Escolar Documentos
Profissional Documentos
Cultura Documentos
MP180360R1
PRODUTO MITRA
Autores:
McLean, VA Blake E. Strom
Andy Applebaum
Doug P. Miller
Kathryn C. Nickels
Adam G. Pennington
Cody B. Thomas
Abstrato
O MITRE ATT&CK é uma base de conhecimento acessível globalmente de táticas e técnicas adversárias
com base em observações do mundo real. A base de conhecimento da ATT&CK é usada como base para
o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na
comunidade de produtos e serviços de segurança cibernética. O ATT&CK fornece uma taxonomia comum
para ataque e defesa e tornou-se uma ferramenta conceitual útil em muitas disciplinas de segurança
cibernética para transmitir inteligência de ameaças, realizar testes por meio de red teaming ou emulação
de adversários e melhorar as defesas de rede e sistema contra invasões. O processo que o MITRE usou
para criar o ATT&CK e a filosofia que desenvolveu para a curadoria de novos conteúdos são aspectos
críticos do trabalho e são úteis para outros esforços que se esforçam para criar modelos de adversários
semelhantes e repositórios de informações.
iii
Sumário executivo
Este artigo discute a motivação por trás da criação do ATT&CK, os componentes descritos nele, sua filosofia de design, como
o projeto progrediu e como ele pode ser usado. Destina-se a ser usado como uma fonte oficial de informações sobre ATT&CK,
bem como um guia de como o ATT&CK é mantido e como a metodologia ATT&CK é aplicada para criar
Prefácio
Este artigo documenta a versão publicada do ATT&CK em março de 2020 com a adição de subtécnicas.
MITRE anunciou planos para evoluir e expandir a ATT&CK ao longo de 2020
[1]. Este documento será mantido como um documento vivo e será atualizado à medida que
mudanças significativas forem feitas no ATT&CK e no processo usado para manter o conteúdo no ATT&CK.
vi
Índice
Introdução................................................. .................................................. .......................... 1
vii
viii
Lista de Figuras
Figura 1. A Matriz ATT&CK para Empresas ............................................. ..............................6 Figura 2.
Tática de persistência com quatro técnicas expandidas... .................................................. ....... 7 Figura 3.
Relacionamentos do Modelo ATT&CK .............................. .................................................. 17 Figura 4.
Exemplo de Relacionamentos do Modelo ATT&CK................................................ ..............................18
Figura 5. Comparação de abstração de modelos e bancos de dados de conhecimento de ameaças ........... ..............23
ix
Lista de mesas
Tabela 1. Domínios da Tecnologia ATT&CK................................................ .............................................
8 Tabela 2. Técnica ATT&CK e Modelo de Subtécnica ............................................. .............10
Tabela 3. Modelo do Grupo ATT&CK.............................. .................................................. .........14
Tabela 4. Modelo de Software ATT&CK ........................ .................................................. ......15
Tabela 5. Modelo de Mitigação ATT&CK ........................ .................................................. ..................16
XI
Introdução
O MITRE ATT&CK é uma base de conhecimento e um modelo com curadoria para o comportamento de
adversários cibernéticos, refletindo as várias fases do ciclo de vida do ataque de um adversário e as plataformas
que são conhecidas como alvo. A ATT&CK se concentra em como os adversários externos comprometem e
operam dentro das redes de informações de computadores. Originou-se de um projeto para documentar e
categorizar táticas, técnicas e procedimentos de adversários pós-comprometimento (TTPs) contra sistemas
Microsoft Windows para melhorar a detecção de comportamento malicioso. Desde então, ele cresceu para incluir
Linux e macOS e se expandiu para cobrir o comportamento que leva ao comprometimento de um ambiente, bem
como domínios focados em tecnologia, como dispositivos móveis, sistemas baseados em nuvem e sistemas de
controle industrial. Em alto nível, o ATT&CK é um modelo comportamental que consiste nos seguintes componentes
principais:
• Subtécnicas, descrevendo meios mais específicos pelos quais os adversários atingem objetivos táticos
em um nível inferior ao das técnicas; e
ATT&CK não é uma enumeração exaustiva de vetores de ataque contra software. Outros esforços MITRE
como CAPEC™ [2] e CWE™ [3] são mais aplicáveis a este caso de uso.
O primeiro modelo ATT&CK foi criado em setembro de 2013 e teve como foco principal o ambiente
empresarial Windows. Foi ainda mais refinado por meio de pesquisa e desenvolvimento interno e
posteriormente divulgado publicamente em maio de 2015 com 96 técnicas organizadas
sob 9 táticas. Desde então, a ATT&CK experimentou um tremendo crescimento com base nas
contribuições da comunidade de segurança cibernética. A MITRE criou vários modelos adicionais
baseados em ATT&CK foram criados com base na metodologia usada para criar o primeiro ATT&CK.
O ATT&CK original foi expandido em 2017 para além do Windows para incluir Mac e Linux e foi referido como
ATT&CK for Enterprise. Um modelo complementar chamado PRE ATT&CK foi publicado em 2017 para focar
no comportamento “à esquerda da exploração”. O ATT&CK for Mobile também foi publicado em 2017 para se
concentrar no comportamento no domínio específico para dispositivos móveis. O ATT&CK for Cloud foi
publicado em 2019 como parte do Enterprise para descrever o comportamento em ambientes e serviços de
nuvem. O ATT&CK for ICS foi publicado em 2020 para documentar o comportamento em relação aos sistemas
de controles industriais.
ATT&CK pode ser usado como uma ferramenta para criar cenários de emulação de adversários [5] para testar e
verificar defesas contra técnicas comuns de adversários. Perfis para grupos de adversários específicos podem ser
construídos a partir das informações documentadas no ATT&CK (consulte o caso de uso Cyber Threat Intelligence).
Esses perfis também podem ser usados por defensores e equipes de caça para alinhar e melhorar as medidas
defensivas.
Red Teaming – Aplicando uma mentalidade adversária sem o uso de inteligência de ameaças conhecidas com a
finalidade de realizar um exercício. A equipe vermelha se concentra em atingir o objetivo final de uma operação sem
ser detectada para mostrar a missão ou o impacto operacional de uma violação bem-sucedida.
O ATT&CK pode ser usado como uma ferramenta para criar planos de equipe vermelha e organizar operações para
evitar certas medidas defensivas que possam estar em vigor dentro de uma rede. Também pode ser usado como um
roteiro de pesquisa para desenvolver novas formas de realizar ações que podem não ser detectadas por defesas
comuns.
O ATT&CK pode ser usado como uma ferramenta para construir e testar análises comportamentais para detectar
comportamentos adversários em um ambiente. O Cyber Analytics Repository1 (CAR) é um exemplo de
desenvolvimento analítico que pode ser usado como ponto de partida para uma organização desenvolver
análise comportamental baseada em ATT&CK.
Avaliação de lacunas defensivas – Uma avaliação de lacunas defensivas permite que uma organização determine
quais partes de sua empresa carecem de defesas e/ou visibilidade. Essas lacunas representam pontos cegos para
vetores em potencial que permitem que um adversário obtenha acesso às suas redes sem ser detectado ou mitigado.
O ATT&CK pode ser usado como um modelo comum de adversário focado em comportamento para avaliar
ferramentas, monitoramento e mitigação das defesas existentes na empresa de uma organização. As lacunas
identificadas são úteis como forma de priorizar investimentos para melhoria de um programa de segurança.
Produtos de segurança semelhantes também podem ser comparados com um modelo comum de comportamento do
adversário para determinar a cobertura antes da compra.
1
https://car.mitre.org
3
ameaças contra a rede. Compreender a maturidade de um SOC é importante para determinar sua eficácia.
O ATT&CK pode ser usado como uma medida para determinar a eficácia de um SOC na detecção, análise e resposta
a intrusões. Semelhante à avaliação de lacunas defensivas, uma avaliação de maturidade do SOC concentra-se nos
processos que um SOC usa para detectar, entender e responder a ameaças em mudança em sua rede ao longo do
tempo.
