PICUS ve MITRE ATT&CK

Taktik, saldırganın bir eylemi gerçekleştirmeye yönelik hedefini; teknik ise bir saldırganın bir eylem gerçekleştirerek taktiksel bir hedefe “nasıl” ulaştığını temsil eder.Taktikler, bilgiyi keşfetme, yanal olarak hareket etme, dosyaları yürütme ve verileri sızdırma gibi olayları kapsarken teknikler ise bu olayları gerçekleştirmek için yapılan işlemler ve yöntemler olarak düşünülebilir.

Aşağıdaki görselde ATT&CK matrisinin bir örneği gösterilmektedir, bu tablo farklı taktiklere göre sıralanmış farklı siber saldırı tekniklerinin bir matrisidir. Her kategori, her saldırı türüne karşılık gelen belirli alt kategorilere bölünmüş olup, teknikle ilgili ayrıntılar, örnekler, referanslar içermektedir.  Dolayısıyla bu anlık görüntü, matrisin yalnızca küçük bir bölümünü göstermektedir.

Tekniklerin bağlantılarından herhangi birine tıklanarak tekniğin kısa bir açıklamasını, örnek programların bir listesini ve tespit ipuçlarını içeren bir sayfaya geçiş yapılır. Örneğin, Account Manipulation tekniği seçilerek, bu teknik ile ilgili detaylar, mitigation önerileri ve tespit ipuçları görüntülenebilmektedir.

“Enterprise” olarak nitelendirilen ATT&CK matrisi haricinde, saldırı öncesi taktik ve teknikleri gösteren “PRE-ATT&CK” ve mobil cihazlar için oluşturulan “Mobile ATT&CK” matrisleri de mevcuttur. “Enterprise ATT&CK matrisinde”  12 adet taktik bulunmaktadır. Bu taktikler:

• Initial Access: Bir saldırganın ortamınızda yer edinebilmesi ilk erişim ile başlar . Güvenliği ihlal edilmiş hesapların kimlik bilgileri pishing, valid accounts ve trusted relationship gibi çeşitli teknikler ile ele geçirilerek, ağ içindeki sistemlerdeki çeşitli kaynaklara uygulanan erişim denetimlerini atlamak için kullanılabilir. İlk erişimin ardından hedeflere ulaşmak için diğer taktik ve tekniklere geçiş yapabilir. Dolayısıyla ilk erişim engellendiğinde sistemin güvenliği büyük ölçüde sağlanmış olur.
• Execution: Yürütme, yerel veya uzak bir sistemde saldırgan tarafından kontrol edilen kodun çalıştırılmasını sağlayan tekniklerden oluşur. Kötü amaçlı kod çalıştıran teknikler, bir ağı keşfetmek veya veri çalmak gibi daha geniş hedeflere ulaşmak için genellikle diğer tüm taktiklerin teknikleriyle eşleştirilir. Command Line Interface veya PowerShell gibi teknikler saldırganlar için son derece kullanışlıdır. Bu tür tekniklerin saldırganlar üzerindeki gücü, uç noktalara zaten kurulmuş olmaları ve nadiren kaldırılmalarıdır. Saldırgan, sistem keşfi yapabildiği bir komut dosyasını bu uygulamalar üzerinde çalıştırarak, sistem hakkında kolayca bilgi sahibi olabilir.
• Persistence: Kalıcılık, saldırganın sistem erişiminin sürekliliğini sağlamayı hedefleyen tekniklerden oluşur. Bu teknikler meşru kodu değiştirmek veya ele geçirmek ya da başlangıç kodu eklemek gibi sistemlerdeki erişebilirliğini korumalarına izin veren her türlü erişim, eylem veya yapılandırma değişikliğini içerir.
• Privilege Escalation: Mevcut araştırma verilerine göre saldırganlar genellikle yetkisiz/ayrıcalıksız hesaplar üzerinden sistemlere erişmektedirler. Ancak, saldırganlar hedeflerine ulaşmak için yetkili kullanıcılara ihtiyaç duyarlar. Bu nedenle ele geçirilen hesabın yetkilerini arttırma yoluna giderler. Ayrıcalık Arttırma, rakiplerin bir sistem veya ağ üzerinde daha üst düzey izinler elde etmek için kullandıkları tekniklerden oluşur. Bu teknikler genellikle Persistence teknikleriyle örtüşür.
• Defense Evasion: Saldırganın tespit edilmekten kaçınmak için kullandığı teknikleri içerir. Bu teknikler güvenlik yazılımını kaldırmayı, devre dışı bırakmayı veya verileri ve komut dosyalarını gizlemeyi/şifrelemeyi içerir.
• Credential Access: Kimlik bilgisi erişimi, Brute Force, keylogging gibi teknikler kullanılarak hedef sistemlerde yer alan kimlik bilgilerini ele geçirme taktiğidir. Mevcut yapıdaki kimlik bilgilerinin kullanılması, saldırganın bir çok sisteme erişmesini sağlarken, yakalanmasını zorlaştıracaktır.
• Discovery: Keşif, saldırganın ağa eriştikten sonra ne yapacağına, nasıl davranacağına karar vermeden, gözlem yapmasını amaçlar. Meşru hedefe nasıl erişileceğinin ve giriş noktalarının tespit edilmesi Account discovery, Network Sniffing ve System Information Discovery gibi teknikler ile mümkün kılınır.
• Lateral Movement: Saldırgan, daha yüksek ayrıcalıklar ve erişim elde etmek için farklı araçlar ve yöntemler kullanarak, sistemi haritalamak, hedefleri belirlemek ve sonunda kuruluşun temel taşlarına ulaşmak için bir ağ üzerinden yanal olarak hareket eder. Saldırgan bir ağ üzerindeki uzak sistemlere erişim ve kontrol sağlayabilirse, kötü niyetli faaliyetlerinin tespit edilmesi son derece zor olacaktır.
• Collection: Toplama, saldırganların hedefe ulaşmak amacıyla ilgili kaynaklardan bilgi toplamak için kullanabilecekleri Man in the Middle , Email collection ve Input capture gibi teknikleri içerir. Veri toplandıktan sonra, hedef veriyi dışarıya sızdırmaktır.
• Command and Control: Saldırganların hedef ağ içinde kontrolü ele geçirdikleri sistemlerle iletişim kurmasını ve kontrol etmesini sağlayan tekniklerden oluşur.
• Exfiltration: Hırsızlık, saldırganların sistem üzerinden veri çalmak için kullanabilecekleri tekniklerden oluşur. Saldırganlar verileri topladıktan sonra, tespit edilmekten kaçınmak için  verileri sıkıştırma veya şifreleme yöntemleri ile paketleyerek kaldırırlar. Bir hedef ağdan veri almak genellikle komut ve kontrol kanalı üzerinden gerçekleştirilir.
• Impact: Etki taktiği, saldırganların sistemin veya verilerin kullanılabilirliğini engellemeye çalışması ve verinin bütünlüğünü bozması amacını taşır. Data Destruction, Firmware Corruption gibi verileri yok etmeyi ve değiştirmeyi sağlayan teknikler içerir.

MITRE ATT&CK matrisini kullanarak, kuruluşlar saldırgan bakış açısıyla teknik ve taktikleri görüntüleyebilir ve Saldırgan nasıl içeriye sızdı? Hangi eylemleri gerçekleştirdi? Bir sonraki adım ne? gibi sorulara kolayca cevap bulabilirler.  Saldırgan davranışının analiz edilebilmesi  kurumdaki güvenlik açıklarının tespit edilmesini sağlamada ve riskleri belirlemede kritik rol oynar.  Dolayısıyla, savunmadaki eksiklikler net bir şekilde görülebilir ve iyileştirme süreçleri bu doğrultuda planlanabilir. MITRE ATT&CK matrisinden yararlanarak, kullanıcılarına etkili bir analiz yapma imkanı sağlayan Picus güvenlik  ürünüyle ilgili bilgiler yazının devamında yer almaktadır.

