Mitre Att&ck Framework Nedir

MITRE ATT&CK Framework Nedir?

Şimdiye kadar Dünyada yaşanmış olan siber saldırılar nasıl oldu, hangi taktik ve teknikler kullanıldı, yapılan bu saldırılara karşı alınan tedbirler nasıl oluşturuldu gibi sorular her zaman kafamızın bir köşesinde aklımızı kurcalamaktadır.

Bu soruların cevaplarını yeni yazmış olduğum “MITRE ATT&CK Framework Nedir” adlı blog yazımda bulunmaktadır. Bu blog yazısında:

• MITRE ATT&CK Framework Nedir?
• MITRE ATT&CK Matrisleri Nelerdir?
• MITRE ATT&CK Nasıl Kullanılır?

Gibi konular ele alınmıştır.

MITRE ATT&CK Framework Nedir?

Mitre; kâr amacı gütmeyen, mühendislik ve teknik rehberlik amacıyla oluşturulmuştur bir kuruluştur. yılında geliştirilmeye başlanılan, düşman taktikler, teknikler ve ortak bilgilerin kısaltması olan ATT%CK ismini almıştır. yılında bu proje herkese ücretsiz olarak sunulmuş ve ücretsiz bir şekilde kamuoyuna duyurulmuştur.

Böyle bir eylemin doğma nedeni saldırganların davranışlarını sistematik olarak kategorilere ayırma ihtiyacından kaynaklanmaktadır. Saldırganların kulanmış olduğu metotları inceleyip, bir saldırının nasıl oluştuğunu hangi açıklıklardan yararlanıp saldırdığını, hangi teknikleri kullandığını gösteren büyük bir kaynaktır. Bu kaynak kullanılarak saldırganların önceden hangi yolları kullandığını görmüş olup bir sonraki hamlelerini tahmin edebiliriz.

Kısacası MITRE ATT&CK Framework; şimdiye kadar yaşanan tüm siber olayların kaydının tutulduğu yerdir. Siber saldırı ansiklopedisi olarak bilinir.

MITRE ATT&CK Matrisleri Nelerdir?

MITRE ATT&CK Matrisi saldırganlarının kullanmış oldukları teknikleri içerir. Bu kullanılan teknikler teker teker kategorize edilmiş şekilde bulunur. 3 bölüme ayrılmıştır:

• Enterprise ATT&CK
• Mobile ATT&CK
• ICS ATT&CK

Enterprise ATT&CK

Enterprise ATT&CK matrisi Windows, Linux veya MacOS sistemlerinde çalıştırılan teknik ve taktiklerden oluşur. Enterprise ATT&CK matrisini incelediğimizde 14 tane farklı teknik gözümüze çarpmaktadır:

1-)Reconnaissance (Keşif): Sistem hakkında aktif ve pasif bilgi toplama

2-)Resource Development (Kaynak geliştirme): Saldırganların hedeflerini destekleyici bir yerde kullanabilmesi için oluturulan teknikleri içerir.

3-)Initial Access (İlk Erişim):  Ağ içindeki ilk yerlerini elde etmek için kullanılan tekniklerden oluşur.

4-)Execution (Yürütme):  Yerel veya uzak bir sistem aracılığıyla çalıştırılmasına neden olan teknikleri içerir.

5-)Persistence (Kalıcılık): Yeniden başlatma, kimlik bilgilerinin değişimi gibi değişimlere karşılık sistemde hala varlığını sürdürebilme tekniklerinden oluşur.

6-)Privilege Escalation (Ayrıcalık Yükseltme): Erişim sağladığı sistemde bulunduğu yetkiyi yükseltme tekniklerinden oluşur.

7-)Defense Evasion (Savunmadan Kaçınma): Bulunduğu sistemde tespit edilmekten kaçınmak için kullanılan yöntemleri gösterir.

😎Credential Access (Kimlik Bilgileri Erişimi): Hesap adları ve şifreler gibi kimlik bilgilerini çalma tekniklerinden oluşur.

9-)Discovery (Keşif): Saldırganın saldıracağı sitem ve dâhili ağ hakkında bilgi topladığı teknik evresidir.

)Lateral Movement (Yanal Hareket): Saldırganların bir ağda bulunan uzak sistemlere girebilme ve kontrol edebilme tekniklerini içerir.

)Collection (Toplama): Saldırganların kullanabileceği teknikler ve saldırganın amacını takip etmek üzerin oluşturulan tekniklerdir.

)Command and Control (Komuta ve Kontrol):  Saldırganın ele geçirmiş olduğu sistem üzerinden diğer sistemler ile iletişim kurmak için kullandığı teknikleri içerir.

)Exfiltration (Sızma): Saldırganların ağınızdan veri çalmak için oluşturduğu teknikleri içerir.

)Impact (Etki): Saldırganların iş ve operasyonel süreçleri manipüle tekniklerini kullanarak sabote etme ve tehlike durumuna sokma gibi işlemlerin bulunduğu kısımdır.

NOT: Eskiden ayrı olarak kabul edilen Pre-ATT&CK Matrisi artık Enterprise ATT&CK matrisinin içinde yer almaktadır.

Pre-ATT&CK:  Saldırganın bir saldırı hazırlığı için önceden hazırlamış olduğu taktik ve teknikleri içerir.

Mobile ATT&CK

Bir saldırganın mobil cihazlar üzerinden uyguladığı taktik ve teknikleri içerir.

Enterprise ATT&CK matrisinden farklı olarak 2 tane farklı teknik kullanır:

• Network Effects (Ağ Etkileri): Mobil cihaza gelip giden ağ trafiğini kesmek veya değiştirmek için uygulanan teknik ve taktikleri içerir.
• Remote Services Effects (Uzaktan Hizmet Etkileri): Uzaktan erişebilme ihtimali olan hizmetlere ulaşabilmek için kullanılan teknikleri içerir.

ICS ATT&CK

ICS endüstriyel kontrol sistemlerinin (SCADA, DCS, PLC gibi) kısaltmasıdır. Endüstriyel olarak yapılan saldırıların teknik ve taktikleri bu matris içinde bulunur.