O ATT&CK é útil para entender e documentar perfis de grupos adversários de uma perspectiva comportamental
independente das ferramentas que o grupo pode usar. Analistas e defensores podem entender melhor os
comportamentos comuns em muitos grupos e mapear as defesas de forma mais eficaz para eles e fazer perguntas como
“qual é minha postura defensiva contra o grupo adversário APT3?” Compreender como vários grupos usam o mesmo
comportamento de técnica permite que os analistas se concentrem em defesas impactantes que abrangem vários tipos
de ameaças. O formato estruturado do ATT&CK pode agregar valor aos relatórios de ameaças categorizando o
comportamento além dos indicadores padrão.
Vários grupos dentro do ATT&CK usam as mesmas técnicas. Por esse motivo, não é recomendável
atribuir atividade apenas com base nas técnicas ATT&CK utilizadas. A atribuição a um grupo é um processo complexo
que envolve todas as partes do Modelo Diamond [5], não apenas no uso de TTPs por um adversário.
Em sua essência, o ATT&CK documenta o comportamento conhecido do adversário e não se destina a fornecer
uma lista de verificação de coisas que precisam ser abordadas. Nem todos os comportamentos do adversário podem
ou devem ser usados como base para alertar ou fornecer dados a um analista. Uma ação tão simples quanto
executar ipconfig.exe para solucionar problemas de uma conexão de rede pode ocorrer com frequência em um
ambiente. Este procedimento se enquadra na Descoberta de Configuração de Rede do Sistema em ATT&CK e está na
base de conhecimento porque os adversários são conhecidos por usá-lo para aprender sobre o sistema e a rede em que
estão. Com este exemplo, a capacidade de coletar telemetria em instâncias de ipconfig. exe executado em um ambiente
pode ser “cobertura” suficiente como um registro de atividade histórica que pode ser referenciado posteriormente. Se o
ipconfig.exe for usado com frequência e legitimamente, notificar um analista com um alerta em cada instância sobre um
possível comportamento de intrusão seria excessivo.
Outro exemplo é como abordar o uso de contas válidas, sejam elas contas locais, de domínio ou de nuvem. O uso
dessas contas normalmente ocorreria em qualquer ambiente, mas o contexto de como as contas são usadas pode ou
não indicar que o uso é de natureza maliciosa.
Novamente, é importante que os dados relacionados ao uso da conta sejam coletados, mas seria raro o uso simples das
contas indicar uma condição de alerta para um analista sem contexto adicional.
As técnicas dentro da ATT&CK podem ter muitos procedimentos de como um adversário pode implementá-
las – e como os adversários estão sempre mudando, é difícil saber antecipadamente quais são todos esses
procedimentos. Isso torna difícil discutir a cobertura de uma técnica, especialmente quando algumas formas de
detecção de comportamento dependem de procedimentos individuais e algumas podem abranger vários
procedimentos ou até mesmo uma técnica inteira. Voltando ao exemplo anterior do ipconfig.exe, a coleta de
dados no ipconfig.exe em execução pode ser insuficiente para a cobertura da técnica System Network
Configuration Discovery porque os mesmos detalhes podem ser descobertos por um adversário por outros meios,
como Get-NetIPConfiguration cmdlet dentro do PowerShell.
É importante sempre revisar a inteligência de ameaças sobre quais técnicas, subtécnicas e procedimentos os
adversários usaram para entender os detalhes e como as variações podem afetar a forma como você determina
a cobertura. Qualquer pessoa mapeando para ATT&CK deve ser capaz de explicar os procedimentos que cobrem.
Da mesma forma que não é realista esperar cobertura de 100% das técnicas ATT&CK, é irreal esperar cobertura
de todos os procedimentos de uma determinada técnica, especialmente porque muitas vezes não podemos
conhecer todos eles com antecedência.
Operacionalizar o ATT&CK para uma organização também abrange determinar o que significa para você ter
“cobertura ATT&CK”. É que você está coletando dados relevantes para todas as técnicas ou apenas aquelas que
são as mais importantes e você espera ver? Você espera emitir alertas sobre todas as técnicas ou apenas as
mais raras? É importante que todas as instâncias relevantes de uma técnica vista sejam marcadas com um
mapeamento ATT&CK, mesmo que não tenha sido realizado devido a um incidente real? Uma, duas, três ou mais
análises abordando uma técnica são suficientes para ter confiança de que uma técnica é coberta? A definição de
cobertura se expande além da visibilidade para abranger também controles e medidas preventivas para impedir o
uso de técnicas? Sua definição de cobertura inclui a realização de testes de emulação de equipe vermelha ou
adversário para verificar defesas ou testar lacunas de cobertura?
A ATT&CK é tanto sobre a mentalidade e o processo de usá-lo quanto sobre a própria base de
conhecimento. Ele serve como uma linha de base de atividade fundamentada e informada sobre ameaças que
todos devem conhecer. O processo de coletar inteligência, implementar defesas com base nessa inteligência,
verificar se essas defesas funcionam e melhorar as defesas para cobrir melhor as ameaças ao longo do tempo é
o que deve ser buscado, não 100% de cobertura do ATT&CK. Quando se trata de segurança da informação, as
ameaças que enfrentamos, novas tecnologias e a adaptabilidade de adversários baseados em objetivos, não
podemos considerar o preenchimento de uma lista de verificação como “pronto”.
O modelo ATT&CK
A base do ATT&CK é o conjunto de técnicas e subtécnicas que representam as ações que os adversários
podem realizar para atingir os objetivos. Esses objetivos são representados pelas categorias táticas nas
quais as técnicas e subtécnicas se enquadram. Essa representação relativamente simples atinge um
equilíbrio útil entre detalhes técnicos suficientes no nível da técnica e o contexto em torno do motivo pelo
qual as ações ocorrem no nível tático.
Além disso, algumas técnicas podem ser divididas em subtécnicas que descrevem com mais detalhes
como esses comportamentos podem ser realizados. Por exemplo, o Pre-OS Boot tem três subtécnicas
que consistem em Bootkit, Component Firmware e System Firmware para descrever como a persistência é
alcançada antes que um sistema operacional seja inicializado. A Figura 2 descreve a Tática de Persistência
com técnicas e quatro técnicas expandidas para mostrar subtécnicas: Manipulação de Conta, Inicialização
Pré-SO, Tarefa/Trabalho Agendado e Componente de Software do Servidor
O escopo do ATT&CK também se expande além dos domínios tecnológicos com o PRE-ATT&CK. O PRE
ATT&CK cobre a documentação do comportamento do adversário durante a coleta de requisitos,
reconhecimento e armamento antes que o acesso a uma rede seja obtido. É independente da tecnologia e
modela o comportamento de um adversário à medida que ele tenta obter acesso a uma organização ou entidade
por meio da tecnologia que utiliza, abrangendo vários domínios.
3.3 Táticas
As táticas representam o “porquê” de uma técnica ou subtécnica ATT&CK. É o objetivo tático do adversário:
a razão de realizar uma ação. As táticas servem como categorias contextuais úteis para técnicas individuais
e cobrem notações padrão para coisas que os adversários fazem durante uma operação, como persistir, descobrir
informações, mover-se lateralmente, executar arquivos e exfiltrar dados. As táticas são tratadas como “tags” dentro
do ATT&CK onde uma técnica ou sub-técnica está associada ou marcada com uma ou mais categorias táticas,
dependendo dos diferentes resultados que
pode ser obtido por meio de uma técnica.
Cada tática contém uma definição que descreve a categoria e serve como um guia para quais técnicas
devem estar dentro da tática. Por exemplo, Execução é definida como uma tática que representa
(sub-)técnicas que resultam na execução de código controlado por adversários em um sistema local ou
remoto. Essa tática é frequentemente usada em conjunto com o acesso inicial como meio de execução do
código assim que o acesso é obtido e o movimento lateral para expandir o acesso a sistemas remotos em
uma rede.
