Drive-by compromise

Правила CAPA

Разрешения, которые запрашивают почти все приложения Android при установке, давно привлекают внимание специалистов по информационной безопасности. Обычно просят доступ и к камере, и к микрофону, и к сети

При­мер Android-при­ложе­ния с его раз­решени­ями

Когда он динамически сканирует объект, он работает в изолированной среде и отслеживает все действия на уровне гипервизора или специальной утилиты. Используя правила CAPA (которые, кстати, имеют открытый исходный код), аналитик может сократить время, провести предварительный статический анализ объекта и сосредоточиться на потенциальных действиях и возможностях программы согласно матрице MITER ATT & CK.

Вот как выг­лядит вывод CAPA при ана­лизе . Подопыт­ная прог­рамма была написа­на на Python и соб­рана в исполня­емый файл с помощью .

При­мер ана­лиза с помощью пра­вил САРА фай­ла 1.exe

Мы видим, что в анализируемом файле используются три тактики и пять приемов согласно матрице MITER ATT & CK. Кроме того, CAPA перечисляет возможности исполняемого файла по используемым функциям.

Ис­поль­зуемые фун­кции объ­екта 1.exe

Автоматическое обнаружение возможностей CAPA осуществляется путем поиска отличительных артефактов. Это используемые вызовы API, строки, константы, создание мьютексов и сокетов, загруженные библиотеки. Эти артефакты определяются правилами (похожими на правила YARA), которые помогают идентифицировать функции, реализованные во вредоносном ПО.

Рас­смот­рим при­мер пра­вила САРА.

CAPA-пра­вило: schedule task via command line

Прежде всего, CAPA извлекает строки и константы, которые могут быть именами функций или чем-то, что можно сообщить эксперту. Найдено разбито на свойства файла и результаты разборки (строки, константы, вызовы). Свойства файла — это заголовки и импортированные API (включая имена используемых функций). В приведенном выше примере используется логическое условие:

То есть правило определяет консольные команды, используемые для создания задач в планировщике Windows.
Стоит отметить, что правила CAPA работают только с объектами в формате PE (Portable Executable). Для получения дополнительных сведений используйте параметры -v и -vv.

Challenges When Using ATT&CK

  • Not every behavior that matches an ATT&CK technique is malicious. File Deletion, for instance, is a listed technique under Defense Evasion – which makes total sense. But how are you going to discern normal file deletes from an attacker’s attempts to evade detection?
  • Similarly, some ATT&CK techniques are difficult to detect even on a good day. Brute Force attacks are fairly easy to detect if you know what to look for. Exfiltration over Alternative Protocol, like a DNS tunnel, can be quite difficult to detect even if you are looking for it. The ability to discover difficult to find techniques is key to your long-term data security strategy.

Первоначальный доступ к мобильному устройству (Initial Access)

Ссылки на все части:Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)Часть 3. Получение учетных данных (Credential Access)Часть 4. Обход защиты (Defense Evasion)Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые злоумышленниками на каждом этапе цепочки атаки на мобильные устройства.Автор не несет ответственности за возможные последствия применения изложенной в статье информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Публикуемая информация является свободным пересказом содержания ATT@CK Mobile Matrices: Device Access.

Платформа:Описание:

  • Загрузка вредоносного кода во время выполнения приложения после его установки из магазина приложений;
  • Обфускация файлов и информации;
  • Использование скомпрометированных учетных данных и цифровых подписей добросовестных разработчиков мобильных приложений;
  • Проверка возможности обхода систем автоматизированного анализа безопасности мобильных приложений в магазине приложений.

Рекомендации по защите:

Платформа:Описание:Альтернативные способы доставки приложений:

  • Фишинговое вложение (Spearphishing Attachment) — приложение в виде вложения в сообщение электронной почты;
  • Фишинговая ссылка — ссылка на пакет мобильного приложения в электронном письме или текстовом сообщении (SMS, iMessage, Hangouts, WhatsApp и т.п.), веб-сайте, QR-код b и т.д.;
  • Сторонний магазин приложений — приложение публикуется в магазине приложений, в котором отсутствует контроль безопасности аналогичный авторизованному магазину.

