Продолжение серии статей о MITRE ATT&CK.

Данная статья представляет собой конспект переведенной информации, содержащейся в MITRE ATT&CK. Ее цель состоит не в детализированном описании каждой отдельной техники вместе с методами противодействия, а в создании целостной системы представлений, позволяющей эффективно ориентироваться в многообразии техник. В рамках текущего обзора сосредоточимся исключительно на тактике Resource Development.

Основная трудность изучения MITRE ATT&CK заключается в его многослойной и объемной структуре, требующей постоянных переходов между подразделами, что затрудняет последовательное освоение и общее понимание материала.

Еще одним серьезным препятствием становится языковой барьер: документация доступна на английском языке. Конечно, современному IT‑специалисту важно владеть английским, однако это не отменяет факта, что восприятие и усвоение материалов на родном языке проходит намного легче и эффективнее. Даже при хорошем уровне владения иностранным языком скорость обработки информации заметно снижается, что усугубляет трудности при попытке овладеть таким большим объемом сложных данных.

Советую ознакомиться с предыдущей статьей MITRE ATT&CK: Обзор тактик разведки (Reconnaissance).

В данном обзоре были исключены второстепенные детали, которые казались очевидными. Решение о необходимости пояснения той или иной подтехники принималось автором субъективно.

Общий обзор

Resource Development (подготовка ресурсов) это вторая тактика в таблице, согласно которой злоумышленник пытается, подготовить ресурсы для осуществления операции.

Подготовка ресурсов включает техники, используемые злоумышленниками для создания, покупок, или компрометации/кражи ресурсов, которые применяются на разных этапах жизненного цикла атаки. Такие ресурсы включают инфраструктуру, учетные записи и возможности (под возможностями подразумеваются различные инструменты). Например, покупаются домены для командно-контрольных функций, электронные адреса — для фишинга, а ворованные цифровые сертификаты — для подписания вредоносного кода и обхода защит.

Подготовка ресурсов включает в себя 8 основных техник с множеством подтехник.

• Acquire Access (Приобретение доступа)

• Acquire Infrastructure (Приобретение инфраструктуры)

• Compromise Accounts (Компрометация учетных записей)

• Compromise Infrastructure (Компрометация инфраструктуры)

• Develop Capabilities (Разработка средств)

• Establish Accounts (Создание учетных записей)

• Obtain Capabilities (Приобретение средств)

• Stage Capabilities (Размещение средств)

Практически все методы нейтрализации (митигации) техник подготовки ресурсов сводятся к контрмере Pre‑compromise, она включает в себя упреждающие действия и средства защиты, которые не позволяют злоумышленникам успешно выявлять и использовать уязвимости на этапах разведки и подготовки ресурсов. Эти действия направлены на сокращение поверхности атаки в организации, выявление подготовительных действий злоумышленников и усложнение для них проведения успешных операций, может быть реализовано с помощью следующий действий:

• ограничивать доступ к публичной информации;

• использовать мониторинг открытых источников (OSINT);

• обеспечивать безопасность доменов и DNS‑инфраструктуры;

• проводить внешний мониторинг сетей и ресурсов;

• применять системы обнаружения угроз и анализа вредоносной активности;

• защищать электронную почту и контент от атак;

• регулярно повышать осведомленность сотрудников о рисках кибератак.

По большей части реализация техник подготовки ресурсов происходит вне поля зрения целевой организации, что затрудняет обнаружение. Усилия по обнаружению могут быть сосредоточены на соответствующих этапах жизненного цикла злоумышленника, например на этапе первоначального доступа.

В некоторых случаях возможно сосредоточиться на поиске косвенных признаков наличия активности злоумышленника, таких как регистрация подозрительных доменов, аномальное поведение сетевых соединений, необычная активность в соцсетях и исследование вредоносного программного обеспечения, связанного с ним.

Детальное описание

Т1650 Acquire Access (Приобретение доступа)

Злоумышленники могут купить или иным образом получить доступ к целевой системе или сети. Приобретение доступа может быть выполнено через специальные торговые площадки или в результате обмена скомпрометированным системами между группами злоумышленников

Пути проникновения в скомпрометированные системы могут быть разными, например, доступ к установленным бэкдорам (например, Web Shell) или установленный доступ через внешние удаленные службы. В некоторых случаях посредники по продаже доступа внедряют в скомпрометированные системы «load», который можно использовать для установки дополнительного вредоносного ПО для клиентов, готовых платить.