Enterprise ATT&CK matrisinden farklı olarak 2 tane farklı teknik kullanır:

• Inhibit Response Function (Tepki İşlevini Engelle): Saldırganların süreçler ve ürünler üzerinden uygulanan güvenlik önlemlerini engellemek için kullandığı tekniklerden oluşur. Bu teknikler, ICS ortamındaki durumlar nedeniyle ortaya çıkan beklenen alarmları ve yanıtları aktif olarak caydırmayı ve önlemeyi amaçlar.
• Impair Process Control (Bozulma Proses Kontrolü): Saldırganların kontrol mantığını sabote etmek ve hedef ortamda kontrol edilen süreçler üzerinde belirleyici etkilere neden olmak için kullandığı teknik ve taktiklerden oluşur.

MITRE ATT&CK Nasıl Kullanılır?

Şimdi de MITRE ATT&CK Framework platformunu nasıl kullanabileceğimizi inceleyelim.

monash.pwım: İlk yapacağımız işlem monash.pw web sayfasına gidip herhangi bir matrisi seçmek olacaktır.

• Seçilen bu matriste kırmızı alan matrisimize ait taktik kısmını göstermektedir.
• Siyah alan ise matrisimizde bulunan taktiğe ait kaç tane teknik olduğunu gösteren alanı ifade etmektedir.
• Sarı alanlar ise tekniklerinin alt teknik alanlarını göstermektedir.

monash.pwım: Oluşan bu taktik ve tekniklerden birini seçip incelemeye başlayalım. “Credential Access (Kimlik Bilgileri Erişimi)” adlı taktik içinden “Adversary-in-the-Middle (Ortadaki Düşman saldırısı)” tekniğini seçiyorum.

• Seçtiğimiz teknik hakkında ilk önce bize bilgi vermektedir. Mavi ile sınırlandırılmış alanlar bu tekniğe ait alt tekniklerdir.
• Kırmızı alan ise tekniğe ait kişisel bilgilerinin bulunduğu en önemli kısımdır. İçinde bulunan parametrelere baktığımız zaman;
• ID(Kimlik numarası)
• Sub-techniques (Alt teknikler)
• Tactics (taktikler)
• Platform (Linux,Windows gibi)
• CAPEC ID (Saldırıları Tanımlama ve anlamak için kurulan topluluk)
• Contributors (Katkıda Bulunanlar)
• Version Numaraları
• Created (Oluşturulma tarihi)
• Last Modified (Değiştirilme Tarihi) gibi bilgileri içerir.

• Bunun yanında bu saldırıya ait Procedure Examples tablosu üzerinde bu saldırıya ait yazılımları ve kötü niyetli prosedürleri gösterir.

• Mitigations (Hafifletmeler) kısmı ise bu saldırıya karşı alınabilecek önlemleri içermektedir, tavsiye vermektedir.

• Detection (Tespit etme) alanı ise bu saldırıya ait tespit etme yöntemlerini içermektedir.

Yukarıdaki bilgilerden de gördüğümüz gibi yapılan saldırıya ait her türlü detay bulunmaktadır.

Yazmış olduğum bu blog yazısında; MITRE ATT&CK Framework nedir, ne işe yarar, kullanmış olduğu matrisler nelerdir, MITRE ATT&CK platformu nasıl kullanılır gibi konuları işlemiş bulunmaktayım.

Umarım faydalı olmuştur. Yeni blog yazılarımda görüşmek üzere…

Tags:ATT&CKframeworkMITREsiber tehdit

5. People Information Gathering (Kişisel Bilgi Toplama): Bu taktik teknik bilgi toplamadan farklı olarak bir saldırı hedefine en iyi şekilde yaklaşmak için kilit personeli veya kritik erişimi olan kişileri belirlemeye odaklanır.

6. Organizational Information Gathering (Organizasyonel Bilgi Toplama): Saldırganın saldırı için bir hedef hakkında ihtiyaç duyacağı kritik örgütsel unsurları tanımlama sürecinden oluşur. Bu taktik, bir ekibin operasyonel temposuna ve ekibi en iyi şekilde hedefleyecek bir strateji geliştirmek amacıyla ekibin nasıl işleyiş gösterdiğine odaklanır.

7. Technical Weakness Identification (Teknik Zayıflıkların Belirlenmesi): Bu taktik karmaşıklık ve olumsuzlara (örn. Uygunluk, gizlilik) dayalı en iyi yaklaşımı belirlemek için bilgi toplama aşamaları sırasında toplanan zayıflıkları ve güvenlik açıklarını belirleme ve analiz etmekten oluşur.

8. People Weakness Identification(Kişilerin Zayıflıklarının Belirlenmesi): İnsanların zayıflık tespiti, bilgi toplama aşamalarındaki, hedef veya orta hedef kişilere veya sosyal güven ilişkilerine erişim elde etmek için kullanılabilecek zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.

9. Organizational Weakness Identification(Örgütsel Zayıflıkların Belirlenmesi): Örgütsel zayıflık tespiti, ilgili hedef veya ara hedef kuruluşlara erişim elde etmek için kullanılabilecek istihbarat toplama aşamalarındaki zayıflıkların ve zayıflıkların belirlenmesi ve analiz edilmesinden oluşur.

Adversary Operation Security (Saldırgan İşlem Güvenliği): Ağ trafiğini veya sistem davranışını gizlemek veya bunlara uyum sağlamak için çeşitli teknolojilerin veya üçüncü taraf hizmetlerin kullanılmasından oluşur. Saldırgan bu taktiği savunmalardan kaçınmak, atıfları azaltmak, keşfi en aza indirmek veya analiz etmek için gereken zamanı ve çabayı arttırmak için kullanabilir.