Рекомендации по защите:allowEnterpriseAppTrustallowEnterpriseAppTrustModification

Эксплуатация уязвимости через зарядную станцию или ПК (Exploit via Charging Station or PC)

Платформа:Описание:

  • Внедрение вредоносных приложений в устройства iOS (источник);
  • Эксплуатация уязвимостей Nexus 6 или 6P через USB, включая перехват телефонных звонков, сетевого трафика и получения данных о физическом местоположении устройства;
  • Эксплуатация уязвимостей Android через USB на примере Google Pixel 2.

Продукты компаний Cellebrite и GrayshiftРекомендации по защите:

Эксплуатация уязвимостей через радио-интерфейсы (Exploit via Radio Interfaces)

Описание:Эксплойты базовой полосыWi-Fiуязвимости в коде, обрабатывающем полученное сообщениеуязвимость в Samsung S6)Вредоносные sms-сообщенияУязвимые SIM-картыРекомендации по защите:

Обход блокировки экрана (Lockscreen Bypass)

Платформа:Описание:Биометрический спуфингУгадывание кода разблокировки или простой переборИные эксплойты экрана блокировкиРекомендации по защите:

Компрометация цепочки поставок (Supply Chain Compromise)

Платформа:Описание:Выявление уязвимостей в сторонних библиотеках ПОРаспространение вредоносных инструментов разработки ПОXcodeGhost

Procedure Examples

ID Name Description
G0007 APT28

APT28 deployed the open source tool Responder to conduct NetBIOS Name Service poisoning, which captured usernames and hashed passwords that allowed access to legitimate credentials. APT28 close-access teams have used Wi-Fi pineapples to intercept Wi-Fi signals and user credentials.

G0064 APT33

APT33 has used SniffPass to collect credentials by sniffing network traffic.

G0105 DarkVishnya

DarkVishnya used network sniffing to obtain login data.

S0367 Emotet

Emotet has been observed to hook network APIs to monitor network traffic.

S0363 Empire

Empire can be used to conduct packet captures on target hosts.

S0357 Impacket

Impacket can be used to sniff network traffic via an interface or raw socket.

G0094 Kimsuky

Kimsuky has used the Nirsoft SniffPass network sniffer to obtain passwords sent over non-secure protocols.

S0443 MESSAGETAP

MESSAGETAP uses the libpcap library to listen to all traffic and parses network protocols starting with Ethernet and IP layers. It continues parsing protocol layers including SCTP, SCCP, and TCAP and finally extracts SMS message data and routing metadata.

S0590 NBTscan

NBTscan can dump and print whole packet content.

S0587 Penquin

Penquin can sniff network traffic to look for packets matching specific conditions.

S0378 PoshC2

PoshC2 contains a module for taking packet captures on compromised hosts.

S0019 Regin

Regin appears to have functionality to sniff for credentials passed over HTTP, SMTP, and SMB.

S0174 Responder

Responder captures hashes and credentials that are sent to the system after the name services have been poisoned.

G0034 Sandworm Team

Sandworm Team has used intercepter-NG to sniff passwords in network traffic.

G0086 Stolen Pencil

Stolen Pencil has a tool to sniff the network for passwords.

Разное

VECTR

Страница проекта на github: github.com/SecurityRiskAdvisors/VECTR Страница проекта: vectr.io

Это централизованная панель мониторинга, которая облегчает отслеживание действий по тестированию RedTeam и BlueTeam, чтобы измерить возможности обнаружения и предотвращения атак по различным сценариям, согласно данным из матрицы MITRE ATT&CK. Обладает в том числе следующими возможностями:

  • Отслеживание тестирования в режиме реального времени;
  • Измерение прогресса выполненных тестов;
  • Централизация методов RedTeam и возможностей BlueTeam;
  • Добавление пользовательских тестовых сценариев;
  • Создание подробных отчетов о проведении тестирования.

VECTR документирует задачи и инструменты RedTeam, первый и второй уровни обнаружения BlueTeam, критерии успешного обнаружения и результаты тестирования. На основании полученных результатов предоставляются рекомендации по общим показателям и конкретным конфигурациям наборов инструментов, которые можно использовать для дальнейшего улучшения возможностей обнаружения и реагирования.

