Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1©2020 Check Point Software Technologies Ltd.
Jose “Pepe” Tapia | Security Engineer CL
Lucas S. García | Security Engineer AR & UY
Protecting against zero days with Sandblast Network, Agent & Mobile
THE MITRE ATT&CK™ FRAMEWORK
2©2020 Check Point Software Technologies Ltd.
1. MITRE - Introducción
2. MITRE ATT&CK™ Framework
3. MITRE ATT&CK™ Mejores Prácticas
4. MITRE ATT&CK™ Secure Your Everything
5. MITRE ATT&CK™ Análisis de Ataque “Robin Hood”
6. MITRE ATT&CK™ Demo
7. Resumen
Agenda
3©2020 Check Point Software Technologies Ltd.
MITRE -
INTRODUCCIÓN
1
4©2020 Check Point Software Technologies Ltd.
MIT Research Establishment – MITRE
• Organización sin fines de lucro creada en 1958 en el Massachusetts Instituteof Technology, financiada con fondos del gobierno de Estados Unidos.
• El objetivo es proveer lineamientos al gobierno de Estados Unidos intersectando asuntos federales con tecnología avanzada.
• Primera Organización en registrar un sitio “.ORG”.
• https://www.mitre.org/
• Creadores de “CVE” en 1999.
• Presentación de “MITRE ATT&CK” en 2015.
5©2020 Check Point Software Technologies Ltd.
MITRE – CVE / ATT&CK
• Introducidas por MITRE en 1999.
• Identifica vulnerabilidades de software que pueden ser explotadas poratacantes.
• Las CVE no cubren todos los tipos de técnicas que se pueden utilizar.
• Las CVE no explican el objetivo del atacante.
• https://cve.mitre.org/
• MITRE ATT&CK® es una base de conocimientos que contiene tácticas y técnicas de ataques de Ciberseguridad.
• El objetivo es ayudar a desarrollar unaciberseguridad efectiva a cualquierpersona u organización sin ningún tipo de costo.
• https://attack.mitre.org/
6©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK™
FRAMEWORK
2
7©2020 Check Point Software Technologies Ltd.
Qué es MITRE ATT&CK™?
• Base de conocimiento de tácticas y técnicas de adversarios. Son acciones ofensivas que pueden ser utilizadas en contra de una plataforma o sistema.
• Análisis de eventos observados en el mundo real sobre el comportamiento del adversario.
• El foco es la interacción de los adversarios con la plataforma o sistema cuando se realiza un ataque.
• Puede ser un disparador para ejecutar análisis de seguridad y/o de respuesta a incidentes.
Adversarial Tactics Techniques & Common Knowledge
8©2020 Check Point Software Technologies Ltd.
Mitre ATT&CK™ - Pilares• Adversary Behaviors – Comportamiento de los Adversarios
• Analiza tácticas y técnicas para desarrollar analíticas que determinan el comportamiento del adversario.
• Información “estática” (IP, dominio, hashes, claves de registro, etc) es útil por un período corto de tiempo.
• Lifecycle Models – Modelos de Ciclo de Vida
• El ciclo de vida del adversario y el “Cyber Kill Chain” son en alto nivel, sin correlación de comportamientos a defensas aplicables para desarrollar nuevos sensores de alerta.
• Real Environments – Ambientes reales
• Son eventos observables y observados en el mundo real, asociados a grupos bien conocidos de Advanced Persistent Threats (ATPs).
• Common Taxonomy – Taxonomía común
• Unificación de la terminología para referirse a tácticas, técnicas y procedimientos (métodos).
9©2020 Check Point Software Technologies Ltd.
Qué es el Mitre ATT&CK™ Framework? I
• Describe como los adversarios penetran en redes, se mueven de forma lateral, escalan privilegios y evaden defensas.
• Se analiza desde el punto de vista del atacante (“Red Team”), que intent lograr y el método a través del cual lo intenta.
• Se organizan los comportamientos en una serie de tácticas y técnicas según los objetivos.
• El enfoque es entender como un adversario opera para detectar o detener el comportamiento cuando prepara, lanza o ejecuta un ataque.
• Permite integrar CIT (Cyber Threat Intelligence) para relacionar distintos grupos conocidos de APT.
