Il MITRE Adversarial Tactics, Techniques, and Common Knowledge, noto come MITRE ATT&CK, è un framework concepito per descrivere in modo dettagliato le tattiche e tecniche comunemente utilizzate dagli attaccanti informatici durante le diverse fasi di un attacco. Il framework ATT&CK è una risorsa fondamentale nell’analisi delle minacce informatiche, fornendo una struttura per comprendere meglio le modalità operative degli attaccanti, e aiutando i professionisti della sicurezza a proteggere i sistemi da attacchi informatici complessi.
Il MITRE ATT&CK viene ampiamente utilizzato in ambiti come l’analisi di malware e la valutazione della sicurezza informatica. Tale framework raccoglie una vasta gamma di dati su malware, strumenti, operazioni e gruppi di attaccanti, fornendo così una risorsa preziosa per la comprensione delle minacce informatiche e delle tecniche utilizzate dagli aggressori grazie la quale è possibile identificare e comprendere il comportamento di malware e attacchi informatici in modo più efficace, consentendo alle organizzazioni di rispondere prontamente alle minacce e di migliorare le proprie strategie di difesa.
Il framework è strutturato in:
- Tattiche: identificate con codici che iniziano con le lettere ‘TA’ e seguite da 4 numeri.
- Tecniche: identificabili dal pattern ‘T’ seguito da 4 numeri.
- Sotto-tecniche: rappresentate dal nome della tecnica principale seguito dal punto e 3 caratteri numeri.
Le Tattiche rappresentano gli obiettivi di alto livello che un attaccante mira a raggiungere durante un attacco informatico; in altre parole, indicano le fasi strategiche dell’attacco e il perché delle azioni dell’attaccante. Le Tecniche, invece, definiscono i metodi concreti che l’attaccante utilizza per raggiungere questi obiettivi, spiegando come vengono eseguite le azioni necessarie per realizzare la tattica in questione.
La fase di Reconnaissance (Riconoscimento) rappresenta un passaggio cruciale nel ciclo di vita di un attacco informatico, in cui gli attaccanti si dedicano alla raccolta di informazioni dettagliate su un obiettivo specifico per pianificare le loro operazioni future. L’obiettivo principale di questa tattica è comprendere l’ambiente target, identificando vulnerabilità, risorse critiche e potenziali vie di accesso. Attraverso un’analisi accurata, gli aggressori mirano a ricostruire nel modo più preciso possibile la struttura del bersaglio.
In questa fase, gli attaccanti non solo si dedicano a raccogliere informazioni tecniche, ma prestano attenzione anche agli aspetti umani, comprendendo la cultura aziendale e le dinamiche interne. Attraverso l’uso di tecniche di Social Engineering, gli aggressori possono ottenere informazioni preziose interagendo direttamente con i dipendenti, sfruttando la fiducia o creando situazioni ingannevoli (con tecniche come Phishing for Information). Inoltre, la raccolta di dati tramite OSINT (Open Source Intelligence) permette loro di accedere a informazioni pubblicamente disponibili, come profili sui social media, articoli di notizie e report aziendali. Questo approccio consente di costruire un profilo completo del bersaglio, aumentando significativamente le possibilità di successo nei successivi passaggi dell’attacco.
La maggior parte delle tecniche utilizzate rientrano nel processo di raccolta e analisi delle informazioni disponibili pubblicamente, provenienti da fonti accessibili a demonimanto OSINT (Open Source Intelligence), nello specifico le tattiche inerenti risultano essere:
- Gather Victim Host Information (T1592): Questa tecnica consiste nella raccolta di informazioni sui dispositivi e sistemi utilizzati dal bersaglio. Ciò può includere dettagli su hardware, software, configurazioni e versioni di sistemi operativi, utili per identificare vulnerabilità.
- Gather Victim Identity Information (T1589): Si riferisce alla raccolta di dati identificativi su individui associati all’organizzazione target, come nomi, indirizzi email e ruoli utilizzabili per attacchi di social engineering o phishing.
- Gather Victim Network Information (T1590): Si occupa della raccolta di informazioni sulla rete dell’obiettivo, inclusi indirizzi IP, configurazioni di rete e topologia e aiuta a comprendere meglio l’architettura di rete e a individuare potenziali punti deboli.
- Gather Victim Org Information (T1591): Consiste nella raccolta di dati sull’organizzazione target, come la sua struttura, operazioni, politiche e dipendenti. Questa conoscenza è fondamentale per pianificare attacchi mirati.
- Search Open Technical Databases (T1596): Questa tecnica implica l’accesso a database tecnici pubblicamente disponibili per raccogliere informazioni su software, versioni e vulnerabilità noti permettendo l’identificazione dei punti deboli nel sistema.
