À medida que o volume de inteligência sobre cibercrime publicado por pesquisadores de cibersegurança cresce a cada ano, existe também o risco de que isso se torne potencialmente difícil de gerenciar para administradores de TI que precisam de pontos de ação claros para defender as redes de suas organizações.
Por isso, organizar essas informações e conectar as narrativas dentro desse conjunto de dados é fundamental para que as empresas compreendam os padrões de atuação dos grupos de ameaça que visam seu setor. Graças ao trabalho do MITRE ATT&CK, isso se tornou possível desde 2013.
O que é o MITRE ATT&CK?
O MITRE ATT&CK é uma base de conhecimento que fornece às equipes de Security Operations Center (SOC) um conjunto de inteligência open source sobre táticas, técnicas e procedimentos (TTPs) conhecidos de potenciais adversários, permitindo que testem sua capacidade de detectar ameaças e proteger suas redes. Um dos principais benefícios dessa base de conhecimento é a priorização.
Considerando que existem diversos grupos de ameaça diferentes mirando uma empresa ou organização, os defensores de rede podem concentrar seus esforços nas técnicas sobrepostas utilizadas por todos esses grupos, “matando dois coelhos com uma cajadada só”. Usando a Enterprise Matrix do MITRE ATT&CK, é possível construir uma estratégia em torno das técnicas sobrepostas de maior prioridade que precisam ser tratadas primeiro.
Por exemplo, imagine uma equipe de SOC responsável por proteger campanhas eleitorais online e/ou sistemas de votação. Ao digitar “democratic” na barra de busca do MITRE ATT&CK para procurar grupos que tenham como alvo o Democratic National Committee, é possível ver que tanto The Dukes (APT29) quanto Sednit (APT28) são suspeitos de envolvimento no ataque ao DNC. Mas saber quem são os culpados não é suficiente, pois há muito mais a ser explorado dentro da base de dados.
Por que entender TTPs é importante
Ao percorrer a lista de técnicas, você verá que tanto o The Dukes quanto o Sednit já foram observados obtendo acesso inicial aos computadores das vítimas por meio de links de spearphishing. Ao se aprofundar nas referências associadas a essa técnica específica, você encontraria uma publicação da ESET Research detalhando o procedimento pelo qual o Sednit enviava e-mails de spearphishing contendo URLs encurtadas que apontavam para um arquivo zip, preparado com a primeira fase do backdoor favorito do grupo, o Zebrocy, para download.
Detectar e bloquear esses e-mails, ou o malware que eles introduzem, no endpoint é obviamente fundamental para proteger os sistemas das equipes de campanhas eleitorais e, considerando que muitos tipos de malware conseguem se mover lateralmente, também para proteger toda a rede. Naturalmente, as publicações da ESET incluem IoCs, neste caso referentes à URL de distribuição do arquivo zip, ao servidor de C&C e aos hashes do malware — todos excelentes pontos de partida para uma varredura na sua rede. Para obter uma visão mais completa de toda a cadeia de infiltração iniciada com o download do Zebrocy, um analista de threat intelligence pode consultar a tabela do MITRE ATT&CK presente na publicação, que lista os procedimentos específicos usados pelo grupo Sednit para acesso inicial, execução, persistência, exfiltração e outras táticas observadas nos ataques.
Talvez o aspecto mais importante da leitura de uma publicação de pesquisa sobre malware, no entanto, seja permitir que os analistas de ameaças compreendam com mais profundidade o comportamento e os procedimentos do Zebrocy. Atores de ameaça avançados, como o grupo Sednit, podem mudar rapidamente endereços IP, nomes de domínio e outros componentes, mas não o comportamento. Em outras palavras, compreender o comportamento de um malware e criar uma detecções baseadas nesse comportamento aumenta significativamente a chance de que um agente de ameaça não consiga entrar sem, ao menos, ser percebido.
Fortalecendo os SOCs com a telemetria da ESET
Nem todas as detecções têm a mesma eficácia. Não caia na armadilha de achar que criar uma detecção simples será suficiente para cobrir adequadamente um vetor de ataque e esse é um erro comum. O MITRE recomenda classificar suas detecções em uma escala de 1 a 5, com base em testes rigorosos com purple teaming, para avaliar o quão eficazes elas são no seu ambiente e se precisam ser aprimoradas.
Aproveitar as detecções já desenvolvidas pela equipe de pesquisa de malware da ESET é, de fato, uma maneira muito eficaz e simples de fortalecer desde o início as capacidades da sua equipe de SOC. Por meio do ESET Inspect, a solução de endpoint detection and response da ESET, os defensores de rede têm acesso a mais de 300 detecções e regras configuráveis já incorporadas, projetadas para acionar automaticamente alertas no painel da ferramenta.
Há mais de 30 anos, os pesquisadores da ESET analisam as ameaças mais recentes e desenvolvem detecções para elas. Assim, apoiados em um profundo conhecimento do comportamento dos adversários, os conjuntos de regras do ESET Inspect representam algoritmos cuidadosamente elaborados que identificam anomalias que revelam a presença de um atacante.
Isso é especialmente importante para acompanhar malwares nunca antes vistos, como o LoJax, o primeiro rootkit UEFI encontrado em ambiente real (usado pelo Sednit), e o DePriMon, o primeiro exemplo de malware a utilizar a técnica de Port Monitors a ser descrito publicamente.
ESET Research e MITRE ATT&CK
Uma equipe de peso de pesquisadores da ESET vem contribuindo continuamente para a base de conhecimento do MITRE ATT&CK, revelando técnicas e procedimentos antes desconhecidos de diversos grupos de ameaça.
O MITRE ATT&CK reconheceu as contribuições dos pesquisadores da ESET, incluindo a descoberta de novas técnicas usadas pelo APT32 por meio de um backdoor para macOS; a descoberta do Ebury, um backdoor para Linux capaz de roubar credenciais do OpenSSH; e a identificação de uma nova versão do conjunto de ferramentas em Python do grupo Machete, que tem como principal alvo a Venezuela.
Outras contribuições para as técnicas e softwares do MITRE ATT&CK podem ser encontradas nos seguintes links: empacotamento de software usado pelo FinFisher, notificações de acesso no Android OS, binary padding, o backdoor Epic do Turla e taint shared content.