THE MITRE ATT&CK™ FRAMEWORK · 2020. 7. 8. · ©2020 Check Point Software Technologies Ltd. 4 MIT Research Establishment –MITRE •Organización sin fines de lucro creada en

1©2020 Check Point Software Technologies Ltd.

Jose “Pepe” Tapia | Security Engineer CL

Lucas S. García | Security Engineer AR & UY

Protecting against zero days with Sandblast Network, Agent & Mobile

THE MITRE ATT&CK™ FRAMEWORK


1. MITRE - Introducción

2. MITRE ATT&CK™ Framework

3. MITRE ATT&CK™ Mejores Prácticas

4. MITRE ATT&CK™ Secure Your Everything

5. MITRE ATT&CK™ Análisis de Ataque “Robin Hood”

6. MITRE ATT&CK™ Demo

7. Resumen

Agenda


MITRE -

INTRODUCCIÓN

1


MIT Research Establishment – MITRE

• Organización sin fines de lucro creada en 1958 en el Massachusetts Instituteof Technology, financiada con fondos del gobierno de Estados Unidos.

• El objetivo es proveer lineamientos al gobierno de Estados Unidos intersectando asuntos federales con tecnología avanzada.

• Primera Organización en registrar un sitio “.ORG”.

• https://www.mitre.org/

• Creadores de “CVE” en 1999.

• Presentación de “MITRE ATT&CK” en 2015.


MITRE – CVE / ATT&CK

• Introducidas por MITRE en 1999.

• Identifica vulnerabilidades de software que pueden ser explotadas poratacantes.

• Las CVE no cubren todos los tipos de técnicas que se pueden utilizar.

• Las CVE no explican el objetivo del atacante.

• https://cve.mitre.org/

• MITRE ATT&CK® es una base de conocimientos que contiene tácticas y técnicas de ataques de Ciberseguridad.

• El objetivo es ayudar a desarrollar unaciberseguridad efectiva a cualquierpersona u organización sin ningún tipo de costo.

• https://attack.mitre.org/

https://cve.mitre.org/

https://attack.mitre.org/


MITRE ATT&CK™

FRAMEWORK

2


Qué es MITRE ATT&CK™?

• Base de conocimiento de tácticas y técnicas de adversarios. Son acciones ofensivas que pueden ser utilizadas en contra de una plataforma o sistema.

• Análisis de eventos observados en el mundo real sobre el comportamiento del adversario.

• El foco es la interacción de los adversarios con la plataforma o sistema cuando se realiza un ataque.

• Puede ser un disparador para ejecutar análisis de seguridad y/o de respuesta a incidentes.

Adversarial Tactics Techniques & Common Knowledge


Mitre ATT&CK™ - Pilares• Adversary Behaviors – Comportamiento de los Adversarios

• Analiza tácticas y técnicas para desarrollar analíticas que determinan el comportamiento del adversario.

• Información “estática” (IP, dominio, hashes, claves de registro, etc) es útil por un período corto de tiempo.

• Lifecycle Models – Modelos de Ciclo de Vida

• El ciclo de vida del adversario y el “Cyber Kill Chain” son en alto nivel, sin correlación de comportamientos a defensas aplicables para desarrollar nuevos sensores de alerta.

• Real Environments – Ambientes reales

• Son eventos observables y observados en el mundo real, asociados a grupos bien conocidos de Advanced Persistent Threats (ATPs).

• Common Taxonomy – Taxonomía común

• Unificación de la terminología para referirse a tácticas, técnicas y procedimientos (métodos).


Qué es el Mitre ATT&CK™ Framework? I

• Describe como los adversarios penetran en redes, se mueven de forma lateral, escalan privilegios y evaden defensas.

• Se analiza desde el punto de vista del atacante (“Red Team”), que intent lograr y el método a través del cual lo intenta.

• Se organizan los comportamientos en una serie de tácticas y técnicas según los objetivos.