ATT-CK_Analysis

Страница проекта: github.com/vysecurity/ATT-CK_Analysis

Научно-аналитический репозиторий, содержащий анализ данных из MITRE ATT&CK. Независимые аналитики ищут ответы на ряд вопросов, например:

  • Существуют ли ранее неизвестные связи между группами, которые используют большую долю методов?
  • Является ли количество методов, используемых каждой группой, разумным показателем того, насколько продвинутыми являются возможности этих групп?
  • Если можно установить некоторую иерархию возможностей, либо непосредственно из набора данных, либо из внешних источников, есть ли свидетельства того, что определенные группы избегают (а не просто не используют) определенных методов?

The Hunting ELK (HELK)

Страница проекта: github.com/Cyb3rWard0g/HEL

Новый проект Hunting ELK (Elasticsearch, Logstash, Kibana). Это экосистема, состоящая из нескольких платформ с открытым исходным кодом, работающих вместе с главной целью расширения возможностей агентов по обнаружению угроз, возможностей стека Elastic ELK. Аналитические возможности поиска обеспечиваются внедрением технологий Spark & ​​Graphframes. Это одна из первых общедоступных сборок, позволяющая бесплатно использовать функции обработки данных в стеке ELK. Кроме того, в проект интегрирован Jupyter Notebook для создания прототипов при использовании больших данных и/или машинного обучения. Этот стек предоставляет механизм полнотекстового поиска, смешанный с визуализациями, графическими реляционными запросами и расширенной аналитикой. Проект находится на этапе разработки, код и функциональность будут меняться. В ближайших планах добавление дашбордов с данными из ATT&CK. Подробнее о проекте можно прочитать в блоге автора.

Заключение

Количество проектов, активно использующих матрицу MITRE ATT&CK, продолжает расти. Нельзя не отметить, что это хорошая база знаний для аналитиков, свежий взгляд на модель угроз информационной безопасности. Впрочем, отдельные исследователи отмечают некоторые недостатки матрицы. Например, встречаются случаи очень расплывчатого описания техник, что сильно затрудняет работу с ними.

Главное, о чем не стоит забывать: эта матрица построена на основе успешно проведенных атак. Т.е. по большому счету это историческая справка о том, какие техники и методы применялись. Несомненно, это хорошая база знаний, удобная в эксплуатации, но все же она никогда полностью не опишет все возможные техники противника.

Embedding the Navigator in a Webpage

If you want to embed the Navigator in a webpage, use an iframe:

<iframe src="https://mitre-attack.github.io/attack-navigator/enterprise/" width="1000" height="500"></iframe>

If you want to embed a version of the Navigator with specific features removed (e.g tabs, adding annotations), or with a default layer, we recommend using the create customized Navigator feature. We highly recommend disabling the «leave site dialog» via this means when embedding the Navigator since otherwise you will be warned whenever you try to leave the embedding page. Refer to the in-application help page section «Customizing the Navigator» for more details.

The following is an example iframe which embeds our *Bear APTs layer with tabs and the ability to add annotations removed:

<iframe src="https://mitre-attack.github.io/attack-navigator/enterprise/#layerURL=https%3A%2F%2Fraw.githubusercontent.com%2Fmitre%2Fattack-navigator%2Fmaster%2Flayers%2Fdata%2Fsamples%2FBear_APT.json&tabs=false&selecting_techniques=false" width="1000" height="500"></iframe>

Сбор и передача данных

Утилита архивации

Это файловый скрепер, задача которого — собрать файлы с заданными расширениями в отдельную папку, сохраняя исходную структуру каталогов, а затем упаковать эти файлы в RAR-архив с паролем. Имя файла архива состоит из даты и времени. После создания архива исходные файлы удаляются.

Утилита передачи данных

Принимает в качестве параметров путь к папке, созданной утилитой архивации, IP-адрес и порт управляющего сервера, а также количество потоков для работы; может рекурсивно отправлять все файлы из заданной папки и подпапок. Для каждого отправляемого файла программа создаёт отдельный поток. При указании дополнительного параметра файл после отправки может быть удалён. Вместе с файлом на управляющий сервер отправляются метаданные, содержащие имя заражённого компьютера и имя пользователя, от имени которого запущен процесс. Передаваемые файлы шифруются с паролем при помощи XOR.