- Search Open Websites/Domains (T1593): Consiste nella ricerca di informazioni su siti web pubblici e domini associati all’organizzazione target e può includere dettagli su registrazioni, contenuti web e infrastrutture online.
- Search Victim-Owned Websites (T1594): Questa tecnica implica l’analisi dei siti web di proprietà dell’obiettivo per ottenere informazioni rilevanti, come dati aziendali, comunicati stampa e dettagli sui prodotti, che possono rivelare vulnerabilità o strategie di attacco.
Alcune di queste informazioni possono essere disponibili o acquistabili tramite fonti chiuse presenti nel Dark Net, dove il processo di raccolta delle informazioni provenienti da fonti chiuse è denominato CLOSINT. Queste fonti possono includere mercati online, forum riservati e database non accessibili pubblicamente:
- Search Closed Sources (T1597): Si riferisce alla ricerca di informazioni in fonti chiuse o a pagamento, come banche dati, rapporti aziendali, archivi privati e altre risorse che non sono accessibili liberamente al pubblico. Questa tecnica può includere l’accesso a documenti riservati, report di intelligence, e altre informazioni che richiedono un abbonamento o un’autenticazione per essere consultati.
Oltre a quelle precedentemente citate troviamo anche alcune tecniche relative al Social Engineering (Ingegneria Sociale) che puntano ad ingannare i dipendenti della struttura la fine di ottenere informazioni non pubblicamente esposte:
- Phishing for Information (T1598): Implica l’invio di comunicazioni fraudolente, tipicamente via email, con l’obiettivo di ingannare le vittime e indurre a rivelare informazioni sensibili, come credenziali di accesso, dati personali o informazioni aziendali riservate.
Infine, è possibile che gli attaccanti utilizzino tecniche attive per reperire informazioni aggiuntive che sfruttano strumenti e metodi diretti:
- Active Scanning (T1595): Tale tecnica utilizza strumenti e metodi attivi per raccogliere informazioni sull’obiettivo inviando richieste dirette ai sistemi, reti e/o servizi al fine di identificare vulnerabilità, porte aperte e servizi in esecuzione (un esempio concreto e attuale sono i crawler che scansionano gli indirizzi alla ricerca di vulnerabilità PHP recenti). Tale tecnica è particolarmente efficace in quanto fornisce dati concreti relativamente alla struttura ma al tempo stesso può generare dei segnali di allerta nei sistemi di difesa rendendo visibile l’attività degli attaccanti.
Ognuna di queste tecniche include delle sotto-tecniche (o sub-techniques) che specificano i metodi utilizzabili per accedere a dati particolari relativi alla tecnica principale. Queste sotto-tecniche offrono un ulteriore livello di dettaglio, consentendo agli aggressori di adattare le loro strategie in base agli obiettivi e alle informazioni che desiderano ottenere. Identificare e comprendere queste sotto-tecniche è fondamentale per analizzare le modalità di attacco e sviluppare contromisure efficaci.
Prendiamo in considerazione un possibile scenario di attacco concentrando l’attenzione solamente sulla fase di Reconnaissance.
L’attaccante procede con la raccolta di informazioni pubbliche sul sito web dell’azienda (Tecnica T1594), inclusi dettagli sui dipendenti, indirizzi email, numeri di telefono e eventuali documenti pubblici. Identifica, quindi, il pattern utilizzato per generare le email aziendali (Tecnica T1589.002) dei dipendenti, non ha rinvenuto numeri di telefono particolari ma sono presenti diversi metadati nei documenti ed immagini presenti nel sito web. In questo modo ottiene informazioni riguardanti i sistemi operativi e gli utenti presenti nella struttura. Identifica così i principali sistemi operativi utilizzati che risultano essere Windows ed identifica la presenza di alcuni utenti di Active Directory grazie al metadatao relativo all’autore che ne espone l’informazione con il seguire il pattern:
<dominio>\<nome utente>
Successivamente analizza i principali profili aziendali su vari social network (Tecnica T1593.001) come ad esempio Facebook, Instagram, Linkedin, X (Twitter), YouTube. Tramite i post pubblicati identifica molteplici informazioni tra cui una lista parziale di dipendenti (Tecnica T1589.003) tramite gli utenti presenti in Linkedin (che risulterà utile in futuro per aumentare la chance di successo nei tentativi di accesso futuri), da YouTube rinviene alcuni video in cui viene presentata la struttura in cui si intravedono dei portatili e stando alle informazioni visualizzate sugli schermi sembrerebbero essere Windows 7 (risulta essere End-of-Life anche il supporto esteso – 10 Gennaio 2023) che potrebbero essere utili per il movimento laterale futuro. Inoltre, tramite i post di Facebook e Instagram identifica i dipendenti che si occupano delle pubbliche relazioni con i clienti.
