Матрица MITRE ATT&CK, Cyber Kill Chain, UKC

Модели для описания атак и действий злоумышленников

PreviousBlue Team Cookbook NextЛоги: что собирать и откуда, чтобы эффективно обнаруживать атаки

Last updated 2 months ago

Матрица MITRE ATT&CK, Cyber Kill Chain, UKC

Модели для описания атак и действий злоумышленников

MITRE ATT&CK

Матрица MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это одна из наиболее популярных и полезных моделей для описания тактик, техник и процедур (TTP), которые используют злоумышленники при атаках на информационные системы. Она была разработана для структурирования знаний о поведении злоумышленников и предоставляет аналитикам SOC (Security Operations Center) мощный инструмент для анализа, обнаружения и предотвращения атак. Матрица охватывает различные платформы, включая Windows, macOS, Linux, мобильные устройства и облачные среды, что делает ее универсальным инструментом для анализа угроз

Матрица MITRE ATT&CK — это живой, постоянно обновляемый ресурс, который создается и поддерживается усилиями множества участников.

Основная команда MITRE, которая разрабатывает и поддерживает матрицу, включает исследователей, аналитиков и экспертов по кибербезопасности. Также свой вклад вносят сообщество кибербезопасности (исследователи из компаний, университетов и независимые эксперты) и организации, которые делятся данными о реальных атаках и TTP.

Исследователи изучают реальные инциденты, отчеты об атаках и данные от Threat Intelligence. Компании сталкиваются с атаками и предоставляют данные для анализа.

Участники вносят предложения через GitHub и другие платформы

Техники, тактики и процедуры (TTP)

Это структурированный способ описания поведения злоумышленников. TTP — это основа для анализа и классификации атак. Тактики описывают цели, техники — методы, а процедуры — конкретные реализации.

Тактики (Tactics) - Высокоуровневые цели злоумышленника на каждом этапе атаки.

Initial Access (первичный доступ): получение доступа к целевой системе.
Execution (выполнение): запуск вредоносного кода.
Persistence (устойчивость): сохранение доступа после перезагрузки.
Privilege Escalation (повышение привилегий): получение более высоких прав.
Lateral Movement (перемещение по сети): переход между системами в сети.
Exfiltration (экспорт данных): кража данных.

Техники (Techniques) - Конкретные методы, которые злоумышленники используют для достижения тактик.

Phishing (фишинг): отправка поддельных писем для кражи учетных данных.
Process Injection (инъекция процесса): внедрение кода в работающий процесс.
Pass the Hash (передача хэша): использование хэшей паролей для аутентификации.
Registry Run Keys (автозагрузка через реестр): добавление в реестр для устойчивости.
Data Compressed (сжатие данных): сжатие данных перед экспортом.

Одна техника может принадлежать нескольким тактикам. Например, создание сервиса (T1543.003) может использоваться для сохранения присутсвия (Persistence), так и для повышения привилегий (Priviledge Escalation). Или все сразу.

Процедуры (Procedures): - Конкретные реализации техник, которые используют злоумышленники.

Использование утилиты Mimikatz для кражи хэшей паролей.
Запуск PowerShell-скрипта для выполнения вредоносного кода.
Использование уязвимости EternalBlue для распространения в сети.

Сабтехники

Несмотря на то, что Матрица MITRE ATT&CK не включает конкретные процедуры, она состоит не только из тактик и техник, но включает и более детализированные элементы, такие как сабтехники. Они позволяют описать конкретные методы, которые злоумышленники используют для реализации техники. Например, техника "Process Injection" может включать сабтехники:

Dynamic-link Library Injection (внедрение DLL).
Portable Executable Injection (внедрение PE-файлов).
Thread Execution Hijacking (перехват выполнения потока).

Это все еще не процедуры, но позволяют описать атаки более точно.

Идентификаторы

Каждая тактика, техника и сабтехника в MITRE ATT&CK имеет уникальный идентификатор (ID). Это позволяет однозначно ссылаться на конкретные элементы матрицы.

Формат идентификаторов:

Тактики: TAXXXX (например, TA0001 — Initial Access).
Техники: TXXXX (например, T1059 — Command and Scripting Interpreter).
Сабтехники: TXXXX.YYY (например, T1059.001 — PowerShell).

Идентификаторы позволяют стандартизировать описание атак.

