MITRE ATT&CK

Identificer, forstå og beskyt mod cybertrusler

MITRE ATT&CK

Share:
MITRE er en nonprofitorganisation, der bl.a. arbejder med cybersikkerhed, og som har udviklet et analyseframework kaldet ATT&CK®.

MITRE ATT&CK (herefter MA) er en fortegnelse af cybertrusler, som kan anvendes til at forstå, klassificere og gardere sig mod typiske trusler.  MA afviger fra mange andre rammeværker for informationssikkerhed ved primært at anskue truslen fra angriberens perspektiv, og på den måde gives et værdifuldt input til forståelsen af en organisations sårbarheder, risici og modtræk. MA er også karakteriseret ved at være virkelighedsnær og baseret på praksis.

De forretningsmæssige anvendelser af MA inkluderer:
  • Risikoanalyse i forhold til et omfattende sæt af trusler
  • Simulering af angreb og afprøvning af beredskab (”dry-run”)
  • Vurdering af en organisations modenhed til at imødegå cybertrusler
  • Identifikation af svagheder og sårbarheder
  • Analyse og kategorisering af indtrufne hændelser.

Faser i angrebet

De to T’er i ATT&CK står for taktikker og teknikker. Taktikker er her motiver for angriberen dvs. nogle delmål, man ønsker at opnå, for at kunne opnå det endelige mål, hvilket kunne være at stjæle informationer eller lukke systemer ned. Hvor taktikker handler om "hvad" og ”hvorfor”, så er teknikkerne relateret til ”hvordan”. Med andre ord bruger angriberen teknikker til at opnår sine taktikker.

I den oftest anvendte udgave af MA indgår to taktikker til forberedelse og 12 taktikker til selve angrebet. Disse 14 taktikker kan ses som en del af fem faser som illustreret herunder.

Attack fem faser.png
Angrebets fem faser

 

Fase 1: Bryd ind

Attack fase 1.pngI denne fase ledes efter en eller flere svagheder, som gør at angriberne kan bryde ind i systemet, hvilket typisk sker gennem netværket via fjernadgang. Fasen omfatter tre taktikker.
 

Rekognoscering

Formålet er informationsindhentning for at planlægge, hvordan de efterfølgende aktiviteter bedst kan gennemføres. Typiske emner er forståelse af organisationens infrastruktur og tekniske svagheder gennem scanning af porte og services på netværket. Dygtige angribere vil også afdække organisering af virksomheder, roller og nøglepersoner.
 

Ressourcer til angrebet

For at gennemføre angrebet kan der være behov for målrettede ressourcer. Hvis angrebet kræver mange samtidige kræfter, så skal disse koordineres, eks. ved et denial-of-service-angreb (overbelastning af servere).

Andre eksempler er indkøb af domæner med navne, der ligner målets domæne eller afviger med enkelte tegn, eller email-konti til phishing angreb (falske mails, der skal franarre informationer e.l.).
 

Indledende adgang

Målet er at få adgang til organisations netværk. Her kan udnyttes logins, som franarres via phishing angreb eller sikkerhedshuller i web-servere, hvortil der er adgang fra internettet.

Nogle metoder giver angriberne direkte adgang til organisationens systemer, hvilket kan ske via ovennævnte stjålne loginoplysninger. En anden metode er at levere ondsindet software (malware), som man lokker brugerne til at eksekvere, hvorefter der er åbent for angriberne. USB-nøgler er ofte brugt til dette formål.
 

Fase 2: Få fodfæste

Attack fase 2.pngEfter indbruddet er målet at opnå et mere stabilt fodfæste, som kan give en platform for det videre arbejde inde i systemer og samtidigt at undgå at blive opdaget. Hvis man skal blive i militære metaforer, så kan man tale om et brohoved, som søges camoufleret.
 

