Mitre ATT&CK Framework Nedir ?

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18
Zelal Yavuz tarafından yazılmıştır.

[TR]Mitre ATT&CK Framework Nedir ?​


MITRE ATT&CK, siber saldırganların davranışlarından yola çıkarak taktik, teknik ve prosedürlerini anlamaya çalışan ve bu saldırıları sınıflayan ücretsiz açık kaynaklı bir araçtır. Amaç saldırgan davranışlarını gruplayarak ortak bir sınıflandırma oluşturmaktır. MITRE ATT&CK aracı ile siber savunma ekipleri olası bir saldırı riskine karşı bir strateji geliştirebilir, sistemdeki açıkları kontrol edebilir ve riskleri değerlendirebilir. Bu sayede savunmadaki boşluklar düzeltilebilir.

MITRE ATT&CK, tamamen gerçek olayların analiz raporlarına dayalıdır. Cyber Kill Chain(Siber Saldırı Yaşam Döngüsü)’nin bir alt kümesini kapsar. Windows, Linux, Macos, IOS, Android işletim sistemlerini destekler.



PRE-ATT&CK VE ATT&CK​


Bir saldırganı ağa erişmeden önce engellemek mümkündür. Siber savunucular, saldırıları önlemek amacıyla Cyber Kill Chan’ in ilk iki aşamasını kapsayan, MITRE PRE-ATT&CK’ ın üst düzey taktiklerinden faydalanabilirler. Böylelikle saldırganın ağa erişmesi önlenebilir.

0*JygoCrdyAP98cRmE

MITRE ATT&CK Nasıl Organize Ediliyor ?​


MITRE ATT&CK Enterprise Matrix; Windows, Mac, Office365, Azure AD, Google Workspace, SaaS, IaaS platformlarını destekleyen ve tüm saldırı tekniklerini sunan bir sınıflandırma sağlar. Toplamda 12 taktik bulunur. Her taktiğin kendi içerisinde farklı teknikleri vardır.

0*6drX-AUjqzL4yLSi

TTP Nedir ?​


Taktik, teknik ve prosedürlerin kısaltmasıdır.

Taktik: Bir saldırganın ulaşmaya çalıştığı hedefleri temsil eder. Bunlar; İlk Erişim(Initial Access), Çalıştırma(Executions), Kalıcılık(Persistence), Ayrıcalık Yükseltme(Privilege Escalation), Savunmayı Atlatma(Defence Evasion), Kimlik Bilgilerine Erişim(Credential Accsess), Keşif(Discovery), Yanal Hareket( Lateral Movement), Toplama(Collection), Komuta ve Kontrol(Command & Control), Sızma(Exfiltration) ve Etki (Impact)’ dir.

MITRE ATT&CK Enterprise Matrisinde bulunan taktiklerin temel bir özeti;

0*Pq7SCG0uXIsTQMs-


Teknik: Rakibin hedefe nasıl ulaşabileceğini tanımlayan yollardır. Çevrimiçi matris aracı ile teknikleri detaylı inceleyebiliriz. Burada kullanılacak tekniğin daha ayrıntılı açıklamaları, Prosedürleri, Olası hafifletmeleri ve kullanılabilecek yazılımları görebiliriz.

0*yWJN8de6IQQ8Lr63


Prosedür: Tekniğin nasıl yürütüldüğü hakkında bilgi verir. Tekniği incelediğimizde Prosedür örnekleri diye bir bölüm göreceğiz. Bunlar çeşitli prosedürlerdir. Bu prosedürlerde Saldırgan grupları, İlişkili grup Açıklamaları, Kullanılan Teknikler ve Yazılımlar hakkında bilgi verilir.

0*0jl7d_t7Ll_28m8k

APT Grupları​


MITRE ATT&CK saldırı gruplarını netleştiren bir veritabanına sahiptir. Veritabanında 91 adet APT grubu ve bu grupların kullandığı teknikler, yazılımlar bulunur. Bir tehdit durumunda muhtemel gruplar listelenebilir ve bir harita çıkarılabilir. Bu sayede kullanılması ihtimal teknik ve davranışları anlayabiliriz.

