23.1.20

Jagen op voortschrijdende bedreiging tegen ondernemingsnetwerken met kennisbank MITRE ATT & CK ™



Naarmate het volume aan cybercrime-intelligentie, gepubliceerd door cybersecurity-onderzoekers, elk jaar toeneemt, is er een parallel risico dat dit potentieel onhandelbaar kan worden voor IT-beheerders die duidelijke actiepunten nodig hebben om de netwerken van hun organisatie te verdedigen. Orde scheppen en verhalen verbinden binnen deze gegevens is van kapitaal belang voor bedrijven om inzicht te krijgen in de karakteristieke bewegingen van dreigingsgroepen waarvan zij het doelwit zijn. Dankzij het werk van MITRE ATT & CK is dat sinds 2013 mogelijk.

MITRE ATT & CK is een kennisbank die SOC (Security Operation Center) -teams een fonds met open-source informatie biedt over bekende tactieken, technieken en procedures (TTP's) van potentiële tegenstanders, zodat ze hun mogelijkheden kunnen testen om potentiële bedreigingen te detecteren en hun netwerken te beschermen. Een van de voordelen van deze kennisbank is het toekennen van prioriteiten.
Daar er een aantal verschillende bedreigingsgroepen zijn die op een bedrijf of organisatie doelen, kunnen netwerkverdedigers hun inspanningen toespitsen op de overlappende technieken die door alle groepen worden gebruikt – en zo twee vliegen in een klap vangen. Met de MITRE ATT & CK Enterprise Matrix kan een strategie opgebouwd worden rond overlappende technieken en dit met de hoogste prioriteit die eerst moeten aangepakt worden.

Als voorbeeld nemen we een SOC-team dat verantwoordelijk is voor het beveiligen van online verkiezingscampagnes en/of stemsystemen. Door in de MITRE ATT & CK-zoekbalk "democratisch" in te tikken - om groepen te zoeken die het Democratisch Nationaal Comité (DNC) als doelwit hadden - stelt men vast dat zowel The Dukes (APT29) als Sednit (APT28) vermoedelijke daders van de DNC-hack zijn.

Als men door de technieken bladert, ziet men dat zowel The Dukes als Sednit, de initiële toegang tot de computers van slachtoffers kreeg via spearphishing-links. Door dieper in te gaan op deze specifieke techniek, ontdekt men een publicatie van ESET Research die de procedure beschrijft hoe Sednit spearphishing-e-mails stuurde die verkorte URL’s bevatten en verwijst naar een zip-bestand om de eerste fase van Zebrocy, Sednit’s favoriete achterdeur, te downloaden.

Het detecteren en blokkeren van deze e-mails of de malware die ze op een eindpunt installeren is uiteraard van cruciaal belang voor het beschermen van de computersystemen van verkiezingscampagneteams en ook hun hele netwerk, daar veel soorten malware zich lateraal kunnen verplaatsen.

Uiteraard bevatten de publicaties van ESET IoC's, in dit geval voor de versrpreidings-URL van het zipbestand, de C&C server en malwarehashes - allemaal uitstekende startpunten voor een scan van het netwerk. Om beter vat te krijgen op de hele infiltratieketen die begon met het downloaden van Zebrocy, kan een analist van dreigingsinformatie verwijzen naar de MITRE ATT & CK-tabel in de publicatie van ESET die een opsomming bevat van de specifieke procedures gebruikt door de Sednit-groep voor initiële toegang, uitvoering, persistentie, exfiltratie en andere tactieken die bij de aanslagen werden vastgesteld.

Het belangrijkste aspect bij het lezen van een publicatie over onderzoek naar malware, is voor de dreigingsanalisten wellicht het gedrag en de procedures van Zebrocy meer gedetailleerd te begrijpen. Geavanceerde bedreigingsactoren zoals de Sednit-groep kunnen IP-adressen, domeinnamen en andere componenten snel wijzigen, maar niet hun gedrag. Inzicht krijgen in het gedrag van een stukje malware en een detectie schrijven voor dat gedrag zorgt er beter voor dat een bedreigingsacteur niet binnenkomt zonder opgemerkt te worden.

Detecties zijn niet allemaal even effectief. Men moet niet denken dat het schrijven van een eenvoudige detectie die aanvalsvector voldoende zal dekken -  dit is een mogelijke fout. MITRE beveelt aan om detecties op een schaal van 1 tot 5 te beoordelen, gebaseerd op rigoureuze testen, en na te gaan hoe effectief ze wel zijn voor het netwerk en de noodzaak om ze te verbeteren

Profiteren van de detecties die door het malware-onderzoeksteam van ESET al geschreven zijn, is zeer efficiënt en eenvoudig om de capaciteiten van het SOC-team te versterken. Via ESET Enterprise Inspector (EEI), de oplossing van ESET voor eindpuntdetectie en -respons, ontvangen netwerkverdedigers meer dan 300 ingebouwde configureerbare detecties/regels ontworpen om automatisch alarm in het dashboard te activeren.

Al meer dan 30 jaar analyseren ESET-onderzoekers de nieuwste bedreigingen en schrijven er detecties voor. De regelsets van EEI, gebaseerd op een grondige kennis van vijandelijk gedrag, zijn zeer zorgvuldig ontworpen algoritmen die afwijkingen opsporen en de aanwezigheid van een tegenstander weggeven. Dit is vooral van belang om nooit eerder gezien malware meester te zijn, zoals LoJax, de eerste UEFI-rootkit in het wild (gebruikt door Sednit), en DePriMon, het eerste voorbeeld van malware die gebruikmaakt van de Port Monitors-techniek en ooit openbaar is beschreven.

Een belangrijke line-up van ESET-onderzoekers heeft continu bijgedragen aan de kennisbank van MITRE ATT & CK en eerder onbekende technieken en procedures van bedreigingsgroepen onthuld. MITRE ATT & CK heeft de bijdragen van ESET-onderzoekers erkend, inclusief de ontdekking van nieuwe technieken gebruikt door APT32 via een macOS-achterdeur; de ontdekking van Ebury, een Linux-achterdeur in staat om OpenSSH-gegevens te stelen; en de ontdekking van een nieuwe versie van de op Python gebaseerde toolset van Machete, voornamelijk gericht op Venezuela.

Andere bijdragen aan MITRE ATT & CK technieken en software zijn te vinden op de volgende links: softwarepakket gebruikt door FinFisher, toegangsmeldingen op Android OS, binaire padding, Turla's Epic achterdeur en vervuilde gedeelde inhoud.

Voor meer informatie over hoe ESET ATT & CK gebruikt voor verbeterde eindpuntbescherming, vraag hier het gezamenlijke webinar aan met MITRE ATT & CK.