Кто есть кто
Прежде чем говорить о соревнованиях, кратко расскажем об их организаторе и его заслугах.
MITRE — это международная некоммерческая организация, которая работает над воплощением инновационных идей в различных областях, в том числе в области искусственного интеллекта, кибербезопасности и обмена информацией о киберугрозах. Важным вкладом MITRE в стандартизацию отрасли кибербезопасности стал MITRE ATT&CK.
MITRE ATT&CK — это структурированный список известных действий злоумышленников, разделённый на тактики и методы и выраженный в виде таблиц (матриц). Матрицы для различных ситуаций и типов злоумышленников публикуются на сайте MITRE. Список даёт комплексное представление о поведении злоумышленников при взломе сетей, поэтому его удобно использовать для защитных мероприятий, мониторинга и обучения. MITRE ATT&CK позволяет стандартизировано описывать поведение злоумышленников. Отследить преступников можно путём сопоставления событий в сети с методами и тактиками в ATT&CK, которые используют те или иные группировки.
MITRE Engenuity — авторитетный технологический фонд, объединяющий промышленные предприятия для применения передовых инноваций MITRE на благо общества.
О соревнованиях MITRE Engenuity Evaluations
MITRE Engenuity ATT&CK Evaluations строит свои симуляции на основе реальных атак современных APT-группировок, имитируя действия и операционные потоки их конкретных представителей. В 2020 году в рамках оценки моделировались атаки двух опасных группировок, использующие схожие модели поведения. В первый день это была атака Carbanak, а во второй — атака группировки FIN7. В общей сложности атаки содержали 177 различных действий.
MITRE Engenuity ATT&CK Evaluations проверяет способность решений обнаружить действия преступников, осуществляющих целевую атаку. Это означает, что в отличие от традиционного тестирования, MITRE Engenuity сосредоточена исключительно на возможностях обнаружения уже состоявшейся компрометации, на том, как защитные решения умеют группировать различные действия и выстраивать из них цепочку атаки для расследования инцидентов.
В 2020 году, помимо этих возможностей, дополнительно оценивались способности решений блокировать/предотвращать атаки, чтобы проверить, насколько эффективно продукт обнаруживает угрозу и останавливает её до того, как будет нанесён ущерб. Но далее вы мы расскажем именно методах злоумышленников и обнаружении их действий.
Об атаках 2020 года
Первая целевая атака была «совершена» группой Carbanak, которая нападала на банк — наиболее частую цель этой группы. Атака началась с компрометации менеджера по персоналу с помощью фишингового письма, затем переместилась на систему финансового директора, с которой уже осуществлялся сбор конфиденциальных данных и производились денежные переводы.
Конфигурация решений Trend Micro для обнаружения и предотвращения атаки Carbanak. Изображение (здесь и далее): Trend Micro
Вторая имитация целевой атаки воспроизводила действия группировки Fin7. Это была кампания против сети отелей, в ходе которой сначала был взломан менеджер отеля: атакующие скрытно закрепились на его компьютере, собирая учётные данные и подбирая новую систему-жертву. Затем они перешли на компьютер ИТ-администратора, с него переключились на систему бухгалтера, где собирали информацию о платежах клиентов.
Конфигурация решений Trend Micro для детектирования и предотвращения атаки FIN7
В ходе третьей части соревнований имитировались 10 сценариев атак, включающих 96 тестов для проверки средств предотвращения вторжений, позволяющих реагировать на менее распространённые угрозы. Возможность заблокировать атаку на ранних стадиях даже более важна, чем пассивное наблюдение за её развитием.
Оповещение системы защиты об угрозе
Как развивались атаки
Далее рассмотрим, как развивались атаки, какие методы применялись и как средства обеспечения кибербезопасности их выявляли.
Первоначальный доступ: фишинг
Сценарий MITRE Engenuity ATT&CK Evaluations начинается с компрометации менеджера, работающего в банке или отеле. Злоумышленники отправляют менеджеру фишинговое письмо с вредоносным вложением с целью обмануть его и заставить открыть вложение. Система защиты обнаруживает это событие и показывает его администратору.
