Wcześniej przedstawiliśmy strukturę MITER ATT&CK, która pomaga kategoryzować różne etapy ataku i umożliwia opisanie taktyk, technik i procedur (TTP) stosowanych przez atakujących. Symulacja i emulacja zagrożeń łączą te drzewa ataków przy użyciu znanych TTP, aby pomóc zidentyfikować słabe punkty kontroli, zasad, praktyk i ludzi w środowisku. Testy te często rozpoczynają się od scenariusza „co będzie, jeśli” z udziałem podmiotu zagrażającego, ustalenia TTP i celu. Pomaga organizacji zrozumieć, co może zobaczyć atakujący, co mogą zobaczyć zespoły obrony i jakie kontrole, jeśli w ogóle, będą przeszkadzać atakującym w osiągnięciu ich celów. Mapując działania na TTP, testerzy mogą pomóc zespołowi niebieskiemu w mapowaniu technik, które działają w środowisku, nie działają w środowisku, i umożliwić tym zespołom mapowanie tych technik na kontrole i źródła danych, które wykrywają lub nie nie wykryć określonej aktywności. Mogą one w późniejszym czasie zostać wykorzystane do dodatkowej aktywności fioletowego zespołu. Symulacja zagrożeń to nie tylko jedna rzecz i jest to jeden z powodów, dla których znajduje się ona wyżej w modelu dojrzałości. Symulacje zagrożeń mogą obejmować połączenie phishingu, hakowania fizycznego, aplikacyjnego, sieciowego i sprzętowego. Symulacja zagrożeń jest podobna do testów penetracyjnych, ale kluczową różnicą jest to, że celem testów nie są po prostu „klejnoty koronne” organizacji, ale raczej przetestowanie ludzi, procesów i technologii organizacji w oparciu o techniki ataku. Symulacje zagrożeń również wymagają więcej planowania niż testy penetracyjne. Często z góry ustala się, jakie TTP zostaną użyte podczas ćwiczenia, i można stworzyć narzędzia, które konkretnie ćwiczą określone TTP, albo w celu określenia ich skuteczności, albo dlatego, że wiadomo, że ich skuteczność jest skuteczna. Po rozpoczęciu ćwiczenia niektóre TTP mogą nie działać lub mogą wystąpić problemy. Być może testerzy będą musieli dostosować lub zmienić TTP, nawet jeśli inne zostały zaplanowane ze względu na ograniczenia czasowe lub nieprzewidziane kontrole. Na przykład, jeśli wykorzystanie WinRM do ruchu bocznego jest zaplanowanym kluczowym TTP, tester może zamiast tego przejść na WMI, jeśli WinRM jest wyłączony w całym przedsiębiorstwie.
UWAGA MITER Attack Navigator (https://mitre-attack.github.io/attacknavigator/) to doskonałe źródło informacji o mapowaniu TTP na potrzeby ćwiczenia. Ma możliwość opisywania TTP, a także wyróżniania tych używanych w ćwiczeniu i eksportowania ich do JSON w celu udostępnienia innym członkom zespołu. Ponadto można nakładać różne warstwy na inne, aby pokazać zakres TTP wykorzystywanych podczas różnych ćwiczeń symulacyjnych zagrożeń, aby skupić się na tym, co działa, a co jeszcze nie zostało przetestowane. Attack Navigator zawiera także łącza do taktyk i technik każdego TTP, dzięki czemu czytelnik może dowiedzieć się więcej na ich temat w oparciu o to, co zostało odwzorowane w ćwiczeniu.