Приобретение доступа экономит ресурсы злоумышленников, позволяя направить силы на дальнейшие шаги атаки. В некоторых случаях покупка доступа к организации в таких сферах, как ИТ-контракты, разработка программного обеспечения или телекоммуникации, может позволить злоумышленнику скомпрометировать дополнительных жертв с помощью доверенных отношений, перехвата многофакторной аутентификации или даже компрометации цепочки поставок.

Меры противодействия: pre‑compromise.

Большая часть этих действий происходит вне поля зрения целевой организации, что затрудняет их обнаружение.

T1583 Acquire Infrastructure (Приобретение инфраструктуры)

Злоумышленники могут покупать, брать в аренду или получать иным способом инфраструктуру. Существует множество вариантов инфраструктуры для размещения и организации операций злоумышленников. Инфраструктурные решения включают в себя физические или облачные серверы, домены и сторонние веб-сервисы. Некоторые поставщики инфраструктуры предлагают бесплатные пробные периоды, позволяющие получить инфраструктуру практически бесплатно. Кроме того, можно арендовать или купить ботнеты.

Использование этих инфраструктурных решений позволяет злоумышленникам подготавливать, запускать и проводить операции. Решения могут помочь злоумышленникам замаскировать свои операции под обычный трафик, например при обращении к сторонним веб-сервисам или при получении инфраструктуры для поддержки прокси, в том числе от резидентных прокси-сервисов. В зависимости от реализации злоумышленники могут использовать инфраструктуру, которая затрудняет их физическое отслеживание, а также инфраструктуру, которую можно быстро подготовить, изменить и отключить.

Выделяют различные подтехники в зависимости от типа покупаемого ресурса:

• .001 Domains (Домены);

• .002 DNS Server (DNS серверы):
  злоумышленники могут использовать DNS-трафик для различных задач, в том числе для управления и контроля (Например, отправки команд на взломанные хосты);

• .003 Virtual Private Server (VPS серверы);

• .004 Server (Сервер):
  подразумеваются физические сервера;

• .005 Botnet:
  ботнет — это сеть взломанных систем, которым можно дать команду выполнять скоординированные задачи;

• .006 Web Services (Веб-сервисы);

• .007 Serverless (бессерверная инфраструктура):
  подразумеваются облачные решения, такие как Cloudflare Workers или Google Apps Scripts;

• .008 Malvertising (вредоносная реклама).

Меры противодействия: pre‑compromise.

Обнаружение:

• Доменное имя: одним из способов заблаговременно обнаружить купленную или арендованную инфраструктуры является отслеживание регистрации новых доменных имен. Для этого можно использовать реестр DNS или специальные сервисы, такие как базы данных WHOIS, содержащие информацию о владельцах и датах регистрации доменов.

• Сканирование через Интернет: с помощью ряда характерных признаков: прослушиваемых служб, используемых сертификатов и других артефактов, связанных с вредоносным ПО для управления и контроля над зараженными устройствами, можно заблаговременно обнаружить инфраструктуру злоумышленника.

Т1586 Compromise Accounts (Компрометация учетных записей)

Для операций, включающих в себя социальную инженерию, может быть важно использование онлайн-образа. Вместо того чтобы создавать учетные записи, злоумышленники могут взламывать уже существующие. Использование существующей персоны может вызвать доверие у потенциальной жертвы, если она знакома с этой персоной или имеет с ней какие-либо отношения.

Существует множество способов взлома учетных записей, таких как сбор учетных данных с помощью фишинга для получения информации, покупка учетных данных на сторонних площадках или брутфорс. Прежде чем взламывать учетные записи, злоумышленники могут провести разведку, чтобы решить, какие учетные записи стоит взломать для продолжения своей деятельности.

Онлайн-образы могут быть созданы как на одном сайте, так и на нескольких (например, Facebook, LinkedIn, Twitter, Google и т. д.). Для скомпрометированных аккаунтов может потребоваться дополнительная разработка, которая может включать в себя заполнение или изменение информации в профиле, дальнейшее развитие социальных сетей или добавление фотографий.