Выявление угрозы «Открытие документа Office» происходит, когда explorer.exe запускает winword.ee после щелчка пользователя на документе 2-list.rtf
Выполнение скриптов
После успешного проникновения атака развивается дальше. Обе группы используют различные техники и инструменты, среди которых нативный API Windows, PowerShell, управление службами, Windows Component Object Model (COM) и Distributed COM, а также Windows Management Instrumentation (WMI).
Carbanak также использует протокол DDE, а FIN7 — mshta, утилиту, которая может выполнять VBScript, и запланированные задачи для запуска вредоносного кода на пользовательских системах.
Закрепление
После запуска вредоносного кода злоумышленники пытаются сохранить своё присутствие в системе. С этой целью они добавляют программы в папку автозапуска, создают новые службы и ключа запуска в реестре. Запуск может происходить от имени скомпрометированных учётных записей компании.
FIN7 также использует режим совместимости приложений для обхода контроля учетных записей пользователей (UAC и RedirectEXE), внедрения DLL в процессы (InjectDLL), отключения Data Execution Prevention (DisableNX) и Structure Exception Handling (DisableSEH), а также перехвата адресов памяти (GetProcAddress).
Детектирование техники «Доступ к буферу обмена через PowerShell» происходит при вызове из powershell.exe функции CopyFromScreen()
Повышение привилегий
Противник использует эскалацию привилегий, которая обычно включает в себя использование существующих слабых мест в системе, неправильной конфигурации и уязвимостей для получения более высоких разрешений. Получив доступ к учётным данным, преступники собирают их и ищут подходящие системы для достижения цели.
Построение цепочки атаки, нацеленной на дамп учётных данных с помощью mimikatz
Обе группы имеют финансовую мотивацию, поэтому они ищут информацию, которую можно наиболее выгодно продать. Обычно они нацелены на персональные данные и информацию о банковских картах.
Маскировка
Чтобы оставаться незамеченными, обе группы используют инструменты для подписи кода вредоносного ПО, обфусцируют и кодируют файлы, а также внедряются в процессы. Маскировка позволяет выглядеть безобидно для решений безопасности.
Carbanak умеет отключать защитные системы, а после окончания атаки старательно заметает следы, удаляя все файлы и откатывая модификации реестра.
FIN7 использует технику
Боковое перемещение
Перемещение по сети позволяет найти наилучшую систему, контроль над которой позволит провести финальный этап операции — кражу данных. Это критический момент в обнаружении атаки: если преступники присутствуют в сети и перемещаются от системы к системе, корреляция данных по всей среде имеет решающее значение для построения целостной картины атаки и блокирования действий злоумышленников до того, как они достигнут своей цели.
Решение показывает связанные события в удобном для изучения формате
Trend Micro Vision One автоматически строит корреляцию данных об угрозах из различных областей сети и конечных точек, повышая эффективность оповещения ИБ-подразделений. Система не просто сообщает, что все эти отдельные события произошли, она объединяет происходящее на разных участках, показывая, что эти события могут быть связаны между собой и иметь типичные для конкретной группировки или типа атаки индикаторы компрометации.
Результаты
В ходе моделирования платформа Trend Micro Vision One успешно обнаружила обе атаки, обеспечив полную видимость на всём их протяжении. Это позволило эффективно расследовать инциденты из единого интерфейса. Собрав 167 фрагментов телеметрических данных и сопоставив их со 139 частями обогащённых данных, команда смогла составить чёткую картину того, чего именно пытались добиться злоумышленники.
Итоги соревнований MITRE Engenuity ATT&CK Evaluation
По итогам соревнований наша платформа показала следующие результаты:
94% охвата атак для обеспечения видимости 167 из 177 смоделированных шагов по всем оценкам. Такой широкий охват позволяет составить чёткую картину атаки и быстрее реагировать на неё;
было обнаружено 100% атак на Linux-хост, зафиксировано 14 из 14 шагов злоумышленников;
139 фрагментов телеметрии были дополнены платформой, обеспечивая чрезвычайно эффективную видимость угроз для лучшего понимания и расследования атак;
90% симулированных атак были предотвращены благодаря автоматизированному обнаружению и реагированию на ранних этапах каждого теста. Выявление риска на ранних стадиях высвобождает ресурсы расследования, позволяя командам сосредоточиться на решении более сложных проблем безопасности.
Второй важный момент состоит в том, что благодаря таким соревнованиям организации получают наглядный пример использования справочника ATT&CK для повседневной работы операционных центров безопасности.