Categorias táticas adicionais podem ser definidas conforme necessário para descrever com mais precisão
os objetivos do adversário. As aplicações da metodologia de modelagem ATT&CK para outros domínios podem
exigir categorias novas ou diferentes para associar técnicas, embora possa haver alguma sobreposição com as
definições táticas em modelos existentes.
As subtécnicas dividem ainda mais os comportamentos descritos pelas técnicas em descrições mais
específicas de como o comportamento é usado para atingir um objetivo. Por exemplo, com o despejo de
credenciais do SO, existem vários comportamentos mais específicos sob essa técnica que podem ser descritos
como subtécnicas, incluindo acessar a memória LSASS, o Gerenciador de contas de segurança ou acessar /
etc/passwd e /etc/shadow.
Pode haver muitas maneiras, ou técnicas, para atingir objetivos táticos, então existem várias técnicas em
cada categoria tática. Da mesma forma, pode haver várias maneiras de executar uma técnica para que possa
haver várias subtécnicas distintas em uma técnica.
3.4.1 Procedimentos
Os procedimentos são outro componente importante do conceito TTP, e não podemos falar sobre
táticas e técnicas sem incluir também os procedimentos. Dentro da ATT&CK, os procedimentos são as
implementações específicas que os adversários usaram para técnicas ou subtécnicas. Por exemplo, um
procedimento poderia APT28 usando o PowerShell para injetar em lsass.exe para despejar credenciais
raspando a memória LSASS em uma vítima.
Os dois aspectos importantes a serem observados sobre os procedimentos no ATT&CK são que é como um
adversário usa técnicas e subtécnicas e que um procedimento pode abranger várias técnicas e subtécnicas.
Expandindo o exemplo anterior, o procedimento que o adversário usa para despejar credenciais inclui
PowerShell, Process Injection e LSASS Memory, que são todos comportamentos distintos. Os procedimentos
também podem incluir o uso de ferramentas específicas na forma como são executados.
10
Defesa ignorada* Marcação Se a (sub)técnica pode ser usada para contornar ou evadir uma
determinada ferramenta, metodologia ou processo defensivo. Aplica-
se apenas às (sub)técnicas de evasão de defesa. *Necessário para
evasão de defesa.
ID CAPEC Campo Hiperlink para a entrada CAPEC relacionada no site CAPEC.
Tipo de Impacto* Marcação Indica se a (sub)técnica pode ser usada para ataques de
integridade ou disponibilidade. Aplica-se apenas a (sub)técnicas de
impacto.
Contribuinte Marcação Lista de contribuintes não-MITRE (indivíduos e/ou organizações) do
primeiro ao mais recente que contribuíram com informações sobre, ou
apoiando o desenvolvimento de uma (sub)técnica.
11
• Fornecer uma estrutura para permitir que subtécnicas sejam adicionadas facilmente, o que diminuiria o
necessidade de fazer alterações nas técnicas ao longo do tempo
• Demonstrar que as técnicas não são superficiais e podem ter muitas maneiras de serem executadas que
devem ser consideradas
• Simplifique o processo para adicionar novos domínios de tecnologia ao ATT&CK que usam técnicas de
sobreposição
• Habilite fontes de dados e descrições mais detalhadas sobre como um comportamento pode ser observado
em plataformas específicas
Há vários pontos a serem considerados sobre como as subtécnicas são usadas no ATT&CK.
12
As subtécnicas não têm uma relação um-para-muitos com as técnicas. Cada subtécnica terá apenas um
relacionamento com uma técnica de pai único e nenhuma outra para evitar relacionamentos complicados e difíceis
de manter em todo o modelo. Houve casos em que uma subtécnica com vários pais pode ter feito sentido com
técnicas que abrangem várias táticas. Por exemplo, apenas algumas subtécnicas de tarefa/trabalho agendado
podem ser usadas para escalonamento de privilégios além da persistência. Para resolver este caso, as subtécnicas
não são obrigadas a se enquadrar em todas as táticas em que uma técnica está. injeção de processo), cada
subtécnica pode contribuir para as táticas das quais uma técnica faz parte, mas não é necessária para cumprir a
tática de todas as técnicas pai (ou seja, a subtécnica Process Hollowing pode ser usada para Evasão de Defesa,
mas não Escalação de Privilégios, mesmo que o A técnica de injeção de processo abrange ambas as táticas).
Nem todas as técnicas terão subtécnicas. Organizacionalmente, essa consistência estrutural faz sentido. Na prática,
porém, foi difícil de implementar. Mesmo que o propósito por trás das subtécnicas fosse fornecer mais detalhes sobre
como as técnicas podem ser usadas, ainda existem várias técnicas que não têm uma ruptura natural em subtécnicas
ou não fazem sentido generalizar em técnicas de nível superior. A interceptação de autenticação de dois fatores é um
exemplo.
As subtécnicas são frequentemente, mas nem sempre, específicas do sistema operacional ou da plataforma. Ter
subtécnicas específicas da plataforma torna muito mais fácil focar o conteúdo dessa técnica em uma plataforma
específica, mas descobrimos que as subtécnicas nem sempre são maleáveis o suficiente para esse fim.
Isso resultaria em várias das mesmas subtécnicas, cada uma para diferentes plataformas, como contas válidas locais,
de domínio e padrão para cada Windows, Mac, Linux, etc. Este é especialmente o caso de técnicas que se aplicam a
comunicações de rede na tática de Comando e Controle, já que o uso da rede geralmente é independente do sistema
operacional e da plataforma.
Algumas informações dentro de uma técnica serão herdadas por suas subtécnicas filhas. As informações
de mitigação e de fonte de dados terão uma herança ascendente para a técnica de subtécnicas.
Grupos e exemplos de procedimentos de software não são herdados entre técnicas e subtécnicas. Ao
revisar as informações de ameaças para determinar para qual nível mapear um exemplo, se as informações
disponíveis forem específicas o suficiente para atribuí-las a uma subtécnica, as informações se tornarão um exemplo
de procedimento apenas para a subtécnica. Se a informação for ambígua de tal forma que uma subtécnica não possa
ser identificada, então a informação será mapeada para a técnica.
O mesmo procedimento não deve ser mapeado para ambos a fim de reduzir relacionamentos redundantes.
3.5 Grupos
Os adversários conhecidos que são rastreados por organizações públicas e privadas e relatados em relatórios de
inteligência de ameaças são rastreados no ATT&CK sob o objeto Grupo. Os grupos são definidos como conjuntos de
intrusões nomeados, grupos de ameaças, grupos de atores ou campanhas que normalmente representam atividades
de ameaças persistentes e direcionadas. A ATT&CK concentra-se principalmente em grupos APT, embora também
possa incluir outros grupos avançados, como atores motivados financeiramente.
Os grupos podem usar técnicas diretamente ou empregar software que implementa técnicas.
13
Os itens são anotados por tag se o ponto de dados for uma referência informativa no grupo que pode ser usada para filtrar e
dinamizar, e campo se o item for um campo de texto livre usado para descrever informações e detalhes específicos do grupo.
Itens marcados com relacionamento indicam campos que estão associados a relacionamentos de entidade objeto com
técnicas ou softwares que utilizam a técnica. Os itens de dados marcados com * indicam que o elemento é obrigatório
3.6 Software
Os adversários geralmente usam diferentes tipos de software durante as invasões. O software pode representar uma
instanciação de uma técnica ou sub-técnica, portanto, também é necessário categorizar dentro do ATT&CK para obter
exemplos de como as técnicas são usadas. O software é dividido em duas categorias de alto nível: ferramentas e malware.
14
• Ferramenta - Software comercial, de código aberto, integrado ou disponível publicamente que pode ser usado por um
defensor, testador de canetas, time vermelho ou adversário. Esta categoria inclui software que geralmente não é
encontrado em um sistema corporativo, bem como software geralmente disponível como parte de um sistema operacional
que já está presente em um ambiente.
Exemplos incluem PsExec, Metasploit, Mimikatz, bem como utilitários do Windows, como Net, netstat, Tasklist, etc.