Загрузчик файлов

Этот инструмент загружает файл по URL и записывает его на локальный диск. Изначально основной функцией этого инструмента является загрузка дополнительных утилит на заражённую машину. Однако более внимательное изучение показало, что с его помощью взломщики загружали по сети компании документы, в частности, PDF-файлы.

PowerShell-скрипт для взаимодействия с MySQL

Используется для получения данных из базы MySQL. Скрипт принимает строку соединения, которая включает в себя сервер, UID, пароль и имя базы данных, а также строку SQL-запроса, который нужно выполнить. Запуск скрипта выглядит следующим образом:

Изучение параметров командной строки, которые передавали этому инструменту злоумышленники, показало, что они располагали сведениями обо всех серверах БД, административных учётных записях, именах БД, а также о структуре хранящихся в них данных. Во всех наблюдаемых случаях использовались запросы для получения записей документов по дате или идентификатору записи. Результаты запроса записывались в CSV-файл. Полученная из БД информация передавалась загрузчику файлов, который загружал её в папку сохранения утилиты архивации.

FTP-архиватор

Этот инструмент отличается от утилиты архивации тем, что вместо копирования файлов во временную папку он сохраняет полные пути к ним в текстовый файл. Закончив эту процедуру, архиватор запускает встроенный 7-Zip и создаёт архив, который затем шифрует простым XOR-ключом. Файл отправляется на FTP-сервер, заданный в командной строке. Отправленный файл удаляется, чтобы скрыть факт хищения.

Benefits of ATT&CK for Red Teams

Another excellent resource for the Red Team in the ATT&CK repository is the Group Directory. The group directory is a listing of known hacker groups along with a listing of the tools and techniques they used to infiltrate their targets.

For example, the entry for the group Rancor lists techniques they used in their attack: Command-Line Interface, Remote File Copy, Scheduled Task, etc. Beside each technique, there is a short description of how Rancor used that technique. There is also a list of software they used – certutil, DDKONG, PLAINTEE, and Reg.

With the Groups Directory, Red Teams have everything they need to create dozens of different real-world scenarios for Blue Teams to counter.

Notice

Copyright 2020 The MITRE Corporation

Approved for Public Release; Distribution Unlimited. Case Number 18-0128.

Licensed under the Apache License, Version 2.0 (the «License»);
you may not use this file except in compliance with the License.
You may obtain a copy of the License at

Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an «AS IS» BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.

This project makes use of ATT&CK

Mitigations

ID Mitigation Description
M1013 Application Developer Guidance

When possible, include hash values in manifest files to help prevent side-loading of malicious libraries.

M1047 Audit

Use auditing tools capable of detecting hijacking opportunities on systems within an enterprise and correct them. Toolkits like the PowerSploit framework contain PowerUp modules that can be used to explore systems for hijacking weaknesses.

Use the program sxstrace.exe that is included with Windows along with manual inspection to check manifest files for side-loading vulnerabilities in software.

Find and eliminate path interception weaknesses in program configuration files, scripts, the PATH environment variable, services, and in shortcuts by surrounding PATH variables with quotation marks when functions allow for them. Be aware of the search order Windows uses for executing or loading binaries and use fully qualified paths wherever appropriate.

Clean up old Windows Registry keys when software is uninstalled to avoid keys with no associated legitimate binaries. Periodically search for and correct or report path interception weaknesses on systems that may have been introduced using custom or available tools that report software using insecure path configurations.

M1038 Execution Prevention

Adversaries may use new payloads to execute this technique. Identify and block potentially malicious software executed through hijacking by using application control solutions also capable of blocking libraries loaded by legitimate software.

M1022 Restrict File and Directory Permissions

Install software in write-protected locations. Set directory access controls to prevent file writes to the search paths for applications, both in the folders where applications are run from and the standard library folders.

M1044 Restrict Library Loading

Disallow loading of remote DLLs. This is included by default in Windows Server 2012+ and is available by patch for XP+ and Server 2003+.

