Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - Digital Forensics - Hacking - Pentest - Kiber Təhlükəsizlik uyğunluğu - Uncategorized @az - Vulnerability test - 14 February 2021

MITER ATT&CK framework incələməsi

Günümüzdə kiber hücumlar mümkün qədər mürəkkəb hala gəldi. Bu hücumlara qarşı lazımi tədbirlərin görülməsi korporativ təhlükəsizlik üçün vacib amildir. Müdafiə zamanı təcavüzkarın davranışını proqnozlaşdırmaq üçün bir çox hücum metodologiyası mövcuddur. Bu məqalədə MITER-in təklif etdiyi ATT & CK məlumat bazası təhdid modelləşdirmə və müdafiə metodologiyasını inkişaf etdirmək üçün istifadə edilə bilər .

A) Yaranma – Ehtiyac

Bu gün geniş yayılmış kiber hücumlar illərdir davam edir.  Bu hücumlara qarşı müxtəlif təhdid modelləşdirmə işləri aparılır.

Lockheed Martin tərəfindən təyin olunan Cyber ​​Kill Chain ( Cyber ​​Death Chain ) hücum edənin addımları ilə müəyyən bir qaydada müəyyən edilir və hücum edənin nöqteyi-nəzərini öyrənmək çox faydalıdır.

ATT & CK Framework , hücum edənlərin istifadə etdiyi taktika, texnika və prosedurları izah edən və  Cyber Kill Chain (Siber Ölüm Zincirinin) son dörd mərhələsində formalaşan bir məlumat mənbəyidir.

Cyber ​​Death Chain-dən fərqli olaraq ATT & CK Framework xətti bir ardıcıllığa əməl etmir Hücumçunun məqsədinə çatmaq üçün istədiyi texnikadan istifadə edə biləcəyi düşünülür.

Xülasə olaraq, ATT və CK Çerçevesi, hücum edənin davranışları təsnif etmək və hücum edənin hərəkətləri mənimsəmək məqsədi ilə ortaya çıxdı.

B) MITER və ATT & CK Çərçivəsi

MITER ; Müdafiə, kəşfiyyat, aviasiya, özəl sektor, daxili təhlükəsizlik, məhkəmə sistemi, səhiyyə kimi bir çox sahədə çalışan və federal hökumətlər tərəfindən dəstəklənən bir çox özəl araşdırma və inkişaf etdiilrən bir qeyri-kommersiya təşkilatıdır.

MITER tərəfindən 2013-cü ildə pulsuz AT & T CK Çerçevesi ( adversarial Tactics) kimi istifadəyə verilmişdir , Techniques , and Common Knowledge ), eyni zamanda bilinən (demək olar ki, hamısı) kiber hücumlarda hacker davranışlarını modelləşdirən bir məlumat bazasıdır. Aşağıdakı anlayışlar qruplaşdırılıb və ATT & CK Framework ilə əlaqələndirilir.

  • Qruplar: Hücumlar həyata keçirən qruplar . Nümunə; APT41, Lazarus, Carbanak,… kimi.
  • Sənayelər: Hücüm edənlərin hədəf aldığı təşkilatlar və sektorlar. Nümunə; maliyyə, hökumət, səhiyyə,… kimi.
  • Taktikalar: Hücum edənlərin istifadə etdiyi texniki hədəfdir. Yəni, hücumun “Niyə” və “təcavüzkarın hansı məqsədi var?” Sualın cavabı alınır. Nümunə; İlk giriş (TA0001), hüquqların artması (TA0004),…. Bundan əlavə, taktikalar arasında bir reytinq yoxdur.
  • Texnikalar (Texnikalar): Taktikada göstərilən hədəflərə necə (hansı metodla) nail olmaq olar. Nümunə; phishing (T1566), klaviatura hərəkətlərinin qeyd edilməsi (T1056.001),….
  • Prosedurlar: texnika tətbiqidir. Nümunə; Powerşell faylının yüklənməsi və işlədilməsi, davamlılığı üçün APT39 qrupu üçün planlaşdırılan bir tapşırıq yaradılması … və s.
  • Alətlər / Proqram: İstifadə olunan tətbiqlər və ya zərərli proqramlar. Nümunə; Mimikatz kimi, Empire, Cobalt Strike, Duqu,…
  • Tapıntılar: hücumları aşkar etmək üçün istifadə edilə bilən metodlardır. Nümunə; şəbəkə anomaliyalarını izləmək, qrup üzvlüyündə dəyişikliklər üçün həyəcan siqnalları yaratmaq,….
  • Tədbirlər: Bunlar hücumlara qarşı alınacaq tədbirlərdir. Nümunə; kod imzası, məlumatların ehtiyat nüsxəsi, antivirus istifadəsi … və s.

Qeyd: Hücum zamanı təcavüzkar bütün bu taktika və texnikalardan istifadə etmir. Ətraf mühitə və özünə uyğun bir üsul seçə bilər.

ATT & CK Framework daim yenilənən bir platforma təmin edir. Bu yeniləmələri dəstəkləyən bir çox insan və təşkilat var.

Dəstək üçün attack@mitre.org ilə əlaqə saxlayın . Nümunə texnika, qrup, proqram təminatı,… formalar Töhfə səhifəsində verilmişdir.

https://attack.mitre.org/resources/contribute/

Bu dəstəyi dəstəkləyən MITER, ATT & CK Framework səhifəsində çox böyük bir qaynaq hovuzu da təmin edir.

https://attack.mitre.org/resources/

STIX standartında hazırlanmış ATT & CK Çerçevesi altındakı məlumatlar CTI ( Cyber ​​Threat Intelligence ) paylaşımı üçün faydalıdır. ATT & CK məzmununa giriş haqqında ətraflı məlumat üçün mənbələrdəki MITER [ii] və Medium [i] bağlantısı nəzərdən keçirilə bilər.

C) İstifadəsi

Aşağıdakı məlumatlar ATT & CK Framework ilə əldə edilə bilər.

  • APT29 qrupu hansı ölkəyə yaxındır, hansı qruplarla əlaqələndirilir, hansı sektorlara hücum edirlər, istifadə etdikləri texnika və proqram təminatları

Mobil cihazdan şəxsiyyət məlumatlarının oğurlanması taktikası üçün istifadə edilə bilən üsullar