• Malware - software comercial, de código fechado personalizado ou de código aberto destinado a ser
usado para fins maliciosos por adversários. Exemplos incluem PlugX, CHOPSTICK, etc.
As categorias de software podem ser divididas ainda mais, mas a ideia por trás da categorização atual era mostrar
como os adversários usam ferramentas e softwares legítimos para realizar ações como fazem com o malware tradicional.
Os itens são anotados por tag se o ponto de dados for uma referência informativa no software que pode ser usada para filtrar e
dinamizar, e campo se o item for um campo de texto livre usado para descrever informações e detalhes específicos do software. Itens
marcados com relacionamento indicam campos que estão associados a relacionamentos de entidades de objetos com técnicas ou
grupos. Os itens de dados marcados com * indicam que o elemento é obrigatório.
15
3.7 Mitigações
As mitigações no ATT&CK representam conceitos de segurança e classes de tecnologias que podem ser usadas
para evitar que uma técnica ou subtécnica seja executada com sucesso. Existem 41 mitigações no ATT&CK for
Enterprise em março de 2020 e incluem mitigações como isolamento e sandboxing de aplicativos, backup de dados,
prevenção de execução e segmentação de rede. [7] As mitigações são independentes do produto do fornecedor e
descrevem apenas categorias ou classes de tecnologias, não soluções específicas.
As mitigações são representadas por objetos semelhantes a grupos e softwares onde os relacionamentos significam
como uma mitigação pode mitigar uma técnica ou subtécnica. A ATT&CK for Mobile foi a primeira base de
conhecimento a usar o formato de objeto para mitigações. O ATT&CK for Enterprise foi alterado de um campo de
texto livre para descrever o comportamento de mitigação para o formato do objeto na atualização de julho de 2019.
Tanto o Enterprise quanto o Mobile têm seus próprios conjuntos de categorias de mitigação com sobreposição
mínima entre eles.
Os itens são anotados por marca se o ponto de dados for uma referência informativa sobre a mitigação que
pode ser usada para filtrar e dinamizar, e campo se o item for um campo de texto livre usado para descrever
informações e detalhes específicos da mitigação. Itens marcados com relacionamento indicam campos que
estão associados a relacionamentos de entidade objeto com técnicas ou subtécnicas. Os itens de dados marcados
com * indicam que o elemento é obrigatório.
16
Um exemplo aplicado a um grupo de ameaças persistentes específico em que o APT28 usa Mimikatz
para despejo de credenciais na memória do processo LSASS do Windows:
17
18
3.9 Versão
A ATT&CK utiliza um sistema para versionamento de objetos (técnicas, subtécnicas, grupos, software e mitigações), a
visão matricial de domínios e releases. O sistema foi projetado para informar os usuários quando partes do ATT&CK
foram alteradas, dar uma indicação do grau da mudança, permitir que os usuários diferenciem entre as versões da matriz
e ter referências estáveis para lançamentos de conteúdo.
As versões serão incrementadas apenas entre lançamentos de conteúdo. Isso significa que, se duas alterações forem
feitas em uma técnica entre as atualizações agendadas, a versão aumentará apenas uma vez.
3.9.1 Objetos
No ATT&CK, objetos referem-se a qualquer item da base de conhecimento que possa ter um relacionamento com outro
objeto. Cada um tem seus próprios critérios de como as versões são incrementadas entre os lançamentos.
Todos os objetos são atribuídos a uma versão numérica de duas partes MAJOR.MINOR que começa em 1.0 para
qualquer novo objeto.
As principais alterações de versão consistem em alterações de nome e alterações de escopo que devem ocorrer
com pouca frequência. As mudanças de escopo são uma modificação de como a técnica pode ser interpretada ou o
que ela cobre ou não cobre na descrição e inclui mudanças em suas táticas atribuídas.
Alterações de versão secundárias consistem em alterações de informações descritivas, como atualizações secundárias
que não alteram o escopo, exemplos de procedimentos, detecções, atenuações e referências. Eles também incluem
quaisquer alterações de metadados, como plataformas, permissões necessárias, fontes de dados, defesas ignoradas,
etc.
3.9.1.2 Grupos
As principais alterações de versão consistem em alterações ou adições a grupos associados, bem como alterações na
descrição do grupo, o que deve ocorrer com pouca frequência.
Mudanças de versão menores consistem em mudanças nas referências e relacionamentos com técnicas e software.
3.9.1.3 Software
As principais alterações de versão consistem em alterações ou adições ao software associado, bem como alterações na
descrição do software, o que deve ocorrer com pouca frequência.
As alterações de versão secundárias consistem em alterações nas referências e relacionamentos com técnicas e
grupos.
3.9.1.4 Mitigações
As principais alterações de versão consistem em alterações no escopo do que a mitigação cobre e alterações no nome da
mitigação, o que deve acontecer com pouca frequência.
Alterações de versão menores consistem em alterações na descrição de uma mitigação que não afeta sua
escopo, bem como mudanças nas referências e relacionamentos com as técnicas.
19
3.9.1.5 Suspensão
Objetos podem ser descontinuados quando não são mais benéficos para rastreamento como parte da
base de conhecimento. Isso pode acontecer por vários motivos, incluindo combinar ideias técnicas ou
remover um objeto desnecessário.
Objetos obsoletos não são excluídos da base de conhecimento e ainda são mantidos nos repositórios STIX,
mas não aparecem mais na barra de navegação e na matriz no site principal da ATT&CK.
3.9.2 Matriz
Cada matriz que aparece no site da ATT&CK recebe um carimbo de data/hora da última modificação que
serve como seu número de versão. Isso se aplica ao Enterprise (e plataformas relacionadas), Cloud (e
plataformas relacionadas), Mobile (e plataformas relacionadas) e PRE-ATT&CK.
3.9.3 Liberações
A Metodologia ATT&CK
As seções anteriores deste documento descreveram e definiram a finalidade e a estrutura da base de
conhecimento da ATT&CK. Esta seção descreve os componentes conceituais da metodologia utilizada na
criação e manutenção da ATT&CK. Ele também descreve o processo recomendado para determinar se e
quando novas técnicas devem ser adicionadas à base de conhecimento e como a inteligência de ameaças é
usada para formar o grupo e os perfis de técnica de software.
As informações dentro da ATT&CK evoluíram ao longo do tempo, assim como as considerações usadas
para quais informações são incluídas e como são estruturadas. O processo é tanto uma arte quanto uma
ciência, mas permanece focado em uma representação precisa de como os adversários conduzem as operações
de uma maneira que seja fácil de categorizar as ações que eles realizam e relacionar essas ações a sensores,
configurações do sistema e contramedidas que os defensores pode usar para detectar e/ou interromper essas ações.
4.1 Conceitual
Existem três ideias conceituais que são fundamentais para a filosofia por trás da ATT&CK:
• Segue o uso da atividade no mundo real por meio de exemplos de uso empírico;
• O nível de abstração é apropriado para unir a ação ofensiva com possível defesa
contramedidas.
20
segurança do ponto de vista de um defensor com uma visão de cima para baixo, como o modelo CIA2, foco na pontuação de
vulnerabilidade, como CVSS [6], ou principalmente contabilizar cálculos de risco, como DREAD [7].
A mudança de perspectiva muda a questão do que aconteceu com base em uma lista de recursos disponíveis para o que
poderia acontecer com uma estrutura para alinhar uma estratégia defensiva à cartilha do adversário. Em parte, o ATT&CK
fornece um quadro de referência mais preciso sobre como abordar a avaliação da cobertura defensiva. Ele transmite as
relações e dependências entre as ações e as informações adversárias de uma forma que é agnóstica de qualquer ferramenta
de defesa específica ou método de coleta de dados. Os defensores podem então seguir a motivação do adversário para ações
individuais e entender como as ações e dependências se relacionam com classes específicas de defesas que podem ser
implantadas em um ambiente.
