MITRE ATT&CK
MITRE ATT&CK est une base de connaissances proposant une modélisation du comportement d’un cyber agresseur qui permet de définir les différentes phases du cycle de vie des attaques en fonction des plateformes ciblées : Windows, Mac, Linux, mobiles, etc.
MITRE ATT&CK se concentre sur la manière dont les adversaires externes compromettent et opèrent au sein des infrastructures numériques.
Ce modèle provient d’un projet qui visait à documenter et à catégoriser toutes les tactiques, les techniques et les procédures post-compromission, utilisées par des adversaires, à la base contre les systèmes d’exploitation Microsoft Windows afin d’améliorer la détection des comportements malveillants. Pour ce faire, MITRE ATT&CK propose de classer les différentes techniques de cyberattaque sous la référence Txxxx.
Afin d’optimiser la réactivité de ses équipes et de ses solutions, TEHTRIS a fait le choix de rendre compatible à 100 % sa TEHTRIS XDR Platform avec MITRE ATT&CK. Permettant de mieux appréhender les différents profils d’attaque, et même de les anticiper, cette collaboration a de nombreuses fois prouvé son efficacité lors des interventions TEHTRIS.
Prenons l’exemple du fameux T1086 recensé par MITRE ATT&CK, avec les attaques en PowerShell.
Lorsque nous l’avions ajoutée chez tous nos clients, il n’y avait que deux EDR dans le monde, dont le TEHTRIS EDR, qui proposaient la fonctionnalité du moteur d’analyse sur les codes PowerShell, qu’ils soient lancés en script ou en interactif.
Mais il faut souligner qu’en application, cette solution n’est pas aussi simple qu’il n’y paraît.
En effet, imaginez que vous souhaitiez également être compatible avec T1016, et par exemple détecter le lancement d’un “ipconfig /all”. Ultra simple a priori. Le problème est que, dans certaines infrastructures, nous avons repéré des .bat (lancés via Netlogon, ou lancés régulièrement) qui lancent aussi du “ipconfig/all” pour des usages internes légitimes. Cela engendrerait des milliers d’alertes chaque jour dans le seul but d’établir une compatibilité avec T1016 et des indices de compromission réels.
Le modèle comportemental de MITRE ATT&CK propose en particulier de répertorier les éléments de nature :
- Tactique : objectifs offensifs précis dans une phase d’attaque
- Technique : moyens offensifs pour réussir des objectifs tactiques
- Sous-technique : moyens offensifs spécifiques d’un niveau encore inférieur
- Informative : Documents sur les techniques, les procédures et les métadonnées sur les attaquants
MITRE ATT&CK n’est pas une énumération exhaustive de tous les vecteurs d’attaque possibles au monde, mais depuis plusieurs années, il s’agit de l’outil de référence pour étudier certaines situations : incident, comparaison d’outils, catégorisation des comportements, recherche sur les agresseurs en mode renseignement numérique, etc.
En mai 2015 le modèle Mitre ATT&CK est publié, avec plus de 96 techniques rassemblées en 9 tactiques. Sachant que depuis 2014, et grâce à ses bases de connaissances en interne et au moteur eGambit, tous les produits TEHTRIS étaient déjà dotés de catégories offensives pour déterminer la phase d’un incident : la préparation, l’intrusion, les actions post-intrusion, les probèmes de politique de sécurité, etc.
Puis, les évolutions majeures de MITRE ATT&CK, et leur usage généralisé au niveau mondial, nous ont amenés à faire évoluer notre modèle aux mêmes numérotations et références. La TEHTRIS XDR Platform est donc 100% compatible avec MITRE ATT&CK, et nous allons continuer de suivre cet axe, et de nous rapprocher encore plus des possibilités associées.
Nous avons également détecté des scripts utilisés par les administrateurs sur le terrain, qui utilisent le cmdlet Get-NetIPConfiguration, équivalent à “ipconfig.exe” en termes d’usage, et qui correspondent aux scripts recherchés dans le cas T1086 pour PowerShell. De ce fait, de nombreuses alertes, qui peuvent être inquiétantes, sont remontées, et il devient très difficile de distinguer les menaces des scripts lancés légitimement.
Ne vous inquiétez pas, c’est justement là où nous souhaitions en venir : les solutions TEHTRIS sont capables de s’adapter au contexte spécifique de chaque entreprise. Car si ici, nous avons choisi comme exemple un problème basique, il faut savoir que la complexité peut aller très loin. Or, comme dans la vraie vie, rien ne se déroule comme dans les exercices, les démonstrations ou les laboratoires, il est nécessaire de posséder des moyens de cyberprotection flexibles, capables de s’adapter à chaque situation.
Dans l’exemple sur le T1086, il se trouve que certains groupes APT (Advanced Persistent Threat) surveillés et détectés par TEHTRIS lançaient justement aussi IPCONFIG, en mode tâche planifiée. Dans ce genre de cas, plusieurs décisions peuvent alors être prises : le garder pour parler de compatibilité T1086 mais avoir un nombre très important d’alertes dans certains réseaux ? Ou ne pas le garder mais manquer des attaques ? Il faut choisir ce que l’on souhaite regarder, pourquoi, et comment, tout en s’adaptant au contexte de chaque organisation. Parenthèse : pour cette APT, au niveau contextuel, la commande était lancée par SYSTEM. Simple.
Comme nous l’avons dit plus haut, les solutions EDR accompagnant les EPP ont été efficaces face à ce genre d’attaques. Mais, avec la complexité croissante des cyber menaces, il faut désormais étendre la protection et la chasse des cyberattaquants aux plateformes XDR, qui permettent une vision holistique de la cyberdéfense.
Car il existe encore de nombreux cas de figure où il n’est pas possible de déployer un EDR facilement : environnements SCADA/ICS, etc. En revanche, une solution de type sniffer devant les Windows, futures potentielles victimes, pallie sans problème cette difficulté. Par exemple avec TEHTRIS NTA, il est possible d’observer les flux qui entrent et sortent. C’est d’ailleurs là la puissance d’une XDR : rassembler des sources nativement capables de travailler ensemble : systèmes, réseaux, cloud, etc.
Peut-on être compatible avec la technique T1016 ? Avec TEHTRIS NTA, si un canal de communication a été capté et que personne n’est censé se connecter à distance ainsi, on pourra en effet réagir. Par exemple, si l’on a un flux TCP qui contient “stdapi_net_config_get_interfaces” d’un Meterpreter en clair, ou un flux qui contient “Windows IP Configuration” mais aussi “Ethernet adapter Local Area Connection” on pourra lever un usage de type T1016.
La combinaison des capteurs d’une XDR Platform, autorisera ainsi la possibilité d’être totalement en phase avec la réalité terrain, sur n’importe quelle infrastructure.
En interne à TEHTRIS, nous utilisons MITRE ATT&CK pour tous les composants de la TEHTRIS XDR Platform, afin que toutes les sources de données puissent indiquer rapidement de quelle technique on parle, lorsqu’une alerte remonte du terrain.
On peut l’utiliser pour étudier des simulations d’attaques, par exemple pour observer comment TEHTRIS EDR va réagir face à telle APT-XX connu. On peut simuler des opérations de tests offensifs contre nos produits, en mode tests de la qualité, ou pour vérifier s’il y a des écarts avec des objectifs défensifs.
Enfin, nous discutons en interne, et avec certains clients et certains partenaires, de la pertinence ou non de relever certains points, en fonction des environnements, et surtout, à quel point il faut remonter ces informations ou non.
