Приветствую участников форума!

Понимаю, что большинство присутствующих здесь знакомы с матрицей атак MITTRE ATT&CK и, может даже, пользуются ею, но эта статья должна помочь новичкам. Практика объяснения и написания статей, будет не лишней.

Матрица ATT&CK является известной методологией для классификации техник злоумышленника. Короче говоря, в 2013 году ребята собрались и классифицировали поведение злоумышленника. Оказалось, что вариантов атаки не так уж и много.

Матрица представлена в 2-х вариациях: Enterprise



и Mobile



Матрица обладает огромным потенциалом в качестве помощника любому специалисту по безопасности, но вот пользоваться ей в начале не так то и удобно. Это как c таблицей тригонометрических функций. Сначала вы тратите много времени на поиск нужной формулы и значения, но с каждым использованием вы делаете это все быстрее и быстрее.

Поэтому, кажется, новичкам стоило бы начинать путь с нее, если только вы не Script Kiddy. Тогда, конечно, можно сразу переходить к инструментам, как когда-то сделал я сам.

Итак, начнем с того, что существует 200+ техник, разделенных по 14 направлениям для Enterprise:

1. Reconnaissance
   
2. Resource Development
   
3. Initial Access
   
4. Execution
   
5. Persistence
   
6. Privilege Escalation
   
7. Defense Evasion
   
8. Credential Access
   
9. Discovery
   
10. Lateral Movement
    
11. Collection
    
12. Command and Control
    
13. Exfiltration
    
14. Impact

И 91 техника в 9 направлениях для Mobile:

1. Initial Access
   
2. Execution
   
3. Persistence
   
4. Privilege Escalation
   
5. Defense Evasion
   
6. Credential Access
   
7. Discovery
   
8. Lateral Movement
   
9. Collection
   
10. Command and Control
    
11. Exfiltration
    
12. Impact

Конечно же не стану рассказывать о каждой из них сейчас - это тема для цикла статей. А это проба пера, так сказать демо-версия.

В левой панели представлено разделение по окружениям, в которых представлены техники атак:



Давайте рассмотрим применение матрицы на примере направления Reconnaissance (Разведка).





При переходе в любое из направлений мы получаем кучу информации - подробное описание каждой из техник представленных в этом направлении.

Это общая информация для того, чтобы отличать каждый из шагов. Отделять, так сказать, мух от котлет и тех кто верит, от тех кто нет.



ID техники Active Scanning - T1595, в нее входят два действия: Scanning IP Blocks и Vulnerability Scanning. Внимательно прочитав описание, некоторые из вас уже составили у себя в голове картину, чтобы при анализе логов заострить внимание на некоторые действия и классифицировать их как атаку. Для простых смертных типа меня, придумано правило 34.

При переходе в Active Scanning видно, что все разложено по полочкам.
Структура у любой техники одинакова:

1. Общее описание



2. Кто применял или применяет



Здесь - это группировка TeamTNT.

3. Как предотвратить



В данном случае сказано, что эффективных превентивных мер нет, и что единственный путь - минимизировать количество доступной информации.

4. Как обнаружить



Исследование сетевого трафика это универсальный способ обнаружения, но другого на этом этапе атаки и нет.

Есть возможность рассмотреть более подробно историю применения, полезно, если там известная APT или вредоносная программа, ведь сразу можно выделить артефакты. Например, TeamTNT добавляет RSA-ключ в authorized_keys:



Эту информацию можно использовать для автоматизации своей защиты, написания правил IDS/IPS и т.д.
Ну, а где искать уже известно из “Detection”.

На этом все, дальше только скрупулезное изучение каждой техники и каждого направления, и, через 200+ техник вы уже будете разбираться в этапах вторжения и способах обнаружения.

Для упрощения жизни, ребята из РТ сделали перевод. Но сильно на него не рассчитывайте, он служит в маркетинговых целях и не дает детального описания, а скорее показывает, что покрывается продуктом PT NAD. К тому же, переведены там только названия техник. Тем не менее, работа сделана немалая и обходить вниманием статью не стоит.

Но лучше учите английский.