Novas informações relevantes para as técnicas ATT&CK podem vir de muitas fontes diferentes. Essas fontes são usadas para
ajudar a atender aos critérios de uso empírico:
• Apresentações de conferências
• Webinars
• Mídia social
• Blogues
• Amostras de malware
2
Confidencialidade, Integridade e Disponibilidade
21
A ATT&CK depende muito da contribuição da comunidade sobre o que eles veem acontecendo na natureza para
manter-se atualizado com informações relevantes. [13] O papel do MITRE no processo é coletar, priorizar e organizar
as informações recebidas para garantir que estejam alinhadas com a ATT&CK e beneficiem a compreensão da
comunidade sobre o comportamento do adversário e melhorem como a comunidade pode se defender contra esses
comportamentos. As informações podem ser usadas de diferentes maneiras, dependendo de onde as informações vêm
e da vantagem que a organização ou o indivíduo contribuinte tem.
Os analistas de inteligência de ameaças normalmente rastreiam incidentes, grupos de ameaças e como seus TTPs
evoluem ao longo do tempo. CTI é a base sobre a qual a ATT&CK é construída e fornece uma das melhores fontes de
informação para informar novas técnicas, bem como grupos e softwares.
Os defensores veem os adversários em ação e muitas vezes estão em posição de ver quando novas técnicas estão
sendo usadas. Os defensores neste contexto referem-se a caçadores de ameaças, analistas de malware e
respondentes a incidentes. As observações dos defensores são outra grande fonte de informação para a ATT&CK
Os Red Teamers podem não rastrear grupos adversários ou estar em posição de ver técnicas em estado selvagem, mas
podem fornecer uma fonte útil de informações sobre como as técnicas são feitas. As equipes vermelhas também
desenvolvem ou usam software de código aberto que também pode ser usado por adversários à solta.
As contribuições para a ATT&CK vão além das técnicas. Informações novas e atualizadas relacionadas a detecções,
fontes de dados, mitigações, melhores práticas e outros aspectos do ATT&CK são usadas para aprimorar as informações
na base de conhecimento.
A grande maioria dos incidentes descobertos não são relatados publicamente. Incidentes não relatados
ou subnotificados podem conter informações valiosas sobre como os adversários se comportam e se envolvem nas
operações. Muitas vezes, as técnicas usadas podem ser separadas de informações potencialmente sensíveis ou
prejudiciais e ajudam a fornecer insights sobre novas técnicas e variações, bem como dados estatísticos para mostrar a
prevalência de uso.
Esse tipo de evidência circunstancial de uso é valioso e é levado em consideração como dados empíricos
relacionados ao uso ao adicionar novas informações ao ATT&CK com base nas contribuições da comunidade.
4.1.3 Abstração
O nível de abstração para táticas e técnicas adversárias dentro do ATT&CK é uma distinção importante entre ele e
outros tipos de modelos de ameaças. Modelos de alto nível, como os vários ciclos de vida do adversário, incluindo
o Lockheed Martin Cyber Kill Chain®, o Microsoft STRIDE, etc., são úteis para entender os processos de alto nível e os
objetivos do adversário. No entanto, esses modelos não são eficazes para transmitir quais ações individuais os
adversários fazem, como uma ação se relaciona com outra, como as sequências de ações se relacionam com os
objetivos táticos do adversário e como as ações se correlacionam com fontes de dados, defesas, configurações e outras
contramedidas usadas para a segurança de uma plataforma e domínio.
Por outro lado, bancos de dados e modelos de exploração descrevem instâncias específicas de software explorável –
que geralmente estão disponíveis para uso com exemplos de código - mas estão muito distantes do
22
circunstâncias em que poderiam ou deveriam ser usados, bem como pela dificuldade de usá-los.
Da mesma forma, os bancos de dados de malware também existem, mas normalmente não têm contexto sobre
como o malware é usado e por quem. Eles também não levam em consideração como o software legítimo pode ser
usado para fins maliciosos.
Um modelo de adversário de nível médio como o ATT&CK é necessário para unir esses vários componentes.
As táticas e técnicas do ATT&CK definem os comportamentos adversários dentro de um ciclo de vida em um grau em
que podem ser mapeados com mais eficácia para as defesas. Os conceitos de alto nível, como Controlar, Executar e
Manter, são divididos em categorias mais descritivas, nas quais as ações individuais em um sistema podem ser
definidas e categorizadas. Um modelo de nível médio também é útil para contextualizar conceitos de nível inferior. As
técnicas baseadas em comportamento são o foco, em oposição às explorações e malware, porque são numerosas,
mas são difíceis de raciocinar sobre elas com um programa defensivo holístico que não seja varreduras regulares de
vulnerabilidades, correções rápidas e IOCs.
Exploits e softwares maliciosos são úteis para um kit de ferramentas do adversário, mas para entender completamente
sua utilidade, é necessário entender o contexto no qual eles podem ser usados para atingir um objetivo. O modelo de
nível médio também é uma construção útil para vincular inteligência de ameaças e dados de incidentes para mostrar
quem está fazendo o quê, bem como a prevalência de uso de técnicas específicas. A Figura 4 mostra uma
comparação do nível de abstração entre modelos de nível alto, médio e baixo e bancos de dados de conhecimento
de ameaças:
• Uma taxonomia comum de ações e objetivos de adversários individuais compreendidos por ambos
ataque e defesa.
• Um nível apropriado de categorização para relacionar a ação do adversário e formas específicas de defesa
contra ele.
23
4.2 Táticas
Como as táticas representam os objetivos táticos de um adversário, estes permanecem relativamente estáticos
ao longo do tempo, porque é improvável que os objetivos do adversário mudem. As táticas combinam aspectos
do que o adversário está tentando realizar com qual plataforma e domínio ele está operando. Muitas vezes,
esses objetivos serão semelhantes entre as plataformas, e é por isso que as táticas Enterprise ATT&CK são
consistentes no Windows, macOS e Linux e são muito semelhantes às táticas Use Device Access no ATT&CK
for Mobile. Os lugares onde eles diferem serão onde os objetivos do adversário e as tecnologias de plataforma
ou domínio diferem. Um exemplo disso é mais uma vez evidente com o ATT&CK for Mobile para cobrir como os
adversários podem fazer downgrade ou interceptar conexões entre dispositivos móveis e sua rede ou provedor
de serviços.
Pode haver casos em que as táticas precisam ser refinadas para melhor definição das ações que ocorrem.
No ATT&CK for Enterprise original, a tática de cobrança do Windows não existia; em vez disso, foi incluído
como parte da Exfiltração. Essa representação se encaixou suficientemente na época porque era amplamente
vista como uma ação – um adversário filtra informações, mas não representava com precisão os motivos e
ações distintos necessários para uma exfiltração bem-sucedida. De onde vêm os dados e como eles são obtidos
é tão importante quanto como um adversário remove os dados de um ambiente e também representa locais
distintos onde essas ações podem ser detectadas. Há também uma diferença de tempo entre quando um
adversário pode coletar informações e quando ele as exfiltra. Assim, decidiu-se dividir essa tática em duas e
descrever a Coleção separadamente.
Novas táticas seguirão a necessidade de definir objetivos de adversários existentes, mas não categorizados, ou
novos, como forma de fornecer um contexto preciso para o que um adversário está realizando ao realizar uma
ação técnica.
4.2.1 Impacto
Os tipos de táticas da ATT&CK se alinharam historicamente para cobrir adversários focados principalmente
em violar a confidencialidade das informações. Objetivos como acesso inicial, descoberta e acesso a
credenciais são comumente usados para obter e expandir o acesso em um ambiente com o objetivo final de
roubar informações por meio de coleta e exfiltração. No entanto, essas táticas não abrangeram ataques
disruptivos e/ou destrutivos contra informações ou sistemas. Em 2019, a tática Impacto foi adicionada à
ATT&CK para suprir essa falta de cobertura. Com o aumento de ransomware direcionado, incidentes de limpeza
de disco, manipulação de transações financeiras e ataques distribuídos de negação de serviço em larga escala,
era importante para a ATT&CK manter a paridade com o comportamento que os adversários estão usando,
mesmo que seus objetivos não estejam focados na exfiltração de dados.
