MITRE ATT&CK je platforma, která shromažďuje a kategorizuje různé typy strategií, technik a postupů, které používají kybernetičtí útočníci. Bezpečnostní komunita, která ji vytváří a spravuje, tak pomáhá chránit uživatele po celém světě, protože experti mají rychle k dispozici to nejcennější – informace. Na tvorbě databáze se významnou měrou podílí i ESET.
Znalostní databáze MITRE ATT&CK funguje od roku 2015, přispívají do ní různé kyberbezpečnostní společnosti a výzkumníci. Databáze shromažďuje dostupné informace o kyberhrozbách, sjednocuje terminologii a nabízí strukturované znalosti o chování APT skupin. Tato data následně využívá bezpečnostní komunita k zajištění lepší obrany před kybernetickými riziky.
Níže najdete přehled našich výzkumů malware, na jejichž základě byla databáze doplněna o množství nových technik používaných útočníky.
Více o této databázi se dočtete v článku Co je to MITRE ATT&CK a jak jej využít?
Software
Attor (S0438)
Attor je nová kyberšpionážní platforma, kterou jako první popsali naši analytici. Útočníci tuto platformu zneužívali od roku 2013 k cíleným útokům proti vládním a diplomatickým entitám ve východní Evropě. Architektura Attoru se skládá z dispečera a dynamicky nahrávaných pluginů.
Náš tým Attor odhalil a pojmenoval na základě dvou zásadních funkcí: využití AT protokolu pro vytváření otisku identity mobilního zařízení a Tor modulu, který je použit pro komunikaci s C&C centrem nebo exfiltraci dat.
Popis útoku Attoru obsahuje 32 technik a 18 dílčích technik.
Okrum (S0439)
Okrum je nový typ backdooru, který jsme poprvé detekovali na konci roku 2016 v rámci útoků na diplomatické mise a vládní instituce Slovenska, Belgie, Brazílie, Chile a Guatemaly.
Backdoor obsahoval několik technik určených k obcházení detekčních technologií: Například samotný backdoor byl v pozdějších verzích ukryt do PNG souboru. Kdyby si uživatel takový obrázek otevřel, bez problémů se zobrazil. Nicméně komponenta Okrumu určená k jeho spuštění byla schopná z obrázku extrahovat potřebný spustitelný kód v podobě dll knihovny.
Zjistili jsme, že backdoor Okrum instaloval na napadané zařízení ještě další backdoor Ketrican. Na základě toho usuzujeme, že za Okrumem stojí skupina Ke3chang (APT15). Položka Okrum v databázi zahrnuje popis 28 technik a 24 dílčích technik.
ComRAT (S0126)
ComRAT patří mezi backdoory, které od roku 2007 používá skupina Turla. ESET objevil a popsal poslední čtvrtou verzi tohoto backdooru. Tu útočníci použili k útoku na ministerstva zahraničních věcí a národní parlamenty dvou zemí. Útočníci využili ComRAT k tomu, aby objevili, ukradli a exfiltrovali důvěrné dokumenty.
Náš tým objevil a popsal 16 technik a 11 dílčích technik.
DEFENSOR ID (S0479)
DEFENSOR ID je bankovní trojský kůň zaměřený na operační systém Android. Aktivuje se, jakmile mu uživatel udělí oprávnění k využití tzv. služeb pro usnadnění přístupu (Accessibility services) pro např. zrakově postižené. Aplikace obsahuje řadu škodlivých funkcionalit – od možnosti odcizení přihlašovacích údajů, přístupu k SMS a e-mailům, zobrazení soukromých klíčů kryptoměn, až po přístup k softwarově generovaným autentizačním kódům vícefaktorového ověření nebo modulu pro převzetí účtu e-mailu či sociální sítě.
Popis DEFENSOR ID obsahuje 6 technik.
Skupiny
Turla (G0010)
Našim analytikům se podařilo odhalit několik pojítek mezi malware ComRAT a skupinou Turla. Malware se skupinou jsme spojili například na základě toho, že ComRAT sdílí část síťové infrastruktury s jiným backdoorem skupiny Turla nebo že šíří další malware od vývojářů této skupiny. Nejnovější verze ComRATv4 používá navíc shodné příkazové protokoly přes http jako verze 3, kterou se již dříve podařilo se skupinou Turla spojit.
Díky tomuto výzkumu jsme rozšířili popisy o 13 technik a 6 dílčích technik.
ESET se bude bránit v simulovaném útoku skupiny FIN7
Za zmínku stojí také ověřovací procesy v rámci databáze MITRE ATT&CK. Tyto procesy využívají simulované útoky k testování schopností prevence a detekce bezpečnostních produktů proti technikám, které využívají APT skupiny. Týmy ESET a MITRE ATT&CK budou jako červený a modrý tým testovat řešení ESET proti malware Carbanak a technikám skupiny FIN7.
Skupina FIN7 se proslavila tím, že založila společnost Combi Security a najímala penetrační testery pod záminkou testování kybernetického zabezpečení. Ve skutečnosti neprováděli testování, ale šlo o syndikát, který pronikal do firemních sítí a v nich šířil malware za účelem získávání citlivých údajů. Podle dostupných údajů někteří z najatých pentesterů neměli o nelegální činnosti tušení. Americké ministerstvo spravedlnosti už obvinilo tři vůdčí členy skupiny a v současnosti s nimi probíhá soud.
Náš tým odhalil malware Carbanak, který se zaměřoval na platební systémy v kasinu. Carbanak se zaměřuje speciálně na finanční instituce a retail, jmenovitě na banky, obchodní společnosti, kasina, hotely a restaurace.