MITRE ATT&CK Framework İncelemesi

0
2289
views
Günümüzde siber saldırılar olabildiğince karmaşık bir hal almıştır. Bu saldırılara karşı da gerekli önlemlerin alınması kurumsal güvenlik için önemli bir unsurdur. Savunma sırasında saldırganın davranışlarını tahmin edebilmek için bir çok saldırı metodolojisi bulunmaktadır. Bu yazıda MITRE tarafından sunulan, tehdit modelleme ve savunma metodolojisi geliştirmek için faydalanılabilecek olan ATT&CK bilgi tabanı incelenecektir.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Ortaya Çıkışı – İhtiyaç

Günümüzde yaygınlaşan siber saldırılar yıllardır devam etmektedir. Siber saldırıların evrimi ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir. Özellikle son yıllarda gerçekleşen saldırılar oldukça karmaşık hale gelmiştir. Gerçekleşen bu saldırılara karşı çeşitli tehdit modelleme çalışmaları gerçekleştirilmektedir. Tehdit modelleme çalışmaları ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

 

Lockheed Martin tarafından tanımlanan Cyber Kill Chain (Siber Ölüm Zinciri) ile saldırganın adımları belli bir sıra ile tanımlanmaktadır ve saldırgan bakış açısını öğrenmek için oldukça fayda sağlamaktadır.

 

ATT&CK Framework ise, saldırganların kullandıkları taktikleri, teknikleri ve prosedürleri açıklayan bir bilgi kaynağı olup Siber Ölüm Zinciri’nin son dört adımında şekillenir.

 

Siber Ölüm Zinciri’nden farklı olarak ATT&CK Framework doğrusal bir sıra izlenmez. Saldırgan hedefine ulaşmak için istediği tekniği kullanabileceği düşünülür.

Özetle, ATT&CK Framework, saldırgan davranışlarını sınıflandırmak, saldırgan hareketlerini anlamlandırabilmek amacı ile ortaya çıkmıştır.

 

B) MITRE ve ATT&CK Framework

MITRE; savunma, istihbarat, havacılık, özel sektör, iç güvenlik, yargı, sağlık gibi bir çok alanda çalışan, bir çok fedarl araştırma ve geliştirme yapan, federal hükümetlerce desteklenen, kar amacı gütmeyen bir kuruluştur.

MITRE tarafından 2013 yılında ücretsiz olarak kullanıma sunulmaya başlanan ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge) de bilinen (neredeyse bütün) siber saldırılardaki saldırgan davranışlarını modelleyen bir bilgi tabanıdır. ATT&CK Framework ile aşağıdaki kavramlar gruplandırılır ve ilişkilendirilir.

  • Gruplar: Saldırıları gerçekleştiren gruplardır. Örnek; APT41, Lazarus, Carbanak,… gibi.
  • Endüstriler: Saldırganların hedef aldığı kurumlar, sektörlerdir. Örnek; finans, devlet, sağlık,… gibi.
  • Taktikler (Tactics): Saldırganların kullandıkları teknik hedeftir. Yani, saldırının “Neden”ine odaklanılır ve saldırganın “ne gibi bir amacı var?” sorusuna cevap alınır. Örnek; ilk erişim (TA0001), hak yükseltme (TA0004),… gibi. Ayrıca taktikler arasında önem sıralaması yoktur.
  • Teknikler (Techniques): Taktiklerde belirtilen hedeflerin nasıl (hangi yöntemle) gerçekleştirileceğidir. Örnek; oltalama (T1566), klavye hareketlerini kaydetme (T1056.001),… gibi.
  • Prosedürler (Procedures): Tekniklerin özelleşmiş uygulamasıdır. Örnek; powershell dosyasının indirilerek çalıştırılması, APT39 grubunun kalıcılık için zamanklanmış görev oluşturması… gibi.
  • Araçlar / Yazılımlar: Kullanılan uygulamalar veya zararlı yazılımlardır. Örnek; Mimikatz, Empire, Cobalt Strike, Duqu,… gibi
  • Tespitler: Saldırıları tespit etmek için kullanılabilecek yöntemlerdir. Örnek; ağı anomaliklerini izleme, grup üyeliklerindeki değişiklikler için alarm oluşturma,… gibi.
  • Önlemler: Saldırılara karşı alınabilecek önlemlerdir. Örnek; kod imzalama, veri yedekleme, antivirüs kullanımı… gibi.