0*nn76YRyjhFUaylX2

MITRE ATTA&CK TEMEL KULLANIM DURUMLARI​

  • Tehdit İstihbaratı
  • Tespit ve Analiz
  • Rakip Davranış Emülasyonu ve Read Time Oluşturma
  • Değerlendirme ve Mühendislik

Kullanım Durumlarının 3 Seviyesi vardır. Bunlar;

Level 1: Kaynağı kısıtlı ve yeni başlayanlar ekipler

Level 2: Orta seviye ve olgunlaşmak isteyen ekipler

Level 3: Birçok kaynağa sahip ileri derece gelişmiş ekipler



LEVEL 1’ de Yapılacaklar​

  • Tehdit’ e göre bir APT Grubu seçilir.
  • Grubun kullandığı teknikler incelenir.
  • Tekniklerde kullanılan yazılımlar incelenir
  • Tespitler yapılır ve sistemde bir eksik varsa düzeltilir.

APT3 Grubunu inceleyecek olursak;

0*uTZbxyRqIICPaN6n


İlişkili olduğu gruplar:

0*jcmoBm_gI5k_xWmK


APT3 Grubunun Kullandığı Teknikler

0*yb2BFEBWcJJeofNo


Kullanılan Yazılımlar

0*xZKPDHRFp55sCo7R


SONUÇ; APT3 grubunun ilişkili grup açıklamalarında verlien grupların aynı örgüt olduğu düşünülüyor. Şifre Kırma, Hesap manipülasyonu, Kimlik bilgileri çalma, Dosyaları silme gibi çeşitli saldırılarda bulunduğunu görüyoruz. Örneğin Hesap Manipülasyon saldırısı için önlem almak istiyorsak MITRE ATT&CK’ ın sunduğu prosedürleri inceleyebiliriz. Burada Hafifletmeler ve tespit etme tablolarından yola çıkarak hem nasıl bir savunma yapabileceğimizi anlıyor hem de saldırı tespiti için yapmamız gerekenleri görebiliyoruz.



0*EdvjLLug7z9i2rwH




LEVEL 2’ de Yapılacaklar​

  • Saldırgan davranışları incelenir.
  • Haritalama yapılır.
  • Çeşitli saldırı logları incelenir
  • Saldırganın kullandığı taktik ve teknikler bulunur.

Saldırganların taktik, teknik ve prosedürlerini ATT&CK Matrisi ile eşleştirerek kim olduklarını, ne yapabileceklerini ve saldırı çeşitlerini, nasıl bir önlem alınması gerektiğini ve durdurma yolları hakkında fikir sahibi olabiliriz.

Örneğin aşağıda ATT&CK ile eşleşmiş bir rapor var. Bu raporu inceleyebiliriz.

0*lC6FTOVIFaY28a1v


Bunun için;

  1. ATT&CK’ ı anlamak: Taktiklerin genel yapısı hakkında bilgi edinme
  2. Davranışı Bulun: Saldırgan eylemini bulma.
  3. Davranışı Araştır: Saldırganın davranışına hakim değilseniz araştırın.
  4. Davranışta Hangi Taktiğin Kullanıldığını Bulun: Saldırganın hangi taktiği kullandığını bulun.
  5. Hangi Tekniğin Kullanıldığını Bulun
  6. Sonuçları diğer analistler ile paylaşın.





LEVEL 3’ de Yapılacaklar​

  • Daha fazla bilgi eşleştir
  • Bilgileri kullanarak savunma önceliklendirme yapılır.
  • ATT&CK Navigator kullanılır.

ATT ve CK Navigatörü

Tüm teknikler için matris görünümü sağlayan yapıdır.

0*hXa3faxMjlKGSs9R


Yeni Bir Katman Oluşturduk ve Platform olarak Linux işletim sistemini seçtik.

0*IwZBhrAOjYcvoGp3


Search diyerek araştırdığımız grup, yazılım yada tekniğe göre filtreleme yapabiliriz.

0*03L7-gKPKHu2Vpm8


admin@338 grubu ve cloudDuke yazılımını seçtim. Renklendirme yaptım ve tüm vektörler filtrelendi.

0*msAGYbXY6X8nLErJ


Sonuç; MITRE ATT&CK siber saldırgan taktik ve tekniklerini anlamaya yönelik son derece detaylı, global ve güçlü bir açık kaynak araçtır. Siber güvenlik risklerini değerlendirmek ve güvenlik açıklarını belirlemek için kapsamlı bir sınıflandırma sağlar. Güvenlik açıkları anlaşıldıktan sonra kurumunuz risklerin değerlendirilmesi konusunda önlemler alabilir. MITRE ATT&CK saldırıları bölümlere ayırmıştır. Bu sayede tehditlerin karşılaştırmaları daha kolay yapılabilir ve saldırganların sistemden nasıl yararlandığı basitçe anlaşılabilir. Böylece yeni güvenlik önlemleri almak için harekete geçebilirsiniz.
 
Moderatör tarafında düzenlendi:
Geri
Üst