MITRE ATT&CK
MITRE ATT&CK, saldırganların tactic ve tekniklerinin gerçek dünya da gözlenmiş olaylar baz alınarak oluşturulmuş bir bilgi tabanıdır. ATT&CK bilgi tabanı, özel sektör, devlet, siber güvenlik ürünleri ve hizmet topluluğu tarafında belirli tehdit modellerinin ve metodolojilerinin geliştirilmesi için bir temel çerçeve olarak kullanılmaktadır.
ATT&CK’ın oluşturulmasıyla MITRE, daha etkili bir siber güvenlik geliştirmek için toplulukları bir araya getirerek daha güvenli bir dünya için sorunları çözme misyonunu üstlenmektedir. ATT&CK herkesin erişebileceği şekilde ücretsiz olarak kullanılabilir. ATT&CK, kelimesinin kökeni “Adversarial Tactics, Techniques and Common Knowledge” kavramlarının baş harflerinden oluşturulmuştur.
ATT&CK Neden Oluşturuldu?
MITRE, Windows kurumsal ağlarına karşı kullanılan kalıcı tehditleri geliştiren yaygın taktikleri, teknikleri ve prosedürleri (TTPs[1]) belgelemek için 2013 yılında ATT&CK’ı oluşturmaya başladı. FMX Adlı MITRE araştırma projesinde kullanılmak üzere saldırgan davranışlarını belgeleme ihtiyacından dolayı ortaya çıkmıştır. FMX’in amacı kurumsal ağlarda faaliyet gösteren rakiplerin tehlikeye atıldıktan sonra tespitini iyileştirmek için uç nokta telemetri verilerinin ve analitğin kullanımını araştırmak. TTP ise “Tactic, Technique, Procedures” anlamına gelene kısaltmadır.
İlgili araştırmada dört ana problemi işaretleyecek bir çerçeve oluşturulmasına karar verilmiştir:
- Düşman/Saldırgan Davranışı: Saldırganın taktik ve tekniklerine odaklanmak, olası saldırgan davranışı analitiği oluşturmaya izin vermiştir. Domain Name, IP Address, File Hashes, Registry Keys vb. gibi tipik göstergeler rakipler tarafından kolayca değiştirilebilir ve yalnızca belirli bir noktayı tespit etmek için kullanılabilirdi, saldırganların sistemlerle nasıl etkileşimde bulunduğu gibi analiz edilebilecek bilgiyi tek başına sağlamamaktadırlar. Bazı durumlarda bu durum sağlansa da genel anlamda analiz edilmediğinde, bir çerçeveye oturtulmadığında anlam ifade etmemektedir. Bu noktada MITRE ATT&CK çerçevesine oturtulduğunda anlam kazanmıştır.
- Yaşam Döngüsü modelleri bu noktada uymamaktadır. Mevcut saldırgan yaşam döngüsü ingilizce tabiriyle “lifecycle” ve “Cyber Kill Chain” konsepti davranışları savunmalarla ilişkilendirmek için çok yüksek düzeyde kaldığı için TTPleri haritalandırmak için kullanışlı değildi.
- Gerçek ortamlara uygulanabilirliği: Yapılan işin gerçek ortamlara uygulanabilir olduğunu göstermek için TTPlerin yaşanmış/gözlemlenmiş olaylara dayandırılması gerekmektedir.
- Genel Sınıflandırma: TTPlerin aynı terminolojiyi kullanan farklı rakip, grup türleri arasında karşılaştırılabili olması gerekir.
The ATT&CK Matrix nedir?
ATT&CK Matrisi, ATT&CK’ın muhtemelen en çok tanınan kısmıdır. Çünkü bir ortamın savunmaya yönelik kapsamı, güvenlik ürünlerindeki algılama becerileri ve red team katılımıyla bir çok olayın sonuçlarını göstermektedir.
Yukarıdaki görselde 11 tane kolon görülmektedir. Bunların her biri taktikleri ID’leri ile birlikte tanımlamaktadır.
- Initial Access (TA0001):
Saldırganın sizin sisteminizle/ağınızla etkileşime geçtiği ilk noktadır.
- Execution (TA0002):
Saldırgan tarafından yönetilen kodun çalıştırılması (C2 üzerinden). Burada aktif bir davranış vardır. Herhangi bir zararlı yazılımın, zarar verme amaçlı gönderilmesi değildir.
- Persistence (TA0003):
Kurbanın sisteminde bazı konfigürasyonların, değişikliklerin yapılması aşamasıdır. Böylelikle kullanıcı sistemi yeniden başlatsa dahi saldırganın içeride kalmasını engelleyecek ya da kalıcılığını yitirmesine sebep olacak herhangi bir davranışı önlemiş olur.
- Privilege Escalation (TA0004):
Saldırganın elde ettiği session içinde yetki yükseltip daha fazla yere ulaşabilmesini sağlamaktadır. (Ideal olanı root/system yetkileridir.)
- Defense Evasion (TA0005):
Bu kısım tespit edilebilirlikten kaçınmak için yapılan aktiviteleri kapsamaktadır. Footprint’lerin temizlenmesi gibi.
- Credential Acess (TA0006):
Admin ya da yetkili kullanıcının hesabının ele geçirilmesi.
- Discovery (TA0007):
Ağ mimarisinin taranıp yeni ulaşılabilir alanların keşfi.
- Lateral Movement (TA0008):
Ağda diğer uzak sistemlere erişim sağlanması.
- Collection (TA0009):
Hassas bilgilerin toplanması.
- Exfiltration (TA0010):
Gizli/Hassas bilgilerin bulunduğu ağdan dışarı çıkartılması/sızdırılması.
- Command and Control (TA0011):
Saldırganın kullandığı C&C lar ile iletişimin kullanımı.
Her bir taktik için birden fazla teknikk bulunmaktadır. Bunların her biri ID tag’e sahiptir: T\d{4}. Burada kolonları ve içerisindeki hücreleri şu şekilde anlamlandırabiliriz:
Kolonlar için: Saldırganın/Hacker’ın hareketleri nelerdi?
Hücreler için: Bu hareketleri nasıl yaptı?
Siber Tehdit İstihbaratı ve MITRE ATT&CK
Bir diğer önemli konu ise, MITRE ATT&CK çerçevesini, siber tehdit istihbartına nasıl uyarlayacağımızdır. Geçmişte, siber tehdit istihbaratında sadece birinci derecede verilerden elde edilen indikatörler kullanılmaktaydı. Bunlar genellikle domain adresler, C2, IP adresleri vb. Bunların aksine ATT&CK hangi grupların hangi teknikleri kullandığını göstermek için kamuya açık raporlamaya dayalı APT gruplarının davranışlarını, profillerini belgeler.
Genelliker, belirli bir olayı veya grubu belgelemek için bireysel raporlar kullanılır. Ancak bu olaylar veya gruplar arasında olanları karşılaştırmayı ve hangi savunma türlerinin en etkili olduğu konusunda bir sonuca varmayı zorlaştırır. ATT&CK ile analistler, tekniğin kendisine odaklanarak faaliyet gruplarına bakabilirler. Analistler, savunma kaynaklarına nasıl odaklanalıcağına karar verirken, en yüksek grupların kullandığı tekniklere odaklanarak başlamak isteyebilirler.
Belirli rakiplerin teknikleri nasıl kullandığına dair örnekler, bu grubun tekniği kullanma prosedürünü temsil eden ATT&CK sayfasında belgelenmiştir. Prosedür, belirli bir kullanım örneğidir ve tekniğin tam olarak nasıl kullanıldığını anlamak ve bir olayın rakip öykünmeyle çoğaltılması ve kullanım sırasında bu örneğin nasıl tespit edileceğine ilişkin ayrıntılar için çok yararlı olabilir.
MITRE ATT&CK Uygulama örneği
Bu uygulama örneğini oluştururken, gerçek olmayan bir kuruluş oluşturulmaktadır. Oluşturulan şirket/organizasyon/kuruluşun adı: Billion Dolar Inc. İlgili oluşum için aşağıdaki gibi personalar oluşturulabilir ve bu personalara bir ön yaklaşım tanımlayabiliriz:
- CEO: “ Nasıl korunduğumuzu bilmemek beni tedirgin ediyor.” — Ahmet the CEO
- CTI Analisti: “Elimizdeki bir IP adresi değilse, ben bunu nasıl kullanacağım.” — Ceren the CTI Analist
- Ağ Savunucusu: “Anlamsız alarmlar yazıyorum, elimdeki veriler bana yardım etmiyor.” — Mehmet the Ağ Savunucusu
- Red Team: “Nasıl yardım edebileceğimden emin değilim” — Burhan the Red Teamer
İlgili personalar oluşturulup, ön tanımlı fikirler verildikten sonra kurguya başlayabiliriz. İlk olarak CEO dan CTI Analistine bir mail geldiğini düşünelim. İlgili mailin içeriği şu şekilde olsun.
From: Ahmet the CEO
To: Ceren to CTI Analist
Neler oluyor!? Haberleri açtığımda bulunduğumuz sektörü etkileyen rus hackerlar tarafıdan yapılan bir siber savaş olduğunu öğrendim! Şirketin hisse fiyatları etkilenmiş! Bu hafta yönetim kurulu toplantım var ve bu konunun bana sorulacağını biliyorum. Bu olayın bizi nasıl etkilediğini/etkliyeceğini ve nasıl savunacağımızı öğrenmeni istiyorum!
İyi çalışmalar.
Ahmet the CEO
Bu noktada maili okuduğunuzda aslında size bir ipucu verilmiş. Saldırganların iranlı bir grup olduğu bilgisidir. İlgili grubu google da “russian threat groups” olarak aratıp, MITRE ATT&CK üzerinde bilgilere ulaşabiliriz. Eğer aratırsanız göreceksiniz ki önünüze şöyle bir sayfa çıkacaktır.
Kolaylık olsun diye ilgili aradığınız anahtar kelimeyi (örnekte “russian”) arattığınızda onunla eşleşen APT(Advanced Persistence Threat) grubunu bulabilirsiniz. Buradaki örnek APT 29 (YTTRIUM, The Dukes, Cozy Bear[1], Cozy Duke) grubu olacaktır.
[1] Cozy Bear, Russian APT Group, https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Operation_Ghost_Dukes.pdf
Yukarıdaki görselde grup ismi, ilişkilendirldiği grup ve açıklama kısmını sırasıyla görebilirsiniz. Detayları için APT29 üstüne tıkladığınızda sizi detaylı bir açıklama ve diğer unsurları barındıran bir sayfaya yönlendirecektir. İlgili sayfada grubun ID numarası, İlişkilendirildiği grupların ismi, versiyon numarası, oluşturulma tarihi, en son değiştirildiği tarih olmak üzere bilgiler barındırmaktadır.
İlgili grupların her biri için “description” bölümünden araştırma yapabilirsiniz.
Hemen altında bulunan bu bölümde ise ilgili grupların “Enterprise” domain’de kullandıkları teknikleri detaylarıyla görebilirsiniz.
Bu kısımda ise ilgili yazılımları ve nerelerde kullanıldığı ne gibi kabiliyetlere sahip detayları mevcuttur.
Bu bilgilerin ışığında, CTI analisti ilgili maile şu şekilde dönüş yapabilecek düzeye gelmiş olur.
From: Ceren the CTI Analyst
To: Ahmet the CEO
Ahmet bey selamlar,
ATT&CK diye bir şey üzerinde ufak bir araştırma yaptım ilgili gruplar hakkında. Bulgularım şu şekildedir.
Cozy Bear — Şüpheli Rus Grubu
- Devlet ve kamu kurumlarını hedef alan, Rusya içinde birden fazla gizli servisle ilişkilendirilen bir gruptur.
- İlk ilişkilendirildiği olay 2015 yazında “Democratic National Committee”yi ele geçirmesiyle olmuştur.
- İlk etkileşimleri “spear phishing” yöntemiyle olmuştur.
- Rusya çıkarı için olan etkinliklerde görülmektedir.
- Günümüzde COVID-19 aşı geliştirilmelerini ele geçirme girişimleri mevcut.
- Grubun amacı genellikle siber espiyonaj.
İlgili grubun haritalandırılması bu şekildedir:
Bu noktada, eğer devlet kurumu ya da devletle iş yapan bir kurum değilseniz, risk halen var olmakla beraber sizi kapsama oranı düşüktür. Ancak unutmamalıdır ki bu risk her zaman mevcuttur ve etkisi büyük olabilir. Örneğimizde organizasyonun devlet ile iş yaptığı varsayılmıştır.
CTI Analisti bulgularını, ağ savunmasını yapan ya da siber savunmadan görevli kişi/kişilere ilgili raporu, topladığı istihbaratı ve elde ettiği indikatörleri incelemesi ve önlem alması için ulaştırır. Bu noktada ilgili takım gerekli aksiyonları almakla mükelleftir. Herhangi bir “hit” görülmemiş ya da compromise olmayabilir. Peki şimdi ne yapılacak? İlgili teknikler nelerdir? Şimdi senaryoya başka bir şekilde devam edelim.
Savunma için izleme yaptığımız sistemlere keşfedilen indicatorleri kapsayan sisteminizin ilgili kısımlarını izleyecek kurallar yazılabilir. Farz edelim ki ilgili saldırgan T1057’ye karşılık gelen Discovery taktik kısmı ile ilgili indicatorlere sahip ve biz de burayı izlemek istiyoruz. İlgili kısma gelirsek T1057 içerisinde izlenmesi gereken kısımları göreceğiz.
Yukarıdaki bilgileri içerecek bir şekilde SIEM için kural yazılabilir ve burası için geçerli izleme işlemine başlanabilir. Bu noktada Blue Team’in tek taraflı çalışması pek bir anlam ifade etmeyecektir. Yazılan kurallar, alınan önlemler test edilmelidir. Bunun için Red Team ve Blue Team’in bir araya gelip zaman zaman Purple Team gibi bir bakışa sahip olmaları sağlanılmalıdır. İlgili gelişmeler Red Team tarafına, bizim örneğimizde “Burhan the Red Teamer”a bildirilmeli ve buna istinaden bir test çalışması başlatılması talep edilmelidir. Departmanların birbirleriyle senkronize çalışması gereklidir. Teknik olmayan ya da eskiden teknik olup yönetici pozisyonuna geçtiğinde zamanla o teknik kabiliyetleri unutmuş olabilir bu sebeple matriste çıkan bilgileri o kişiler için puanlama sistemine göre riskini puanlayabilirsiniz (0–10). Gerekli önlemleri aldınız ve hala güvenliğinden emin değilseniz, referans aralığı olarak puan verebilir ve bunu denetleyebilirsiniz.
Departmanlar ve kişiler arasındaki iletişim, tam kapsamlı bir güvenlik için önemlidir. Güvenliği çerçeveye uydurmak ile henüz misyon tamamlanmış olmamaktadır. Bizim hikayemizde bahsi geçen aktörler arasındaki iletişimi görselleştirmek gerekirse şöyle özetlenebilir.
Ayrıca kendi organizasyonunuz için format oluşturabilirsiniz. MITRE ATT&CK içerisinde verilen T0001.1,2,3 vb. formatı kendi örnek şirketimiz için uyarlayacak olursak eğer şirketin başharfi olan B’yi kullanabiliriz. B000055 gibi bir formatlandırma yapabilir kendi organizasyonunuza MITRE ATT&CK’ı referans gösterecek şekilde bir bilgi tabanı oluşturabilirsiniz. Blue team yani mavi takım için veri tabanı oluşturacak bir kaç kaynak mevcuttur. Bunlardan bazıları:
- The Unfetter Project
- Assess your data potential with an ATTACK Data map.
- Atomic Threat Coverage
- DeTT&CK
Bu yazıda aslında fikir oluşturacak, kısaca özetleyecek ve özetlerkende aslında pratiğe nasıl dökülür şeklinde bir bilgi vermek istedim. Elbette tam profesyonel uygulanışı (pratikte uygulanışı) tam anlamıyla böyle olmayabilir ama genel çerçeveyi kavramak ve genel işleyiş hakkında bir bilgi vermesi açısından bu şekilde yazma ihtiyacı duydum. Faydalı olduğunu umuyorum.
KAYNAKÇA
MITRE ATT&CK, Introduction of MITRE ATT&CK, Retrieved from https://attack.mitre.org/, Access Date: 24.04.2021.
Strom, B.E., Battaglia, J.A., Kemmerer, M.S., Kupersanin, W., Miller, D.P., Wampler, C., Whitley, S.M., Wolf, R.D. (2017), Finding Cyber Threats with ATT&CK™ -Based Analytics. 2017 The MITRE Corporation.
P4N4Rd1, (2019), ATT&CK, Retrieved from: https://medium.com/@zemelusa/att-ck-f99078e11f66, Access Date: 24.04.2021.
MITRE ATT&CK, APT29, Retrieved from https://attack.mitre.org/groups/G0016/, Access Date: 24.04.2021.
Nickels, K., Kovar, R., (2019) MITRE ATT&CK: The Play at Home Edition, Black Hat 2019
Cozy Bear, Russian APT Group, https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Operation_Ghost_Dukes.pdf , Retrieved from: https://attack.mitre.org/groups/G0016/ Access Date: 24.04.2021
Görseller
Görsel 1: Pyramid of Pain (TTP)
Görsel 2: ATT&CK (P4N4Rd1 Blog Post, 2019).
Görsel 3: MITRE ATT&CK Groups (Source: https://attack.mitre.org/groups/)
Görsel 4: Detaylar (Source: https://attack.mitre.org/groups/G0016/)..
Görsel 5: Associated Group Descriptions (Source: https://attack.mitre.org/groups/G0016/).
Görsel 6: Software (Source: https://attack.mitre.org/groups/G0016/).
Görsel 7: MITRE ATT&CK Matrix (CozyBear).
Görsel 8: Process Discovery MITRE ATT&CK(Source: https://attack.mitre.org/techniques/T1057/).
Görsel 9: Takımlar arası iletişim ve karşılıklı bilgi paylaşımı.