Em vez de incluir todos os tipos possíveis de comportamentos não abordados em outras partes da
ATT&CK, as técnicas da tática Impacto envolvem especificamente apenas ataques que afetam a
integridade ou disponibilidade de informações ou sistemas. Juntamente com as outras táticas do ATT&CK,
isso aumenta o escopo do ATT&CK para cobrir a tradicional tríade de Confidencialidade, Integridade e
Disponibilidade, ou CIA. Os ataques à disponibilidade reduzem ou removem a capacidade de usar um sistema
ou as informações nele, danificando-o ou reduzindo sua utilidade. Por exemplo, substituir o registro mestre de
inicialização (MBR) de um computador, atividade que se enquadra na Limpeza da estrutura de disco, torna o
sistema incapaz de inicializar e indisponível para os usuários. Ataques à integridade manipulam a precisão ou
integridade das informações. Por exemplo, um invasor modificando o saldo de uma conta bancária
24
armazenados em um banco de dados, atividade que se enquadra em Manipulação de Dados: Manipulação de Dados Armazenados,
danifica a integridade das informações da balança. Cada técnica e subtécnica na tática de Impacto inclui uma etiqueta
obrigatória de “Tipo de Impacto” com um valor de “Disponibilidade” ou “Integridade” indicando qual delas a (sub)técnica
impacta.
Semelhante a outras táticas no ATT&CK, é importante levar em consideração os objetivos do adversário ao alavancar as
técnicas de Impacto. Um adversário que exclua arquivos para diminuir sua probabilidade de detecção em um sistema final
cairia em Remoção de Indicador no Host: Exclusão de Arquivos em Defesa Evasão, em vez de Destruição de Dados no
Impacto, apesar de ambas as técnicas envolverem a exclusão de arquivos.
4.3.1.1 Nomenclatura
Os nomes das técnicas focam no aspecto da técnica que a torna única – o que o adversário alcança em um nível intermediário
de abstração ao usar a tática. As subtécnicas geralmente significam como uma técnica é usada em um nível mais baixo de
abstração. Um exemplo do primeiro é
Despejo de credenciais [10] para acesso a credenciais, onde o despejo de credenciais é um método de obter acesso a
novas credenciais — e as credenciais podem ser despejadas de várias maneiras diferentes. UMA
exemplo de sub-técnica deste último é Rundll32 [11] para Evasão de Defesa. Ele fica em um nível mais baixo de abstração,
onde Rundll32 representa uma maneira específica pela qual a técnica Signed Binary Proxy Execution pode ser usada. A
terminologia aceita pela indústria tende a ser usada se já estiver estabelecida e documentada por meio de apresentações em
conferências, postagens em blogs, outros artigos etc.
1. Técnicas gerais que se aplicam a várias plataformas de maneira geral (por exemplo, Exploit Public Facing Application
[12] que depende de software vulnerável)
2. Técnicas gerais que se aplicam a várias plataformas de maneiras específicas (por exemplo, Injeção de
Processo [13] que tem várias maneiras específicas de plataforma que pode ser feita)
1. Formas específicas de execução de uma técnica que podem se aplicar a uma ou mais plataformas
(por exemplo, Rundll32 [11] como uma forma específica de executar Signed Binary Proxy Execution [14])
Para o primeiro, detalhar como essa técnica se aplica a várias plataformas com seções específicas para cada plataforma na
descrição técnica provavelmente não faz sentido porque a técnica
25
descreve um comportamento agnóstico de plataforma geral, como muito da tática de Comando e Controle. A descrição
é geral e os detalhes são fornecidos com referências aos exemplos das diferentes plataformas, conforme necessário.
Técnicas que podem ser executadas de algumas maneiras diferentes para alcançar resultados iguais ou semelhantes são
agrupados em uma categoria geral de técnicas, como Credential Dumping. Essas técnicas podem ser aplicadas a várias
plataformas de maneiras específicas. Essas diferentes maneiras seriam então definidas como subtécnicas que descrevem
como esses comportamentos podem ser aplicados individualmente com base na plataforma.
As subtécnicas geralmente são maneiras específicas pelas quais um adversário age contra uma plataforma específica ou
usando um conceito semelhante que funciona de maneira semelhante em todas as plataformas. Rundll32 é um exemplo do
anterior que se aplica apenas a sistemas Windows. Essas subtécnicas tendem a descrever como os componentes individuais
da plataforma são abusados pelos adversários. Arquivos e diretórios ocultos é um exemplo deste último, pois aproveita um
conceito semelhante que abrange Windows, Linux e Mac, mas é um exemplo específico de como um adversário ocultaria
artefatos em um sistema designado pela técnica Ocultar artefatos.
Às vezes, técnicas ou subtécnicas podem ter várias etapas necessárias, algumas dessas etapas podem ser relacionadas a
outras técnicas existentes ou etapas que podem ser técnicas individuais. Quando isso ocorre, é importante focar no atributo
distintivo do comportamento ou no que o torna diferente dos demais.
Referências técnicas são fornecidas para direcionar os usuários para pesquisas adicionais ou mais detalhes sobre as técnicas.
As áreas em que as referências técnicas são úteis incluem: histórico da técnica, uso esperado em casos benignos, exemplos
de uso geral, variações de uma técnica, ferramentas relevantes e repositórios de código-fonte aberto, exemplos de detecção
e melhores práticas e categorias de mitigação e melhores práticas.
ATT&CK também inclui informações sobre se (e por quem) uma técnica ou subtécnica é usada na natureza e seus impactos
relatados. Conforme mencionado na seção de uso empírico, existem muitas fontes dessa informação. A ATT&CK permanece
fortemente ligada a fontes de inteligência de ameaças em grupos de ameaças persistentes. À medida que o escopo do
ATT&CK foi expandido e refinado, também aumentaram os critérios necessários para adicionar informações. A ATT&CK
também inclui pesquisa pública ofensiva usada por equipes vermelhas contra redes corporativas, já que os adversários são
conhecidos por adotar essas técnicas publicadas. Também há menos incidentes de ameaças persistentes relatados em
sistemas Linux e Mac do que em Windows, fazendo com que os dados de ameaças disponíveis sejam substancialmente menos
disponíveis. Fontes de dados gerais que não estão necessariamente vinculadas ao uso de grupos de ameaças persistentes
podem ser usadas no lugar quando as técnicas se alinham bem com o comportamento típico das ameaças persistentes.
Existem várias categorias gerais de informações de uso empírico que podem ser usadas:
• Relatado – O comportamento é relatado com uso selvagem por meio de fontes públicas.
• Relatado, não público – O uso do comportamento é relatado em fontes não públicas, mas o conhecimento da técnica
ou subtécnica existente está presente em fontes públicas.
26
• Subnotificado - Comportamentos que provavelmente estão sendo usados, mas não estão sendo relatados para
alguma razão. Também pode haver casos em que existam informações circunstanciais de que uma técnica está
em uso, mas geralmente é difícil coletar ou divulgar informações afirmando que a técnica está em uso devido a
sensibilidades relacionadas à fonte de informação ou método de coleta. A discrição é usada com base na
credibilidade do
fonte.
• Não reportado – Não há nenhuma fonte de informação pública ou não pública dizendo que um comportamento está em uso.
Esta categoria pode conter novas pesquisas ofensivas usadas por equipes vermelhas que foram
publicadas, mas o uso selvagem por grupos adversários é desconhecido. A discrição é usada com base na
utilidade da técnica ou subtécnica e na probabilidade de uso pelos adversários.
Vários fatores são considerados ao incluir novas informações para determinar onde e como elas se encaixam no modelo:
• Objetivo- O que a técnica ou subtécnica está realizando. Técnicas semelhantes podem ser executadas da
mesma maneira para realizar táticas diferentes. Da mesma forma, diferentes técnicas podem realizar a
mesma tática de maneiras diferentes.
• Use- Quem está usando? Existem vários grupos? Se sim, como o uso é diferente ou o
mesmo?