Пример структуры MITRE ATT&CK с сабтехниками и идентификаторами

Тактика: TA0001 — Initial Access.
- Техника: T1566 — Phishing.
  - Сабтехника: T1566.001 — Spear Phishing Attachment.
  - Сабтехника: T1566.002 — Spear Phishing Link.
  - Сабтехника: T1566.003 — Spear Phishing via Service.

Процедурой тут могло бы быть "Отправка письма с вложенным документом Word, содержащим макросы".

MITRE ATT&CK — хорошая отправная точка

Структурированность и наглядность: Матрица предоставляет четкую структуру, которая помогает аналитикам понять, как злоумышленники могут действовать на каждом этапе атаки. Это особенно полезно для новичков, которые только начинают разбираться в кибербезопасности.
Общий язык для описания атак: MITRE ATT&CK позволяет аналитикам, исследователям и специалистам по безопасности использовать единый язык для описания TTP. Это упрощает коммуникацию и обмен знаниями. Вендоры (производители решений в области кибербезопасности) активно используют MITRE ATT&CK для разметки своей экспертизы в продуктах. Это делается для нескольких ключевых целей:
- Чтобы показать, какие тактики и техники злоумышленников могут быть обнаружены или предотвращены их решениями.
- Чтобы выделиться на рынке, показав более широкое покрытие угроз.
- Чтобы выявить пробелы в покрытии угроз и улучшить функциональность.
База для создания экспертизы: MITRE ATT&CK может служить отправной точкой для того, чтобы понимать, какие правила обнаружения нужно разрабатывать, что обнаруживать и останавливать реальные угрозы.

Недостатки MITRE ATT&CK

Отсутствие конкретных процедур: Матрица описывает техники и тактики, но не предоставляет конкретных шагов или инструкций по их обнаружению или предотвращению. Это означает, что аналитикам нужно самостоятельно разрабатывать процедуры и правила для мониторинга и реагирования.
Неполнота и субъективность: MITRE ATT&CK не претендует на полноту. Она постоянно обновляется, но новые техники и тактики могут появляться быстрее, чем их добавляют в матрицу.
Ограниченная помощь в оценке качества: Матрица может служить baseline для оценки экспертизы, но она не дает четких критериев для определения, насколько полно и качественно вы покрываете все возможные угрозы. Например, вы можете обнаружить, что покрываете 80% техник, но это не гарантирует, что оставшиеся 20% не будут использованы для успешной атаки. И что значит покрыта техника? Покрыта одна процедура из техники? Покрыты все известные процедуры? Все - это какие и сколько?

T1136.001 Создание локального пользователя

Вот сколько процедур может быть у одной сабтехники, и список вряд ли исчерпывающий

ОС

Утилита

Процедура

Пример

Windows

net user

Создание нового пользователя

net user /add testuser P@ssw0rd

Windows

wmic

Создание нового пользователя

wmic useraccount create name=testuser password=P@ssw0rd

Windows

powershell

Создание нового пользователя

New-LocalUser -Name testuser -Password (ConvertTo-SecureString -String "P@ssw0rd" -AsPlainText -Force)

Windows

mmc

Создание нового пользователя через консоль управления

mmc compmgmt.msc -> Local Users and Groups -> New User

Windows

regedit

Создание нового пользователя через редактирование реестра

regedit -> HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users -> создать новый ключ

Windows

lusrmgr

Создание нового пользователя через консоль lusrmgr

Linux

useradd

Создание нового пользователя

useradd -m testuser

Linux

adduser

Создание нового пользователя

adduser testuser

Linux

pw

Создание нового пользователя через команду pw

pw useradd testuser

macOS

dscl

Создание нового пользователя

dscl . -create testuser

MITRE ATT&CK — это мощный инструмент, который помогает аналитикам SOC лучше понимать, как действуют злоумышленники, и как можно обнаруживать их атаки. Она служит отличной отправной точкой для изучения мира информационной безопасности, но важно помнить, что это не панацея. Матрица не предоставляет конкретных инструкций и не гарантирует полноту покрытия всех угроз. Однако, если использовать ее как baseline и дополнять собственными наработками, она может стать основой для построения эффективной системы защиты.

Посмотрим на несколько альтернатив матрицы MITRE ATT&CK.

Cyber Kill Chain

Cyber Kill Chain — это модель, разработанная компанией Lockheed Martin, которая описывает этапы кибератаки от начальной разведки до достижения злоумышленником своих целей. Модель была вдохновлена военной концепцией "kill chain" (цепь поражения) и адаптирована для киберпространства. Она состоит из семи этапов, которые последовательно проходят злоумышленники для успешной атаки.

