Security+ Sezione 1 Panoramica | Framework di attacco

-

In questa sezione parleremo dei tre diversi framework di attacco: 

  1. Lockheed Martin Kill Chain 
  2. MITRE ATT&CK Framework
  3. Diamond Model of Intrusion Analysis

1. Lockheed Martin Kill Chain

Questo modello di kill chain è stato sviluppato per la prima volta da Hutchins, Cloppert e Amin, sotto contratto dalla Lockheed Martin's Corporation. È stato quindi rilasciato nel pubblico dominio per essere utilizzato da tutti. 

Ora, la kill chain ha un metodo in sette fasi:

  1. Riconoscimento (reconnaissance) 
  2. Armamento (weaponization)
  3. Consegna (delivery)
  4. Sfruttamento (exploitation)
  5. Installazione
  6. Comando e controllo (C2)
  7. Azione sugli obiettivi (Action on Objectives)

1. In questa fase, l'attaccante determinerà i metodi di cui ha bisogno per completare le altre fasi dell'attacco. Ora, uno dei grandi problemi qui è che l'attaccante non vuole essere scoperto mentre sta effettuando la ricognizione, quindi cerca di essere subdolo. Cercano di usare cose come l'open source e la raccolta passiva di informazioni e cose del genere in modo che non possano essere rilevate. In questa fase è possibile utilizzare tecniche di scansione sia passive che attive sulla rete di destinazione, ma generalmente inizieremo con la raccolta passiva di informazioni e poi passeremo alla scansione attiva.

2. Durante l'armamento, l'attaccante accoppierà il codice del payload che consentirà l'accesso con il codice di exploit e questo gli consentirà di perseguire una vulnerabilità da eseguire su quel sistema di destinazione. Ora, in questo modo, fondamentalmente stai codificando o creando il malware o l'exploit che desideri eseguire. ma non lo stai ancora eseguendo. L'hai creato solo all'interno del tuo laboratorio e non l'hai inviato al sistema vittimizzato.

3. È qui che l'attaccante identificherà un vettore con il quale può trasmettere il codice armato all'ambiente di destinazione. Potrebbe essere tramite e-mail. Ciò potrebbe avvenire facendo cadere l'unità USB caricata con quel malware. Qualunque sia il meccanismo non ha molta importanza in questo momento. Dobbiamo solo pensare al fatto che dobbiamo arrivarci, e questo è ciò che riguarda la consegna.

4. Il quarto passaggio ci porta allo sfruttamento. Qui è dove il codice armato viene effettivamente 
eseguito sul sistema di destinazione da qualsiasi meccanismo tu abbia fatto. Se hai inviato loro un'e-mail con un collegamento di phishing e fanno clic su quel collegamento, l'invio dell'e-mail è stato il recapito. 
Fare clic sul collegamento è quando si verifica lo sfruttamento e iniziano effettivamente a eseguire quel codice.

5. Durante l'installazione, avremo un meccanismo che consente al codice armato di eseguire uno strumento di accesso remoto e ottenere la persistenza su quel sistema di destinazione. Quindi, se avessimo un dropper di fase uno eseguito come parte dell'exploitation, ora abbiamo scaricato e installato la nostra fase due. Questa sarebbe la nostra installazione. E questo ci dà il controllo di quel sistema che va avanti e di quella tenacia che stiamo cercando.

6. È qui che il codice armato stabilisce un canale in uscita verso un server remoto che può quindi essere utilizzato per controllare lo strumento di accesso remoto e possibilmente scaricare strumenti aggiuntivi per aiutarti a progredire nel tuo attacco. A questo punto, ora possiedi praticamente il sistema.

7. Qui l'attaccante utilizzerà in genere l'accesso che ha ottenuto attraverso i passaggi da uno a 
sei per iniziare a fare ciò che desiderava. Potrebbe essere il trasferimento di dati da un sistema remoto, come l'estrazione di dati o qualche altro obiettivo o motivo. Qualunque fosse il loro obiettivo originariamente con la ricognizione, ora l'hanno raggiunto essendo sul sistema, hanno una comunicazione bidirezionale usando comando e controllo, e ora possiamo eseguire azioni sugli obiettivi.