Enable Safe DLL Search Mode to force search for system DLLs in directories with greater restrictions (e.g. )to be used before local directory DLLs (e.g. a user’s home directory)

The Safe DLL Search Mode can be enabled via Group Policy at Computer Configuration > > Administrative Templates > MSS (Legacy): MSS: (SafeDllSearchMode) Enable Safe DLL search mode. The associated Windows Registry key for this is located at

M1024 Restrict Registry Permissions

Ensure proper permissions are set for Registry hives to prevent users from modifying keys for system components that may lead to privilege escalation.

M1051 Update Software

Update software regularly to include patches that fix DLL side-loading vulnerabilities.

M1052 User Account Control

Turn off UAC’s privilege elevation for standard users to automatically deny elevation requests, add: . Consider enabling installer detection for all users by adding: . This will prompt for a password for installation and also log the attempt. To disable installer detection, instead add: . This may prevent potential elevation of privileges through exploitation during the process of UAC detecting the installer, but will allow the installation process to continue without being logged.

M1018 User Account Management

Limit privileges of user accounts and groups so that only authorized administrators can interact with service changes and service binary target path locations. Deny execution from user directories such as file download directories and temp directories where able.

Ensure that proper permissions and directory access control are set to deny users the ability to write files to the top-level directory and system directories, such as , to reduce places where malicious files could be placed for execution.

Detection

Collect file hashes; file names that do not match their expected hash are suspect. Perform file monitoring; files with known names but in unusual locations are suspect. Likewise, files that are modified outside of an update or patch are suspect.

If file names are mismatched between the file name on disk and that of the binary’s PE metadata, this is a likely indicator that a binary was renamed after it was compiled. Collecting and comparing disk and resource filenames for binaries by looking to see if the InternalName, OriginalFilename, and/or ProductName match what is expected could provide useful leads, but may not always be indicative of malicious activity. Do not focus on the possible names a file could have, but instead on the command-line arguments that are known to be used and are distinct because it will have a better rate of detection.

Look for indications of common characters that may indicate an attempt to trick users into misidentifying the file type, such as a space as the last character of a file name or the right-to-left override characters»\u202E», «», and «%E2%80%AE».

MITRE ATT&CK Uses

We already discussed how the Red Team uses ATT&CK techniques to plan a scenario to test network defenses, but how else can you use ATT&CK?

  • Use ATT&CK to plan your cyber security strategy. Build your defense to counter the known techniques and equip your monitoring to detect evidence of ATT&CK techniques in your network.
  • ATT&CK is a reference for Incident Response (IR) teams. Your IR team can use ATT&CK to determine the nature of the threats you are encountering and methods to mitigate the threat.
  • Your IR team can use ATT&CK as a reference for new cybersecurity threats, and plan ahead.
  • ATT&CK can help you assess your overall cybersecurity strategy and close any gaps that you discover.

Вступление

Первая модель ATT&CK была создана в сентябре 2013 года и была ориентирована в основном на Windows. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества кибербезопасности. Помимо нее была создана дополнительная база знаний PRE-ATT&CK, описывающая подготовку к атаке, и ATT&CK для мобильных устройств.

По состоянию на июль 2019 года Enterprise ATT&CK включает 314 методов атак для Windows, Linux и Mac. Структура матрицы состоит из 11 тактик: от начального доступа до взятия под контроль через C&C и эксфильтрацию данных. Каждая фаза жизненного цикла атаки состоит из множества техник, которые успешно использовались различными группами киберпреступников при компрометации сети организации. При тестировании безопасности RedTeam по сути делает то же самое, потому не использовать подобную базу знаний было бы большим упущением.

В данной статье мы не будем подробно останавливаться на самой матрице ATT&CK, все подробности можно найти на сайте разработчиков. О пользе и применимости данной базы знаний говорит её частое применение крупными и не очень вендорами: почти все threat detection and hunting решения уже имеют корреляцию событий с данной матрицей.