Establish & Maintain Infrastructure (Altyapı oluşturma ve koruma): Altyapının oluşturulması ve sürdürülmesi, siber işlemleri yürütmek için kullanılan sistem ve hizmetlerin oluşturulması, satın alınması, birlikte seçilmesi ve sürdürülmesinden oluşur. Saldırganın, operasyonları boyunca kullanılan varlıklarla iletişim kurmak ve kontrol etmek için kullanılan altyapıyı oluşturması gerekmektedir.

Personal Development (Kişisel Gelişim): Kişisel gelişim, kamusal bilgilerin, varlığın, tarihin ve uygun ilişkilerin geliştirilmesinden oluşur. Bu gelişme, o kişiyi veya kimliği kullanan bir operasyon sırasında atıfta bulunulabilecek ve incelenebilecek sosyal medya hesabına, web sitesine veya diğer kamuya açık bilgilere uygulanabilir.

Build Capabilities (Yapı Yetenekleri): Bu taktik, bir operasyonun farklı aşamalarında kullanılan yazılım, veri ve tekniklerin geliştirilmesinden oluşur. Bu, geliştirme gereksinimlerini belirleme ve kötü amaçlı yazılım, iletim mekanizmaları, şifreleme korumaları, İşletme ve Bakım işlevleri gibi çözümleri uygulama sürecidir.

Test Capabilities (Test Yetenekleri): Test yetenekleri, saldırganların geliştirme hedeflerini ve kriterlerini iyileştirmek ve bir operasyon sırasında başarıyı sağlamak için yetenekleri harici olarak test etmeleri gerektiğinde gerçekleşir. Bir yetenek aşamalandırıldıktan sonra belirli testler yapılabilir.

Stage Capabilities (Aşama Yetenekleri): Bu taktik, operasyonu gerçekleştirmek için gerekli operasyonel ortamın hazırlanmasından oluşur. Bu, yazılım dağıtımı, veri yükleme, komut ve kontrol altyapısını etkinleştirme gibi etkinlikleri içerir.

ENTERPRİSE ATT&CK MATRİS

               

Sırasıyla taktikleri inceleyecek olursak;

1. Initial Access (İlk Erişim) :Saldırganların bir ağ içinde ilk erişimi elde etmek için kullandıkları teknikleri temsil eder.

2. Execution (Yürütme) : Yerel veya uzak bir sistemde saldırganın zararlı kodunun yürütülmesini sağlayan teknikleri içerir.

3. Persistence (Kalıcılık) :Saldırganın sistem erişimlerinin kesintiye uğramaması için çeşitli yöntemlerle kalıcı hale gelmesini sağlayan tekniklerdir.

4. Privilege Escalation (Ayrıcalık Arttırma) :Bazı araçlar ve atak eylemlerinin çalışması üst seviye yetki ile mümkün olduğundan, bu aşamada saldırganın eriştiği sistem ya da ağ üzerinde bulunan yetkisini daha üst yetkiye çıkarmasını sağlayan tekniklerdir.

5. Defense Evasion (Savunmadan Kaçınma) :Saldırganın açığa çıkmasını engellemesi ya da diğer savunma yöntemlerini atlatmasını sağlayan teknikleri içerir.

6. Credential Access (Kimlik Bilgisi Erişimi) :Hedef sistemde kullanılan kimlik erişim bilgilerine erişim ya da kontrol etmeyi sağlayan tekniklerdir.

7. Discovery (Keşif) :Saldırganın sistem ve iç ağ hakkında bilgi edinmesini sağlayan teknikleri içerir.

8. Lateral Movement (Yanal Hareket) :Saldırganın ağ içindeki diğer uzak sistemlere erişmesini sağlayan tekniklerdir.

9. Collection (Verilerin Toplanması) : Hedef sistemdeki kritik bilgileri belirlemesi ve toplamasını sağlayan tekniklerdir.

Command and Control (Komuta ve Kontrol) :Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurması ve kontrol etmesini sağlayan tekniklerdir.

Exfiltration (Sızdırma) : Hedef sistemdeki bilgilere, dosyalara erişmesini sağlayan teknikleri içerir.

Impact (Etki) :Saldırganın saldırı ve operasyonel süreçleri manipüle ederek kullanılabilirliği bozmak veya bütünlüğü tehlikeye atmak için kullandığı tekniklerdir.

MOBİLE MATRİS

Mobil matrisi 13 adet taktikten ve 67 adet teknikten oluşmaktadır. Enterprise Att&ck matrisinden farklı olarak Network Effects taktiği ve Remote Service Effects taktiği bulunmaktadır. Diğer tüm taktikleri Enterprise Att&ck matrisindeki taktikler ile aynıdır.

Enterprise Att&ck Matristeki taktiklerinden farklı olan Mobile Matris taktiklerini inceleyecek olursak;

1. Network Effects (Ağ Etkileri) : Bu taktik, saldırganın mobil cihazın kendisine erişmeden hedeflerine ulaşmak için kullanabileceği ağ tabanlı tekniklere atıfta bulunur ve mobil cihaza giden-mobil cihazdan gelen ağ trafiğini kesmek veya değiştirmek için kullanılan teknikleri içerir.

2. Remote Service Effects (Uzaktan Hizmet Etkileri) : Bu taktik, şirketler tarafından sağlanan bulut hizmetleri (örneğin Google Drive veya Apple iCloud) veya bir saldırganın alabileceği kurumsal mobilite yönetimi (EMM) / mobil cihaz yönetimi (MDM) hizmetleri gibi uzak hizmetleri içeren teknikleri ifade eder. Mobil cihazın kendisine erişmeden hedeflerine ulaşmak için bu taktiği kullanabilmektedir.

Mitre Att&ck Framework üzerinde bulunan 3 taktiği ve içerisinde bulunan teknikleri hep birlikte incelemiş olduk. Sona doğru yaklaşırken Mitre Att&ck Framework'un kurumlara, red team ve blue team'lere sağlamış olduğu faydalardan da bahsetmek isterim.

