • Сопоставление аналитики с методами ATT&CK;
  • Проведение проверок на различные атаки, описанные в матрице.

Договоримся на берегу: обозреваемые утилиты досконально не тестировались, за подробностями лучше обращаться к первоисточнику.

Содержание

Вступление

Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности. Помимо нее была создана дополнительная база знаний PRE-ATT&CK, описывающая подготовку к атаке, и ATT&CK для мобильных устройств.

Структура матрицы состоит из 11 тактик: от начального доступа до взятия под контроль через C&C и эксфильтрацию данных. По состоянию на июль 2019 года Enterprise ATT&CK включает 314 методов атак для Windows, Linux и Mac. При тестировании безопасности RedTeam по сути делает то же самое, потому не использовать подобную базу знаний было бы большим упущением. Каждая фаза жизненного цикла атаки состоит из множества техник, которые успешно использовались различными группами киберпреступников при компрометации сети организации.

О пользе и применимости данной базы знаний говорит её частое применение крупными и не очень вендорами: почти все threat detection and hunting решения уже имеют корреляцию событий с данной матрицей. В данной статье мы не будем подробно останавливаться на самой матрице ATT&CK, все подробности можно найти на сайте разработчиков.

Навигация по матрице, представление данных

ATT&CK Navigator

→ Страница проекта

Несмотря на свою простоту, приложение значительно упрощает работу с матрицей, позволяет создавать слои поверх основной матрицы. Веб-приложение с открытым исходным кодом, которое предоставляет базовую навигацию и аннотации всех матриц платформы. Навигатор поможет спланировать работу ваших RedTeam или BlueTeam. Конкретный слой может демонстрировать техники определенной группировки или же наоборот, визуализировать защитное покрытие. По сути приложение просто позволяет вам манипулировать ячейками в матрице: цветовое кодирование, добавление комментария, присвоение числового значения и т.д.

Viewer Playbook

→ Страница проекта
→ Страница проекта на github

Цель Playbook состоит в том, чтобы упорядочить инструменты, методы и процедуры, которые использует противник, в структурированный формат, которым можно делиться с другими. Viewer Playbook — это система для анализа контента STIX2, который содержит методы противника. Инфраструктура MITRE ATT&CK предоставляет имена, описания и ссылки на примеры использования противниками тактик во время операции, а также методы, используемые противником для их достижения.

Для BlueTeam

Cyber Analytics Repository (CAR) и CAR Exploration Tool (CARET), Unfetter


→ Страница проекта Unfetter
→ Страница проекта Unfetter на github
→ Страница проекта CAR
→ Страница проекта CARET

К нему для удобства добавили GUI — так получился CAR Exploration Tool (CARET). В организации MITRE решили не останавливаться на одной только матрице ATT&CK и развивать идею дальше: так был создан реестр методов обнаружения поведения нарушителей на основе ATT&CK Cyber Analytics Repository. Этот проект расширяет возможности CARET, чтобы помочь специалистам в области кибербезопасности выявлять и анализировать бреши в защите. Но и этого показалось мало, поэтому совместно с Агентством национальной безопасности США был создан проект Unfetter. В Unfetter есть 2 проекта:

  • Unfetter Discover позволяет аналитикам и инженерам по сетевой безопасности создавать и обмениваться сложными данными Cyber ​​Threat Intelligence (CTI) среди своих коллег, используя данные ATT&CK, полученные из MITRE в формате STIX.
  • Unfetter Analytic позволяет сопоставлять аналитику с методами ATT&CK, которые необходимо обнаружить.

CASCADE

→ Страница проекта

Прототип сервера CASCADE может обрабатывать аутентификацию пользователей, выполнять аналитику данных, хранящихся в Splunk или ElasticSearch, генерировать предупреждения. Это исследовательский проект MITRE, цель которого — автоматизировать большую часть работы BlueTeam для определения масштабов и вредоносности подозрительного поведения в сети с использованием данных хоста. Сервер автоматически генерирует график этих событий, показывая отношения между ними, и помечает график информацией из матрицы ATT&CK. Оповещения запускают рекурсивный процесс расследования, когда несколько последующих запросов собирают связанные события, которые включают в себя родительские и дочерние процессы (деревья процессов), сетевые подключения и файловую активность.

Atomic Threat Coverage

→ Страница проекта

С его помощью можно создавать и поддерживать свой собственный аналитический репозиторий, импортировать аналитику из других проектов (таких как Sigma, Atomic Red Team, а также частные ветки этих проектов с вашей собственной аналитикой) и осуществлять экспорт в читаемые вики-страницы на двух платформах: Это инструмент, который позволяет автоматически генерировать аналитику, предназначенную для борьбы с угрозами на основе ATT&CK.

