ATT&CK Neden Oluşturuldu?
MITRE, gelişmiş kalıcı tehditlerin Windows kurumsal ağlarına karşı kullandığı ortak taktikleri, teknikleri ve prosedürleri (TTP’ler) belgelemek için 2013 yılında ATT&CK’yi başlattı. ATT&CK, FMX adlı bir MITRE araştırma projesinde kullanılmak üzere düşman davranışlarını belgeleme ihtiyacından doğmuştur. FMX’in amacı, kurumsal ağlarda faaliyet gösteren düşmanların tehlike sonrası tespitini iyileştirmek için uç nokta telemetri verilerinin ve analitiğinin kullanımını araştırmaktı. Bu çalışmanın büyük bir kısmı burada belgelenmiştir: ATT&CK Tabanlı Analitik ve Siber Analitik Deposu ile Tehditleri Bulma.
Araştırmamıza dayanarak, dört ana konuyu ele almak için bir çerçeveye ihtiyacımız olduğuna karar verdik:
Düşman davranışları. Düşman taktik ve tekniklerine odaklanmak, olası düşman davranışlarını tespit etmek için analitik geliştirmemizi sağladı. Etki alanları, IP adresleri, dosya karmaları, kayıt defteri anahtarları gibi tipik göstergeler düşmanlar tarafından kolayca değiştirilebiliyordu ve yalnızca zaman içinde tespit için kullanışlıydı – düşmanların sistemlerle nasıl etkileşime girdiğini temsil etmiyorlardı, yalnızca bir zamanda etkileşime girmiş olabileceklerini gösteriyorlardı.
Uygun olmayan yaşam döngüsü modelleri. Mevcut düşman yaşam döngüsü ve Siber Ölüm Zinciri kavramları, davranışları savunmalarla ilişkilendirmek için çok yüksek seviyedeydi – soyutlama seviyesi, TTP’leri yeni sensör türleriyle eşleştirmek için kullanışlı değildi.
Gerçek ortamlara uygulanabilirlik. Çalışmanın gerçek ortamlara uygulanabilir olduğunu göstermek için TTP’lerin gözlemlenen olaylara dayandırılması gerekir.
Ortak taksonomi. TTP’lerin aynı terminolojiyi kullanan farklı düşman grupları arasında karşılaştırılabilir olması gerekir.
Saldırının savunma için en iyi itici güç olduğuna inanıyoruz. Bir kurumun izinsiz girişleri tespit etme ve durdurma becerisi, birlikte çalışan güçlü hücum ve savunma ekipleri sayesinde büyük ölçüde artar. FMX içinde, ATT&CK düşman emülasyon senaryoları oluşturmak için kullanılan çerçeveydi. Emülasyon ekibi bu senaryoları ağa gerçek dünyadan esinlenilmiş faaliyetler enjekte etmek için kullandı. Daha sonra ekip, sensörlerin ve analitiklerin bir üretim ağındaki düşmanca davranışları tespit etmek için çalıştığını doğrulamak için testleri kullandı. Bu yaklaşım, tespit kabiliyetinde hızlı bir iyileşme ve en önemlisi ölçülebilir ve tekrarlanabilir bir yolla sonuçlandı.
ATT&CK, hem düşman emülasyon ekibinin etkinlikleri planlaması hem de tespit ekibinin ilerlemelerini doğrulaması için başvurulan bir araç haline geldi. Bu, MITRE’nin araştırma programı için o kadar faydalı bir süreçti ki, tüm topluma fayda sağlamak için yayınlanması gerektiğini düşündük, bu nedenle MITRE Mayıs 2015’te ATT&CK’yi halka açtı. ATT&CK o zamandan beri macOS ve Linux’a karşı kullanılan teknikleri, mobil cihazlara karşı düşmanlar tarafından kullanılan davranışları ve istismar öncesi operasyonları planlama ve yürütmeye yönelik düşman stratejilerini içerecek şekilde önemli ölçüde genişledi.
ATT&CK nedir?
ATT&CK büyük ölçüde düşmanca tekniklerin bir bilgi tabanıdır – Windows gibi belirli platformlara karşı kullanılabilecek saldırı odaklı eylemlerin bir dökümü ve sınıflandırmasıdır. Bu alandaki önceki çalışmalardan farklı olarak, odak noktası düşmanların kullandığı araçlar ve kötü amaçlı yazılımlar değil, bir operasyon sırasında sistemlerle nasıl etkileşime girdikleri üzerinedir.
ATT&CK bu teknikleri, teknik için bağlam sağlamaya yardımcı olmak üzere bir dizi taktik halinde düzenlemektedir. Her teknik, hem bir tekniğin nasıl çalıştığını anlamak için bir kırmızı ekip veya sızma testi uzmanı hem de kullanımdaki bir teknik tarafından üretilen olayları veya eserleri çevreleyen bağlamı anlamak için bir savunmacı ile ilgili bilgiler içerir.
Taktikler bir ATT&CK tekniğinin “nedenini” temsil eder. Taktik, düşmanın bir eylemi gerçekleştirmek için taktiksel hedefidir. Taktikler, münferit teknikler için faydalı bağlamsal kategoriler olarak hizmet eder ve düşmanların bir operasyon sırasında yaptıkları kalıcı olma, bilgi bulma, yanal hareket etme, dosyaları yürütme ve veri sızdırma gibi şeyler için standart, üst düzey gösterimleri kapsar.
Teknikler, bir düşmanın bir eylemi gerçekleştirerek taktiksel bir hedefe “nasıl” ulaştığını temsil eder. Örneğin, bir düşman daha sonra yanal hareket için kullanılabilecek bir ağ içindeki faydalı kimlik bilgilerine erişim elde etmek için kimlik bilgilerini boşaltabilir. Teknikler aynı zamanda bir saldırganın bir eylem gerçekleştirerek “ne” kazandığını da temsil edebilir. Bu, Keşif taktiği için faydalı bir ayrımdır çünkü teknikler, bir düşmanın belirli bir eylemle ne tür bilgilerin peşinde olduğunu vurgular. Taktik hedeflere ulaşmanın birçok yolu veya tekniği olabilir, bu nedenle her taktik kategorisinde birden fazla teknik vardır.
ATT&CK™ Matrisi
Taktikler ve teknikler arasındaki ilişki ATT&CK Matrisinde görselleştirilebilir. Örneğin, Kalıcılık taktiği altında (bu düşmanın hedefidir – hedef ortamda kalıcı olmak), AppInit DLLs, New Service ve Scheduled Task gibi bir dizi teknik vardır. Bunların her biri, saldırganların kalıcılık hedefine ulaşmak için kullanabilecekleri tek bir tekniktir.
ATT&CK Matrisi muhtemelen ATT&CK’nin en yaygın tanınan yönüdür çünkü bir ortamın savunma kapsamı, güvenlik ürünlerindeki tespit yetenekleri ve bir olayın veya kırmızı ekip katılımının sonuçları gibi şeyleri göstermek için yaygın olarak kullanılır.
Dikkat Edilmesi Gerekenler
| Bölge/Ülke | Tehdit Grupları | Saldırı Zamanları |
| Türkiye | Ayyıldız Tim, El Kaide, Ata Aof, APT32 | Haftasonları, Bayram tatilleri, Genel tatil günlerinde artış olabilir. |
| Amerika | Anonim, Baykuş, Hidden Cobra, APT41 | Seçim zamanları, Şükran Günü tatili, Yılbaşı günleri saldırılar düzenlendi. |
| İngiltere | Chimera, Unsophisticated, Hacktivist | Brexit süreci içinde saldırılar düzenleniyor. |
Siber Tehdit İstihbaratı
ATT&CK’nın bir diğer önemli yönü de siber tehdit istihbaratını (CTI) nasıl entegre ettiğidir. Öncelikle göstergeler için kullanılan önceki CTI sindirme yöntemlerinden farklı olarak ATT&CK, hangi grupların hangi teknikleri kullandığını göstermek için kamuya açık raporlara dayanarak APT29 gibi düşman grup davranış profillerini belgeler.
Genellikle, belirli bir olayı veya grubu belgelemek için bireysel raporlar kullanılır, ancak bu, olaylar veya gruplar arasında neler olduğunu karşılaştırmayı ve hangi tür savunmaların en etkili olduğu konusunda bir sonuca varmayı zorlaştırır. ATT&CK ile analistler tekniğin kendisine odaklanarak faaliyet grupları arasında karşılaştırma yapabilirler. Savunma kaynaklarının nasıl odaklanacağına karar verirken, analistler en yüksek grup kullanımına sahip tekniklerle başlamak isteyebilirler.
Belirli düşmanların teknikleri nasıl kullandığına dair örnekler, o grubun tekniği kullanma prosedürünü temsil eden ATT&CK sayfasında belgelenir. Prosedür, belirli bir kullanım örneğidir ve tekniğin tam olarak nasıl kullanıldığını anlamak ve bir olayın düşman emülasyonu ile çoğaltılması ve kullanımdaki bu örneğin nasıl tespit edileceğine dair ayrıntılar için çok yararlı olabilir.
Mitre ATT&CK Saldırı Türleri ve Teknik Taktikleri
| Saldırı Türleri | Teknik Taktikler |
| Sosyal Mühendislik | Phishing |
| Veri Çalma | Yanıltıcı Sunucu |
| Dosya Şifreleme | Ransomware |
About the Author