Blue team ekipleri Att&ck çerçevesini, rakiplerin nasıl bir yol izlediklerini daha iyi anlamak,tehditleri önceliklendirmek ve bu tehditlere karşın doğru önlemlerin alınmasını sağlamak için kullanabilirler. Red team ekipleri Att&ck tarafından sınıflandırılmış olan davranışları modelleyerek defansif taraflarını ve ağlarını test etmek için Mitre&#;nin planlarını takip ederek gerekli faydayı yakalayabilirler. Kurumlar ise Mitre Att&ck Framework çerçevesinden, defansif taraftaki boşlukları ve kurumun siber alandaki teknolojik ve profesyonel bazdaki seviyesini tespit etmek, bunları risk bazlı önceliklendirmek için faydalanabilirler. 

Mitre Att&ck Navigator olarak adlandırdığımız matrisin bulunduğu etkileşimli ortam ise bize tüm tekniklerin matris görünümünü sunmaktadır. Siber güvenlik analistleri, bir rakibin kendi organizasyonlarına sızmak için hangi teknikleri uygulayabileceklerini bu etkileşimli ortam üzerinden inceleyebilirler. SIEM ürünlerinin içerisine Mitre Att&ck matrisi yerleştirilmeye başlanmıştır ve bu işlevin aktifliği hususunda gelen saldırılarda müdahale ekibinin işlerinin hızlanması öngörülmektedir.

Kaynaklar: 

Ağa ve/veya sisteme zarar vermek isteyen kötü niyetli kullanıcı davranışlarını belgeleme amacıyla ortaya çıkarılan MITRE ATT&CK, saldırganın bir kurumsal ağ içinde çalışırken gerçekleştirdiği eylemleri tanımlayan teknik, taktik ve prosedürlerin yer aldığı bir bilgi tabanıdır. ATT&CK, bir saldırganın hedefine ulaşmak amacıyla alabileceği aksiyonlara karşı güvenlik riskini belirlemek, güvenlik iyileştirmelerini ve süreçlerini planlamak ve savunmaların beklendiği gibi çalıştığını doğrulamak  için kullanılmaktadır. Taktikler ve teknikler arasındaki ilişki ATT&CK matrisinde görselleştirilmekte ve bu matris sayesinde başarıyla sonuçlanan bir saldırıda ağın hangi yöntemler izlenerek ele geçirildiği kolaylıkla bulunabilmektedir. 

Taktik, saldırganın bir eylemi gerçekleştirmeye yönelik hedefini; teknik ise bir saldırganın bir eylem gerçekleştirerek taktiksel bir hedefe &#;nasıl&#; ulaştığını temsil monash.pwler, bilgiyi keşfetme, yanal olarak hareket etme, dosyaları yürütme ve verileri sızdırma gibi olayları kapsarken teknikler ise bu olayları gerçekleştirmek için yapılan işlemler ve yöntemler olarak düşünülebilir.

               Aşağıdaki görselde ATT&CK matrisinin bir örneği gösterilmektedir, bu tablo farklı taktiklere göre sıralanmış farklı siber saldırı tekniklerinin bir matrisidir. Her kategori, her saldırı türüne karşılık gelen belirli alt kategorilere bölünmüş olup, teknikle ilgili ayrıntılar, örnekler, referanslar içermektedir.  Dolayısıyla bu anlık görüntü, matrisin yalnızca küçük bir bölümünü göstermektedir.

Tekniklerin bağlantılarından herhangi birine tıklanarak tekniğin kısa bir açıklamasını, örnek programların bir listesini ve tespit ipuçlarını içeren bir sayfaya geçiş yapılır. Örneğin, Account Manipulation tekniği seçilerek, bu teknik ile ilgili detaylar, mitigation önerileri ve tespit ipuçları görüntülenebilmektedir.

“Enterprise” olarak nitelendirilen ATT&CK matrisi haricinde, saldırı öncesi taktik ve teknikleri gösteren “PRE-ATT&CK” ve mobil cihazlar için oluşturulan “Mobile ATT&CK” matrisleri de mevcuttur. “Enterprise ATT&CK matrisinde”  12 adet taktik bulunmaktadır. Bu taktikler:

• Initial Access: Bir saldırganın ortamınızda yer edinebilmesi ilk erişim ile başlar . Güvenliği ihlal edilmiş hesapların kimlik bilgileri pishing, valid accounts ve trusted relationship gibi çeşitli teknikler ile ele geçirilerek, ağ içindeki sistemlerdeki çeşitli kaynaklara uygulanan erişim denetimlerini atlamak için kullanılabilir. İlk erişimin ardından hedeflere ulaşmak için diğer taktik ve tekniklere geçiş yapabilir. Dolayısıyla ilk erişim engellendiğinde sistemin güvenliği büyük ölçüde sağlanmış olur.
• Execution:Yürütme, yerel veya uzak bir sistemde saldırgan tarafından kontrol edilen kodun çalıştırılmasını sağlayan tekniklerden oluşur. Kötü amaçlı kod çalıştıran teknikler, bir ağı keşfetmek veya veri çalmak gibi daha geniş hedeflere ulaşmak için genellikle diğer tüm taktiklerin teknikleriyle eşleştirilir. Command Line Interface veya PowerShell gibi teknikler saldırganlar için son derece kullanışlıdır. Bu tür tekniklerin saldırganlar üzerindeki gücü, uç noktalara zaten kurulmuş olmaları ve nadiren kaldırılmalarıdır. Saldırgan, sistem keşfi yapabildiği bir komut dosyasını bu uygulamalar üzerinde çalıştırarak, sistem hakkında kolayca bilgi sahibi olabilir.
• Persistence: Kalıcılık, saldırganın sistem erişiminin sürekliliğini sağlamayı hedefleyen tekniklerden oluşur. Bu teknikler meşru kodu değiştirmek veya ele geçirmek ya da başlangıç kodu eklemek gibi sistemlerdeki erişebilirliğini korumalarına izin veren her türlü erişim, eylem veya yapılandırma değişikliğini içerir.
• Privilege Escalation: Mevcut araştırma verilerine göre saldırganlar genellikle yetkisiz/ayrıcalıksız hesaplar üzerinden sistemlere erişmektedirler. Ancak, saldırganlar hedeflerine ulaşmak için yetkili kullanıcılara ihtiyaç duyarlar. Bu nedenle ele geçirilen hesabın yetkilerini arttırma yoluna giderler. Ayrıcalık Arttırma, rakiplerin bir sistem veya ağ üzerinde daha üst düzey izinler elde etmek için kullandıkları tekniklerden oluşur. Bu teknikler genellikle Persistence teknikleriyle örtüşür.
• Defense Evasion: Saldırganın tespit edilmekten kaçınmak için kullandığı teknikleri içerir. Bu teknikler güvenlik yazılımını kaldırmayı, devre dışı bırakmayı veya verileri ve komut dosyalarını gizlemeyi/şifrelemeyi içerir.
• Credential Access: Kimlik bilgisi erişimi, Brute Force,keylogginggibi teknikler kullanılarak hedef sistemlerde yer alan kimlik bilgilerini ele geçirme taktiğidir. Mevcut yapıdaki kimlik bilgilerinin kullanılması, saldırganın bir çok sisteme erişmesini sağlarken, yakalanmasını zorlaştıracaktır.
• Discovery: Keşif, saldırganın ağa eriştikten sonra ne yapacağına, nasıl davranacağına karar vermeden, gözlem yapmasını amaçlar. Meşru hedefe nasıl erişileceğinin ve giriş noktalarının tespit edilmesi Account discovery, Network Sniffing ve System Information Discovery gibi teknikler ile mümkün kılınır.
• Lateral Movement: Saldırgan, daha yüksek ayrıcalıklar ve erişim elde etmek için farklı araçlar ve yöntemler kullanarak, sistemi haritalamak, hedefleri belirlemek ve sonunda kuruluşun temel taşlarına ulaşmak için bir ağ üzerinden yanal olarak hareket eder. Saldırgan bir ağ üzerindeki uzak sistemlere erişim ve kontrol sağlayabilirse, kötü niyetli faaliyetlerinin tespit edilmesi son derece zor olacaktır.
• Collection: Toplama, saldırganların hedefe ulaşmak amacıyla ilgili kaynaklardan bilgi toplamak için kullanabilecekleri Man in the Middle , Email collection ve Input capture gibi teknikleri içerir. Veri toplandıktan sonra, hedef veriyi dışarıya sızdırmaktır.
• Command and Control: Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurmasını ve kontrol etmesini sağlayan tekniklerden oluşur.
• Exfiltration: Hırsızlık, saldırganların sistem üzerinden veri çalmak için kullanabilecekleri tekniklerden oluşur. Saldırganlar verileri topladıktan sonra, tespit edilmekten kaçınmak için  verileri sıkıştırma veya şifreleme yöntemleri ile paketleyerek kaldırırlar. Bir hedef ağdan veri almak genellikle komut ve kontrol kanalı üzerinden gerçekleştirilir.
• Impact:Etki taktiği, saldırganların sistemin veya verilerin kullanılabilirliğini engellemeye çalışması ve verinin bütünlüğünü bozması amacını taşır. Data Destruction, Firmware Corruption gibi verileri yok etmeyi ve değiştirmeyi sağlayan teknikler içerir.

MITRE ATT&CK matrisini kullanarak, kuruluşlar saldırgan bakış açısıyla teknik ve taktikleri görüntüleyebilir ve Saldırgan nasıl içeriye sızdı? Hangi eylemleri gerçekleştirdi? Bir sonraki adım ne? gibi sorulara kolayca cevap bulabilirler.  Saldırgan davranışının analiz edilebilmesi  kurumdaki güvenlik açıklarının tespit edilmesini sağlamada ve riskleri belirlemede kritik rol oynar.  Dolayısıyla, savunmadaki eksiklikler net bir şekilde görülebilir ve iyileştirme süreçleri bu doğrultuda planlanabilir. MITRE ATT&CK matrisinden yararlanarak, kullanıcılarına etkili bir analiz yapma imkanı sağlayan Picus güvenlik  ürünüyle ilgili bilgiler yazının devamında yer almaktadır.

Picus, gerçek siber tehdit örneklerini kullanarak ortaya çıkan tehditlere karşı kurumların hazırlıklı olup olmadığını atak simülasyonları ile sürekli olarak sorgulayan güvenlik ürünüdür. Güvenlik tedbirlerinin güçlü ve zayıf noktalarını gerçek zamanlı olarak tanımlar ve elde ettiği sonuçlar doğrultusunda önerilerde bulunarak mevcut yapıdaki güvenlik ürünlerinden en yüksek düzeyde verim alınmasını sağlar.  Atak simülasyon sonuçları analiz edilerek güvenlik skoru belirlenir.  Endpoint, Network ve Email veya atak kategorileri özelinde güvenlik seviyelerini kurumlara ayrı ayrı görüntüleme ve inceleme imkanı sunulur, böylece kurumların zayıf oldukları konulara odaklanmaları hedeflenir.

Picus ile atakların simüle edilebilmesi için atack yapan(attacker) ve atağı karşılayan (victim) picus yazılımının yüklü olduğu sistemlere ihtiyaç vardır, bu sistemler peer olarak adlandırılır. Attacker ve victim peer arasındaki network yolu ise vector olarak isimlendirilir. İncelenmek istenen güvenlik ürününe göre peer ve vector tipi belirlenmelidir. Örneğin, Firewall, WAF gibi güvenlik ürünlerinin kontrol edilmesi için Network Peer;  AV,IDR gibi ürünlerin analiz edilebilmesi için ise Endpoint Peer konumlandırmak gerekmektedir.

               Attack Simulation à Analysis bölümünden ilgili vector seçilerek; güvenlik skoru, engellenen ve engellenemeyen  atak bilgisine ulaşılabilir.  Tehdit kategorisi, etkilenen ürün bilgisi, prokol (htp/https) tipi ve önem derecesi  gibi özelliklere göre filtreleme yapmak mümkündür.