Этапы Cyber Kill Chain

Reconnaissance (Разведка): Злоумышленник собирает информацию о цели (например, через открытые источники, социальные сети или сканирование сети).
Weaponization (Создание инструмента атаки): На этом этапе создается вредоносное ПО или эксплойт, которое будет использовано для атаки.
Delivery (Доставка): Вредоносное ПО доставляется на целевую систему (например, через фишинговое письмо или уязвимость в веб-приложении).
Exploitation (Эксплуатация): Злоумышленник использует уязвимость для выполнения своего кода на целевой системе.
Installation (Установка): Вредоносное ПО устанавливается на систему, чтобы обеспечить постоянный доступ.
Command and Control (C2, Управление): Злоумышленник устанавливает канал связи с зараженной системой для удаленного управления.
Actions on Objectives (Действия для достижения целей): Злоумышленник выполняет свои конечные цели, такие как кража данных, разрушение системы или шифрование файлов для вымогательства.

Преимущества и недостатки Cyber Kill Chain

Модель легко понять и использовать. Она четко разделяет атаку на этапы, что помогает аналитикам визуализировать процесс атаки. Но она описывает общие этапы, но не конкретные техники или процедуры, что делает ее менее полезной для глубокого анализа угроз.

Модель предполагает, что атака всегда развивается линейно, от этапа к этапу. Однако в реальности злоумышленники могут пропускать этапы или возвращаться к предыдущим.

Модель была разработана в 2011 году, и с тех пор кибератаки стали более сложными. Например, она не учитывает такие аспекты, как облачные среды, IoT-устройства или атаки на цепочки поставок

Cyber Killchain отлично подходит для обучения новичков, так как она проста и наглядна. Позволяет понять, на каком этапе находится атака.

Unified Kill Chain: объединение лучших подходов

Unified Kill Chain (UKC) — это современная модель, разработанная Полом Поломсом (Paul Pols) из компании Fox-IT, которая объединяет элементы Cyber Kill Chain и MITRE ATT&CK. Цель UKC — преодолеть ограничения обеих моделей, предоставив более гибкий и детализированный подход к анализу кибератак. Unified Kill Chain рассматривает атаку как последовательность из 18 этапов (или "звеньев"), которые могут комбинироваться в различных сценариях.

Преимущества Unified Kill Chain:

Гибкость и нелинейность: В отличие от линейной модели Cyber Kill Chain, UKC позволяет аналитикам рассматривать атаки как последовательность этапов, которые могут комбинироваться в любом порядке. Это лучше отражает реальные сценарии атак.
Детализация: UKC включает больше этапов, чем Cyber Kill Chain, что делает ее более детализированной. Например, добавлены этапы "Social Engineering" и "Monetization", которые важны для понимания современных атак.
Интеграция с MITRE ATT&CK: UKC тесно связана с MITRE ATT&CK, так как многие этапы UKC соответствуют тактикам и техникам из матрицы. Это позволяет использовать UKC для более глубокого анализа.
Акцент на современных угрозах: UKC учитывает современные тенденции, такие как атаки на цепочки поставок, облачные среды и монетизацию (например, криптоджекинг или вымогательство).
Универсальность: Модель подходит для анализа как целевых атак (APT), так и массовых кампаний.

Из-за большего количества этапов и нелинейности модель может быть сложнее для понимания и использования, особенно для новичков.

В отличие от MITRE ATT&CK и Cyber Kill Chain, UKC менее известна и не так широко используется в индустрии. Из-за чего UKC пока не имеет такой широкой поддержки. Но если вы уже используете MITRE ATT&CK, UKC может стать логическим дополнением, так как она объединяет тактики и техники в единую цепочку.

Сравнение Cyber Kill Chain, MITRE ATT&CK и UKC

Аспект

Cyber Kill Chain

MITRE ATT&CK

Unified Kill Chain

Уровень детализации

Общие этапы атаки

Детальные тактики и техники

Детальные этапы, близкие к MITRE ATT&CK

Гибкость

Линейная модель

Нелинейная, учитывает разные сценарии

Нелинейная, гибкая комбинация этапов

Фокус

Прерывание атаки на ранних этапах

Обнаружение и анализ TTP злоумышленников

Комбинация анализа и прерывания атак

Современные угрозы

Устарела для сложных атак

Актуальна для современных угроз

Учитывает современные тенденции

Использование в SOC

Обучение, планирование защиты

Анализ угроз, настройка мониторинга

Глубокий анализ и стратегии защиты

PreviousBlue Team Cookbook NextЛоги: что собирать и откуда, чтобы эффективно обнаруживать атаки

Last updated 2 months ago

MITRE ATT&CK

Участники вносят предложения через GitHub и другие платформы

Техники, тактики и процедуры (TTP)

Тактики (Tactics) - Высокоуровневые цели злоумышленника на каждом этапе атаки.

