Janvier 2019
Avec MITRE ATT&CK™, on cartographie et essaye de comprendre le détail des actions entreprises par l’attaquant une fois dans le système d’information ciblé. C’est cette succession d’actions, et les traces qu’elles laissent, les erreurs commises, qui vont constituer un tout, un profil, une empreinte de techniques caractérisant une attaque et, pourquoi pas, un mode opératoire spécifique.
MITRE ATT&CK™, le renseignement sur les menaces à la portée de tou·te·s
Entièrement libre d’accès, MITRE ATT&CK™ est un point de départ qui peut aider à structurer une démarche de threat intel en termes de capitalisation, d’analyse et de compréhension des modes opératoires attaquants, mais également en matière de détection et d’évaluation de ses propres défenses.
MITRE ATT&CK™, c’est de prime abord un wiki, une base de données considérable remplie de fiches sur les acteurs, les campagnes, les logiciels malveillants et leurs tactiques, techniques et procédures (TTPs).
Analyser les modes opératoires adverses à la lumière de la matrice MITRE ATT&CK™
MITRE ATT&CK™, c’est aussi, et surtout, une matrice (un framework) permettant de cartographier de façon simple les dimensions tactiques et techniques de modes opératoires adverses afin de traduire la donnée capitalisée en donnée actionnable.
Son modèle est très flexible et il est possible, par exemple, de l’utiliser pour :
- Visualiser et évaluer sa couverture défensive…
…au regard de l’ensemble des TTPs (tactiques, techniques et procédures) de la matrice, ou de seulement quelques techniques nous ciblant ou susceptibles de nous cibler. Les techniques choisies peuvent l’être en raison de divers critères. Une “heat map” sera ici l’outil idéal.
La “tactique” est ici un objectif que l’attaquant cherche à atteindre dans le système d’information compromis. MITRE en distingue 11 : accès initial, exécution, persistance, escalade de privilèges, contournement et évasion des défenses, vol d’identifiants, exploration du SI (ou discovery), mouvements latéraux, collection de données, exfiltration et C2 (commande et contrôle).
Pour atteindre ces objectifs tactiques, l’attaquant mettra en oeuvre une ou plusieurs “techniques”. Ce sont ces techniques qui seront cartographiées.
- Améliorer ses capacités de détection…
…en traduisant certaines TTPs en règles de détection, puisque MITRE ATT&CK™ liste de façon précise les différentes TTPs.
Il existera toujours des moyens d’outrepasser les défenses traditionnelles. Par exemple, l’URL de delivery pourra être modifiée régulièrement ou le malware pourra être recompilé afin de modifier son hash. Les marqueurs fondés sur ces éléments sont donc fragiles. Mais une fois entré, l’attaquant effectuera régulièrement des actions similaires et récurrentes, qui peuvent être anticipées et détectées.
C’est pour cela que ce qui importe ici, ce sont les actions qui seront réalisées, leur enchaînement, les traces laissées, les fichiers manipulés, créés, modifiés, et les anomalies détectées. Enfin, et il faut en être conscient : détecter à partir du modèle MITRE ATT&CK™, c’est partir du postulat que le déclenchement d’une alerte implique avec un niveau de confiance élevé que le système d’information monitoré a été compromis ou est victime d’une intrusion.
- Communiquer…
…auprès de la hiérarchie ou de collègues avec un outil visuel et didactique.
- Émuler le comportement d’un attaquant et éprouver les défenses…
…en constituant des scénarios de Red Team, technique par technique. Parce que rien ne vaut une mise en situation dans des conditions réelles, il est possible de construire des simulations très pertinentes, reproduisant fidèlement les TTPs d’un cluster d’activité, ou panachées selon l’appréciation de l’analyste.
- Laisser libre cours à son imagination
Le Navigator, qui permet une modélisation interactive de la matrice, laisse une totale liberté de manipuler les cellules à notre guise. Les TTPs cartographiées peuvent être décorrélées d’une attaque ou d’un mode opératoire spécifique. Il est possible de cartographier des techniques pour plusieurs raisons : leur récurrence dans plusieurs attaques avancées et persistantes connues, leur redondance dans plusieurs attaques ayant ciblé un secteur d’activité, le fait qu’elles ne soient pas encore couvertes par les défenses en place, etc.
Loin de la hype de l’attribution
MITRE ATT&CK est un outil d’analyse, de compréhension, et de défense, mais pas un outil d’attribution, loin de là. Si les techniques et tactiques peuvent parfois caractériser l’action d’un attaquant, d’une campagne ou d’un groupe de menaces… ces techniques et tactiques peuvent être courantes, partagées et transverses aux différents modes opératoires adverses pouvant être étudiés ; et donc potentiellement insuffisantes pour discriminer deux groupes de menaces. De plus, force est de constater que l’utilisation d’outils légitimes et “grand public” est de plus en plus courante même chez les “APT stars” souhaitant se fondre dans la masse.
Toutefois, une défense améliorée grâce à MITRE ATT&CK peut être dissuasive et, dans un monde idéal, forcer l’attaquant ou le groupe de menaces à faire évoluer ses TTPs.
MITRE permet donc de :
- Capitaliser notre connaissance des TTPs de certains attaquants, groupes de menaces, campagne(s) ou attaque(s) en la représentant visuellement sur une matrice.
- Suivre l’évolution des TTPs d’attaquants, ou de groupes de menaces par la mise à jour et le versionning.
- Comparer des TTPs rattachées à un ou plusieurs attaquants, groupes de menaces ou clusters d’activité. Certaines TTPs sont communes à plusieurs modes opératoires, bien que les outils employés soient différents.
- Partager : collaboratif, collaboratif, collaboratif — le renseignement sur les menaces est un sport d’équipe, et nous pouvons partager plus que des IOCs, mais également des TTPs modélisées. Les IOCs transmis sont ainsi re-positionnés dans un contexte et une succession d’actions informant sur les décisions prises par l’attaquant une fois installé dans le SI compromis.