• Requisitos- Os componentes que são necessários para usar uma técnica ou subtécnica, ou são afetados pelo uso
de uma técnica. Por exemplo, arquivos, locais, alterações de registro, chamadas de API, permissões, etc. Qual
é a sobreposição de componentes entre as técnicas? Eles são distintos ou semelhantes?
• Detecção - O que precisa ser instrumentado para detectar o uso da técnica ou sub
técnica? Isso está relacionado a requisitos e ações, mas pode diferir entre as técnicas relacionadas.
Essa escolha nem sempre é clara – as seguintes perguntas ajudam a orientar a decisão:
§ É plausível que o comportamento possa ser usado para esse objetivo tático mesmo se os dados
não estiverem disponíveis devido a técnicas relacionadas?
o O novo comportamento se encaixa naturalmente sob a técnica semelhante como um novo sub
técnica?
o A criação de uma nova técnica seria útil para um usuário final do modelo?
• O que distingue essa variação dos métodos existentes de uso da técnica ou sub
técnica?
o Como é realizado?
28
o Que diferenças analíticas, se houver, podem ser necessárias para detectar efetivamente o uso ou
artefatos do lado do sistema e da rede resultantes da técnica que está sendo usada?
Também é importante considerar o uso de grupos adversários e variações de técnicas e subtécnicas para
determinar como elas devem ser documentadas adequadamente. Esses fatores também podem
contribuem para a criação ou não de uma nova técnica ou para o aprimoramento de uma já existente.
o As diferenças devem ser documentadas no perfil do grupo adversário de como eles são
conhecidos por implementar a técnica?
As informações sobre grupos são derivadas de relatórios de código aberto e cada uma das técnicas e subtécnicas
usadas deve ter uma referência à fonte que explica como o grupo a utiliza.
O ATT&CK é baseado em referências de código aberto para garantir a rastreabilidade das informações e permitir
que os usuários avaliem as fontes de informações.
As fontes devem ser conhecidas por serem respeitáveis dentro da comunidade de segurança cibernética e
demonstrar as melhores práticas de análise de inteligência. Fontes comuns incluem blogs de fornecedores de
segurança, mas outras fontes, como blogs pessoais ou Twitter, podem ser usadas desde que as informações sejam
consideradas confiáveis. As fontes originais devem ser usadas sempre que possível, em vez de relatórios
secundários sobre as fontes. Não aceitamos informações vazadas ou classificadas de qualquer corporação ou
governo como base para inteligência de ameaças dentro da ATT&CK.
Exemplos de fontes de relatórios de ameaças disponíveis publicamente são considerados confiáveis com base
em critérios amplamente aceitos para avaliar informações, incluindo:
5. A fonte demonstra uma metodologia de análise sólida (incluindo evidência de apoio, níveis de confiança e
lacunas)? Inclui “saltos” analíticos?
Ao documentar técnicas e subtécnicas usadas, várias técnicas podem ser aplicadas simultaneamente
ao mesmo comportamento. Por exemplo, o tráfego de Comando e Controle baseado em HTTP na porta 8088
cairia tanto na técnica de Porta Não Padrão quanto na subtécnica de Protocolos da Web do Protocolo de Camada
de Aplicativo. Isto é para capturar as várias técnicas
29
aspectos de uma técnica e relacioná-los às razões específicas de seu uso e quais fontes de dados e contramedidas podem
ser usadas pelos defensores. Os analistas também devem ter cautela e não presumir que uma técnica foi usada se não for
explicitamente declarada ou não puder ter acontecido de outra forma durante o incidente relatado. No mesmo exemplo, se o
tráfego de Comando e Controle for por HTTP, a menos que seja explicitamente declarado ou conhecido, um analista não deve
presumir que o tráfego seja pela porta 80 porque os adversários podem usar portas não padrão, como no exemplo.
Alguns grupos no ATT&CK têm vários nomes associados a conjuntos de atividades relacionados devido a várias organizações
que rastreiam os mesmos (ou semelhantes) conjuntos de atividades por nomes diferentes.
As definições de grupos das organizações podem estar apenas parcialmente sobrepostas e podem discordar em atividades
específicas. Pode haver várias nuances que levam um analista e uma organização a categorizar a atividade adversária
separadamente, como diferenças na visibilidade da atividade suspeita de um grupo.
[12] Apesar desse desafio, rastrear grupos associados para atividades semelhantes é útil para muitos usuários do ATT&CK,
portanto, as páginas do grupo se esforçam ao máximo para rastrear nomes relacionados com base em relatórios públicos. Assim
como as técnicas utilizadas devem ser citadas, cada grupo associado também deve ser citado. Pode haver informações adicionais,
ou análises baseadas em dados incompletos ou indisponíveis, que podem levar a mudanças na forma como os grupos adversários
são categorizados.
As técnicas usadas por um grupo devem se concentrar nas técnicas e subtécnicas que se acredita terem sido executadas
diretamente pelos adversários, e não naquelas executadas sem a interação do adversário por uma amostra de software
específica. As técnicas executadas por software devem ser listadas na página de software apropriada, e esse software é então
vinculado ao grupo que o utilizou usando o relacionamento/campo mencionado acima.
Os relatórios geralmente incluem comportamento adversário e uso de técnicas para atividades não agrupadas ou não identificadas.
Esta ainda é uma fonte de informação muito útil. Só porque a atividade não está correlacionada a um grupo nomeado não significa
que ela não deva ser incluída como justificativa para uma técnica ou aprimoramento de informações. Normalmente, essas
informações são incluídas como referência na seção técnica de uma técnica que descreve instâncias de como a técnica pode ser
usada.
Injeção de Processo – Análise de uma técnica que existe dentro da ATT&CK aplicando a metodologia acima. A injeção de
processo, às vezes chamada de injeção de DLL, é uma classe de comportamento que descreve como um adversário pode usar
um processo em execução benigno existente como uma forma de ocultar a presença de seu código em execução.
Considerações:
• Essa técnica é usada para ocultar algumas defesas comuns, como análise de árvore de processo. Ele também pode ser
usado para executar dentro de um determinado contexto de outro processo que tenha certos direitos ou permissões de
usuário.
30
• Aplica-se a sistemas Windows e Linux e representa uma funcionalidade benigna usada por software legítimo
que pode ser usado por adversários para fins maliciosos.
• Requer telemetria em tempo real do sistema em processos em execução e interações com processos por meio da
API para detectar efetivamente o uso. Alguma detecção forense de injeção de processo é possível, dependendo
da variação usada, de bibliotecas carregadas e outras fontes de dados, mas requer tempo adequado.
• A mitigação é difícil devido à sua utilidade benigna no software. Alguns recursos de segurança podem atenuar
aspectos dessa técnica, como lista de permissões de aplicativos que inclui análise de módulos carregados
ou integridade de código que impede que processos de um nível de integridade mais baixo façam interface
com processos executados em um nível de integridade mais alto.
• Muitos grupos adversários usam essa técnica, que é um componente de ferramentas, scripts e
malware.
• Existem várias variações de injeção de processo, mas a maioria segue uma sequência comum de um processo
inicial controlado pelo adversário solicitando acesso a um processo não malicioso, carregando código dentro
dele e forçando esse processo a executar o novo código.
• Algumas variações carregam DLLs do disco, enquanto outras executam carregamento reflexivo que não requer um
arquivo em disco.
• Métodos de execução relacionados requerem que um binário seja colocado em disco e/ou algum
alteração de configuração que carregará e executará o código em um novo processo representando diferentes
oportunidades para detectar e mitigar.
• Outros métodos relacionados usam funcionalidades diferentes fornecidas pelo Windows para carregar e
executar código, como shims de aplicativos.
• Conceitos semelhantes existem em sistemas baseados em Linux para carregar bibliotecas dinamicamente em
processos.
Conclusões:
• Existem várias variações dessa técnica e o comportamento central é distinto o suficiente de outros métodos
relacionados de evasão de defesa e escalação de privilégios para garantir uma entrada individual.
• Existem várias variações dentro deste conceito central para incluir na entrada de injeção de processo que deve
ser definida como subtécnicas sob uma técnica pai de injeção de processo.
