ESET, vaak gerefereerd en welbekend als leider in onderzoek in de industrie, heeft de lokroep van MITREs ATT&CK-kennisbank beantwoord om tactieken en technieken gebruikt door kwaadwillenden in kaart te brengen. Door actief deel te nemen in het uitbreiden van de kennisbank in de industrie en de academische wereld wordt ESET aangedreven in het verbeteren van bedrijfs- en technische prestaties.
Wat zien wij als voordelen aan het deelnemen?
Jarenlang was het, in grote lijnen, gewoonte onder securityleveranciers om verbeteringen van producten aan te laten testen door derden en om detecties te delen met VirusTotal en zodoende een eerlijke vergelijking van antivirusproducten mogelijk te maken om daarmee een veilige en goed-gemonitorde securityomgeving te creëren. Deze aanpak was essentieel in het leveren van betrouwbare kennis aan zowel professionals als consumenten en zorgde voor constante innovatie in cybersecuritytechnologie en onderzoekspraktijken.
In feite zorgde dit ervoor dat er sprake was van een soort gemeenschappelijke veiligheid. Dit hielp bij het systematisch bouwen en delen van een steeds groeiende kennisbank die gebaseerd is op de detectie van kwaadaardige code en campagnes gestart door kwaadwillenden. Momenteel staat er echter veel op het spel door een groeiende afhankelijkheid en integratie van IT-systemen: het is dus wederom nodig om het dialoog rondom security naar een hoger niveau te tillen.
Kortom, in een tijd van gerichte aanvallen en hacks waar bedreven kwaadwillenden achter zitten, hebben zowel cybersecurityonderzoekers als R&D-teams vanuit de gehele industrie aanvullende stappen gezet om interne securityteams handvatten te geven om dreigingen aan te pakken en het huidige dreigingslandschap te communiceren aan het bestuur. Dit helpt de organisatie om te prioriteiten te stellen en cyberweerbaarheid te verhogen.
Met dit principe in gedachten gehouden, leggen onderzoekers de structuur en functionaliteit van verscheidene aanvalstactieken bloot in de MITRE ATT&CK Navigator – zoals de technieken gebruikt om enterprises te compromitteren. Door bij te dragen aan de groeiende kennisbank, helpt ESET securitypraktijken en risicoanalyse te verbeteren in de securitygemeenschap en bij organisaties en bedrijven.
Al bestaat het al sinds 2015, recentere aanleveringen aan de ATT&CK-kennisbank zijn erop gericht om overheden, industrieën, organisaties en eindgebruikers te helpen door middel van verbeterde informatie met betrekking tot cyberdreigingen. Belangrijke voorbeelden zijn de hack van de Democratic National Committee in 2016, de activiteiten van cybercrimegang FIN7 en campagnes, waaronder de beruchte hack van Sony Pictures, die aan Noord-Korea worden toegekend. Om dergelijke aanvallen beter aan te pakken, heeft ESET de nodige stappen genomen om inzicht in cyberdreigingen voor enterprises significant te verbeteren middels onze Endpoint Detection and Response-oplossing, ESET Enterprise Inspector. Ook hebben we onze capaciteiten vergroot met onze uitgebreide endpoint securitysuite en securityservices.
Eén van de complexe scenario’s die ESET recent in kaart heeft gebracht aan de hand van het schema van ATT&CK en heeft gedemonstreerd tijdens RSA 2019, biedt een analyse van een multi-stage channel-aanval die gebruik maakte van verschillende technieken, waaronder: spearphishing, verwisselbare media, PowerShell, user account control, command and control-communicaties, wijziging in het register en het in kaart brengen van een netwerk. Al deze technieken werden gebruikt om via een exploit op één enkele MacBook in een bedrijfsnetwerk uit te voeren welke tot een infectie van ransomware zou kunnen leiden.
