Il MITRE Adversarial Tactics, Techniques, and Common Knowledge, noto come MITRE ATT&CK, è un framework concepito per descrivere in modo dettagliato le tattiche e tecniche comunemente utilizzate dagli attaccanti informatici durante le diverse fasi di un attacco. Il framework ATT&CK è una risorsa fondamentale nell’analisi delle minacce informatiche, fornendo una struttura per comprendere meglio le modalità operative degli attaccanti, e aiutando i professionisti della sicurezza a proteggere i sistemi da attacchi informatici complessi.
Il MITRE ATT&CK viene ampiamente utilizzato in ambiti come l’analisi di malware e la valutazione della sicurezza informatica. Tale framework raccoglie una vasta gamma di dati su malware, strumenti, operazioni e gruppi di attaccanti, fornendo così una risorsa preziosa per la comprensione delle minacce informatiche e delle tecniche utilizzate dagli aggressori grazie la quale è possibile identificare e comprendere il comportamento di malware e attacchi informatici in modo più efficace, consentendo alle organizzazioni di rispondere prontamente alle minacce e di migliorare le proprie strategie di difesa.
Il framework è strutturato in:
- Tattiche: identificate con codici che iniziano con le lettere ‘TA’ e seguite da 4 numeri.
- Tecniche: identificabili dal pattern ‘T’ seguito da 4 numeri.
- Sotto-tecniche: rappresentate dal nome della tecnica principale seguito dal punto e 3 caratteri numeri.
Le Tattiche rappresentano gli obiettivi di alto livello che un attaccante mira a raggiungere durante un attacco informatico; in altre parole, indicano le fasi strategiche dell’attacco e il perché delle azioni dell’attaccante. Le Tecniche, invece, definiscono i metodi concreti che l’attaccante utilizza per raggiungere questi obiettivi, spiegando come vengono eseguite le azioni necessarie per realizzare la tattica in questione.
La fase di Resource Development (Sviluppo delle Risorse) rappresenta un elemento fondamentale nel ciclo di vita di un attacco informatico, in cui gli aggressori si concentrano sulla creazione e l’acquisizione di strumenti, infrastrutture e competenze necessarie per condurre attacchi efficaci. In questa fase, l’obiettivo principale è costruire una base solida di risorse che possono essere sfruttate per compromettere i sistemi del bersaglio. Questo può includere lo sviluppo di malware personalizzati, l’acquisto di servizi di hosting malevoli o l’acquisizione di credenziali rubate.
Durante il Resource Development, gli attaccanti non si limitano a creare strumenti tecnici, ma si impegnano anche nell’acquisizione di conoscenze e competenze specifiche, che possono spaziare dalla programmazione di exploit alla comprensione delle vulnerabilità dei sistemi operativi. Questo processo può avvenire attraverso forum clandestini, mercati neri online (Dark Web) o persino l’autoformazione mediante risorse disponibili.
Inoltre, questa fase spesso implica l’instaurazione di una rete di supporto, che può includere collaboratori o affiliati disposti a contribuire all’attività offensiva. La pianificazione e lo sviluppo delle risorse non solo aumentano la probabilità di successo degli attacchi futuri, ma consentono anche agli aggressori di operare con maggiore discrezione, rendendo più difficile la loro identificazione e neutralizzazione.
Le tecniche utilizzate in questa fase possono essere raggruppate in tre principali macro-categorie: Acquisizione, Sviluppo e Preparazione.
Nella macro-categoria relativa all’Acquisizione sono comprese le tecniche utilizzate dagli aggressori per ottenere accesso a sistemi, reti e informazioni sensibili (tramite tecniche lecite e non). Gli attaccanti sfruttano vulnerabilità, credenziali rubate e configurazioni errate per compromettere account e infrastrutture, ponendo le basi per ulteriori attività malevole. Le tecniche che appartengono a tale macro-categoria sono:
- Acquire Access (T1650): Si riferisce all’ottenimento di accesso non autorizzato a un sistema o a una rete target tramite l’utilizzo di vari metodi, come exploit di vulnerabilità, phishing, o l’uso di credenziali rubate, per infiltrarsi nell’infrastruttura del bersaglio.
- Acquire Infrastructure (T1583): Si occupa dell‘acquisizione di infrastrutture, come server, domini e servizi di cloud computing, necessarie per supportare le operazioni di attacco, consentendo agli aggressori di mantenere l’anonimato e facilitando attività malevole senza attirare l’attenzione.
