Recentemente o framework Mitre ATT&CK, base de conhecimento de táticas e técnicas e conhecimento comum dos inimigos usados de forma a descrever e classificar os comportamentos dos inimigos com base em comportamentos do mundo real , adicionou duas novas táticas que nesta versão descontinua e remove o domínio PRE-ATTK & CK da ATT&CK subistituindo o seu escopo por duas novas táticas em Enterprise ATT&CK.

As técnicas são basicamente atividades mais específicas ou subtécnicas para utilização daquela tática. Portanto, as táticas no Mitre representam uma ação mais ampla que um adversário pode realizar para atingir um objetivo tático, como por exemplo,escalonamento de privilégios.

Enquanto uma técnica é uma ação adversária mais específica, como o exemplo  injeção de processos, a técnica de injeção de processos agora contém 11 subtécnicas que cobrem as diferentes variações de como os adversários podem injetar um código malicioso em processos legítimos do sistema operacional por meio de esvaziamento de processo ou usando uma injeção de DLL. Falamos mais sobre as técnicas de injeção de processo e como o mesmo é usado neste artigo.

As duas novas táticas adicionadas ao Mitre são, Reconnaissance e Resource Development, reconhecimento e desenvolvimento de recursos respectivamente. Tratemos aqui uma breve descrição e como a utilização das mesmas trazem benefícios para uma organização que utiliza o framework no monitoramento e defesa de seu ambiente.

Reconnaissance

Para atingir o objetivo de exploração de um ambiente, o adversário passa por algumas etapas que auxiliam o mesmo a atingir seu objetivo, a imagem abaixo mostra a hierarquia deste ciclo de fases:

Ciclo de fases

A primeira fase é o reconhecimento, é nela que o adversário pode interagir diretamente com o ambiente (reconhecimento ativo) coletando informações sobre portas abertas em potencial, serviços em execução, ou tentar obter informações sem se envolver diretamente com a rede (reconhecimento passivo) como pesquisa de registros públicos do alvo, informações de funcionários e até informações de empresas parceiras. É a partir desta fase que se dará início ao ataque do adversário ao ambiente.

Sendo esta a primeira etapa em um ataque e o mais importante, evitar que o adversário colete tais informações é crucial na defesa do ambiente, e é este o objetivo da inclusão desta tática no Mitre, auxiliar na contenção de importantes informações de um ambiente para que adversários não tenham acesso e faça aproveitamento delas.

Identificada pelo ID TA0043, ela contém 10 técnicas que variam nas formas de coleta de informações como Scan ativo, coleta de informações de hardware, software, nomes de funcionários e até mídias sociais. Como estas informações são baseadas em comportamentos realizados fora do escopo das atividades diárias da organização, deve ser feito um esforço das partes para minimizar a quantidade de informações sensíveis disponibilizadas em vias de comunicações públicas.

A forma mais convencional usada por adversários na coleta de informações são os Search Engines (Mecanismos de buscas, Google, Bing, DuckDuckGo etc). Fazendo uma simples pesquisa no Google o resultado pode ser em um grande número de informações sobre a vítima. Estes mecanismos de buscas rastreiam sites online para indexar o contexto e podem fornecer aos usuários uma sintaxe especializada para pesquisar palavras-chave específicas ou tipos específicos de conteúdo (como tipos de arquivos).

O conteúdo desta tática no Mitre aborda todas as técnicas usadas por adversários na coleta de informações sobre o alvo, conhecer estas técnicas e aplicar as formas de detecção e mitigação é importante para minimizar e eliminar os impactos e riscos que teriam com o acesso indevido.

Resource Development

Da mesma maneira que uma organização investe na criação e suporte de sua infraestrutura, os adversários para comprometer o bom funcionamento da mesma também necessitam de recursos para engajar numa invasão ao ambiente ou realizar um ataque de impacto direcionado (como um DDOS).

Esta nova tática adicionada ao Mitre é identificada pelo ID TA0042 e atualmente conta com 6 técnicas onde descreve e exemplifica os métodos usados por adversários na coleta e criação de recursos que o mesmo utilizará no andamento de uma invasão. Esta construção de recursos pode consistir na compra ou acesso indevido de domínios que podem ser usados para Phishing, suporte ao comando e controle de bots (Botnet), criação de endereço de e-mails ou até roubo destes endereços que a organização julga ser confiável como de fornecedores de produtos ou serviços, entre vários outros recursos.

Como esta ação a partir dos adversários está fora do escopo de defesa das organizações, é importante que a mesma verifique a legitimidade de interações com o ambiente externo. Uma ferramenta popularmente utilizada é o IBM X-Force Exchange, uma plataforma de inteligência de ameaças baseada em nuvem que permite consumir, compartilhar e agir com base em inteligência de ameaças. Ele permite que você pesquise rapidamente as ameaças globais mais recentes à segurança, com ela também é possível realizar a pesquisa de um IP, URL, domínio, nome de aplicação entre outras informações que na defesa de um ambiente é necessário saber o nível de confiabilidade de acordo com a categorização.

O uso de ferramentas convencionais também é recomendado, como o WHOIS, um protocolo de consulta e resposta amplamente usado para consultar informações de contato e DNS sobre entidades da internet, como um nome de domínio ou um bloco de endereço IP. Existe também o Shodan, um mecanismo de busca que permite ao usuário encontrar tipos específicos de computadores conectados à internet usando uma variedade de filtros. Alguns também o descrevem como um mecanismo de busca de banners de serviços, que são metadados que o servidor envia de volta ao cliente.

Ter a visibilidade do ambiente utilizando estas táticas e técnicas pode ajudar as equipes de segurança a detectar e priorizar com precisão ameaças em toda a empresa e fornece insights inteligentes, que permitem que as equipes respondam rapidamente para reduzir o impacto de incidentes.