Злоумышленники могут напрямую использовать скомпрометированные учетные записи электронной почты для или фишинга (получения информации с помощью фишинга).

Подтехники:

• .001 Social Media Accounts (Учетные записи в социальных сетях);

• .002 Email Accounts (Учетные записи электронной почты);

• .003 Cloud Accounts (Облачные учетные записи).

Меры противодействия: pre‑compromise.

Обнаружение:

• сетевой трафик: для обнаружения скомпрометированных учетных записей целесообразно выполнять поиск аномалий в трафике, пакетах и процессах, отклоняющиеся от стандартных протоколов и нормальных моделей поведения;

• социальные сети: большая часть такой активности происходит вне поля зрения целевой организации, что затрудняет ее обнаружение, но полезно отслеживать активность в социальных сетях, связанной с вашей организацией. Подозрительная активность может быть выражена в многочисленных запросах на подключение к учетным записям связанным с вашей организацией.

T1584 Compromise Infrastructure (Компрометация инфраструктуры)

Вместо покупки или аренды злоумышленник может скомпрометировать инфраструктуру и использовать ее на других этапах жизненного цикла атаки.

Использование скомпрометированной инфраструктуры позволяет злоумышленникам планировать, запускать и проводить операции. Скомпрометированная инфраструктура может помочь замаскировать свои действия под обычный трафик, например, под взаимодействие с доверенными или имеющими высокую репутацию сайтами. Так, злоумышленники могут использовать скомпрометированную инфраструктуру (возможно, в сочетании с цифровыми сертификатами) для дальнейшего маскирования и поддержки спланированных кампаний по сбору информации и/или фишингу. Также могут взломать множество компьютеров, чтобы использовать их для поддержки прокси или для создания ботнета, или могут взломать инфраструктуру, расположенную в непосредственной близости от цели, чтобы получить первоначальный доступ через сети Wi-Fi.

Важно понимать, что злоумышленники могут скомпрометировать инфраструктуру, в том числе других злоумышленников.

Выделяют различные подтехники, практически идентичны тем, что выделены в приобретении инфраструктуры за исключением 8 подтехники:

• .001 Domains (Домены);

• .002 DNS Server (DNS серверы):

• .003 Virtual Private Server (VPS серверы);

• .004 Server (Сервер):

• .005 Botnet:

• .006 Web Services (Веб-сервисы);

• .007 Serverless (бессерверная инфраструктура):
  подразумеваются облачные решения, такие как Cloudflare Workers или Google Apps Scripts;

• .008 Network Devices (сетевые устройства).

Меры противодействия: pre‑compromise.

Обнаружение: методы обнаружения практически не отличаются от методов при приобретении инфраструктуры:

• доменное имя: одним из способов заблаговременно обнаружить инфраструктуру злоумышленников является отслеживание аномальных изменений в информации о владельце домена или разрешении доменного имени. Для этого можно использовать реестр DNS или специальные сервисы, такие как базы данных WHOIS, содержащие информацию о владельцах и датах регистрации доменов;

• сканирование через Интернет: с помощью ряда характерных признаков: прослушиваемых служб, используемых сертификатов и других артефактов, связанных с вредоносным ПО для управления и контроля над зараженными устройствами, можно заблаговременно обнаружить инфраструктуру злоумышленника.

T1587 Develop Capabilities (Разработка средств)

Вместо того чтобы покупать, скачивать бесплатно или красть инструменты, злоумышленники могут разрабатывать собственные. Это процесс определения требований к разработке и создания таких решений, как вредоносное ПО, эксплойты и самозаверяющие сертификаты. Злоумышленники могут разрабатывать инструменты для поддержки своих операций на различных этапах жизненного цикла.

Как и в случае с законной разработкой, для создания возможностей могут потребоваться различные наборы навыков. Необходимые навыки могут быть как внутренними, так и приобретенными в результате сотрудничества с подрядчиками. Использование подрядчиков может рассматриваться как расширение возможностей злоумышленника в области разработки, при условии, что злоумышленник участвует в формировании требований и сохраняет эксклюзивность своих возможностей.

Выделяют различные подтехники в зависимости от типа разрабатываемого инструмента:

• .001 Malware (Вредоносное ПО);

• .002 Code Signing Certificates (Сертификаты подписи кода);

• .003 Digital Certificates (Цифровые сертификаты);

• .004 Exploits (Эксплоиты).