- Compromise Accounts (T1586): Compromettere account utente legittimi, come email, social media e servizi cloud, per accedere a sistemi e dati sensibili. Sfruttando tecniche di ingegneria sociale, gli attaccanti possono utilizzare account esistenti per guadagnare fiducia con potenziali vittime. Questo approccio consente loro di operare in modo più credibile, facilitando il furto di dati o la manipolazione delle informazioni.
- Compromise Infrastructure (T1584): La tecnica prevede la compromissione di infrastrutture di terze parti, inclusi server fisici o cloud, domini, dispositivi di rete e servizi web. Invece di acquistare o noleggiare infrastrutture, gli attaccanti possono sfruttare risorse esistenti per operazioni future. Inoltre, possono compromettere più macchine per formare una botnet, amplificando la loro capacità di condurre attacchi malevoli.
Relativamente allo Sviluppo vi sono tecniche legate alla creazione e all’acquisizione di strumenti e competenze necessari per condurre attacchi informatici. Gli aggressori possono sviluppare malware personalizzati o ottenere software e tecniche tramite risorse disponibili online, migliorando così la loro efficacia operativa. Pertanto troviamo le seguenti tecniche:
- Develop Capabilities (T1587): Questa tecnica riguarda lo sviluppo di capacità interne che possono essere utilizzate durante il targeting. Gli avversari identificano i requisiti e creano soluzioni come malware, exploit e certificati autofirmati. Questo processo è cruciale per migliorare l’efficacia delle operazioni e consente agli aggressori di adattarsi a diverse situazioni nel ciclo di vita dell’attacco, aumentando così le loro possibilità di successo.
- Obtain Capabilities (T1588): È possibile che gli attaccanti acquisiscano strumenti, software e competenze necessarie per condurre attacchi informatici, tali capacità possono essere ottenute tramite l’acquisto, il download gratuito o il furto di malware, exploit, certificati e informazioni sulle vulnerabilità.
Infine, la macro-categoria destinata alla Preparazione contiene tecniche destinate alla creazione di un ambiente favorevole per l’esecuzione di attacchi. Ciò include la creazione di account falsi e la disposizione di strumenti e risorse in modo strategico. Questa fase è cruciale per garantire che gli attaccanti possano operare senza intoppi e con un rischio minimo di essere rilevati.
- Establish Accounts (T1585): Prevede la creazione e la gestione di account falsi. Questi account possono servire a costruire un’identità che supporta le operazioni, sviluppando informazioni pubbliche e affiliazioni su social media o siti web, aumentando la legittimità durante le operazioni.
- Stage Capabilities (T1608): Gli avversari possono caricare, installare o configurare strumenti e risorse per attacchi futuri, organizzando capacità sviluppate (Develop Capabilities) o ottenute (Obtain Capabilities) su infrastrutture controllate. Queste capacità possono risiedere su infrastrutture acquistate o compromesse (Acquire Infrastructure, Compromise Infrastructure) e su servizi web come GitHub o PaaS (Platform-as-a-Service).
Ognuna di queste tecniche include delle sotto-tecniche (o Sub-techniques) che definiscono gli ambiti specifici in cui vengono applicate. Identificare e comprendere queste sotto-tecniche è fondamentale per analizzare le modalità di attacco e sviluppare contromisure efficaci.
Prendiamo in considerazione un possibile scenario di attacco concentrando l’attenzione solamente alla fase di Resource Development.
Proseguendo dall’articolo precedente relativamente al Reconnaissance avevamo rinvenuto le seguenti informazioni:
- Utenti di sistema, email, nominativi, credenziali e ruoli aziendali
- Tipologia e versione dei sistemi operativi, software di protezione e antivirus, posizione dei sistemi operativi (interni o remoti)
- Possibili utenti inesperti riguardo ad attacchi mirati
E come possibili scenari di attacco:
- Possibile compromissione tramite Web server esposti e relativa compromissione della DMZ
- Phishing mirato e compromissione di un client aziendale
- Accesso tramite VPN con grazie all’utilizzo delle credenziali trafugate
di conseguenza gli attaccanti devono ora iniziare a sviluppare la propria struttura di attacco.
Vengono creati una serie di account social falsi per preparare il terreno a un possibile attacco phishing. Questi account vengono mantenuti attivi attraverso la pubblicazione di contenuti fittizi, emulando il comportamento di utenti normali con interessi apparenti. In questo modo, durante la fase di attacco, l’account utilizzato risulta più credibile e può ingannare gli utenti.