 

Not: Bir saldırı sırasında saldırgan, bu taktik ve tekniklerin hepsini kullanmaz. Ortama ve kendisine uygun bir yöntemi tercih edebilir.

ATT&CK Framework sürekli güncellenen bir platform sağlar. Bu güncellemelere destek olan bir çok kişi ve kurum vardır.

 

Destek olmak için attack@mitre.org ile iletişime geçilebilir. Örnek teknik, grup, yazılım,… formları Contribute sayfasında listelenmiştir.

https://attack.mitre.org/resources/contribute/

Bu desteği de arkasına alan MITRE, ATT&CK Framework sayfasında çok geniş bir kaynak havuzu da sağlar.

https://attack.mitre.org/resources/

STIX standardında hazırlanan ATT&CK Framework altındaki bilgiler, CTI (Cyber Threat Intelligence) paylaşımı için yarar sağlamaktadır. ATT&CK içeriğine erişim ile ilgili detaylı bilgi için kaynaklardaki MITRE [ii] ve Medium [i] bağlantısı incelenebilir.

 

C) Kullanımı

ATT&CK Framework ile aşağıdaki bilgiler elde edilebilir.

  • APT29 grubunun hangi ülkeye yakın olduğu, hangi gruplarla ilişkili olduğu, hangi sektörlere saldırı düzenledikleri, kullandığı teknikler ve yazılımlar

 

 

  • Bir mobil cihazdan kimlik verisi çalma taktiği için kullanılabilecek teknikler

 

  • Powershell saldırı tekniğini kullanan taktikler, çalıştığı platformlar, gerekli yetkiler, bu tekniğe ait kullanım prosedürleri, hangi gruplar tarafından kullanıldığı, bu saldırıların tespiti ve bu saldırılara karşı alınabilecek önlemler

 

  • Çoklu kimlik doğrulamanın koruma sağladığı saldırı teknikleri

 

 

D) Matrisler (Domainler)

ATT&CK Framework 3 adet domain ve bunlar altında da alt domainler sunar.

 

D.1) Enterprise ATT&CK

Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS ve Network gibi platformlara yönelik teknik ve taktiklerden oluşur. Aralık 2020 ortası itibari ile 14 adet taktik, 117 adet ana teknik ve 348 alt teknikten oluşmaktadır.

https://attack.mitre.org/techniques/enterprise/

Bu taktik ve teknikler bir matris ile de sunulmaktadır.

https://attack.mitre.org/matrices/enterprise/

 

Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki Netsmart, Medium [ii] ve SiberKavram bağlantıları incelenebilir.

  • Reconnaisance (Bilgi edinme)
  • Resource Development (Destekleyici kaynak toplama)
  • Initial Access (İlk erişim)
  • Execution (Yerel veya uzaktan zararlı kod/komut çalıştırma)
  • Persistence (Kalıcılık/Süreklilik sağlama)
  • Privilege Escalation (Yatay veya dikey yetki/hak yükseltme)
  • Defence Evasion (Savunma sistemlerini atlatma)
  • Credential Access (Kimlik bilgisi toplama)
  • Discovery (Erişilen ağda / sistemde keşif)
  • Lateral Movement (Ağ üzerinde yayılma)
  • Collection (Kritik veri toplama)
  • Command And Control (Kurban sistemleri komuta etme ve yönetme)
  • Exfiltration (Toplanan verileri kaçırma)
  • Impact (Mevcut sistemin/verinin kullanılabilirliğini önleme)

 

Taktiklerden her birisinin altında farklı teknikler bulunur. Bazı tekniklerin altında da alt teknikler bulunabilir. Örneğin, matristen de görüleceği üzere, “Initial Access” taktiğinin altında 9 tanesi asıl olmak üzere 19 teknik bulunmaktadır.