• El enfoque es entender como un adversario opera para detectar o detener el comportamiento cuando prepara, lanza o ejecuta un ataque.

• Permite integrar CIT (Cyber Threat Intelligence) para relacionar distintos grupos conocidos de APT.


Qué es el Mitre ATT&CK™ Framework? II

• Las tácticas describen múltiples técnicas que un adversario puede utilizar en diferentes métodos, con diferentes herramientas para penetrar una plataforma o sistema.

• Análisis de Comportamiento de ataques.

• Análisis de Taxonomía de ataques.

• ATT&CK contiene dominios por tecnología:

• PRE-ATT&CK: enfocado en reconocimiento y como es el despliegue de infraestructuraobjeto de ataque.

• ATT&CK for Enterprise: comportamientos frente a infraestructura de IT.

• ATT&CK for Mobile: comportamientos frente a dispositivos móviles.

• Foco inicial de ATT&CK for Enterprise:

• Microsoft Windows™ (incorporando mas información de Linux y MAC)


MITRE ATT&CK ™ - Conceptos básicos

Táctica El objetivo táctico del atacante

Técnica La manera de ejecución de la táctica

Software Las herramientas utilizadas

Grupo Los “actores”- Adversarios

GrupoAdversario Técnicas

Software Tácticas

Utiliza

Utiliza

LograImplementa

“Para qué”

“Como”

“Que”

“Quién”


Mitre ATT&CK™ - Tácticas y Técnicas

• Las tácticas representan la razón por la cual ejecutar una acción.

• Por ejemplo, un adversario puede intentar lograr un ataque de “credential access”.

• Las técnicas representan como un adversario logra un objetivo táctico.

• Por ejemplo, un adversario puede intentar una técnica de “dump credentials” para lograr un ataque de “credential access”.

• Las “sub-técnicas” son mas especificas para describir el comportamiento de un adversario para lograr un objetivo.

• Por ejemplo, un adversario ejecuta “dump credentials” accediendo al “Local Security Authority (LSA) Secrets”.


Cyber Kill Chain vs. MITRE ATT&CK ™

Recon Weaponize Deliver Exploit Control Execute Maintain

Priority definition Planning,

Direction Target Selection Information Gathering

Technical, People, Organizational

Adversary OpSec Establish & Maintain

Infrastructure Persona Development Build Capabilities Test Capabilities Stage Capabilities

1. Initial Access2. Execution3. Persistence4. Privilege Escalation5. Defense Evasion6. Credential Access

7. Discovery8. Lateral Movement9. Collection10. Exfiltration11. Command and Control12. Impact

PRE-ATT&CK Enterprise ATT&CK


Técnica: DemoliciónMétodo: Impacto de objetos contundentes aéreos.Herramienta: Lanzapiedras accionado por Gravedad Técnica: Penetración de Muros

Método: Escalación de MurosHerramienta: Torre

Técnica: DemoliciónMétodo: Impacto de objeto contundente

terrestreHerramienta: Ariete

Táctica: ASEDIO


Mitre ATT&CK™ Matrix


MITRE ATT&CK - Enterprise Matrix


MITRE ATT&CK - Mobile Matrix


Preguntas que nos podemos hacer

Cuan efectivas son mis defensas?

Cual es la forma de evaluación de las defensas?

Es posible detectar Amenazas Avanzadas Persistentes?

Qué calidad y utilidad poseen los datos que estoy recolectando?