Jeden z przykładów symulacji zagrożenia zaczyna się od tego, że ktoś wkracza do budynku biurowego, podążając za pracownikiem przez otwarte drzwi i wszczepiając fizyczne urządzenie sprzętowe w sieci (T1200). Stamtąd tester może użyć obiektu odpowiadającego do zatrucia LLMNR (T1577.001) w celu zebrania poświadczeń. Stamtąd osoba atakująca może złamać poświadczenia, a następnie użyć WinRM (T1021.006), aby przejść do innych systemów, dopóki tester nie znajdzie systemu z podwyższonymi poświadczeniami. Testerzy następnie zrzucili dane uwierzytelniające z LSASS (T1003.001) za pomocą Mimikatz i przechwycili hasło w postaci zwykłego tekstu dla konta administratora domeny. Mając te poświadczenia, testerzy mogą wykonać DCSync (T1003.006) względem kontrolera domeny, aby pobrać wszystkie poświadczenia domeny i utworzyć Złoty Bilet (T1588.001). Tego biletu można użyć do podszywania się pod użytkownika mającego dostęp do poufnej aplikacji internetowej, a następnie uzyskania dostępu do tej aplikacji za pośrednictwem zaatakowanego systemu poprzez wdrożenie VNC (T1021.005) w celu. Po zalogowaniu się do aplikacji testerzy mogą ukraść i wyeksportować arkusz kalkulacyjny spakowany za pomocą programu PowerShell (T1005.003), przenieść go z powrotem na urządzenie sprzętowe i wysłać go z powrotem do testera przez sieć komórkową (T1008). Emulacja zagrożeń jest podobna do symulacji zagrożeń w tym sensie, że koncentruje się na drzewach ataków i osiąganiu celów, ale głównym wyróżnikiem emulacji zagrożeń jest że emulacja wykonuje te same TTP, co rzeczywiste podmioty zagrażające, w przeciwieństwie do symulacji, które skupiają się wyłącznie na TTP lub celach. Emulowanie określonych protokołów TTP, zwłaszcza oprogramowania niestandardowego, może być trudne i zazwyczaj wymaga bliskiej współpracy z zespołem ds. analizy zagrożeń, który może pomóc w zbadaniu i określeniu, jakich protokołów TTP używa dany podmiot zagrażający. Zazwyczaj w przypadku emulacji zagrożeń tester rozpoczyna od rozpoznania aktorów zagrożeń, które potencjalnie będą atakować organizację klienta. Można tego dokonać na podstawie własnych badań testera lub uzyskać od organizacji zajmującej się badaniem zagrożeń, która może pomóc w dostarczeniu informacji o celach typowym podmiotom zagrażającym. Po wybraniu aktora zagrażającego tester zazwyczaj otrzymuje listę TTP i wskaźników naruszenia bezpieczeństwa (IOC). W dokumentach TTP szczegółowo opisano, w jaki sposób ugrupowanie zagrażające wykonuje różne etapy, od namierzania po eksfiltrację. IOC zazwyczaj zawierają skróty użytego złośliwego oprogramowania. Podczas ćwiczenia polegającego na emulacji zagrożenia tester dostosuje wiedzę do celu i pomoże zidentyfikować rodzaje rzeczy, do których może dążyć podmiot zagrażający, takie jak określone dane, konkretny wpływ lub określony dostęp. Po zidentyfikowaniu potencjalnego celu tester pobierze znane TTP i spróbuje przypisać je do prawdopodobnych łańcuchów ataków. W wielu przypadkach istnieją kroki, które nie są znane w zakresie działania ugrupowania zagrażającego, więc tester uzupełni je prawdopodobnymi TTP, które mają sens w kontekście. Następnie tester sprawdzi, jakie informacje na temat IOC można znaleźć. Jeśli istnieje złośliwe oprogramowanie, można przeprowadzić dodatkową analizę poprzez odwrócenie zespołów .NET, podstawowe odwrócenie plików binarnych lub zapisanie zachowania złośliwego oprogramowania. Jeśli to możliwe, tester może stworzyć lub zmodyfikować narzędzia, aby działały podobnie do tego, co robi znane szkodliwe oprogramowanie, aby testowanie było jak najbardziej realistyczne. Dodanie tych elementów do drzewa ataków pomoże zapewnić, że emulacja będzie jak najbardziej zbliżona do rzeczywistego atakującego.
UWAGA: Pobieranie próbek złośliwego oprogramowania i ich analizowanie może być niebezpieczne. Jeśli nie wiesz, jak bezpiecznie analizować tego typu próbki, zapoznaj się z rozdziałami 4 i 5 tej książki i dowiedz się, jak skonfigurować bezpieczne środowisko analityczne. Niezastosowanie się do tego może spowodować, że zostaniesz narażony na ryzyko ze strony prawdziwego ugrupowania zagrażającego, co może oznaczać bardzo zły dzień.