10©2020 Check Point Software Technologies Ltd.
Qué es el Mitre ATT&CK™ Framework? II
• Las tácticas describen múltiples técnicas que un adversario puede utilizar en diferentes métodos, con diferentes herramientas para penetrar una plataforma o sistema.
• Análisis de Comportamiento de ataques.
• Análisis de Taxonomía de ataques.
• ATT&CK contiene dominios por tecnología:
• PRE-ATT&CK: enfocado en reconocimiento y como es el despliegue de infraestructuraobjeto de ataque.
• ATT&CK for Enterprise: comportamientos frente a infraestructura de IT.
• ATT&CK for Mobile: comportamientos frente a dispositivos móviles.
• Foco inicial de ATT&CK for Enterprise:
• Microsoft Windows™ (incorporando mas información de Linux y MAC)
11©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK ™ - Conceptos básicos
Táctica El objetivo táctico del atacante
Técnica La manera de ejecución de la táctica
Software Las herramientas utilizadas
Grupo Los “actores”- Adversarios
GrupoAdversario Técnicas
Software Tácticas
Utiliza
Utiliza
LograImplementa
“Para qué”
“Como”
“Que”
“Quién”
12©2020 Check Point Software Technologies Ltd.
Mitre ATT&CK™ - Tácticas y Técnicas
• Las tácticas representan la razón por la cual ejecutar una acción.
• Por ejemplo, un adversario puede intentar lograr un ataque de “credential access”.
• Las técnicas representan como un adversario logra un objetivo táctico.
• Por ejemplo, un adversario puede intentar una técnica de “dump credentials” para lograr un ataque de “credential access”.
• Las “sub-técnicas” son mas especificas para describir el comportamiento de un adversario para lograr un objetivo.
• Por ejemplo, un adversario ejecuta “dump credentials” accediendo al “Local Security Authority (LSA) Secrets”.
13©2020 Check Point Software Technologies Ltd.
Cyber Kill Chain vs. MITRE ATT&CK ™
Recon Weaponize Deliver Exploit Control Execute Maintain
Priority definition Planning,
Direction Target Selection Information Gathering
Technical, People, Organizational
Adversary OpSec Establish & Maintain
Infrastructure Persona Development Build Capabilities Test Capabilities Stage Capabilities
1. Initial Access2. Execution3. Persistence4. Privilege Escalation5. Defense Evasion6. Credential Access
7. Discovery8. Lateral Movement9. Collection10. Exfiltration11. Command and Control12. Impact
PRE-ATT&CK Enterprise ATT&CK
14©2020 Check Point Software Technologies Ltd.
Técnica: DemoliciónMétodo: Impacto de objetos contundentes aéreos.Herramienta: Lanzapiedras accionado por Gravedad Técnica: Penetración de Muros
Método: Escalación de MurosHerramienta: Torre
Técnica: DemoliciónMétodo: Impacto de objeto contundente
terrestreHerramienta: Ariete
Táctica: ASEDIO
15©2020 Check Point Software Technologies Ltd.
Mitre ATT&CK™ Matrix
16©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK - Enterprise Matrix
17©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK - Mobile Matrix
18©2020 Check Point Software Technologies Ltd.
Preguntas que nos podemos hacer
Cuan efectivas son mis defensas?
Cual es la forma de evaluación de las defensas?
Es posible detectar Amenazas Avanzadas Persistentes?
Qué calidad y utilidad poseen los datos que estoy recolectando?
19©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK ™ - Casos de Uso
Threat Intelligence Detect & AnalyzeRed Team &
Adversary EmulationAssessment &
Response
Attack Navigator
20©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK™
MEJORES PRACTICAS
3
21©2020 Check Point Software Technologies Ltd.
ATT&CK ™ Mejores Prácticas
VisualizeAtaques, Adversarios, Técnicas
AssessAtaques, Adversarios,
Defensas
MapRiesgos, Brecha defensiva
InvestigateAtaques, incidentes
PREVENIR
22©2020 Check Point Software Technologies Ltd.