Initial Access (первичный доступ): получение доступа к целевой системе.
Execution (выполнение): запуск вредоносного кода.
Persistence (устойчивость): сохранение доступа после перезагрузки.
Privilege Escalation (повышение привилегий): получение более высоких прав.
Lateral Movement (перемещение по сети): переход между системами в сети.
Exfiltration (экспорт данных): кража данных.

Техники (Techniques) - Конкретные методы, которые злоумышленники используют для достижения тактик.

Phishing (фишинг): отправка поддельных писем для кражи учетных данных.
Process Injection (инъекция процесса): внедрение кода в работающий процесс.
Pass the Hash (передача хэша): использование хэшей паролей для аутентификации.
Registry Run Keys (автозагрузка через реестр): добавление в реестр для устойчивости.
Data Compressed (сжатие данных): сжатие данных перед экспортом.

Процедуры (Procedures): - Конкретные реализации техник, которые используют злоумышленники.

Использование утилиты Mimikatz для кражи хэшей паролей.
Запуск PowerShell-скрипта для выполнения вредоносного кода.
Использование уязвимости EternalBlue для распространения в сети.

Сабтехники

Dynamic-link Library Injection (внедрение DLL).
Portable Executable Injection (внедрение PE-файлов).
Thread Execution Hijacking (перехват выполнения потока).

Это все еще не процедуры, но позволяют описать атаки более точно.

Идентификаторы

Формат идентификаторов:

Тактики: TAXXXX (например, TA0001 — Initial Access).
Техники: TXXXX (например, T1059 — Command and Scripting Interpreter).
Сабтехники: TXXXX.YYY (например, T1059.001 — PowerShell).

Идентификаторы позволяют стандартизировать описание атак.

Пример структуры MITRE ATT&CK с сабтехниками и идентификаторами

Тактика: TA0001 — Initial Access.
- Техника: T1566 — Phishing.
  - Сабтехника: T1566.001 — Spear Phishing Attachment.
  - Сабтехника: T1566.002 — Spear Phishing Link.
  - Сабтехника: T1566.003 — Spear Phishing via Service.

Процедурой тут могло бы быть "Отправка письма с вложенным документом Word, содержащим макросы".

MITRE ATT&CK — хорошая отправная точка

Структурированность и наглядность: Матрица предоставляет четкую структуру, которая помогает аналитикам понять, как злоумышленники могут действовать на каждом этапе атаки. Это особенно полезно для новичков, которые только начинают разбираться в кибербезопасности.
Общий язык для описания атак: MITRE ATT&CK позволяет аналитикам, исследователям и специалистам по безопасности использовать единый язык для описания TTP. Это упрощает коммуникацию и обмен знаниями. Вендоры (производители решений в области кибербезопасности) активно используют MITRE ATT&CK для разметки своей экспертизы в продуктах. Это делается для нескольких ключевых целей:
- Чтобы показать, какие тактики и техники злоумышленников могут быть обнаружены или предотвращены их решениями.
- Чтобы выделиться на рынке, показав более широкое покрытие угроз.
- Чтобы выявить пробелы в покрытии угроз и улучшить функциональность.
База для создания экспертизы: MITRE ATT&CK может служить отправной точкой для того, чтобы понимать, какие правила обнаружения нужно разрабатывать, что обнаруживать и останавливать реальные угрозы.

Недостатки MITRE ATT&CK

Отсутствие конкретных процедур: Матрица описывает техники и тактики, но не предоставляет конкретных шагов или инструкций по их обнаружению или предотвращению. Это означает, что аналитикам нужно самостоятельно разрабатывать процедуры и правила для мониторинга и реагирования.
Неполнота и субъективность: MITRE ATT&CK не претендует на полноту. Она постоянно обновляется, но новые техники и тактики могут появляться быстрее, чем их добавляют в матрицу.
Ограниченная помощь в оценке качества: Матрица может служить baseline для оценки экспертизы, но она не дает четких критериев для определения, насколько полно и качественно вы покрываете все возможные угрозы. Например, вы можете обнаружить, что покрываете 80% техник, но это не гарантирует, что оставшиеся 20% не будут использованы для успешной атаки. И что значит покрыта техника? Покрыта одна процедура из техники? Покрыты все известные процедуры? Все - это какие и сколько?

