MITRE ATT&CK : Introduction

MITRE ATT&CK : Introduction

Introduction

Selon le site de Mitre, “ATT&CK est une base de connaissances accessible mondialement, décrivant les tactiques et techniques des adversaires basées sur des observations de cas réel”.

MITRE ATT&CK est utilisé par les analystes en sécurité (Blue team) dans le but de comprendre comment une attaque a lieu et quelles en sont les étapes. Par exemple, Atomic Red Team est utilisé pour simuler des attaques sur un système, en se basant les techniques de MITRE ATT&CK afin de tester votre EDR ou votre SIEM.

Vocabulaire

Avant de rentrer dans le vif du sujet, il est important d’expliquer les différents termes et définitions.

Stratégies : L’objectif de l’attaquant, comment va-t-il compromettre la cible, on peut également voir ça comme les étapes d’une attaque réussie et complète (exemple : premier accès, exécution du payload, persistance, élévation des privilèges, etc.).

Techniques : Comment achever un objectif (exemple : premier accès via phishing > exécution du payload via une tâche planifié > exfiltration à travers un serveur C2).

TTPs : Tactics Techniques and Procedures, représente les techniques, les stratégies, procédures et actions effectuées par les attaquants.

APT : Advanced Persistent Threat, ce sont les acteurs, les groupes, souvent sponsorisés par des états. Basiquement, ce sont les méchants hackers.

La matrice MITRE ATT&CK

La matrice regroupe les différentes catégories (14), chacune d’entre elle contient les techniques qu’un attaquant peut utiliser pour exécuter une tactique.

En cliquant sur la partie grise d’une technique, nous pouvons voir un listing des sous-techniques.

En cliquant sur une technique, nous pouvons découvrir divers éléments tel que :

  • une description de la technique
  • un ID
  • les sous-techniques
  • les stratégies associées
  • les OS sous lesquels la technique est utilisée
  • le niveau de privilège requis pour appliquer la technique sur la cible
  • la version
  • et pour finir, la date de création et de modification de l’article

Ensuite, en descendant sur la page, nous verrons des informations telles que les atténuations possibles (mitigations).

Suivi par les moyens permettant de détecter l’attaque.

Pour certaines techniques, il est également possible de voir des exemples de procédures.

Comment l'utiliser ?

MITRE ATT&CK nous aide à comprendre quels sont les groupes d’attaquants, leurs tactiques et leurs techniques. Sur base de ces informations, on peut facilement planifier les solutions permettant de stopper ces menaces, en mettant en place des contres mesures. Lorsque ces mesures sont en place, MITRE ATT&CK nous aide à déterminer quelles sont les éléments (contenus dans les logs) qui vont nous aider à détecter une attaque en cours.

Exemple d'utilisation

Comme exemple, nous allons maintenant imaginer comment un attaquant pourrait exfiltrer des données depuis le réseau de sa société.

La première chose que nous allons faire est de nous rendre sur la matrice MITRE. Les colonnes représentent toutes les tactiques connues de MITRE, dans chaque colonne se retrouve les techniques associées.

Nous allons cliquer sur la technique T1041 – Exfiltration Over C2 Channel. En descendant  tout en bas de la page, nous trouverons les différentes façons de détecter une exfiltration de données via un canal, jusqu’à une machine contrôlé par un attaquant. Pour faire simple, le hacker va tenter d’envoyer les données sur un serveur qu'il contrôle.

Pour détecter cette attaque, nous allons surveiller toutes les connexions suspectes vers des adresses IPs en dehors du réseau interne. Bien entendu, cet évènement seul ne permet pas de détecter une exfiltration des données, car un utilisateur surfant sur internet va forcément se rendre sur des serveurs se trouvant en dehors du réseau interne.

Par contre, cet évènement corrélé avec d’autres, comme une grande quantité de paquets envoyés en dehors du réseau et des accès vers des fichiers confidentiels, peuvent vous alerter d’une attaque potentielle !

About the author
Julien B.

Securitricks

Up-to-Date Cybersecurity Insights & Malware Reports

Securitricks

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Securitricks.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.