“Agent Smith” Mobile Malware
Agent Smith Attack Methods
Dormant versions on Play Store
Injected into legitimate apps
Listen on BOOT_COMPLETE
Exploit OS Vulnerability (Janus, Feng-Shui, Bundle)
Enumerate all apps
payload masked as JPG
Hide Icon
Man-in-the-Disk for specific apps
Calls ads for every intent of original app
23©2020 Check Point Software Technologies Ltd.
“Agent Smith” – MITRE ATT&CK ™
Agent Smith Attack Methods
Dormant versions on Play Store
Injected into legitimate apps
Listen on BOOT_COMPLETE
Janus, Feng-Shui, Bundle
Enumerate all apps
Payload masked as JPG
Hide Icon
Man-in-the-Disk for specific apps
Calls ads for every intent of original app
MITRE ATT&CK Technique
Deliver Malicious App via Authorized App Store
Masquerade as Legitimate Application
App Auto-Start at Device Boot
Exploit OS Vulnerability
Application Discovery
Obfuscated Files or Information
Suppress Application Icon
Access Stored Application Data
Android Intent Hijacking
MITRE ATT&CK Tactic
Initial Access
Persistence
Privilege Escalation
Defense Evasion
Credential Access
24©2020 Check Point Software Technologies Ltd.
ATT&CK ™ Navigator Mejores Prácticas - Visualize
25©2020 Check Point Software Technologies Ltd.
ATT&CK ™ Navigator Mejores Prácticas - Compare
26©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees
ATT&CK ™ Navigator Mejores Prácticas SmartEvent
27©2020 Check Point Software Technologies Ltd.
ATT&CK ™ Mejores Prácticas
Visualize
Assess
Map
Investigate
Prevent
Anti-bot
Visualize:
Utilizar Forensics Reports MITRE Matrix
Análisis utilizando ATT&CK ™ navigator
Investigate:
Utilize SmartEvent para hallar incidentes
Analice usando Forensic y Threat Emulation
Evaluar rápidamente con ATT&CKs
Assess:
Identificar a los adversarios y evaluar riesgoscon el mapa de Smart Event
Utilizar el ATT&CK ™ navigator
Map:
Mapear la cobertura de Seguridad con SmartEvent
Planear la mitigación de gaps de seguridad
Prevent:
Active Prevención y despliegue arquitectura“Zero Trust”
28©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK™
SECURE YOUR EVERYTHING
4
29©2020 Check Point Software Technologies Ltd. 29
30©2020 Check Point Software Technologies Ltd.
Prevención impulsada por análisis de Big Data
31©2020 Check Point Software Technologies Ltd.
ZERO TRUST - INFINTY
1COMPLETA
3PREVENTIVA
2EFICIENTE
Administración y visibilidadcentralizada.
Enfocada en prevención de amenazas y ataques de día cero.
Cumplir los 7 principios de Zero Trust.WORKLOADS
NETWORKS
DEVICES
PEOPLE
DATA
VISIBILITY & ANALYTICS
AUTOMATION & ORCHESTRATION
32©2020 Check Point Software Technologies Ltd.
Consolidated Security ArchitectureENDPOINT
Protection, Detection, Response
THREAT INTELLIGENCEResearch, AI, Sensors
MOBILE
Mobile Threat Defense
CLOUD
Infrastructure, Workload, Applications
MANAGEMENT
Unified, Integrated, Central
NETWORK
Perimeter, Data Center, Branch
33©2020 Check Point Software Technologies Ltd.
Threat Cloud
Devices
Gateways
V I S I B I L I T Y
F E E D S
• CERTS• Law enforcement• Partnerships• Cyber Threat Alliance
A I E N R I C H M E N T
• Attack campaigns hunting• Phishing analysis• Malware DNA• Context aware detection• DGA
RESEARCH & ANALYSIS
Cloud
10
0’s
mill
ion
s
O S I N T
• Community• Social media
34©2020 Check Point Software Technologies Ltd.
Análisis y operación simple
35©2020 Check Point Software Technologies Ltd.
Threat Cloud Portal – Infinity SOC
Búsqueda de Indicadores
Linea de TiemposegúnActividad
ComplementoCheck Point Research
OSINT
Superficie de Ataqueconocida
Vista Geográfica
Investigation with contextualized threat intelligence from Threat Cloud
36©2020 Check Point Software Technologies Ltd.