Se posso iniziare a mappare quali sono tutti i modi in cui qualcuno può entrare nel mio sistema, eseguire codice dannoso, ottenere persistenza, eseguire C2 sui miei server e fare qualche tipo di azione, posso quindi inserire le cose per bloccarlo. 
Posso provare a rilevarlo. 
Potrei provare a negarlo. 
Potrei provare a interromperlo o degradarlo. 
Potrei tentare di ingannarli o distruggere le loro capacità.

2. MITRE ATT&CK Framework

Poiché la kill chain è stata criticata per essersi concentrata troppo sulla sicurezza perimetrale con quel metodo lineare che va dall'esterno verso l'interno, è stato sviluppato MITRE ATT&CK Framework che è una base di conoscenza mantenuta dalla MITRE Corporation per la quotazione e la spiegazione di tattiche, tecniche e conoscenze comuni specifiche dell'avversario da cui proviene l'A-T-T-at-C-K. E queste sono anche note come procedure. Puoi trovarli tutti in attacco. mitra. org, e questo è un sito web open source gratuito che puoi visitare e guardare tutte queste informazioni.


Usa più di un modello di matrici, e puoi vederlo qui sullo schermo. Si noti che qui sono presenti colonne diverse e ciascuna è un determinato tipo o categoria di attacco che potrebbe verificarsi. Ad esempio, c'è l'evasione della difesa, c'è l'accesso alle credenziali, c'è la scoperta, il movimento laterale e l'esecuzione. E sotto ciascuno di questi c'è una tattica o una tecnica che potrebbe essere utilizzata da un attaccante per essere in grado di raggiungere quel particolare obiettivo.

Se guardiamo alla fase di ricognizione, c'è in realtà un'altra matrice chiamata matrice pre-ATT&CK. La matrice tattica pre-ATT&CK si allineerà alle fasi di ricognizione e armamento della catena di uccisioni informatiche. In questo modo, possiamo anche vedere che aspetto hanno quelle cose e provare a rilevare le cose prima che diventi un vero attacco ed è mentre è ancora nella fase pre-ATT&CK, perché se possiamo ottenerlo prima, possiamo quindi evitare che ciò diventi un incidente in piena regola.

3. Il modello diamante dell'analisi delle intrusioni

Ora, questo modello viene utilizzato per rappresentare un evento di intrusione. Ogni volta che si verifica un evento di intrusione. Ha qualche relazione con queste quattro categorie, la vittima, la capacità, l'avversario e l'infrastruttura, come vedete qui sullo schermo. Ora puoi anche inserire alcune meta funzionalità, cose come un timestamp, in quale fase ti trovi, il risultato, la direzione, la metodologia o le risorse. Ma queste quattro categorie sono davvero dove si concentra. Ora, per ogni incidente, vorremmo mapparli e guardare questo modello.


Questo modello consentirà a un analista di sfruttare la relazione fondamentale tra le diverse  caratteristiche. Se iniziamo da qui, la vittima avvia questo processo. Scoprono che c'è malware.
Ora questo punta alla capacità perché abbiamo la capacità di vedere ciò che abbiamo avuto.
Quindi, se vediamo questa capacità, possiamo vedere che il malware potrebbe contenere un dominio C2 mentre esaminiamo la nostra risposta all'incidente. Se lo facciamo, ora punta all'infrastruttura, perché C2 è un problema di infrastruttura. Dopo averlo esaminato, iniziamo a vedere che il dominio C2 si risolve in un indirizzo IP C2. Di nuovo, questa è infrastruttura, quindi siamo ancora nello stesso posto. Mentre iniziamo a scavare ulteriormente, potremmo esaminare i log del nostro firewall e ciò rivela che le vittime hanno contattato quell'indirizzo IP C2.