 

Bu taktiklerin her birisi ile ilgili detaylı bilgi için kaynaklardaki Tripwire bağlantısı da incelenebilir.

Enterprise ATT&CK matrisinin altında bir takım alt matrisler de yer almaktadır. Bunlar aşağıdaki gibi sıralanabilir.

  • Pre-ATT&CK Matrisi: Enterprise ATT&CK matrisinin ilk 2 adımı olan saldırganların ön hazırlık tekniklerini (istihbarat temelli) kapsar.

 

  • Windows: Windows platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
  • macOS: macOS platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
  • Linux: Linux platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
  • Cloud: Bulut tabanlı platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
    • AWS
    • GCPAzure
    • Office 365
    • Azure AD
    • SaaS
  • Network: Ağ altyapısına yönelik saldırı taktikleri ve tekniklerini içerir.

 

D.2) Mobile ATT&CK

Mobil cihazların fiziksel (Device Access) veya uzaktan (Network-Based Effects) ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir. Aralık 2020 ortası itibari ile 14 adet taktik ve 86 adet ana teknikten oluşmaktadır.

https://attack.mitre.org/techniques/mobile/

 

Bu taktik ve teknikler bir matris ile de sunulmaktadır.

https://attack.mitre.org/matrices/mobile/

 

Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki SiberKavram bağlantısı incelenebilir. Mobile ATT&CK matrisindeki Device Access taktikleri, Enterprise ATT&CK matrisindekiler ile (teknikler olarak farklılık gösterse de) isimlendirme olarak benzerdir.

  • Initial Access (İlk erişim)
  • Execution (Yerel veya uzaktan zararlı kod/komut çalıştırma)
  • Persistence (Kalıcılık/Süreklilik sağlama)
  • Privilege Escalation (Yatay veya dikey yetki/hak yükseltme)
  • Defence Evasion (Savunma sistemlerini atlatma)
  • Credential Access (Kimlik bilgisi toplama)
  • Discovery (Erişilen ağda / sistemde keşif)
  • Lateral Movement (Ağ üzerinde yayılma)
  • Collection (Kritik veri toplama)
  • Command And Control (Kurban sistemleri komuta etme ve yönetme)
  • Exfiltration (Toplanan verileri kaçırma)
  • Impact (Mevcut sistemin/verinin kullanılabilirliğini önleme)

Bunun yanında Network-Based Effects altında bulunan ve mobil cihaza uzaktan gerçekleştirilen iki saldırı taktiği ise farklılık gösterir.

  • Network Effects (Ağ trafiğini izleme veya değiştirme)
  • Remote Service Effects (Google Drive, Apple iCloud, MDM gibi harici servislere yönelik saldırılar)

 

D.3) ICS ATT&CK

ICS / EKS (Industrial Control SystemEndistriyel Kontrol Sistemi) ortamının ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir.

Bu domain henüz geliştirme aşamasındadır.

https://collaborate.mitre.org/attackics/index.php/Main_Page

 

E) ATT&CK Navigator

Tüm teknikler için matris görünümünü sağlayan yapıdır.

https://mitre-attack.github.io/attack-navigator/

 

ATT&CK Navigator, matrislerin görselleştirilmesi için kullanılabilir.

https://attack.mitre.org/matrices/mobile/

 

Saldırı gruplarının bulunduğu sayfadan yönlendirilerek, bir grubun kullandığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.

https://attack.mitre.org/groups/G0096/

https://mitre-attack.github.io/attack-navigator//#layerURL=https%3A%2F%2Fattack.mitre.org%2Fgroups%2FG0096%2FG0096-enterprise-layer.json

 

Birden fazla grup seçimi yapılarak, kullandıkları saldırı taktikleri ve teknikleri arayüzden görülebilir.