Check Point Infinity alineado a MITRE ATT&CK Framework
NGTP NGTX INFINITY
Protección Base de Red, motoresde Prevención de Amenazas:
• Anti-Bot
• IPS
• Anti-Virus
Protección Avanzada de Red, motores de Prevención de Amenazas Avanzadas:
• Threat Emulation
• Threat Extraction
• Artificial Intelligence
Soluciones adicionales de seguridad:
• Endpoint: SandBlast Agent
• Mobile: SandBlast Mobile
• Cloud: CloudGuard family
37©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK™
ANÁLISIS DE ATAQUES
5
38©2020 Check Point Software Technologies Ltd.
“RobbinHood” Ransomware
RobbinHood – Tácticas
Execution Command-line, API’s and other techniques.
Defense Evasion Removed share connections.
Credential Access Accessed encryption keys.
Discovery Gathered OS and processes information.
Collection Collected information from the system.
Exfiltration Data was compressed.
Impact Encrypted data and stopped services.
Demanda un pago a cambio de desencriptar los archivos.
Técnicas
39©2020 Check Point Software Technologies Ltd.
“RobbinHood” Phishing + RDP Attack
40©2020 Check Point Software Technologies Ltd.
RobbinHood – Alineación a MITRE ATT&CK ™
MITRE ATT&CK TacitMITRE ATT&CK Technique SOURCE SBA Infinity
Command-Line Interface Mitre Prevent Prevent
Compiled HTML File Check Point Detect Detect
Execution through API Check Point Detect Detect
Scripting Check Point Prevent Prevent
Unsigned Process Check Point Detect Detect
User Execution Check Point Prevent Prevent
Disabling Security Tools Mitre Partial Detect Prevent
Network Share Connection Removal Mitre Strict Profile Strict Profile
Compiled HTML File Check Point Detect Detect
Scripting Check Point Prevent Prevent
Credential AccessPrivate Keys Check Point Detect Detect
Process Discovery Check Point Detect Prevent
System Information Discovery Check Point Detect Prevent
Collection Data from Local System Check Point Detect Prevent
Exfiltration Data Compressed Check Point Partial Detect Partial Prevent
Data Encrypted for Impact Mitre Prevent Prevent
Inhibit System Recovery Mitre Partial Detect Partial Detect
Service Stop Mitre None Partial Prevent
Process Termination Check Point Detect Detect
Execution
Defense Evasion
Discovery
Impact
41©2020 Check Point Software Technologies Ltd.
MITRE ATT&CK™
DEMO
6
42©2020 Check Point Software Technologies Ltd.
DEMO• SmartConsole
• Configuración de Gateway
• Política de Acceso - Layers
• Threat Prevention
• Perfil de Threat Prevention
• SmartEvent
• Log
• Vista
• Reportes
• Sandblast Agent
• Reporte Web
• Reporte Cliente
43©2020 Check Point Software Technologies Ltd.
RESUMEN
LINKS ÚTILES
7
44©2020 Check Point Software Technologies Ltd.
• El Mitre ATT&CK™ Framework es una excelente herramientapara analizar malware.
• Es continuamente actualizado.
• Nuevos análisis de malware se van a publicar utilizando el reporte de Sandblast Agent Forense y el Mitre ATT&CK ™ Framework.
• MITRE ATT&CK ™ es una herramienta para mejorar la postura de Seguridad.
• La taxonomia es muy útil y detallada, require una inversiónsignificativa de tiempo para analizar.
• Una vez realizado un análisis, se debe desplegar la soluciónrequerida en modo de “prevención”.
• Check Point Infinity es LA arquitectura de seguridad enfocadaen Prevención.
Resumen
45©2020 Check Point Software Technologies Ltd.
Links útiles
Preventing Zero Day Attacks using
MITRE ATT&CK Framework
AI Technologies White Paper
ATT&CK Navigator
Robin HoodForensics Report
MITRE ATT&CK Matrix
46©2020 Check Point Software Technologies Ltd.
PREGUNTAS?
47©2020 Check Point Software Technologies Ltd.
GRACIAS !!!
Jose “Pepe” Tapia | Security Engineer CL
Lucas S. García | Security Engineer AR & UY