Jednym z przykładów może być APT33, znany również jako Elfin. Jest to podejrzana grupa irańska, której celem są sektory lotnictwa i energetyki. Dobrym miejscem do rozpoczęcia poszukiwań jest strona MITRE ATT&CK pod adresem https://attack.mitre.org/groups/G0064/. Po przejrzeniu informacji możesz ułożyć drzewo ataków zawierające lokalny przepływ technik aż do uzyskania dostępu do udziałów serwera plików zawierających informacje w Twojej organizacji, które mogą być celem. Patrząc na narzędzia, widzimy, że obecne są zarówno Ruler, jak i Empire, więc prawidłowe drzewo ataków może zaczynać się od rozpylania haseł (T1110.003) przy użyciu Ruler (S0358) przeciwko witrynom programu Outlook Web Access (T1078.004) połączonym z Internetem. Po znalezieniu prawidłowego konta przy użyciu tej techniki tester może zdecydować się na użycie PowerShell Empire (S0363) do poleceń i kontroli (C2) przy użyciu protokołu HTTPS (T1071.001). Aby dostarczyć ładunek, tester może zdecydować się na zbudowanie dokumentu Microsoft Word (T1024.002) zawierającego trojana ze złośliwym makrem napisanym w języku VBA (T1059.005), które uruchamia ładunek programu PowerShell (T1059.001). Po ustaleniu tego tester może utworzyć plik wykonywalny AutoIt (S1029), który można umieścić w klawiszach Uruchom w Rejestrze, aby uruchamiał się po zalogowaniu użytkownika (T1547.001). Ten plik binarny AutoIt może używać ładunków programu PowerShell zakodowanych w formacie Base64 (T1132.001) w celu zapewnienia trwałości. Gdy tester dostanie się do systemu, może użyć Empire do podniesienia uprawnień w celu ominięcia funkcji UAC i uruchomić Mimikatz (T1003.001) w celu zebrania danych uwierzytelniających, a następnie przenieść się w bok, korzystając z przechwyconych danych uwierzytelniających (T1078) do innych systemów. Za pomocą polecenia Net (S0039) tester może zidentyfikować użytkowników, którzy mogą przyznać podwyższony poziom dostępu, a następnie w dalszym ciągu używać Empire do przemieszczania się w bok i zrzucania poświadczeń, dopóki nie znajdą docelowych danych. Po znalezieniu danych docelowych tester może użyć programu WinRAR (T1560.001) do skompresowania i zaszyfrowania danych oraz wysłania ich na kontrolowany przez testera serwer FTP (T1048.003) w celu eksfiltracji. Po przeprowadzeniu symulacji lub emulacji zagrożenia tester zazwyczaj mapuje wszystkie punkty TTP i identyfikuje kody IOC używanych narzędzi oraz plików binarnych uruchomionych w systemach, a następnie przekazuje je zespołowi obrony (zespołowi niebieskiemu), aby spróbował określić, co zostało zaobserwowane, co przeoczone, a co zostało zauważone, ale nie podjęto żadnych działań. Wyniki te pomogłyby organizacji zrozumieć, w jaki sposób ten podmiot zagrażający miałby wpływ na organizację i jakie mechanizmy kontrolne powinny wyłapać część materiału. Najważniejszym wnioskiem jest to, jakie TTP należy wykryć, aby pomóc w proaktywnym wykrywaniu i blokowaniu tych aktorów zagrażających, tak aby organizacja ich wyprzedziła. Wadą tych ćwiczeń jest to, że zazwyczaj wymagają wielu dodatkowych badań, programowania i planowania. Z tego powodu regularne wykonywanie tych testów jest bardzo trudne, chyba że masz duży zespół, który może prowadzić badania i wspierać innych testerów. Testy te dają jednak najbardziej realistyczny obraz tego, jak konkretny podmiot zagrażający będzie wyglądał w Twoim środowisku, jak możesz sobie poradzić z punktu widzenia obrony i reagowania na określone TTP oraz gdzie należy poprawić stan bezpieczeństwa organizacji, aby wykryć i uniemożliwić temu ugrupowaniu zagrażającemu osiągnięcie celów w Twojej sieci.