MITRE ATT&CK

MITRE ATT&CK est une base de connaissances proposant une modélisation du comportement d’un cyber agresseur qui permet de définir les différentes phases du cycle de vie des attaques en fonction des plateformes ciblées : Windows, Mac, Linux, mobiles, etc.
MITRE ATT&CK se concentre sur la manière dont les adversaires externes compromettent et opèrent au sein des infrastructures numériques.

Ce modèle provient d’un projet qui visait à documenter et à catégoriser toutes les tactiques, les techniques et les procédures post-compromission, utilisées par des adversaires, à la base contre les systèmes d’exploitation Microsoft Windows afin d’améliorer la détection des comportements malveillants. Pour ce faire, MITRE ATT&CK propose de classer les différentes techniques de cyberattaque sous la référence Txxxx.

© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Afin d’optimiser la réactivité de ses équipes et de ses solutions, TEHTRIS a fait le choix de rendre compatible à 100 % sa TEHTRIS XDR Platform avec MITRE ATT&CK. Permettant de mieux appréhender les différents profils d’attaque, et même de les anticiper, cette collaboration a de nombreuses fois prouvé son efficacité lors des interventions TEHTRIS.
Prenons l’exemple du fameux T1086 recensé par MITRE ATT&CK, avec les attaques en PowerShell.
Lorsque nous l’avions ajoutée chez tous nos clients, il n’y avait que deux EDR dans le monde, dont le TEHTRIS EDR, qui proposaient la fonctionnalité du moteur d’analyse sur les codes PowerShell, qu’ils soient lancés en script ou en interactif.
Mais il faut souligner qu’en application, cette solution n’est pas aussi simple qu’il n’y paraît.

En effet, imaginez que vous souhaitiez également être compatible avec T1016, et par exemple détecter le lancement d’un “ipconfig /all”. Ultra simple a priori. Le problème est que, dans certaines infrastructures, nous avons repéré des .bat (lancés via Netlogon, ou lancés régulièrement) qui lancent aussi du “ipconfig/all” pour des usages internes légitimes. Cela engendrerait des milliers d’alertes chaque jour dans le seul but d’établir une compatibilité avec T1016 et des indices de compromission réels.

Le modèle comportemental de MITRE ATT&CK propose en particulier ces éléments :

  • Tactique : objectifs offensifs précis dans une phase d’attaque
  • Technique : moyens offensifs pour réussir des objectifs tactiques
  • Sous-technique : moyens offensifs spécifiques d’un niveau encore inférieur
  • Documentation sur les techniques, les procédures et les métadonnées sur les attaquants

MITRE ATT&CK n’est pas une énumération exhaustive de tous les vecteurs d’attaque possibles au monde, mais depuis plusieurs années, il s’agit de l’outil de référence pour étudier certaines situations : incident, comparaison d’outils, catégorisation des comportements, recherche sur les agresseurs en mode renseignement numérique, etc.

En mai 2015, lorsque le modèle MITRE ATT&CK est publié, avec plus de 96 techniques rassemblées en 9 tactiques, tous les produits de TEHTRIS avaient déjà des catégories offensives pour déterminer la phase d’un incident : la préparation ? l’intrusion ? les actions post-intrusions ? des problèmes de politique de sécurité ? etc. TEHTRIS avait déjà ces critères depuis 2014 dans ses bases de connaissances en interne, grâce au moteur eGambit.

Puis, les évolutions majeures de MITRE ATT&CK, et leur usage généralisé au niveau mondial, nous ont amenés à faire évoluer notre modèle aux mêmes numérotations et références. La TEHTRIS XDR Platform est donc 100% compatible avec MITRE ATT&CK, et nous allons continuer de suivre cet axe, et de nous rapprocher encore plus des possibilités associées.

En mai 2015, lorsque le modèle MITRE ATT&CK est publié, avec plus de 96 techniques rassemblées en 9 tactiques,  tous les produits de TEHTRIS avaient déjà des catégories offensives pour déterminer la phase d’un incident

Nous avons également détecté des scripts utilisés par les administrateurs sur le terrain, qui utilisent le cmdlet Get-NetIPConfiguration, équivalent à “ipconfig.exe” en termes d’usage, et qui correspondent aux scripts recherchés dans le cas T1086 pour PowerShell. De ce fait, de nombreuses alertes, qui peuvent être inquiétantes, sont remontées, et il devient très difficile de distinguer les menaces des scripts lancés légitimement.

Ne vous inquiétez pas, c’est justement là où nous souhaitions en venir : les solutions TEHTRIS sont capables de s’adapter au contexte spécifique de chaque entreprise. Car si ici, nous avons choisi comme exemple un problème basique, il faut savoir que la complexité peut aller très loin. Or, comme dans la vraie vie, rien ne se déroule comme dans les exercices, les démonstrations ou les laboratoires, il est nécessaire de posséder des moyens de cyberprotection flexibles, capables de s’adapter à chaque situation.