Ondsindet eksekvering og konfigurering

Udvidelsen af hullet ind i organisationen kan ske gennem eksekvering af ondsindet kode eks. ved at skabe og udnytte systemsårbarheder. Koden kan installere bagdøre, medføre sikkerhedsbrud og lede til tyveri af informationer og andre potentielle skader på filer og computersystemer.
 

Persistens i netværket

Formålet med fokus på persistens og robusthed er at forøge modstandsdygtigheden overfor modforanstaltninger eller tilfældige ændringer over tid. Angriberen vil forsøge at fastholde fodfæstet ved genstart af systemer, logout, ændrede loginoplysninger o.l., hvilket bl.a. kan ske gennem modifikation af opstartssekvenser på servere og laptops.
 

Deaktivering af sikkerhedssystemer

Denne taktik handler om at skjule fodfæstet. Typisk vil organisationer have systemer, som advarer om indbrud (intrusion detection systems), så det oplagte mål er disse systemer, som kan passiviseres eller afinstalleres. Fodspor efter indbruddet vil ofte blive opsamlet i logningsinformation, så logningslister og -systemer er også af stor interesse for angriberen.
 

Fase 3: Forbered angreb

Attack fase 3.pngDe forberedende taktikker handler om at forøge rettigheder og adgang til konti med henblik på gennemtrængning (næste fase).
 

Adgang til konti

I denne fase er angriberen inde i systemet og vil have fokus på at få adgang til flere eksisterende konti og specielt privilegerede konti til systemadministration. Risikoen for organisationen forøges med brugen af usikre, delte eller gentagne passwords.
 

Forøgelse af rettigheder

Traditionelt udnyttes systemernes svagheder, fejlkonfigurationer og sårbarheder til at forøge rettighederne til systemadministrator. Klassiske angrebspunkter er kendte svagheder ved operativsystemer og servere, systemer som ikke er patchet med nyeste sikkerhedsopdateringer og konfigurationer af brugerkonti, hvor almindelige brugere har eleverede rettigheder.
 

Fase 4: Gennemtræng

Attack fase 4.png I denne fase er målet at gennemtrænge tilstrækkelige dele af systemer til at overtage styringen af dem. Dette dækker over tre delmål; opdag, overtag og kontrollér interessante systemer.
 

Opdagelse

Formålet med opdagelsen er at ”tegne et kort” over systemerne og de interne netværk. Hermed opdages, hvilke systemer, der er interessant for det endelige mål, og hvilke systemer, som forventes at kunne overtages.
 

Overtagelse

Taktikken med overtagelse betegnes også som lateralt angreb, idet kræfterne sættes ind på at overtage flere og flere systemer. Dette vil ofte inkludere, at fortsætte med at stjæle legitime loginoplysninger, gætte usikre passwords og identificere særligt privilegerede konti.
 

Fjernkontrol

Overtagede systemer kan nu fjernkontrolleres og bruges i sidste fase af angrebet. Det er ofte ønsket for angriberen, at kontrollen holdes så skjult som muligt og dermed, at fjernkontrollen i størst mulig grad ligner normal adfærd.
 

Fase 5: Opnå målet

Attack fase 5.pngSidste fase handler om at opnå målet med selve operationen, hvilket typisk er en kombination af brud på fortrolighed, integritet eller tilgængelighed (confidentiality, integrity and availability = CIA).

Fortrolighedsbrud handler om at stjæle informationer. Brud på integritet kan handle om at forvanske data (eks. at kryptere dem og forlange løsepenge for dekryptering) eller manipulere systemer til senere udnyttelse. Manglende tilgængelighed af systemer handler ofte om at lukke forretningen ned.
 

Informationsindsamling

Når målet med operationen er brud på fortroligheden, så skal informationen først samles. Det kan dreje som om dokumenter og andre filer, database og lister, men kan også bestå i screenshots og mindre strukturerede informationer. Mængden af information kan være meget stor, så dette arbejde kan være omfattende, fordi det oftest er praktisk umuligt at kopiere alt.
 