De gereconstrueerde scenario’s laten in een animatie stap voor stap zien hoe deze malware te werk had kunnen gaan op het moment dat de verschillende lagen van ESET Dynamic Threat Defense (EDTD) (expres) uitgeschakeld waren. In de animatie vind het “uitschakelen van lagen beveiliging” plaats terwijl de kijker zicht heeft op alle acties via het ESET Security Management Center-dashboard. Zo ziet de kijker ook hoe de lagen bescherming die overblijven nog steeds actief beschermen tegen de APT in kwestie en deze ook blokkeren.
Hoe draagt de ATT&CK-kennisbank bij aan het welzijn van leveranciers en enterprises?
Het delen van documentatie over aanvalstactieken en -technieken biedt een uitgebreide “workout” voor malwareonderzoekers en R&D-teams die continu werken om ESETs oplossingen nog beter te maken. Sinds er geïnvesteerd is in de ontwikkeling van schema’s zoals ATT&CK van MITRE (er zijn ook andere), is het ESET ook gelukt om “traditionele” antivirustesten aan te vullen door het bieden van toepasbaar algemeen taalgebruik dat ingezet kan worden door deze organisaties, hun interne securityteams, onderzoekers en securitybedrijven om de modus operandi van kwaadwillenden te beschrijven en deze dreiging te beperken.
Zodoende dragen leveranciers niet alleen bij aan de kennisbank middels het toevoegen aan de taxonomie van ATT&CK waardoor securityprofessionals in algemene taal informatie kunnen delen over aanvallen en technieken, maar betekent dit ook dat kennis opgedaan door de onderzoek op gebied van het tegengaan van dergelijke kwaadaardige praktijken snel toegepast kan worden in beveiligingstechnologie en in gebruik genomen kan worden door cybersecurityleveranciers.
ESETs onderzoekdocumenten gepubliceerd op WeLiveSecurity vanaf maart 2019 en tijdens onderzoekevenementen bevatten een tabel waarin de ATT&CK-technieken benoemd zijn en een toelichting over hoe deze techniek wordt gebruikt. Dit kan organisaties ook helpen in het beter beschermen van henzelf tegen de dreigingen die we documenteren. Zo kunnen zij ook de juiste kennis en systemen vergaren om dergelijke technieken tegen te gaan wat ook bijdraagt aan het vergroten van de kennisbank van ATT&CK door de relaties tussen technieken en groepen te laten zien.
Voordelen voor ESET?
Op dit moment, op 29 mei 2019, worden onderzoeken van ESET, één van de meest gerefereerde bronnen, dat uit meer dan 76 artikelen bestaat (het gros hiervan wordt gepubliceerd op WeLiveSecurity.com), geciteerd op de website van MITRE ATT&CK. Daarbij worden ook twee onderzoekers erkend voor hun bijdragen aan nieuwe ontdekte technieken. Deze continue bijdragen helpen met het vergroten van naamsbekendheid en zichtbaarheid van ESETs continue malwareonderzoek en biedt extra kansen om kennis over te dragen aan de hechte gemeenschap.
Vanwege het gestructureerde in kaart brengen dat MITRE vraagt, kunnen onderzoekcollega’s snel schakelen en contact opnemen om samen nog meer inzichten te delen.
ESETs meest recente succesvolle bijdrage aan de MITRE ATT&CK-kennisbank is gerelateerd aan onze serie over OceanLotus (ook bekend als APT32) (deel 1, 2) en aan Ebury, een SSH-backdoor die nog steeds actief is en zich ontwikkelt, en deze is gericht op systemen die op Linux draaien. We werken continu aan nieuwe bijdragen en zijn actief in gesprek met het ATT&CK-team om de kennisbank nog groter te laten worden.
De uitgebreide kennisbank van ESET kan intern bijdragen aan het verbeteren van onze eigen detectiecapaciteiten welke van kritiek belang zijn voor het bieden van effectieve EDR-oplossingen.
Zodoende zal deze samenwerking zeker haar vruchten afwerpen voor onze technologie en praktijken terwijl het ook een sterkere fundering legt voor het toekomstige bolwerk van collectieve cybersecurity voor enterprises over de hele industrie.