 

Benzer olarak, araçların / yazılımların bulunduğu sayfadan yönlendirilerek, bir aracın kullanıldığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.

https://attack.mitre.org/software/S0488/

https://mitre-attack.github.io/attack-navigator//#layerURL=https%3A%2F%2Fattack.mitre.org%2Fsoftware%2FS0488%2FS0488-enterprise-layer.json

 

ATT&CK Navigator ile gösterim yapılan veriler JSON, XLSX gibi formatlarda da indirilebilir.

 

F) Yararları

Mitre ATT&CK Framework, sunduğu saldırgan grupları, saldırı taktiği, tekniği ve önlemleri içeren bir kütüphane sağlamaktadır. Bu kütüphanenin yararları aşağıdaki gibi sıralanabilir:

  • Siber güvenliğe yeni adım atacak kişiler için bilgi kaynağı sağlar.
  • Kurumsal ortamlardaki güvenlik ekiplerinin saldırı ve savunma başta olmak üzere güvenlik bakış açısının geliştirilmesi için yardımcı olur.
  • Saldırgan grup profillemesi ile saldırının amacı keşfedilebilir.
  • Kurumsal ortamlardaki saldırı ekipleri (kırmızı takım üyeleri) varlıklarını (ağ, sistemi, kullanıcı, savunma mekanizmaları…) test edebilirler.

 

  • Kurumsal ortamlardaki savunma ekipleri (mavi takım üyeleri) saldırgan davranışlarını anlayarak, savunma sistemlerini güçlendirilmesi için bir referans olarak kullanabilir.
  • Kurumsal ortamlardaki risk ekipleri tehditleri görebilir, risklerine göre önceliklendirebilir ve sonuç olarak etkin bir şekilde tehdit modellemesi gerçekleştirebilir.
  • Kurumsal ortamlardaki bilgi güvenliği ekipleri kurumun siber güvenlik olgunluk seviyesini tespit edebilirler.
  • Alınan ürünlerin (SIEM ürünler, saldırı simülasyon ürünleri, istismar araçları,…) satın alımında sağladığı faydanının kapsamı için fikir verebilir, ürün incelemeleri ve değerlendirmelerde yardımcı olur.

 

G) Zorlukları && Eksiklikleri

ATT&CK Framework üzerindeki birbirinden farklı domain’ler için bir çok taktik ve teknik bulunmaktadır. Ancak bu framework kullamını her zaman kolay olmayabilmektedir. Örneğin,

  • Günlük hayattaki dosya silme (T1070.004) gibi bazı aktiviteler de ATT&CK Framework üzerinde saldırı tekniği olarak yer olmaktadır.
  • DNS tünelleme (T1048) gibi bazı saldırıların tespiti zor olup uygun teknolojilerin kullanılması gereklidir.

 

 

Kaynaklar:

[i] https://attack.mitre.org/
[ii] https://attack.mitre.org/resources/working-with-attack/
[i] https://www.siberportal.org/red-team/cyber-attacks/siber-saldirilarin-evrimi-1986-2017/
[ii] https://www.siberportal.org/blue-team/governance/bilgi-guvenligi-bakis-acisiyla-tehdit-modelleme/
[i] https://medium.com/mitre-attack/attack-with-sub-techniques-is-now-just-attack-8fc20997d8de
[ii] https://medium.com/@ncepki/the-mitre-att-ck-framework-cc85f1c07b58
https://academy.attackiq.com/learn/course/foundations-of-purple-teaming

PICUS & MITRE ATT&CK

Mitre ATT&CK Nedir ?


https://www.linkedin.com/pulse/arkada-neler-d%C3%B6n%C3%BCyor-mitre-attck-vehbi-okay-dilek
https://www.siberkavram.com/2020/09/mitreattackframework.html
https://www.muhammedaygun.com/2020/11/mitre-att-framework-nedir.html
https://attack.mitre.org/resources/enterprise-introduction/

The MITRE ATT&CK Framework: What You Need to Know


https://www.youtube.com/watch?v=3a0WsGlLdcs

https://www.varonis.com/blog/mitre-attck-framework-complete-guide/

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.