BlackTech APT Group’s Plead Downloader senaryo atağında ilk olarak monash.pw’ye bir malicios dll yerleştiriliyor,  ardından registry’de bir key değiştiriliyor, command prompt kullanılarak bir registry key siliniyor vb. tüm adımlar aşağıdaki ekran görüntüsünde yer almaktadır. Bu atak senaryosu gerçekte nasıl davranıyorsa picus üzerinde konumlandırılan endpoint  peer üzerinde de aynı şekilde davranır ve simülasyon sonucunda var olan adımlardan engellenip engellenemediği bilgisi sağ tarafta yer alan yeşil ve kırmızı simgelere göre ayırt edilir.

Tüm bu adımlar tek tek incelenerek engellenemeyen atakların nedeni tespit edilmeli ve  mitigation önerileri göz önünde bulundurularak  gerekli iyileştirmeler yapılmalıdır.

Picus ile yapılan atak senaryolarına ait sonuçlar MITRE ATT&CK tablosunda anlık başarı oranına göre teknik ve taktik olarak gösterilmektedir.  İnceleme yapılan vector analiz sayfasından  “Go to MITRE ATT&CK Analysis” seçilerek tabloya kolayca ulaşılabilir.

Bu tabloya göre kırmızıların yoğunlukta olduğu ve dolayısıyla engellenemeyen bir çok atağın mevcut olduğu sonucuna varılmaktadır. Amaç, oynatılan atak senaryolarının engellenmesidir. Kullanıcılar tekniklere tıklayarak, teknik detaylarına ulaşabilirler. Read more on Mitre seçeneği seçildiğinde, kullanıcı monash.pw üzerinden o atağın teknik detayıyla ilgili ayrıntılı bilgiye ulaşılabilir.

Technique’s Actions bölümünde bu tekniklerle ilişkili olan atak senaryoları listelenilir. Bu senaryo seçilerek; atağın tanımı, atak kategorisi, etkilediği sistemler ve ürünler gibi bilgilere ulaşılabilir.

Heat Map bölümünden tabloya geniş bir açıyla bakılarak başarı oranı görüntülenebilir.

MITRE ATT&CK analysis tablosu kullanılarak sistemde iyileştirme yapıldığında aslında bir atak engellediğinde, bu ataktaki tüm taknik ve teknikleri kullanacak tüm atakların engellenmesinin önü açılmış olur. Bir başka deyişle, Mitre framework’ü engellenebildiği takdirde bilinen davranış örnekleri gösteren gelecekteki tüm ataklar otomatik olarak engellenmiş olur.

Kaynaklar

monash.pw

monash.pw

monash.pw

monash.pw

monash.pw

Çağla Demir Sıcakyüz

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıyı okuduktan sonra, MITRE tarafından hazırlanan ve ücretsiz olan CTI (Cyber Threat Intelligence) eğitiminin tamamlanması faydalı olacaktır.

monash.pw

A) Ortaya Çıkışı &#; İhtiyaç

Günümüzde yaygınlaşan siber saldırılar yıllardır devam etmektedir. Siber saldırıların evrimi ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir. Özellikle son yıllarda gerçekleşen saldırılar oldukça karmaşık hale gelmiştir. Gerçekleşen bu saldırılara karşı çeşitli tehdit modelleme çalışmaları gerçekleştirilmektedir. Tehdit modelleme çalışmaları ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

David Bianco, IOC&#;leri sınıflandırmak için &#;Pyramid of Pain&#; isimli çalışmayı gerçekleştirmiştir. Bu piramidin en altında olan Hash değerlerini değiştirerek saldırıyı gerçekleştirmek kolay iken, tespiti de kolaydır. Piramidin üstlerine doğru çıkıldıkça hem tespit zorlaşır hem de saldırı karmaşıklığı artar.

Saldırı yaşam döngüleri ile saldırılar analiz edilerek çeşitli şekillerde saldırıları tanımlamak ve önlemek hedeflenir. En önemli 3 saldırı modeli aşağıdaki gibi sıralanabilir.

• Cyber Kill Chain
• Mandiant Life Cycle
• MITRE Att&ck

Lockheed Martin tarafından tanımlanan Cyber Kill Chain (Siber Ölüm Zinciri) ile saldırganın adımları belli bir sıra ile tanımlanmaktadır ve saldırgan bakış açısını öğrenmek için oldukça fayda sağlamaktadır.

ATT&CK Framework ise, saldırganların kullandıkları taktikleri, teknikleri ve prosedürleri açıklayan bir bilgi kaynağı olup Siber Ölüm Zinciri&#;nin son dört adımında şekillenir.

Siber Ölüm Zinciri&#;nden farklı olarak ATT&CK Framework doğrusal bir sıra izlenmez. Saldırgan hedefine ulaşmak için istediği tekniği kullanabileceği düşünülür.

Özetle, ATT&CK Framework, saldırgan davranışlarını sınıflandırmak, saldırgan hareketlerini anlamlandırabilmek amacı ile ortaya çıkmıştır.

B) MITRE ve ATT&CK Framework

MITRE; savunma, istihbarat, havacılık, özel sektör, iç güvenlik, yargı, sağlık gibi bir çok alanda çalışan, bir çok fedarl araştırma ve geliştirme yapan, federal hükümetlerce desteklenen, kar amacı gütmeyen bir kuruluştur.

MITRE tarafından yılında ücretsiz olarak kullanıma sunulmaya başlanan ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge) de bilinen (neredeyse bütün) siber saldırılardaki saldırgan davranışlarını modelleyen bir bilgi tabanıdır. ATT&CK Framework ile aşağıdaki kavramlar gruplandırılır ve ilişkilendirilir.