Parallelamente, vengono acquistati domini omomorfi, ovvero domini con leggere variazioni grafiche che potrebbero passare inosservate. Ad esempio, si possono utilizzare variazioni come “studioconsi.com” e “studoiconsi.com”, in cui le lettere “i” e “o” sono invertite, oppure “goggle.com” al posto di “google.com”.
Queste strategie consentono di creare diversi scenari di attacco. Il primo prevede l’utilizzo di un account con un nome molto simile a quello reale, facendo credere che la comunicazione inviata all’utente provenga direttamente dall’azienda. Il secondo sfrutta errori di battitura comuni, in cui lettere vengono invertite, omesse o aggiunte, aumentando così le possibilità che l’utente raggiunga il sito a causa di un errore di battitura e magari inserisca credenziali di autenticazione nullo stesso che viene ricreato uguale a quello originale.
Ipotizziamo che uno dei server esposti nella DMZ utilizzi una versione obsoleta di un servizio con molteplici vulnerabilità, alcune delle quali non dispongono di exploit pubblici. In questo contesto, vengono sviluppati (Develop Capabilities: Exploits – T1587.004) o acquistati (Obtain Capabilities: Exploits – T1588.005) exploit tramite specifici mercati del Dark Net.
Questa strategia consente di predisporre diversi scenari in caso di fallimento o impossibilità di un approccio specifico, come ad esempio un aggiornamento dei sistemi vulnerabili.
Il gruppo si concentra anche sulla modifica dei propri strumenti per evitare il rilevamento da parte dei sistemi antivirus precedentemente identificati, aumentando così le probabilità di successo nella fase di evasione difensiva.
Infine, viene allestito un ambiente di supporto per le fasi successive dell’attacco, facilitando il download di strumenti e le operazioni di Command and Control. Questo prevede, nel caso dello scenario ipotetico trattato, la compromissione di un sistema per l’installazione e la distribuzione di malware e strumenti (Compromise Infrastructure: Server – T1584.004), e di un secondo sistema per la comunicazione e l’esfiltrazione dei dati.
Un ulteriore scenario potrebbe riguardare la compromissione di un server email di un fornitore dell’azienda target, consentendo così l’invio di email a nome del fornitore e dando origine a attacchi phishing particolarmente pericolosi.
In sintesi, al termine di questa tattica, gli attaccanti avranno sviluppato le seguenti capacità:
- Server per la distribuzione di malware e per il comando e controllo.
- Domini per attacchi di phishing mirati.
- Sistemi di evasione per eludere il rilevamento degli antivirus.
- Exploit personalizzati progettati per sfruttare vulnerabilità note.
In questo modo, è ora possibile passare alla fase attiva fase dell’attacco (Initial Access – TA0001).
Il MITRE ATT&CK offre anche dettagli sulle mitigazioni applicabili e sui sistemi di rilevamento. Queste informazioni sono preziose per le organizzazioni, poiché forniscono indicazioni su come ridurre il rischio di attacchi e migliorare le capacità di rilevamento delle attività sospette. Implementando le strategie di mitigazione suggerite e i meccanismi di monitoraggio, le aziende possono rafforzare la loro postura di sicurezza e rispondere in modo più efficace alle minacce emergenti.
Nello specifico non vi sono mitigazioni relative alla fase di Resource Development in quanto l’attività si basa su comportamenti eseguiti al di fuori dell’ambito delle difese e dei controlli aziendali.
Relativamente ai sistemi di rilevamento è fondamentale concentrarsi su diverse aree strategiche. La maggior parte delle quali rientra nel campo dell’OSINT:
- Domain Name (DS0038): Monitorare la registrazione di domini sospetti e implementare politiche di protezione dei nomi di dominio per prevenire l’acquisto non autorizzato.
- Persona (DS0021): Proteggere le identità online e le informazioni personali, garantendo che non vengano utilizzate per ingegneria sociale o phishing.
- Certificate (DS0037): Verificare la validità e la legittimità dei certificati digitali per evitare l’uso di certificati falsificati o compromessi.
- Malware Repository (DS0004): Monitorare e bloccare l’accesso a repository di malware noti, impedendo così il download di strumenti malevoli.
- Internet Scan (DS0035): Eseguire scansioni regolari sul perimetro esterno per identificare potenziali vulnerabilità o punti deboli nei sistemi esposti.
Infine, è fondamentale analizzare e monitorare il traffico di rete per identificare attività anomale che potrebbero indicare compromissioni o attacchi in corso, che risulta utile per identificare anche altre fasi dell’attacco informatico.