Меры противодействия: pre‑compromise.

Обнаружение: 

• репозиторий вредоносных программ: возможно выполнять анализ вредоносного ПО на предмет функций, которые могут быть связаны с злоумышленником и/или его разработчиками, например с используемым компилятором, артефактами отладки или сходством кода. Репозитории вредоносного ПО также можно использовать для поиска дополнительных образцов, связанных с злоумышленником, и выявления закономерностей в его развитии с течением времени. Необходимо осуществлять мониторинг сопутствующих данных вредоносной полезной нагрузки, таких как время компиляции, хэши файлов, а также водяные знаки или другую идентифицирующую информацию о конфигурации.

T1585 Establish Accounts (Создание учетных записей)

Злоумышленники могут создавать учетные записи на различных онлайн-платформах, которые впоследствии используются для формирования фиктивных образов, необходимых для реализации кибератак. Создание такого образа подразумевает формирование публичной активности, публикацию соответствующей информации, выработку убедительной истории и установление правдоподобных связей. Образы могут быть вымышленными или выдавать себя за реальных людей. Для создания образа может потребоваться дополнительная документация, чтобы он выглядел реальным. Это может включать в себя заполнение информации в профиле, создание социальных сетей или добавление фотографий. Эти меры применяются для социальных сетей, веб-ресурсов и иных открытых источников, позволяющих подтвердить подлинность создаваемого образа и повысить доверие к нему в рамках проводимых злоумышленниками операций.

Создание учетных записей может быть в почтовых сервисах, с целью получения информации с помощью фишинга или фишинга. Кроме того, создание учетных записей может позволить злоумышленникам использовать бесплатные сервисы, например регистрироваться на пробных сайтах для получения инфраструктуры в злонамеренных целях.

Подтехники выделяют в соответствии с видом сервиса:

• .001 Social Media Accounts (Учетные записи в социальных сетях);

• .002 Email Accountsм (Почтовые учетные записи);

• .003 Cloud Accounts (Облачные учетные записи):
  создание учетных записей у облачных провайдеров, как правило используется с целью получения инфраструктуры.

Меры противодействия: pre‑compromise.

Обнаружение: принципы обнаружения не отличаются от скомпрометированных учетных записей:

• сетевой трафик: для обнаружения скомпрометированных учетных записей целесообразно выполнять поиск аномалий в трафике, пакетах и процессах, отклоняющиеся от стандартных протоколов и нормальных моделей поведения;

• социальные сети: большая часть такой активности происходит вне поля зрения целевой организации, что затрудняет ее обнаружение, но полезно отслеживать активность в социальных сетях, связанной с вашей организацией. Подозрительная активность может быть выражена в многочисленных запросах на подключение к учетным записям связанным с вашей организацией.

Т1588 Obtain Capabilities (Приобретение средств)

Вместо того чтобы разрабатывать собственные инструменты, злоумышленники могут покупать, скачивать бесплатно или красть их. Такие действия могут включать в себя приобретение вредоносного ПО, программного обеспечения (включая лицензии), эксплойтов, сертификатов и информации об уязвимостях. Злоумышленники могут приобретать инструменты для поддержки своих операций на различных этапах жизненного цикла.

Помимо загрузки бесплатных вредоносных программ, ПО и эксплойтов из интернета, злоумышленники могут приобретать эти возможности у сторонних организаций. К таким организациям могут относиться технологические компании, специализирующиеся на вредоносных программах и эксплойтах, криминальные торговые площадки или частные лица.

Помимо покупки возможностей, злоумышленники могут красть их у сторонних организаций (в том числе у других злоумышленников). Это может включать в себя кражу лицензий на программное обеспечение, вредоносных программ, сертификатов SSL/TLS и сертификатов для подписи кода, а также взлом закрытых баз данных с уязвимостями или эксплойтами.

Подтехники выделяются в зависимости от типа средства:

• .001 Malware (Вредоносное ПО);

• .002 Tool (Инструменты);

• .003 Code Signing Certificates (Сертификаты подписи кода);

• .004 Digital Certificates (Цифровые сертификаты);

• .005 Exploits (Эксплоиты);

• .006 Vulnerabilities (Уязвимости);

• .007 Artificial Intelligence (Искусственный интеллект).