Picus, gerçek siber tehdit örneklerini kullanarak ortaya çıkan tehditlere karşı kurumların hazırlıklı olup olmadığını atak simülasyonları ile sürekli olarak sorgulayan güvenlik ürünüdür. Güvenlik tedbirlerinin güçlü ve zayıf noktalarını gerçek zamanlı olarak tanımlar ve elde ettiği sonuçlar doğrultusunda önerilerde bulunarak mevcut yapıdaki güvenlik ürünlerinden en yüksek düzeyde verim alınmasını sağlar.  Atak simülasyon sonuçları analiz edilerek güvenlik skoru belirlenir.  Endpoint, Network ve Email veya atak kategorileri özelinde güvenlik seviyelerini kurumlara ayrı ayrı görüntüleme ve inceleme imkanı sunulur, böylece kurumların zayıf oldukları konulara odaklanmaları hedeflenir.

Picus ile atakların simüle edilebilmesi için atack yapan(attacker) ve atağı karşılayan (victim) picus yazılımının yüklü olduğu sistemlere ihtiyaç vardır, bu sistemler peer olarak adlandırılır. Attacker ve victim peer arasındaki network yolu ise vector olarak isimlendirilir. İncelenmek istenen güvenlik ürününe göre peer ve vector tipi belirlenmelidir. Örneğin, Firewall, WAF gibi güvenlik ürünlerinin kontrol edilmesi için Network Peer;  AV,IDR gibi ürünlerin analiz edilebilmesi için ise Endpoint Peer konumlandırmak gerekmektedir.

Attack Simulation à Analysis bölümünden ilgili vector seçilerek; güvenlik skoru, engellenen ve engellenemeyen  atak bilgisine ulaşılabilir.  Tehdit kategorisi, etkilenen ürün bilgisi, prokol (htp/https) tipi ve önem derecesi  gibi özelliklere göre filtreleme yapmak mümkündür.

BlackTech APT Group’s Plead Downloader senaryo atağında ilk olarak Explorer.exe’ye bir malicios dll yerleştiriliyor,  ardından registry’de bir key değiştiriliyor, command prompt kullanılarak bir registry key siliniyor vb. tüm adımlar aşağıdaki ekran görüntüsünde yer almaktadır. Bu atak senaryosu gerçekte nasıl davranıyorsa picus üzerinde konumlandırılan endpoint  peer üzerinde de aynı şekilde davranır ve simülasyon sonucunda var olan adımlardan engellenip engellenemediği bilgisi sağ tarafta yer alan yeşil ve kırmızı simgelere göre ayırt edilir.

Tüm bu adımlar tek tek incelenerek engellenemeyen atakların nedeni tespit edilmeli ve  mitigation önerileri göz önünde bulundurularak  gerekli iyileştirmeler yapılmalıdır.

Picus ile yapılan atak senaryolarına ait sonuçlar MITRE ATT&CK tablosunda anlık başarı oranına göre teknik ve taktik olarak gösterilmektedir.  İnceleme yapılan vector analiz sayfasından  “Go to MITRE ATT&CK Analysis” seçilerek tabloya kolayca ulaşılabilir.

Bu tabloya göre kırmızıların yoğunlukta olduğu ve dolayısıyla engellenemeyen bir çok atağın mevcut olduğu sonucuna varılmaktadır. Amaç, oynatılan atak senaryolarının engellenmesidir. Kullanıcılar tekniklere tıklayarak, teknik detaylarına ulaşabilirler. Read more on Mitre seçeneği seçildiğinde, kullanıcı https://attack.mitre.org/ üzerinden o atağın teknik detayıyla ilgili ayrıntılı bilgiye ulaşılabilir.

Technique’s Actions bölümünde bu tekniklerle ilişkili olan atak senaryoları listelenilir. Bu senaryo seçilerek; atağın tanımı, atak kategorisi, etkilediği sistemler ve ürünler gibi bilgilere ulaşılabilir.

Heat Map bölümünden tabloya geniş bir açıyla bakılarak başarı oranı görüntülenebilir.

MITRE ATT&CK analysis tablosu kullanılarak sistemde iyileştirme yapıldığında aslında bir atak engellediğinde, bu ataktaki tüm taknik ve teknikleri kullanacak tüm atakların engellenmesinin önü açılmış olur. Bir başka deyişle, Mitre framework’ü engellenebildiği takdirde bilinen davranış örnekleri gösteren gelecekteki tüm ataklar otomatik olarak engellenmiş olur.