Eksfiltration

Den indsamlede information skal nu opdeles i passende pakker, så den kan skjules i anden kommunikation eller i hvert tilfælde undgå at vække opmærksomhed. Data skal evt. komprimeres og/eller krypteres, så de kan transporteres ud (eksfiltreres) uden at blive opdaget. Hertil kan anvendes nogle af de overtagne systemer, som kan fjernkontrolleres hertil.
 

Påvirkning

Forringelse af integritet og tilgængelighed sker gennem påvirkning af systemerne gennem kontrol, indtrængning eller ødelæggelse af data og systemer.

Der kan skelnes mellem de situationer, hvor ønsket er stor opmærksomhed (typisk væsentligt lavere tilgængelighed eller decideret nedbrud) og omvendt de situationer, hvor ønsket er lav opmærksomhed (typisk ændring af integritet, som skal skjule andre påvirkninger eller som gør det muligt, at fortsætte i et senere angreb).
 

Teknikker (eksempler)

Hvor taktikker handler om hvad og hvorfor (målet), så handler teknikker om hvordan. Der er flere hundrede teknikker i MA, så her skal blot gives nogle illustrative eksempler.

En af taktikkerne i MA er opnåelse af legitimeringsoplysninger (fase 3 herover), så man kan få adgang til systemerne. Med loginnavn og password kan angriberen agere som en ægte bruger og kan måske anvende dette til at forøge sin adgang eller indsamle værdifulde oplysninger.

I MA er beskrevet 15 teknikker relateret til dette mål for traditionelle virksomhedssystemer (klient/server-systemer med Windows, Linux og macOS). Mange af disse teknikker har underteknikker, så kataloget er temmelig omfattende, men også ganske velbeskrevet.

Nedenstående figur illustrerer i midten en simpel men velkendt situation, hvor en bruger logger på via et websystem og godkendes af en central server eller operativsystemet. De orange bokse er ti eksempler på teknikker, som angriberen kan bruge til at få adgang til legitimeringsoplysninger.

Attack teknikker.png

Eksempler på teknikker, der understøtter taktikken om opnåelse af legitimeringsoplysninger

En kort forklaring på de enkelte teknikker er givet herunder.
 
Teknik Beskrivelse
Forced Authentication En bruger kan kræves at logge ind (igen) på et system, imens angriberen opsamler disse informationer
Input Capture Opsamling af brugerens indtastninger eks. med key loggers eller gennem falske systemer, som brugeren tror er ægte
Man-in-the-Middle Angriberen installerer sit eget system mellem to eksisterende systemer og opsamler godkendelsesinformationer
Network Sniffing Hvis der er adgang til netværket, kan kommunikation om legitimering opsamles ved at gemme datapakker
Credentials from Password Stores Ved at få adgang til databaser over legitimationsoplysninger på servere, kan valide logins uddrages
OS Credential Dumping Informationer om godkendte brugere og deres passwords er ofte tilgængelig i operativsystemets databaser, som angriberen kan forsøge at kopiere
Brute Force Det forsøges at gætte logins evt. med brugen af databaser og ofte anvendte passwords
Steal Web Session Cookie Web session cookies anvendes ofte som bevis for, at en bruger har autentificeret sig korrekt og kan derfor misbruges i kortere tidsrum, hvis angriberen kan få adgang til disse
Modify Authentication Process Modifikationer af godkendelsesprocessen kan indebære, at angriberens eget system overtager opgaven og dermed får magten
Exploitation for Credential Access Udnyttelse af sikkerhedshuller eks. ved ikke opdateret software kan give adgang til adgangskoder eller forhøjede rettigheder
 

Hvis du vil vide mere

Denne artikel er tænkt som en introduktion, da vi tror mange kan have glæde af MITRE ATT&CK. Yderligere forklaring findes hos MITRE på https://www.mitre.org.