  1. Страницы Atlassian Confluence
  2. Собственные автоматически генерируемые страницы в стиле вики

По сути позволяет сделать ваш внутренний информационный портал для детектирования и реагирования на атаки.

ATT&CK Python Client

→ Страница проекта

В этом проекте используются классы и функции Python-библиотек cti-python-stix2 и cti-taxii-client, разработанных MITRE. Скрипт на Python для доступа к содержимому матрицы ATT&CK в формате STIX через общедоступный сервер TAXII. Основная цель проекта — предоставить простой способ доступа и взаимодействия с новыми данными ATT&CK.

Для RedTeam

CALDERA

→ Страница проекта

Ее основное назначение — тестирование решений безопасности конечных точек и оценка состояния безопасности сети. CALDERA — автоматизированная система эмуляции действий злоумышленников, построенная на платформе MITRE ATT&CK. CALDERA использует модель ATT&CK для выявления и репликации поведения противника, как если бы происходило реальное вторжение. Согласно терминам Gartner, эту систему можно отнести к продуктам breach and attack simulation (BAS). Это позволит избежать рутинной работы и даст больше времени и ресурсов для решения сложных задач.

Они подключают новые функции и поведение к базовой системе. Недавнее обновление системы изменило её структуру: если раньше она состояла из сервера, агента и исполняемого файла для эмуляции противника, то теперь используется архитектура плагинов. Сейчас CALDERA поставляется с несколькими заранее созданными шаблонами поведения противников с помощью плагина Stockpile, но добавить свои собственные достаточно легко.

Atomic Red Team

→ Страница проекта
→ Страница проекта на github
→ Страница блога Red Canary

Red Canary создали библиотеку простых тестов, сопоставленных с MITRE ATT&CK Framework. Является, пожалуй, самым популярным проектом, связанным с матрицей ATT&CK. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает защитникам эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой.

ATT&CK-Tools

→ Страница проекта

Репозиторий содержит следующее:

  • ATT&CK View: инструмент планирования эмуляции противника;
  • ATT&CK Data Model: реляционная модель данных.

View призван помочь защитникам в разработке планов эмуляции противника на основе структуры ATT&CK. В качестве наглядного примера есть полный план эмуляции противника для APT3, разработанный MITRE. Это поможет быстрее начать работу с проектом.
Главная задача Data Model состоит в том, чтобы упростить интеграцию ATT&CK в новые проекты. База данных основана на SQLite для простоты и мобильности, примеры запросов к ней можно найти на странице проекта.

Purple Team ATT&CK Automation

→ Страница проекта

Проект призван автоматически эмулировать тактику противника. Проект компании Praetorian, в котором реализованы тактики, техники и методы из матрицы MITRE ATT&CK в качестве post-модулей Metasploit Framework.

Red Team Automation (RTA)

→ Страница проекта

На данный момент RTA обеспечивает покрытие 50 тактик. RTA представляет собой набор из 38 сценариев и поддерживающих исполняемых файлов, которые пытаются выполнить вредоносную деятельность в соответствии с методами матрицы ATT&CK. Там, где это возможно, RTA пытается выполнить описанную сценариями вредоносную деятельность, в других случаях будет эмулировать ее.

EDR-Testing-Script

→ Страница проекта

На самом деле трудно проверить, сколько различных вредоносных атак правильно идентифицировано и предотвращено EDR. Этот репозиторий содержит простой скрипт для тестирования решений EDR на основе платформ Mitre ATT&CK / LOLBAS / Invoke-CradleCrafter. Большинство тестов будут просто выполнять calc.exe, но их можно легко изменить (например, попытаться загрузить и выполнить Mimikatz). Для этой цели и был создан этот скрипт, запустите его и наблюдайте какие сообщения приходят на консоль EDR. Этот скрипт работает только в Windows и должен работать с большинством решений EDR.

Проект сейчас находится в зачаточном состоянии.

Приложения для Splunk

Splunk — это система хранения и анализа логов; имеет веб-интерфейс и возможность создавать панели (dashboard'ы) — свое собственное Splunk-приложение.

ThreatHunting


→ Страница проекта

Приложение основано на данных Sysmon — это бесплатный мощный инструмент трассировки на уровне хоста, использующий драйвер устройства и службу, которая работает в фоновом режиме и загружается очень рано в процессе загрузки. ThreatHunting — приложение для Splunk, созданное с целью мониторинга угроз согласно матрице ATT&CK. Открыв приложение ThreatHunting, вы попадете на страницу обзора с подсчетом всех триггеров для каждой категории ATT&CK за последние 24 часа, а также увидите техники с наибольшим количеством срабатываний и наиболее уязвимые хосты. Этот сервис также позволяет вам настроить то, что будет регистрироваться. За более подробной информацией можно обратиться к блогу автора. Приложение позволяет отслеживать события, связанные с ATT&CK, построить на основе данных дерево событий и собрать отчет.