Operationalizing the Cyber-Attack Kill Chain

The next step in operationalizing ATT&CK is to create meaningful scenarios. A unique capability of Cymulate to chain executions and simulate real-life attack flows across the cyber kill chain. Scenarios can be simple assessments that for example perform automated health checks to complex scenarios that simulate a full kill chain APT group for the purpose of exercising incident playbooks. In the example below we chain 4 executions that combine Credential Access, Defense Evasion and Execution tactics. Context demands a meaningful sequence of executions and chaining of outputs to inputs:

Для BlueTeam

Cyber Analytics Repository (CAR) и CAR Exploration Tool (CARET), Unfetter

Страница проекта Unfetter: nsacyber.github.io/unfetter/about.html Страница проекта Unfetter на github: github.com/unfetter-discover/unfetter Страница проекта CAR: car.mitre.org Страница проекта CARET:

В организации MITRE решили не останавливаться на одной только матрице ATT&CK и развивать идею дальше: так был создан реестр методов обнаружения поведения нарушителей на основе ATT&CK Cyber Analytics Repository. К нему для удобства добавили GUI — так получился CAR Exploration Tool (CARET). Но и этого показалось мало, поэтому совместно с Агентством национальной безопасности США был создан проект Unfetter. Этот проект расширяет возможности CARET, чтобы помочь специалистам в области кибербезопасности выявлять и анализировать бреши в защите. В Unfetter есть 2 проекта:

  • Unfetter Discover позволяет аналитикам и инженерам по сетевой безопасности создавать и обмениваться сложными данными Cyber ​​Threat Intelligence (CTI) среди своих коллег, используя данные ATT&CK, полученные из MITRE в формате STIX.
  • Unfetter Analytic позволяет сопоставлять аналитику с методами ATT&CK, которые необходимо обнаружить.

CASCADE

Страница проекта: github.com/mitre/cascade-server

Это исследовательский проект MITRE, цель которого — автоматизировать большую часть работы BlueTeam для определения масштабов и вредоносности подозрительного поведения в сети с использованием данных хоста. Прототип сервера CASCADE может обрабатывать аутентификацию пользователей, выполнять аналитику данных, хранящихся в Splunk или ElasticSearch, генерировать предупреждения. Оповещения запускают рекурсивный процесс расследования, когда несколько последующих запросов собирают связанные события, которые включают в себя родительские и дочерние процессы (деревья процессов), сетевые подключения и файловую активность. Сервер автоматически генерирует график этих событий, показывая отношения между ними, и помечает график информацией из матрицы ATT&CK.

Atomic Threat Coverage

Страница проекта: github.com/krakow2600/atomic-threat-coverage

Это инструмент, который позволяет автоматически генерировать аналитику, предназначенную для борьбы с угрозами на основе ATT&CK. С его помощью можно создавать и поддерживать свой собственный аналитический репозиторий, импортировать аналитику из других проектов (таких как Sigma, Atomic Red Team, а также частные ветки этих проектов с вашей собственной аналитикой) и осуществлять экспорт в читаемые вики-страницы на двух платформах:

  1. Страницы Atlassian Confluence
  2. Собственные автоматически генерируемые страницы в стиле вики

По сути позволяет сделать ваш внутренний информационный портал для детектирования и реагирования на атаки.

ATT&CK Python Client

Страница проекта: github.com/hunters-forge/ATTACK-Python-Client

Скрипт на Python для доступа к содержимому матрицы ATT&CK в формате STIX через общедоступный сервер TAXII. В этом проекте используются классы и функции Python-библиотек cti-python-stix2 и cti-taxii-client, разработанных MITRE. Основная цель проекта — предоставить простой способ доступа и взаимодействия с новыми данными ATT&CK.

Для RedTeam

CALDERA

Страница проекта: github.com/mitre/caldera

CALDERA — автоматизированная система эмуляции действий злоумышленников, построенная на платформе MITRE ATT&CK. Ее основное назначение — тестирование решений безопасности конечных точек и оценка состояния безопасности сети. Согласно терминам Gartner, эту систему можно отнести к продуктам breach and attack simulation (BAS). CALDERA использует модель ATT&CK для выявления и репликации поведения противника, как если бы происходило реальное вторжение. Это позволит избежать рутинной работы и даст больше времени и ресурсов для решения сложных задач. Недавнее обновление системы изменило её структуру: если раньше она состояла из сервера, агента и исполняемого файла для эмуляции противника, то теперь используется архитектура плагинов. Они подключают новые функции и поведение к базовой системе. Сейчас CALDERA поставляется с несколькими заранее созданными шаблонами поведения противников с помощью плагина Stockpile, но добавить свои собственные достаточно легко.