• Gruplar: Saldırıları gerçekleştiren gruplardır. Örnek; APT41, Lazarus, Carbanak,&#; gibi.
• Endüstriler: Saldırganların hedef aldığı kurumlar, sektörlerdir. Örnek; finans, devlet, sağlık,&#; gibi.
• Taktikler (Tactics): Saldırganların kullandıkları teknik hedeftir. Yani, saldırının &#;Neden&#;ine odaklanılır ve saldırganın &#;ne gibi bir amacı var?&#; sorusuna cevap alınır. Örnek; ilk erişim (TA), hak yükseltme (TA),&#; gibi. Ayrıca taktikler arasında önem sıralaması yoktur.
• Teknikler (Techniques): Taktiklerde belirtilen hedeflerin nasıl (hangi yöntemle) gerçekleştirileceğidir. Örnek; oltalama (T), klavye hareketlerini kaydetme (T),&#; gibi.
• Prosedürler (Procedures): Tekniklerin özelleşmiş uygulamasıdır. Örnek; powershell dosyasının indirilerek çalıştırılması, APT39 grubunun kalıcılık için zamanklanmış görev oluşturması&#; gibi.
• Araçlar / Yazılımlar: Kullanılan uygulamalar veya zararlı yazılımlardır. Örnek; Mimikatz, Empire, Cobalt Strike, Duqu,&#; gibi
• Tespitler: Saldırıları tespit etmek için kullanılabilecek yöntemlerdir. Örnek; ağı anomaliklerini izleme, grup üyeliklerindeki değişiklikler için alarm oluşturma,&#; gibi.
• Önlemler: Saldırılara karşı alınabilecek önlemlerdir. Örnek; kod imzalama, veri yedekleme, antivirüs kullanımı&#; gibi.

Not: Bir saldırı sırasında saldırgan, bu taktik ve tekniklerin hepsini kullanmaz. Ortama ve kendisine uygun bir yöntemi tercih edebilir.

ATT&CK Framework sürekli güncellenen bir platform sağlar. Bu güncellemelere destek olan bir çok kişi ve kurum vardır.

Destek olmak için [email protected] ile iletişime geçilebilir. Örnek teknik, grup, yazılım,&#; formları Contribute sayfasında listelenmiştir.

monash.pw

Bu desteği de arkasına alan MITRE, ATT&CK Framework sayfasında çok geniş bir kaynak havuzu da sağlar.

monash.pw

STIX standardında hazırlanan ATT&CK Framework altındaki bilgiler, CTI (Cyber Threat Intelligence) paylaşımı için yarar sağlamaktadır. ATT&CK içeriğine erişim ile ilgili detaylı bilgi için kaynaklardaki MITRE [ii] ve Medium [i] bağlantısı incelenebilir.

C) Kullanımı

ATT&CK Framework ile aşağıdaki bilgiler elde edilebilir.

• APT29 grubunun hangi ülkeye yakın olduğu, hangi gruplarla ilişkili olduğu, hangi sektörlere saldırı düzenledikleri, kullandığı teknikler ve yazılımlar

• Bir mobil cihazdan kimlik verisi çalma taktiği için kullanılabilecek teknikler

• Powershell saldırı tekniğini kullanan taktikler, çalıştığı platformlar, gerekli yetkiler, bu tekniği tespit edebilmek için hangi kaynaklar kullanılabileceği, bu tekniğe ait kullanım prosedürleri, hangi gruplar tarafından kullanıldığı, bu saldırıların tespiti ve bu saldırılara karşı alınabilecek önlemler

• Çoklu kimlik doğrulamanın koruma sağladığı saldırı teknikleri

Ayrıca olay kayıtları ile MITRE teknikleri eşleştirilebilir.

monash.pw

D) Matrisler (Domainler)

ATT&CK Framework 3 adet domain ve bunlar altında da alt domainler sunar.

D.1) Enterprise ATT&CK

Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office , SaaS ve Network gibi platformlara yönelik teknik ve taktiklerden oluşur. Aralık ortası itibari ile 14 adet taktik, adet ana teknik ve alt teknikten oluşmaktadır.

monash.pw

Bu taktik ve teknikler bir matris ile de sunulmaktadır.

monash.pw

Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki Netsmart, Medium [ii] ve SiberKavram bağlantıları incelenebilir.

• Reconnaisance (Bilgi edinme)
• Resource Development (Destekleyici kaynak toplama)
• Initial Access (İlk erişim)
• Execution (Yerel veya uzaktan zararlı kod/komut çalıştırma)
• Persistence (Kalıcılık/Süreklilik sağlama)
• Privilege Escalation (Yatay veya dikey yetki/hak yükseltme)
• Defence Evasion (Savunma sistemlerini atlatma)
• Credential Access (Kimlik bilgisi toplama)
• Discovery (Erişilen ağda / sistemde keşif)
• Lateral Movement (Ağ üzerinde yayılma)
• Collection (Kritik veri toplama)
• Command And Control (Kurban sistemleri komuta etme ve yönetme)
• Exfiltration (Toplanan verileri kaçırma)
• Impact (Mevcut sistemin/verinin kullanılabilirliğini önleme)

Taktiklerden her birisinin altında farklı teknikler bulunur. Bazı tekniklerin altında da alt teknikler bulunabilir. Örneğin, matristen de görüleceği üzere, &#;Initial Access&#; taktiğinin altında 9 tanesi asıl olmak üzere 19 teknik bulunmaktadır.

Bu taktiklerin her birisi ile ilgili detaylı bilgi için kaynaklardaki Tripwire bağlantısı da incelenebilir.

Enterprise ATT&CK matrisinin altında bir takım alt matrisler de yer almaktadır. Bunlar aşağıdaki gibi sıralanabilir.

• Pre-ATT&CK Matrisi: Enterprise ATT&CK matrisinin ilk 2 adımı olan saldırganların ön hazırlık tekniklerini (istihbarat temelli) kapsar.

• Windows: Windows platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
• macOS: macOS platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
• Linux: Linux platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
• Cloud: Bulut tabanlı platformlara yönelik saldırı taktikleri ve tekniklerini içerir.
  • AWS
  • GCPAzure
  • Office
  • Azure AD
  • SaaS
• Network: Ağ altyapısına yönelik saldırı taktikleri ve tekniklerini içerir.

