به دوره مایتر اتک خوش آمدید در این دوره قراره با زبان خیلی ساده 14 تاکتیک مایتراتک رو بررسی کنیم این دوره در واقع 14 جلسه می باشد و هر جلسه شامل یک تاکتیک + تکنیک ها به همراه بررسی ابزارهای کاربردی در آن تاکتیک می باشد.

جهت دسترسی به ویدیو ها به لینک زیر مراجعه کنید:

هدف دوره : این دوره برای شناخت بهتر دید و فعالیت گروه های APT ساخته شده است و سعی در ساده سازی تاکتیک ها و تکنیک ها دارد.

پیش نیاز دوره: pwk

رد تیمینگ فرآیند شبیه سازی (تاکتیک ها، تکنیک ها و روش ها می باشد) برای ارزیابی مشکلات در روند کاری تیم آبی می باشد. یعنی شناسایی و جلوگیری TTP. در بسیاری از موارد به هر دلیلی جلوگیری در EDR ممکن نیست. و فقط شناسایی است که می تواند به تیم آبی در جلوگیری از فاجعه Security Breach کمک کند.

 

جهت شبیه سازی فرآیند بازیگران تهدید و گروه های APT متدلوژی های مختلفی تعریف شده است:

MITRE ATT&CK framework [TTP]:

 

Cyber Kill Chain:

  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. C2
  7. Action on Objectives

Unified Kill chain:

  • Initial Foothold (compromised System)
  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Social engineering
  5. Exploitation
  6. Persistence
  7. Defense Evasion
  8. C2

 

  • Network Propagation (Internal Network)
  1. Discovery
  2. Privilege Escalation
  3. Execution
  4. Credential Access
  5. Lateral Movement
  • Action On Objectives (Critical Asset Access)
  1. Collection
  2. Exfiltration
  3. target Manipulation
  4. Objectives

همان طور که قبلا ذکر شد متدلوژی MITRE ATT&CK یکی از معروف ترین و پرکاربردترین متدلوژی برای شبیه سازی و پروفایل کردن بازیگران تهدید می باشد که در فرآیند تهاجمی (تیم قرمز) و فرآیند تدافعی ( تیم آبی و بنفش) از آن استفاده می شود.

قبل از هر چیزی باید روشن شود که TTP چیست

تاکتیک: در واقع 14 مرحله ای می باشد که بازیگران تهدید آن را می پیماند تا به هدف اصلی خود یعنی جاسوسی یا تخریب بپردازند.

تکنیک:  مجموع تکنیک هایی  که بازیگران تهدید، در هر مرحله از آن ها استفاده می کنند. مثلا برای مرحله اول جمع آوری اطلاعات استفاده از تکنیک اسکن TCP یا UDP توسط ابزار NMAP

روش ها: بازیگران تهدید برای بدست آوردن اطلاعات یا دسترسی به هر اطلاعات یا جابجایی آن از یک سری روش استفاده می کنند استفاده از ابزار( خودشان توسعه دادند)، استفاده از ابزارهای سیستم عامل LOLBINS، استفاده از قابلیت های سیستم عامل ترمینال CMD,BASH, POWERSHELL . به طور مثال از PowerShell برای عمل مخربانه خود و اجرای پیلود مخرب روی سیستم عامل ویندوز استفاده می کنند.

  1. Reconnaissance
  2. Resource Development
  3. Initial Access
  4. Execution
  5. Persistence
  6. Privilege Escalation
  7. Defense Evasion
  8. Credential Access
  9. Discovery
  10. Lateral Movement
  11. Collection
  12. C2
  13. Exfiltration
  14. Impact

چرا تاکتیک تکنیک و روش ها مهمه ؟

TTP

طبق pyramid pain گروه های APT در تغییر TTP بسیار مشکل دارند لذا ما قبل از ورود آن ها به شبکه TTP آن ها را شبیه سازی می کنیم تا Detection Ruleها را نسبت به TTP های مورد نظر مورد ارزیابی قرار بدهیم در این راستا MITRE ATTACK کلیه فعالیت از نقطه صفر جمع آوری اطلاعات تا ضربه زدن به سازمان را در 14 مرحله خلاصه کرده است که به شرح زیر هستند.

ابزارهایی که برای هر تاکتیک معرفی می شود صرفا چند تا از ابزارهای رایگان یا پولی هستند که شما می توانید از ان ها استفاده کنید و TA ها نیز عمدتا از همین ابزارها استفاده می کنند.