MITRE ATT&CK ™ - Casos de Uso

Threat Intelligence Detect & AnalyzeRed Team &

Adversary EmulationAssessment &

Response

Attack Navigator

https://mitre-attack.github.io/attack-navigator/enterprise/


MITRE ATT&CK™

MEJORES PRACTICAS

3


ATT&CK ™ Mejores Prácticas

VisualizeAtaques, Adversarios, Técnicas

AssessAtaques, Adversarios,

Defensas

MapRiesgos, Brecha defensiva

InvestigateAtaques, incidentes

PREVENIR


“Agent Smith” Mobile Malware

Agent Smith Attack Methods

Dormant versions on Play Store

Injected into legitimate apps

Listen on BOOT_COMPLETE

Exploit OS Vulnerability (Janus, Feng-Shui, Bundle)

Enumerate all apps

payload masked as JPG

Hide Icon

Man-in-the-Disk for specific apps

Calls ads for every intent of original app


“Agent Smith” – MITRE ATT&CK ™

Agent Smith Attack Methods

Dormant versions on Play Store

Injected into legitimate apps

Listen on BOOT_COMPLETE

Janus, Feng-Shui, Bundle

Enumerate all apps

Payload masked as JPG

Hide Icon

Man-in-the-Disk for specific apps

Calls ads for every intent of original app

MITRE ATT&CK Technique

Deliver Malicious App via Authorized App Store

Masquerade as Legitimate Application

App Auto-Start at Device Boot

Exploit OS Vulnerability

Application Discovery

Obfuscated Files or Information

Suppress Application Icon

Access Stored Application Data

Android Intent Hijacking

MITRE ATT&CK Tactic

Initial Access

Persistence

Privilege Escalation

Defense Evasion

Credential Access


ATT&CK ™ Navigator Mejores Prácticas - Visualize


ATT&CK ™ Navigator Mejores Prácticas - Compare

26©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

ATT&CK ™ Navigator Mejores Prácticas SmartEvent


ATT&CK ™ Mejores Prácticas

Visualize

Assess

Map

Investigate

Prevent

Anti-bot

Visualize:

Utilizar Forensics Reports MITRE Matrix

Análisis utilizando ATT&CK ™ navigator

Investigate:

Utilize SmartEvent para hallar incidentes

Analice usando Forensic y Threat Emulation

Evaluar rápidamente con ATT&CKs

Assess:

Identificar a los adversarios y evaluar riesgoscon el mapa de Smart Event

Utilizar el ATT&CK ™ navigator

Map:

Mapear la cobertura de Seguridad con SmartEvent

Planear la mitigación de gaps de seguridad

Prevent:

Active Prevención y despliegue arquitectura“Zero Trust”


MITRE ATT&CK™

SECURE YOUR EVERYTHING

4

29©2020 Check Point Software Technologies Ltd. 29


Prevención impulsada por análisis de Big Data


ZERO TRUST - INFINTY

1COMPLETA

3PREVENTIVA

2EFICIENTE

Administración y visibilidadcentralizada.

Enfocada en prevención de amenazas y ataques de día cero.

Cumplir los 7 principios de Zero Trust.WORKLOADS

NETWORKS

DEVICES

PEOPLE

DATA

VISIBILITY & ANALYTICS

AUTOMATION & ORCHESTRATION


Consolidated Security ArchitectureENDPOINT

Protection, Detection, Response

THREAT INTELLIGENCEResearch, AI, Sensors

MOBILE

Mobile Threat Defense

CLOUD

Infrastructure, Workload, Applications

MANAGEMENT

Unified, Integrated, Central

NETWORK

Perimeter, Data Center, Branch


Threat Cloud

Devices

Gateways

V I S I B I L I T Y

F E E D S

• CERTS• Law enforcement• Partnerships• Cyber Threat Alliance

A I E N R I C H M E N T

• Attack campaigns hunting• Phishing analysis• Malware DNA• Context aware detection• DGA

RESEARCH & ANALYSIS

Cloud

10

0’s

mill

ion

s

O S I N T

• Community• Social media


Análisis y operación simple


Threat Cloud Portal – Infinity SOC

Búsqueda de Indicadores

Linea de TiemposegúnActividad

ComplementoCheck Point Research

OSINT

Superficie de Ataqueconocida

Vista Geográfica

Investigation with contextualized threat intelligence from Threat Cloud


Check Point Infinity alineado a MITRE ATT&CK Framework

NGTP NGTX INFINITY

Protección Base de Red, motoresde Prevención de Amenazas:

• Anti-Bot

• IPS

• Anti-Virus

Protección Avanzada de Red, motores de Prevención de Amenazas Avanzadas:

• Threat Emulation

• Threat Extraction

• Artificial Intelligence

Soluciones adicionales de seguridad:

• Endpoint: SandBlast Agent

• Mobile: SandBlast Mobile

• Cloud: CloudGuard family


MITRE ATT&CK™

ANÁLISIS DE ATAQUES

5


“RobbinHood” Ransomware

RobbinHood – Tácticas

Execution Command-line, API’s and other techniques.

Defense Evasion Removed share connections.

Credential Access Accessed encryption keys.

Discovery Gathered OS and processes information.

Collection Collected information from the system.

Exfiltration Data was compressed.

Impact Encrypted data and stopped services.

Demanda un pago a cambio de desencriptar los archivos.

Técnicas


“RobbinHood” Phishing + RDP Attack


RobbinHood – Alineación a MITRE ATT&CK ™

MITRE ATT&CK TacitMITRE ATT&CK Technique SOURCE SBA Infinity

Command-Line Interface Mitre Prevent Prevent

Compiled HTML File Check Point Detect Detect

Execution through API Check Point Detect Detect

Scripting Check Point Prevent Prevent

Unsigned Process Check Point Detect Detect

User Execution Check Point Prevent Prevent

Disabling Security Tools Mitre Partial Detect Prevent

Network Share Connection Removal Mitre Strict Profile Strict Profile

Compiled HTML File Check Point Detect Detect

Scripting Check Point Prevent Prevent

Credential AccessPrivate Keys Check Point Detect Detect

Process Discovery Check Point Detect Prevent

System Information Discovery Check Point Detect Prevent

Collection Data from Local System Check Point Detect Prevent

Exfiltration Data Compressed Check Point Partial Detect Partial Prevent

Data Encrypted for Impact Mitre Prevent Prevent

Inhibit System Recovery Mitre Partial Detect Partial Detect

Service Stop Mitre None Partial Prevent

Process Termination Check Point Detect Detect

Execution

Defense Evasion

Discovery

Impact


MITRE ATT&CK™

DEMO

6


DEMO• SmartConsole

• Configuración de Gateway

• Política de Acceso - Layers

• Threat Prevention

• Perfil de Threat Prevention

• SmartEvent

• Log

• Vista

• Reportes

• Sandblast Agent

• Reporte Web

• Reporte Cliente


RESUMEN

LINKS ÚTILES

7


• El Mitre ATT&CK™ Framework es una excelente herramientapara analizar malware.

• Es continuamente actualizado.

• Nuevos análisis de malware se van a publicar utilizando el reporte de Sandblast Agent Forense y el Mitre ATT&CK ™ Framework.

• MITRE ATT&CK ™ es una herramienta para mejorar la postura de Seguridad.

• La taxonomia es muy útil y detallada, require una inversiónsignificativa de tiempo para analizar.

• Una vez realizado un análisis, se debe desplegar la soluciónrequerida en modo de “prevención”.

• Check Point Infinity es LA arquitectura de seguridad enfocadaen Prevención.

Resumen


Links útiles

Preventing Zero Day Attacks using

MITRE ATT&CK Framework

AI Technologies White Paper

ATT&CK Navigator

Robin HoodForensics Report

MITRE ATT&CK Matrix


PREGUNTAS?


GRACIAS !!!

Jose “Pepe” Tapia | Security Engineer CL

[email protected]

Lucas S. García | Security Engineer AR & UY

[email protected]

mailto:[email protected]

mailto:[email protected]

Documents

THE MITRE ATT&CK™ FRAMEWORK · 2020. 7. 8. · ©2020 Check Point Software Technologies Ltd. 4 MIT Research Establishment –MITRE •Organización sin fines de lucro creada en