T1136.001 Создание локального пользователя

Вот сколько процедур может быть у одной сабтехники, и список вряд ли исчерпывающий

ОС

Утилита

Процедура

Пример

Windows

net user

Создание нового пользователя

net user /add testuser P@ssw0rd

Windows

wmic

Создание нового пользователя

wmic useraccount create name=testuser password=P@ssw0rd

Windows

powershell

Создание нового пользователя

New-LocalUser -Name testuser -Password (ConvertTo-SecureString -String "P@ssw0rd" -AsPlainText -Force)

Windows

mmc

Создание нового пользователя через консоль управления

mmc compmgmt.msc -> Local Users and Groups -> New User

Windows

regedit

Создание нового пользователя через редактирование реестра

regedit -> HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users -> создать новый ключ

Windows

lusrmgr

Создание нового пользователя через консоль lusrmgr

Linux

useradd

Создание нового пользователя

useradd -m testuser

Linux

adduser

Создание нового пользователя

adduser testuser

Linux

pw

Создание нового пользователя через команду pw

pw useradd testuser

macOS

dscl

Создание нового пользователя

dscl . -create testuser

Посмотрим на несколько альтернатив матрицы MITRE ATT&CK.

Cyber Kill Chain

Этапы Cyber Kill Chain

Reconnaissance (Разведка): Злоумышленник собирает информацию о цели (например, через открытые источники, социальные сети или сканирование сети).
Weaponization (Создание инструмента атаки): На этом этапе создается вредоносное ПО или эксплойт, которое будет использовано для атаки.
Delivery (Доставка): Вредоносное ПО доставляется на целевую систему (например, через фишинговое письмо или уязвимость в веб-приложении).
Exploitation (Эксплуатация): Злоумышленник использует уязвимость для выполнения своего кода на целевой системе.
Installation (Установка): Вредоносное ПО устанавливается на систему, чтобы обеспечить постоянный доступ.
Command and Control (C2, Управление): Злоумышленник устанавливает канал связи с зараженной системой для удаленного управления.
Actions on Objectives (Действия для достижения целей): Злоумышленник выполняет свои конечные цели, такие как кража данных, разрушение системы или шифрование файлов для вымогательства.

Преимущества и недостатки Cyber Kill Chain

Unified Kill Chain: объединение лучших подходов

Преимущества Unified Kill Chain:

Гибкость и нелинейность: В отличие от линейной модели Cyber Kill Chain, UKC позволяет аналитикам рассматривать атаки как последовательность этапов, которые могут комбинироваться в любом порядке. Это лучше отражает реальные сценарии атак.
Детализация: UKC включает больше этапов, чем Cyber Kill Chain, что делает ее более детализированной. Например, добавлены этапы "Social Engineering" и "Monetization", которые важны для понимания современных атак.
Интеграция с MITRE ATT&CK: UKC тесно связана с MITRE ATT&CK, так как многие этапы UKC соответствуют тактикам и техникам из матрицы. Это позволяет использовать UKC для более глубокого анализа.
Акцент на современных угрозах: UKC учитывает современные тенденции, такие как атаки на цепочки поставок, облачные среды и монетизацию (например, криптоджекинг или вымогательство).
Универсальность: Модель подходит для анализа как целевых атак (APT), так и массовых кампаний.

Сравнение Cyber Kill Chain, MITRE ATT&CK и UKC

Аспект

Cyber Kill Chain

MITRE ATT&CK

Unified Kill Chain

Уровень детализации

Общие этапы атаки

Детальные тактики и техники

Детальные этапы, близкие к MITRE ATT&CK

Гибкость

Линейная модель

Нелинейная, учитывает разные сценарии

Нелинейная, гибкая комбинация этапов

Фокус

Прерывание атаки на ранних этапах

Обнаружение и анализ TTP злоумышленников

Комбинация анализа и прерывания атак

Современные угрозы

Устарела для сложных атак

Актуальна для современных угроз

Учитывает современные тенденции

Использование в SOC

Обучение, планирование защиты

Анализ угроз, настройка мониторинга

Глубокий анализ и стратегии защиты