Меры противодействия: pre‑compromise.

Обнаружение:

• сертификаты: рассмотрите возможность использования сервисов, которые могут помочь в отслеживании недавно выданных сертификатов и/или сертификатов, используемых на сайтах в интернете. В некоторых случаях с помощью информации из сертификата можно выявить другую инфраструктуру злоумышленников. Признаком злоумышленников могут быть значения по умолчанию для сертификатов SSL/TLS;

• сканирование через Интернет: отслеживайте зарегистрированный сетевой трафик в ответ на сканирование. Заголовки протокола и значения тела могут указывать на средства злоумышленников;

• репозиторий вредоносных программ: возможно выполнять анализ вредоносного ПО на предмет функций, которые могут быть связаны с злоумышленником и/или его разработчиками, например с используемым компилятором, артефактами отладки или сходством кода. Репозитории вредоносного ПО также можно использовать для поиска дополнительных образцов, связанных с злоумышленником, и выявления закономерностей в его развитии с течением времени. Необходимо осуществлять мониторинг сопутствующих данных вредоносной полезной нагрузки, таких как время компиляции, хэши файлов, а также водяные знаки или другую идентифицирующую информацию о конфигурации.

T1608 Stage Capabilities (Размещение средств)

Злоумышленники могут загружать, устанавливать или иным образом настраивать средства. Для поддержки своих операций злоумышленникам может потребоваться использовать средства, которые они разработали (Разработка средств) или получили (Приобретение средств), и разместить их на подконтрольной им инфраструктуре. Эти средства могут быть размещены на инфраструктуре, которую злоумышленник ранее приобрел/арендовал (Приобретение инфраструктуры) или скомпрометировал иным образом (Компрометация инфраструктуры). Средства также могут быть размещены на веб-сервисах, таких, как GitHub или Pastebin, или с помощью предложений PaaS (Platform-as-a-Service), которые позволяют пользователям легко настраивать приложения.

Подтехники:

• .001 Upload Malware (Загрузка вредоностного ПО);

• .002 Upload Tool (Загрузка инструментов);

• .003 Install Digital Certificate (Установка цифровых сертификатов);

• .004 Drive-by Target:
  подготовка среды для заражения систем пользователей, которые посещают веб-сайт в обычном режиме просмотра страниц;

• .005 Link Target:
  размещение средств, на которые будет создана вредоносная ссылка;

• .006 SEO Poisoning:
  подготовка вредоносных механизмов, влияющие на поисковую оптимизацию (SEO), чтобы привлечь внимание потенциальных жертв к своим возможностям.

Меры противодействия: pre‑compromise.

Обнаружение:

• сканирование через Интернет: Если ранее была выявлена инфраструктура или выявлены паттерны в поведении вредоносного ПО, инструментария, цифровых сертификатов или вредоносного веб-контента, то сканирование Интернета может раскрыть моменты, когда злоумышленник разместил свои средства.

Итоговые тезисы

В заключение тезисно хочу пробежаться по материалу, что все таки стоит для себя отметить специалисту по информационной безопасности

Подготовка ресурсов - вторая тактика. Подготовка ресурсов включает в себя создание, покупку или компрометацию инфраструктуры, учетных записей и инструментов, необходимых для проведения атаки. В некоторых случаях может выполняться ранее разведки, например, для подготовки к фишингу с целью получения информации. 

Легитимные и нелегитимные методы. Безусловно, само проведение атаки не является законным, но злоумышленники могут выполнять подготовку ресурсов как с нарушением законодательства, например, компрометация учетных данных, так и технически законными методами, например, покупка ресурсов.

Противодействие подготовке ресурсов затруднено. Обычно оно сводится к ограничению доступа к конфиденциальной информации и предотвращению утечек, вызванных недостаточной грамотностью сотрудников в области информационной безопасности.

Проблематика обнаружения. Обнаружение активности на этапе подготовки ресурсов затруднено, так как многие действия происходят вне поля зрения целевой организации. За счет отслеживания аномальной активность в сети интернет можно обнаружить злоумышленников, но в большинстве своем это не оправданно дорого и имеет смысл сосредоточить усилия по обнаружению на других этапах жизненного цикла атаки.