Dans l’exemple sur le T1086, il se trouve que certains groupes APT (Advanced Persistent Threat) surveillés et détectés par TEHTRIS lançaient justement aussi IPCONFIG, en mode tâche planifiée. Dans ce genre de cas, plusieurs décisions peuvent alors être prises : le garder pour parler de compatibilité T1086 mais avoir un nombre très important d’alertes dans certains réseaux ? Ou ne pas le garder mais manquer des attaques ? Il faut choisir ce que l’on souhaite regarder, pourquoi, et comment, tout en s’adaptant au contexte de chaque organisation. Parenthèse : pour cette APT, au niveau contextuel, la commande était lancée par SYSTEM. Simple.

Comme nous l’avons dit plus haut, les solutions EDR accompagnant les EPP ont été efficaces face à ce genre d’attaques. Mais, avec la complexité croissante des cyber menaces, il faut désormais étendre la protection et la chasse des cyberattaquants aux plateformes XDR, qui permettent une vision holistique de la cyberdéfense.
Car il existe encore de nombreux cas de figure où il n’est pas possible de déployer un EDR facilement : environnements SCADA/ICS, etc. En revanche, une solution de type sniffer devant les Windows, futures potentielles victimes, pallie sans problème cette difficulté. Par exemple avec TEHTRIS NTA, il est possible d’observer les flux qui entrent et sortent. C’est d’ailleurs là la puissance d’une XDR : rassembler des sources nativement capables de travailler ensemble : systèmes, réseaux, cloud, etc.
Peut-on être compatible avec la technique T1016 ? Avec TEHTRIS NTA, si un canal de communication a été capté et que personne n’est censé se connecter à distance ainsi, on pourra en effet réagir. Par exemple, si l’on a un flux TCP qui contient “stdapi_net_config_get_interfaces” d’un Meterpreter en clair, ou un flux qui contient “Windows IP Configuration” mais aussi “Ethernet adapter Local Area Connection” on pourra lever un usage de type T1016.
La combinaison des capteurs d’une XDR Platform, autorisera ainsi la possibilité d’être totalement en phase avec la réalité terrain, sur n’importe quelle infrastructure.

En interne à TEHTRIS, nous utilisons MITRE ATT&CK pour tous les composants de la TEHTRIS XDR Platform, afin que toutes les sources de données puissent indiquer rapidement de quelle technique on parle, lorsqu’une alerte remonte du terrain.

On peut l’utiliser pour étudier des simulations d’attaques, par exemple pour observer comment TEHTRIS EDR va réagir face à telle APT-XX connu. On peut simuler des opérations de tests offensifs contre nos produits, en mode tests de la qualité, ou pour vérifier s’il y a des écarts avec des objectifs défensifs.

Enfin, nous discutons en interne, et avec certains clients et certains partenaires, de la pertinence ou non de relever certains points, en fonction des environnements, et surtout, à quel point il faut remonter ces informations ou non.

Au final, MITRE ATT&CK permet de structurer ce que l’on souhaite observer, comment et pourquoi le remonter, avec une vraie possibilité d’optimisation. Pour les exemples précédents nous avons choisi d’aborder des techniques d’attaque a priori basiques.
Pourtant certaines ont pu être utilisées contre des groupes APT avancées ultra furtifs, mais c’est aussi ça l’avantage d’une XDR Platform : à partir du moment où vous avez compris le profil des attaquants, comme le propose la partie renseignement technique de MITRE ATT&CK, même dans un grand parc, vous avez la possibilité de mettre en place des règles spécifiques pour détecter ces comportements au moindre mouvement.

Découvertes, il faudrait quasiment que les équipes de pirates changent pour tenter de rester furtives, car au bout d’un moment, leurs actions deviennent trop visibles. Sauf que tout se ressemble, et qu’avec toutes nos captures ces dernières années, nous avons des modèles prédictifs assez efficaces.

Ainsi, nous pensons que chaque environnement aura besoin d’une phase initiale où il s’agira de choisir comment configurer ses capteurs, qu’ils soient dans les systèmes (EDR, EPP), sur les évènements et logs (SIEM), ou en lien avec des stimuli réseaux (Honeypots, NTA).

Avec la TEHTRIS XDR Platform, de nombreuses avancées sont à nouveau prévues sur MITRE ATT&CK, au-delà de la compatibilité initiale décrite précédemment. Tout sera en lien avec les éléments déjà évoqués sur notre page XDR. N’hésitez pas à nous contacter si vous avez des questions concernant MITRE ATT&CK.