Dopo aver raccolto queste informazioni preliminari, l’attaccante utilizza strumenti di ricerca specializzati (Tecnica T1596.005) come Shodan.io per ottenere ulteriori dettagli sui servizi esposti, senza dover interrogare direttamente i sistemi. Identifica così quattro web server distinti che potrebbero rappresentare potenziali punti di accesso iniziali. Due di questi server si trovano ‘in casa’, ovvero all’interno della struttura aziendale, probabilmente situati in una parte segregata della rete, come la DMZ.
Tramite l’ingegneria sociale effettua delle chiamate (Tecnica T1598.004) ad alcuni numeri rinvenuti durante le ricerche online da cui riesce ad ottenere informazioni relativamente ai sistemi di protezione antivirus (Tecnica T1592.002) utilizzati dall’azienda (utili per le fasi successive di Defensive Evasion).
Dal Dark Net (Tecnica T1597) ottiene delle credenziali associate ad alcuni utenti rinvenuti in precedenza che potrebbero essere state riutilizzate negli account lavorativi.
Infine, effettua una Analisi Attiva (Tecnica T1595) della struttura alla ricerca di ulteriori informazioni che potrebbero tornare utili ma non rinviene ulteriori informazioni utili.
Alla fine della fase di Reconnaissance l’attaccante ha pertanto identificato le seguenti informazioni:
- Utenti di sistema, Email, Nominativi, Credenziali e Ruoli aziendali.
- Tipologia e Versione dei sistemi operativi, Software di protezione e Antivirus, Posizione dei sistemi operativi (interni o remoti).
- Possibili Utenti inesperti riguardo ad attacchi mirati.
Gli scenari che possono avere più successo al fine di ottenere un accesso iniziale risultano quindi essere:
- Compromissione di un Web server esposto e relativa compromissione della DMZ.
- Phishing mirato e compromissione di un client aziendale.
- Accesso tramite VPN con grazie all’utilizzo delle credenziali trafugate.
Di conseguenza inizierà a sviluppare le proprie risorse (Resource Development – TA0042) sulla base delle informazioni rinvenute per poi procedere con l’attacco effettivo.
Il MITRE ATT&CK, come precedentemente citato, offre anche dettagli sulle mitigazioni applicabili e sui sistemi di rilevamento. Queste informazioni sono preziose per organizzazioni e team di difesa, poiché forniscono indicazioni su come ridurre il rischio di attacchi e migliorare le capacità di rilevamento delle attività sospette. Implementando le strategie di mitigazione suggerite e i meccanismi di monitoraggio, le aziende possono rafforzare la loro postura di sicurezza e rispondere in modo più efficace alle minacce emergenti.
Nello specifico la maggior parte delle mitigazioni relative alla fase di Reconnaissance si concentra sull’importanza di ridurre al minimo la quantità e la sensibilità dei dati accessibili a parti esterne. Ciò implica implementare strategie per limitare le informazioni pubblicamente disponibili, come la revisione delle impostazioni di privacy sui profili aziendali e la restrizione dell’accesso a dati sensibili. Inoltre, le organizzazioni dovrebbero essere consapevoli delle informazioni che vengono condivise, sia sui propri siti web che attraverso i social media, e adottare pratiche per proteggere i dati critici. Queste misure aiutano a ridurre la superficie di attacco e a rendere più difficile per gli aggressori raccogliere informazioni utili per pianificare attacchi.
Inoltre, per contrastare gli attacchi di tipo Social Engineering, è fondamentale adottare programmi di sensibilizzazione e formazione per gli utenti. Questi programmi devono mirare a insegnare ai dipendenti come riconoscere segnali di allerta e comportamenti sospetti, come email fraudolente o richieste di informazioni personali non autorizzate. Sensibilizzare il personale su queste minacce contribuisce a creare una cultura di sicurezza all’interno dell’organizzazione, riducendo il rischio che gli aggressori sfruttino la vulnerabilità umana per ottenere accesso a informazioni sensibili.
Relativamente ai sistemi di rilevamento, la maggior parte delle tecniche relative a questa tattica non è direttamente controllabile dalla struttura, poiché si basa su informazioni esterne. Tuttavia, è comunque consigliato implementare sistemi di log e monitoraggio del traffico per identificare attività sospette. Questi sistemi possono registrare eventi chiave e analizzare il traffico di rete per individuare comportamenti anomali che potrebbero indicare tentativi di riconoscimento. L’analisi di questi log e il monitoraggio continuo consentono di rilevare segnali di allerta tempestivi, permettendo alle organizzazioni di reagire prontamente a potenziali minacce.