Atomic Red Team

Страница проекта: atomicredteam.io Страница проекта на github: github.com/redcanaryco/atomic-red-team Страница блога Red Canary: redcanary.com/blog/atomic-red-team-testing

Является, пожалуй, самым популярным проектом, связанным с матрицей ATT&CK. Red Canary создали библиотеку простых тестов, сопоставленных с MITRE ATT&CK Framework. Это небольшие, легко переносимые тесты для обнаружения атак, каждый тест предназначен для сопоставления с определенной тактикой. Тесты определены в структурированном формате с расчетом на их применение средами автоматизации, что дает защитникам эффективный способ немедленно начать тестирование своей защиты против широкого спектра атак.

ATT&CK-Tools

Страница проекта: github.com/nshalabi/ATTACK-Tools

Репозиторий содержит следующее:

  • ATT&CK View: инструмент планирования эмуляции противника;
  • ATT&CK Data Model: реляционная модель данных.

View призван помочь защитникам в разработке планов эмуляции противника на основе структуры ATT&CK. В качестве наглядного примера есть полный план эмуляции противника для APT3, разработанный MITRE. Это поможет быстрее начать работу с проектом. Главная задача Data Model состоит в том, чтобы упростить интеграцию ATT&CK в новые проекты. База данных основана на SQLite для простоты и мобильности, примеры запросов к ней можно найти на странице проекта.

Purple Team ATT&CK Automation

Страница проекта: github.com/praetorian-code/purple-team-attack-automation

Проект компании Praetorian, в котором реализованы тактики, техники и методы из матрицы MITRE ATT&CK в качестве post-модулей Metasploit Framework. Проект призван автоматически эмулировать тактику противника.

Red Team Automation (RTA)

Страница проекта: github.com/endgameinc/RTA

RTA представляет собой набор из 38 сценариев и поддерживающих исполняемых файлов, которые пытаются выполнить вредоносную деятельность в соответствии с методами матрицы ATT&CK. На данный момент RTA обеспечивает покрытие 50 тактик. Там, где это возможно, RTA пытается выполнить описанную сценариями вредоносную деятельность, в других случаях будет эмулировать ее.

EDR-Testing-Script

Страница проекта: github.com/op7ic/EDR-Testing-Script

Этот репозиторий содержит простой скрипт для тестирования решений EDR на основе платформ Mitre ATT&CK / LOLBAS / Invoke-CradleCrafter. На самом деле трудно проверить, сколько различных вредоносных атак правильно идентифицировано и предотвращено EDR. Для этой цели и был создан этот скрипт, запустите его и наблюдайте какие сообщения приходят на консоль EDR. Большинство тестов будут просто выполнять calc.exe, но их можно легко изменить (например, попытаться загрузить и выполнить Mimikatz). Этот скрипт работает только в Windows и должен работать с большинством решений EDR. Проект сейчас находится в зачаточном состоянии.

Procedure Examples

ID Name Description
G0108 Blue Mockingbird

Blue Mockingbird has used JuicyPotato to abuse the token privilege to escalate from web application pool accounts to NT Authority\SYSTEM.

S0038 Duqu

Duqu examines running system processes for tokens that have specific system privileges. If it finds one, it will copy the token and store it for later use. Eventually it will start new processes with the stored token attached. It can also steal tokens to acquire administrative privileges.

S0363 Empire

Empire can use PowerSploit’s to manipulate access tokens.

G0037 FIN6

FIN6 has used has used Metasploit’s named-pipe impersonation technique to escalate privileges.

S0203 Hydraq

Hydraq creates a backdoor through which remote attackers can adjust token privileges.

S0576 MegaCortex

MegaCortex can enable and adjust token privileges.

S0378 PoshC2

PoshC2 can use Invoke-TokenManipulation for manipulating tokens.

S0194 PowerSploit

PowerSploit’s Exfiltration module can be used to manipulate tokens.

S0446 Ryuk

Ryuk has attempted to adjust its token privileges to have the .

S0058 SslMM

SslMM contains a feature to manipulate process privileges and tokens.

S0562 SUNSPOT

SUNSPOT modified its security token to grants itself debugging privileges by adding .