• A injeção de processo deve ser incluída como uma técnica sob evasão e privilégio de defesa
escalação. [13]
SQL Injection (SQLi) – um exemplo de análise de uma técnica que não está explicitamente no ATT&CK aplicando a
metodologia acima.
31
SQLi é um método de injeção de código por meio de uma interface da Web incorretamente protegida que é
interpretada e executada por um processo de banco de dados. A execução de código resultante pode ser usada para
vários propósitos, incluindo adicionar ou modificar informações, obter acesso a um sistema, fazer com que o servidor
baixe e execute outro código que pode resultar em persistência, acesso a credenciais, escalonamento de privilégios,
coleta e exfiltração .
Considerações:
• O SQLi pode ser executado para obter acesso a um servidor Web externo em uma DMZ ou servidor Web
posicionado incorretamente que resultaria em comprometimento da rede. Também pode ser realizado para obter
movimento lateral dentro de uma empresa, mas os incidentes relatados em estado selvagem têm sido escassos
neste caso de uso.
• Fundamentalmente, o SQLi está explorando uma vulnerabilidade no software de aplicativo da Web devido ao
design de código inadequado e não é um comportamento benigno que um adversário possa usar para algum
propósito.
• SQLi é uma vulnerabilidade predominante que ocorre com frequência em muitos tipos diferentes de aplicativos da
Web, independentemente do idioma ou da plataforma em que são escritos.
• Software foi desenvolvido para automatizar SQLi; é improvável que isso seja executado manualmente.
• Para a variação externa, as fontes de dados que coletam tráfego no limite provavelmente veriam esse comportamento.
Os logs de aplicativos da web e do servidor de banco de dados também podem ser usados.
A detecção do verdadeiro positivo pode ser difícil devido a certa variação que pode ser usada na
frequência e no tempo de tentativas e métodos para ocultar indicadores.
• Para a variação interna, as ferramentas que normalmente não estão presentes em uma rede corporativa
provavelmente precisariam ser baixadas e usadas por um adversário. Dependendo da ferramenta e de como
ela é usada, ela pode criar uma enorme quantidade de tráfego contra um
servidor web acessível internamente. Fluxo de rede interno, captura de pacotes, logs da web e monitoramento de
endpoints podem ser usados para detectar aspectos do download e uso da ferramenta.
• Existem muitos métodos de como o SQLi pode alcançar um banco de dados por meio de várias entradas e
parâmetros de dados malformados. Como eles são detectados ou mitigados não são fundamentalmente diferentes
uns dos outros. A entrada de banco de dados ou logs da web podem ser usados para procurar entradas SQLi
comuns que resultam na execução de código. Da mesma forma, o uso de desenvolvimento web seguro e
construções de programação segura existentes mitiga um grande número de instâncias SQLi.
• Os adversários são conhecidos por usar o SQLi como meio de obter acesso a
servidores web disponíveis. Não há bons dados disponíveis sobre uso em redes internas para outros fins.
Conclusões:
• O contexto no qual o SQLi se encaixa nos objetivos táticos de um adversário o coloca nas tentativas de obter acesso
a um sistema por meio de uma vulnerabilidade de software existente. Um exemplo é o acesso inicial em um
comprometimento de rede ao comprometer um aplicativo externo.
• SQLi é uma variação de uma técnica de exploração contra uma tecnologia de software específica
e é uma abstração apropriada de como um adversário realiza o compromisso inicial. Isto
32
não precisaria ser descrito de várias maneiras neste nível de técnica devido às variações limitadas
em como é executada por um adversário, detectada por defensores ou mitigada por meio de design
de software adequado. Recursos adicionais podem ser citados conforme necessário, como CAPEC,
CWE, OWASP que detalham detalhes.
Desde que o ATT&CK foi publicado, o MITRE o expandiu em vários domínios de tecnologia adicionais,
incluindo dispositivos móveis, nuvem e ICS. Ainda mais domínios poderiam ser pesquisados, mas dado o
nosso critério de basear as informações do ATT&CK no uso de técnicas in-the-wild, muitas vezes uma
aplicação da metodologia ATT&CK não significa que o resultado seja um modelo ATT&CK. Há dois casos
em que isso pode se aplicar. O primeiro caso é quando existe pouca ou nenhuma inteligência de ameaças
disponível sobre os adversários que operam, seja porque não há dados coletados e relatados ou porque não
há adversários operando nesse espaço. Os sistemas de controle de automação predial podem ser um
exemplo. Nesse caso, o processo de identificação da estrutura e do conteúdo do modelo pode incluir
quantidades significativas de comportamentos teóricos ou derivados da equipe vermelha. A segunda é quando
o modelo não se relaciona com o uso adversário da tecnologia da informação do computador
redes, desviando-se do espaço central que o ATT&CK foi projetado para endereçar. Nesse caso, o modelo
pode ser construído em torno de um domínio adversário completamente diferente, como a desinformação,
usando os mesmos critérios que o ATT&CK foi construído com o uso de técnicas disponíveis. O projeto
AMITT da Credibility Coalition é um exemplo em que a metodologia ATT&CK foi aplicada para construir um
modelo descrevendo desinformação e campanhas de influência. [16] Ambos os casos são uma aplicação
válida e potencialmente útil da metodologia MITRE usada para criar e manter ATT&CK, embora não sejam
modelos MITRE ATT&CK.
33
Resumo
Este artigo discutiu a motivação por trás da criação do ATT&CK, os componentes descritos nele, sua filosofia de
design, como o projeto progrediu e como ele pode ser usado. Ele deve ser usado como uma fonte oficial de
informações sobre o ATT&CK, bem como para ajudar a orientar como o ATT&CK é mantido e como a metodologia
por trás do ATT&CK pode ser usada para criar bases de conhecimento para novos domínios.
A adoção do ATT&CK é generalizada em várias disciplinas, incluindo detecção de intrusão, caça a ameaças,
engenharia de segurança, inteligência de ameaças, red teaming e gerenciamento de riscos. É importante que a
MITRE busque transparência sobre como a ATT&CK foi criada e o processo de decisão usado para mantê-la, à
medida que mais organizações usam a ATT&CK. Queremos que os usuários do ATT&CK tenham confiança nas
informações e recursos que ele pode fornecer e compreendam melhor como podem começar a usá-lo – e também
como e onde podem ajudar o ATT&CK a crescer.
Os tipos de informações que entraram no ATT&CK e o processo usado para criá-las e mantê-las também podem
ser úteis para outros trabalhos para derivar modelos semelhantes para outros domínios de tecnologia ou para
taxonomias de comportamento adversário em outras áreas. A base da ATT&CK com informações sobre ameaças
orientadas empiricamente e seus casos de uso direcionados para emulação de adversários e uma melhor medição
da cobertura defensiva foram fundamentais em como ela foi percebida e usada em toda a comunidade de
segurança. Esperamos que este documento possa ser um recurso útil para os esforços que buscam acompanhar o
processo usado para aplicar a metodologia ATT&CK, seja para nos ajudar a expandir e manter as bases de
conhecimento MITRE ATT&CK ou para modelar o comportamento do adversário em novas áreas que não estão
diretamente relacionadas a os domínios cobertos pela ATT&CK.
34
Referências
[2] The MITRE Corporation, "Common Attack Pattern Enumeration and Classification", 21 de fevereiro de 2018.
[Online]. Disponível: https://capec.mitre.org/. [Acessado em 12 de abril de 2018].
[3] "Enumeração de Fraquezas Comuns", 3 de abril de 2018. [Online]. Disponível:
https://cwe.mitre.org/. [Acessado em 12 de abril de 2018].
[4] B. Strom, J. Battaglia, M. Kemmerer, W. Kupersanin, D. Miller, C. Wampler, S. Whitley e R. Wolf, "The MITRE
Corporation", junho de 2017. [Online]. Disponível: https://www.mitre.org/publications/technical-papers/finding-
cyber-threats-with-attck based-analytics. [Acessado em 14 de novembro de 2017].
35
36