DarkFalcon, InfernoAuger

→ Страница проекта DarkFalcon
→ Страница проекта InfernoAuger

Есть также обновленная версия InfernoAuger — пересобранный DarkFalcon, который может автоматизировать многие компоненты в приложении FireDrill и отправлять отчеты в Splunk. DarkFalcon — система дашбордов, помогающая работать с ATT&CK Framework в вашем Splunk. Сценарии из данной библиотеки помещаются в наборы настроенных тестов (“assessments”), с которыми уже взаимодействуют модули InfernoAuger. FireDrill предоставляет библиотеку настраиваемых атак, которые помогут определить, могут ли ваши системы защиты остановить или обнаружить их. В настоящее время есть пять модулей:

  • Main — модуль, который может создавать или обновлять набор тестов на основе файла конфигурации основной сборки;
  • Detection — модуль помещает результаты оценки в Splunk для дальнейшей корреляции или анализа;
  • Status — проверяет состояние текущего или предыдущего прогона набора тестов и предоставляет основную статистику по результатам;
  • Scenarios — извлекает список всех сценариев MITRE ATT&CK в FireDrill и выводит информацию о них;
  • Update — проверяет наличие новых сценариев MITRE ATT&CK с момента его предыдущего запуска и отправляет электронное письмо с найденными.

Разное

VECTR


→ Страница проекта на github
→ Страница проекта

Обладает в том числе следующими возможностями: Это централизованная панель мониторинга, которая облегчает отслеживание действий по тестированию RedTeam и BlueTeam, чтобы измерить возможности обнаружения и предотвращения атак по различным сценариям, согласно данным из матрицы MITRE ATT&CK.

  • Отслеживание тестирования в режиме реального времени;
  • Измерение прогресса выполненных тестов;
  • Централизация методов RedTeam и возможностей BlueTeam;
  • Добавление пользовательских тестовых сценариев;
  • Создание подробных отчетов о проведении тестирования.

VECTR документирует задачи и инструменты RedTeam, первый и второй уровни обнаружения BlueTeam, критерии успешного обнаружения и результаты тестирования. На основании полученных результатов предоставляются рекомендации по общим показателям и конкретным конфигурациям наборов инструментов, которые можно использовать для дальнейшего улучшения возможностей обнаружения и реагирования.

ATT-CK_Analysis

→ Страница проекта

Независимые аналитики ищут ответы на ряд вопросов, например: Научно-аналитический репозиторий, содержащий анализ данных из MITRE ATT&CK.

  • Существуют ли ранее неизвестные связи между группами, которые используют большую долю методов?
  • Является ли количество методов, используемых каждой группой, разумным показателем того, насколько продвинутыми являются возможности этих групп?
  • Если можно установить некоторую иерархию возможностей, либо непосредственно из набора данных, либо из внешних источников, есть ли свидетельства того, что определенные группы избегают (а не просто не используют) определенных методов?

The Hunting ELK (HELK)

→ Страница проекта

Это экосистема, состоящая из нескольких платформ с открытым исходным кодом, работающих вместе с главной целью расширения возможностей агентов по обнаружению угроз, возможностей стека Elastic ELK. Новый проект Hunting ELK (Elasticsearch, Logstash, Kibana). Это одна из первых общедоступных сборок, позволяющая бесплатно использовать функции обработки данных в стеке ELK. Аналитические возможности поиска обеспечиваются внедрением технологий Spark & ​​Graphframes. Этот стек предоставляет механизм полнотекстового поиска, смешанный с визуализациями, графическими реляционными запросами и расширенной аналитикой. Кроме того, в проект интегрирован Jupyter Notebook для создания прототипов при использовании больших данных и/или машинного обучения. В ближайших планах добавление дашбордов с данными из ATT&CK. Проект находится на этапе разработки, код и функциональность будут меняться. Подробнее о проекте можно прочитать в блоге автора.

Заключение

Количество проектов, активно использующих матрицу MITRE ATT&CK, продолжает расти. Нельзя не отметить, что это хорошая база знаний для аналитиков, свежий взгляд на модель угроз информационной безопасности. Впрочем, отдельные исследователи отмечают некоторые недостатки матрицы. Например, встречаются случаи очень расплывчатого описания техник, что сильно затрудняет работу с ними.

Т.е. Главное, о чем не стоит забывать: эта матрица построена на основе успешно проведенных атак. Несомненно, это хорошая база знаний, удобная в эксплуатации, но все же она никогда полностью не опишет все возможные техники противника. по большому счету это историческая справка о том, какие техники и методы применялись.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть