[Blue Teams Academy] 모듈 12 - MITRE ATT&CK를 사용하여 지능적 영구적 위협으로부터 방어

요즘은 보안 레이어를 우회하고 탐지를 피하기 위해 매일 새로운 기법이 발명되고 있다. 그러므로 이제는 새로운 기술들을 알아내고 사이버 위협으로부터 방어할 때가 되었다.

이미지 예의 바름

MITRE AT&CK 프레임워크를 사용하여 지능적인 영구적 위협으로부터 보호하고 중요한 자산을 보호하는 방법에 대해 자세히 알아보기 전에 몇 가지 중요한 용어를 살펴봅시다.

위협

정의상 위협은 이러한 시스템을 해칠 수 있는 기업 자산에 대한 잠재적 위험이다. 많은 경우에 위협, 취약성 및 위험이라는 세 가지 용어 사이에 혼동이 있다. 앞에서 설명한 것처럼 첫 번째 용어는 잠재적 위험인 반면 취약성은 알려진 약점 또는 자산의 격차다. 위험은 취약성을 이용하는 위협의 결과물이다. 즉 앞의 두 용어 사이의 교차점이라고 볼 수 있다. 자산을 공격하는 데 사용되는 방법을 위협 벡터라고 한다.

지능적인 영구적 위협

위키피디아는 "고급 지속성 위협"을 다음과 같이 정의한다.

"첨단 지속적 위협은 은밀한 컴퓨터 네트워크 위협 행위자, 전형적으로 국가 또는 국가가 후원하는 단체로, 컴퓨터 네트워크에 대한 무단 액세스를 얻고 장기간 탐지되지 않은 채로 남아 있다."

잘 알려진 APT 그룹 중 일부를 확인하려면 FireEye에서 다음 리소스를 확인하십시오. 고급 영구 위협 그룹

사이버 킬 체인

사이버 킬 체인은 공격을 수행하는 데 필요한 단계와 단계를 기술하기 위해 군사적으로 영감을 받은 모델이다. 사이버 킬 체인 프레임워크는 록히드 마틴에 의해 사이버 침입 활동의 식별과 방지를 위한 인텔리전스 기반 방어 모델의 일부로 만들어졌다. 군사 킬 체인은 '찾기, 수정, 추적, 표적, 교전 및 평가'를 가리킨다면 사이버 킬 체인은 '정찰, 초기 공격, 지휘 및 통제, 발견 및 확산, 마지막으로 '추출 및 유출'을 가리킨다. 이 프레임워크를 아는 것은 주요 공격이 어떻게 발생하는지에 대한 명확한 이해를 얻기 위해 필수적이다.

이미지 예의 바름

위협 인텔리전스는 사이버 보안과 특히 보안 운영 및 사고 대응에서 중요한 작업이다. 왜냐하면 손자가 말한 대로 다음과 같기 때문이다.

이미지 예의 바름

보안 운영 분석가는 외부 위협 및 적국에 대한 정보와 정보를 수집하여 더 빠른 탐지를 달성하는 데 있어 사전 예방적이어야 한다.

MITRE AT&CK 프레임워크

MITRE AT&CK는 Mitre Corporation이 개발한 프레임워크다. 이 포괄적인 문서는 많은 다른 조직에 대한 수백만 건의 실제 공격을 관찰한 후 상대 공격, 즉 그들의 기술과 전술을 분류한다. ATT&CK가 'Adversarical Tactory, Technology & Common Knowledge'를 지칭하는 이유다.

오늘날 프레임워크는 다양한 매트릭스를 제공한다. 엔터프라이즈, 모바일 및 PRE-ATT&CK. 매트릭스마다 전술이 다르고 전술마다 기법이 많다.

하지만 잠깐, 전술은 무엇이고 기술은 무엇인가?

전술과 기술을 이해하기 위해서는 먼저 고통의 피라미드를 이해할 필요가 있다. 고통의 피라미드는 적들을 대할 때 발견되는 지표들의 유형들 사이의 관계를 보여준다. 지표에 따르면 해시 값, IP 주소, 도메인 이름, 네트워크/호스트 기능, 도구 및 전술, 기법 및 절차(TP)를 의미한다.

이미지 예의 바름

전술, 기술 및 절차(TTP)는 공격자들이 임무를 어떻게 완수할 것인가이다. 전술은 가장 높은 수준의 공격 행동이다. MITRE 프레임워크는 다음과 같이 전술을 제시한다.

1. 초기 액세스
2. 실행
3. 끈기
4. 권한 상승
5. 디펜스 포탈
6. 자격 증명 액세스
7. 디스커버리
8. 횡방향 이동
9. 컬렉션
10. 엑필터레이션
11. 명령 및 제어

공격을 성공적으로 실행하기 위해 기술이 사용된다. 예를 들어, 이것은 "AppCertDLLs" 기법에 대한 정보 입니다.

보안 분석가들이 중동과 아프리카를 위협하는 새로운 APT 그룹에 대한 보고서를 받는다고 가정해 보자. 우리는 "머디 워터 APT"를 예로 들 수 있다.

https://mitre-attack.github.io/attack-navigator/enterprise/#로 이동

그리고 흙탕물 APT 그룹이 사용하는 모든 기술을 강조한다.

기술을 SVG로 내보내기

여러 APT 그룹을 동시에 상대하는 경우 화려한 색조를 사용하는 기술은 APT 그룹이 기술을 얼마나 자주 사용하는가에 따라 달라진다(밝은 색 = 이 기술은 많은 그룹에서 사용됨).

이미지 제공_ _

이제 적들을 알게 됐군. 이제 완화(공구와 기술)를 준비하고 우리의 방어에 빈틈을 발견할 때다.

방어 격차 개선을 위한 로드맵 작성 및 그에 따른 지도 업데이트

모든 기술에 대한 완화 방법은 https://attack.mitre.org/mitigations/enterprise/에서 확인할 수 있다.

요약

본 모듈에서는 여러 가지 중요한 용어와 MITRE ATT&CK 프레임워크를 사용하여 지능적인 지속적 위협을 탐지하는 방법을 학습하였다.

참조

• https://www.fireeye.com/blog/products-and-services/2020/01/operationalizing-cti-hunt-for-defend-against-iranian-cyber-threats.html

 

 

Using MITRE ATT&CK to defend against Advanced Persistent Threats

Nowadays, new techniques are invented on a daily basis to bypass security layers and avoid detection. Thus it is time to figure out new techniques too and defend against cyber threats.

Image Courtesy

Before diving into how to use MITRE ATT&CK framework to defend against advanced persistent threats and protect critical assets, let's explore some important terminologies

Threats

By definition, a threat is a potential danger for the enterprise assets that could harm these systems. In many cases, there is confusion between the three terms Threat, Vulnerability and Risk; the first term, as I explained before, is a potential danger while a Vulnerability is a known weakness or a gap in an asset. A risk is a result of a threat exploiting a vulnerability. In other words, you can see it as an intersection between the two previous terms. The method used to attack an asset is called a Threat Vector.

Advanced Persistent Threats

Wikipedia defines an "Advanced Persistence Threat" as follows:

"An advanced persistent threat is a stealthy computer network threat actor, typically a nation-state or state-sponsored group, which gains unauthorized access to a computer network and remains undetected for an extended period"

To discover some of the well-known APT groups you can check this great resource from FireEye: Advanced Persistent Threat Groups

The Cyber Kill Chain

The Cyber Kill Chain is a military inspired model to describe the required steps and stages to perform attacks. The Cyber Kill Chain framework is created by Lockheed Martin as part of the Intelligence Driven Defense model for identification and prevention of cyber intrusions activity. While a kill chain in military refers to: Find, Fix, Track, Target, Engage and Assess, cyber kill chain refers to: reconnaissance, Initial attack, Command and control, Discover and spread and finally Extraction and exfiltration. Knowing this framework is essential to have a clearer understanding about how major attacks occur.

Image Courtesy

Threat intelligence is an important operation in cyber-security and especially in security operations and incident response. Because as Sun Tzu said:

Image Courtesy

Security operation analysts should be proactive when it comes to gathering information and intelligence about the external threats and adversaries to achieve faster detection.

MITRE ATT&CK Framework

MITRE ATT&CK is a framework developed by the Mitre Corporation. The comprehensive document classifies adversary attacks, in other words, their techniques and tactics after observing millions of real-world attacks against many different organizations. This is why ATT&CK refers to "Adversarial Tactics, Techniques & Common Knowledge".

Nowadays the frameworks provide different matrices: Enterprise, Mobile, and PRE-ATT&CK. Each matrix contains different tactics and each tactic has many techniques.

But wait, what is a tactic and what is a technique?

To understand tactics and techniques we need to understand the pyramid of pain first. The pyramid of pain shows the relationship between the types of indicators found when dealing with adversaries. By indicators, I mean Hash values, IP addresses, Domain names, Network/host artefacts, tools and Tactics, techniques and procedures (TTPs).

Image Courtesy

Tactics, Techniques and procedures (TTPs) are how the attackers are going to achieve their mission. A tactic is the highest level of attack behaviour. MITRE framework present the tactics as the following:

1. Initial Access
2. Execution
3. Persistence
4. Privilege Escalation
5. Defense Evasion
6. Credential Access
7. Discovery
8. Lateral Movement
9. Collection
10. Exfiltration
11. Command and Control

Techniques are used to execute an attack successfully. For example, this is information about the "AppCertDLLs" technique

Let's suppose that security analysts receive a report about a new APT group that threats middle east and Africa. We can take "Muddy Water APT" as an example.

Go to https://mitre-attack.github.io/attack-navigator/enterprise/#

And highlight all the techniques used by Muddy Water APT Group

Export the techniques as SVG

If you are dealing with many APT groups at the same time highlight the techniques using colorful shades depends on how often the technique is used by the APT groups (brightest color = The technique is used by many groups)

Image Courtesy_ _

Now you know your adversaries. It is time to prepare the mitigations (tools and techniques) and discover the gaps in our defenses.

Create a roadmap to improve the defense gaps and update the map accordingly

Mitigations for every technique can be found on https://attack.mitre.org/mitigations/enterprise/

Summary

In this module, we learned many important terminologies and how to use MITRE ATT&CK framework to detect advanced persistent threats.

References

• https://www.fireeye.com/blog/products-and-services/2020/01/operationalizing-cti-hunt-for-defend-against-iranian-cyber-threats.html

 

 

※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/mitre-apt/