D.2) Mobile ATT&CK

Mobil cihazların fiziksel (Device Access) veya uzaktan (Network-Based Effects) ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir. Aralık ortası itibari ile 14 adet taktik ve 86 adet ana teknikten oluşmaktadır.

monash.pw

Bu taktik ve teknikler bir matris ile de sunulmaktadır.

monash.pw

Kullanılan taktikler ile ilgili detaylı bilgi için kaynaklardaki SiberKavram bağlantısı incelenebilir. Mobile ATT&CK matrisindeki Device Access taktikleri, Enterprise ATT&CK matrisindekiler ile (teknikler olarak farklılık gösterse de) isimlendirme olarak benzerdir.

• Initial Access (İlk erişim)
• Execution (Yerel veya uzaktan zararlı kod/komut çalıştırma)
• Persistence (Kalıcılık/Süreklilik sağlama)
• Privilege Escalation (Yatay veya dikey yetki/hak yükseltme)
• Defence Evasion (Savunma sistemlerini atlatma)
• Credential Access (Kimlik bilgisi toplama)
• Discovery (Erişilen ağda / sistemde keşif)
• Lateral Movement (Ağ üzerinde yayılma)
• Collection (Kritik veri toplama)
• Command And Control (Kurban sistemleri komuta etme ve yönetme)
• Exfiltration (Toplanan verileri kaçırma)
• Impact (Mevcut sistemin/verinin kullanılabilirliğini önleme)

Bunun yanında Network-Based Effects altında bulunan ve mobil cihaza uzaktan gerçekleştirilen iki saldırı taktiği ise farklılık gösterir.

• Network Effects (Ağ trafiğini izleme veya değiştirme)
• Remote Service Effects (Google Drive, Apple iCloud, MDM gibi harici servislere yönelik saldırılar)

D.3) ICS ATT&CK

ICS / EKS(Industrial Control System &#; Endistriyel Kontrol Sistemi) ortamının ele geçirilmesine yönelik saldırı taktikleri ve tekniklerini içerir.

Bu domain henüz geliştirme aşamasındadır.

monash.pw

E) ATT&CK Navigator

Tüm teknikler için matris görünümünü sağlayan yapıdır.

monash.pw

ATT&CK Navigator, matrislerin görselleştirilmesi için kullanılabilir.

monash.pw

Saldırı gruplarının bulunduğu sayfadan yönlendirilerek, bir grubun kullandığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.

monash.pw

monash.pw#layerURL=https%3A%2F%monash.pw%2Fgroups%2FG%monash.pw

Birden fazla grup seçimi yapılarak, kullandıkları saldırı taktikleri ve teknikleri arayüzden görülebilir.

Benzer olarak, araçların / yazılımların bulunduğu sayfadan yönlendirilerek, bir aracın kullanıldığı taktiklerin ve tekniklerin görselleştirilmesi amacı ile de kullanılabilir.

monash.pw

monash.pw#layerURL=https%3A%2F%monash.pw%2Fsoftware%2FS%monash.pw

ATT&CK Navigator ile gösterim yapılan veriler JSON, XLSX gibi formatlarda da indirilebilir.

F) Yararları

Mitre ATT&CK Framework, sunduğu saldırgan grupları, saldırı taktiği, tekniği ve önlemleri içeren bir kütüphane sağlamaktadır. Bu kütüphanenin yararları aşağıdaki gibi sıralanabilir:

• Siber güvenliğe yeni adım atacak kişiler için bilgi kaynağı sağlar.
• Kurumsal ortamlardaki güvenlik ekiplerinin saldırı ve savunma başta olmak üzere güvenlik bakış açısının geliştirilmesi için yardımcı olur.
• Saldırgan grup profillemesi ile saldırının amacı keşfedilebilir.
• Kurumsal ortamlardaki saldırı ekipleri (kırmızı takım üyeleri) varlıklarını (ağ, sistemi, kullanıcı, savunma mekanizmaları&#;) test edebilirler.

• Kurumsal ortamlardaki savunma ekipleri (mavi takım üyeleri) saldırgan davranışlarını anlayarak, savunma sistemlerini güçlendirilmesi için bir referans olarak kullanabilir.
• Kurumsal ortamlardaki risk ekipleri tehditleri görebilir, risklerine göre önceliklendirebilir ve sonuç olarak etkin bir şekilde tehdit modellemesi gerçekleştirebilir.
• Kurumsal ortamlardaki bilgi güvenliği ekipleri kurumun siber güvenlik olgunluk seviyesini tespit edebilirler.
• Alınan ürünlerin (SIEM ürünler, saldırı simülasyon ürünleri, istismar araçları,&#;) satın alımında sağladığı faydanının kapsamı için fikir verebilir, ürün incelemeleri ve değerlendirmelerde yardımcı olur.

G) Zorlukları && Eksiklikleri

ATT&CK Framework üzerindeki birbirinden farklı domain&#;ler için bir çok taktik ve teknik bulunmaktadır. Ancak bu framework kullamını her zaman kolay olmayabilmektedir. Örneğin,

• Günlük hayattaki dosya silme (T) gibi bazı aktiviteler de ATT&CK Framework üzerinde saldırı tekniği olarak yer olmaktadır.
• DNS tünelleme (T) gibi bazı saldırıların tespiti zor olup uygun teknolojilerin kullanılması gereklidir.

Kaynaklar:

[i] monash.pw
[ii] monash.pw
[i] monash.pw
[ii] monash.pw
[i] monash.pw
[ii] monash.pw@ncepki/the-mitre-att-ck-framework-cc85f1c07b58
monash.pw

PICUS &#; MITRE ATT&#;CK

Mitre ATT&#;CK Nedir ?

Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti from BGA Bilgi Güvenliği A.Ş.

monash.pw%C3%B6n%C3%BCyor-mitre-attck-vehbi-okay-dilek
monash.pw
monash.pw
monash.pw

The MITRE ATT&CK Framework: What You Need to Know

monash.pw?v=3a0WsGlLdcs

monash.pw

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri