{"id":1560,"date":"2020-12-02T06:48:00","date_gmt":"2020-12-02T04:48:00","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1560"},"modified":"2022-03-30T09:44:52","modified_gmt":"2022-03-30T09:44:52","slug":"cyber-attack-mitre-model","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/cyber-attack-mitre-model\/","title":{"rendered":"Mappare un Cyber Attack – caso italiano"},"content":{"rendered":"\n
\"\"<\/figure>
\n

Dopo aver trattato nel precedente post (link<\/a>) l’attivit\u00e0 di Incident Response<\/strong> di un reale caso italiano riconducibile ad attivit\u00e0 nota con il termine \u201cBig Game Hunting<\/strong>\u201d (BGH), vorremmo porre l’attenzione sull’utilizzo della matrice ATT&CK<\/strong> per fini difensivi.<\/p>\n\n\n\n

Nello specifico, la matrice ATT&CK (Adversarial Tactics, Techniques & Common Knowledge<\/strong><\/em>) \u00e8 stata sviluppata dal MITRE<\/strong> con l’obiettivo di fornire uno strumento che permetta di mappare tutte le attivit\u00e0 offensive criminali<\/strong>. E’ possibile considerare la matrice come uno strumento pi\u00f9 esteso rispetto alla Cyber Kill-Chain sviluppata da Lockheed Martin<\/a>.<\/p>\n<\/div><\/div>\n\n\n\n

\n\n\n\n

Di seguito \u00e8 rappresentato il risultato della mappatura dei movimenti del Threat Actor <\/strong>nell’infrastruttura informatica dell’azienda del precedente post. L’esito dell’attacco \u00e8 stata la perdita di informazioni e disservizi generalizzati dei server e del sistema di Backup che hanno impattato l’operativit\u00e0 dell’Azienda.
I criminali hanno compromesso l’intero ambiente Active Directory<\/strong>, eseguendo un DCSync <\/strong>per la copia delle credenziali degli utenti dell’infrastruttura, manomettendo inoltre l’intero flusso dei Backup<\/strong>, cancellandone le copie degli ultimi 12 mesi.<\/p>\n\n\n\n

\"\"<\/figure>
\n

Una porzione non esaustiva delle 12 Tattiche della matrice ATT&CK e la mappatura delle attivit\u00e0 svolte dai criminali<\/p><\/blockquote>\n\n\n\n

\"\"<\/figure>\n<\/div><\/div>\n\n\n\n

<\/p>\n\n\n\n

\n\n\n\n

Initial Access [TA001<\/a>]<\/strong><\/h2>\n\n\n\n

Il Threat Actor, per l’accesso iniziale all’infrastruttura, si \u00e8 servito dell’invio di Malware tramite E-Mail ( Spearphishing Attachment<\/em> <\/strong>[T1566.001<\/a>] ) per la compromissione dei sistemi di alcuni dipendenti dell’Azienda. Con il controllo del sistema operativo delle prime vittime, ha sfruttato le credenziali di queste ultime per accedere ad altri servizi e Server della LAN aziendale (V<\/strong><\/em>alid Accounts<\/em> <\/strong>[T1078<\/a>]) .<\/p>\n\n\n\n

Lateral Movement [TA0008<\/a>]<\/strong><\/h2>\n\n\n\n

Con le utenze ottenute nella fase TA001 <\/strong>i criminali eseguono manovre di Lateral Movement <\/em><\/strong>per accedere ad altri server dell’infrastruttura dell’azienda. Per queste operazioni sono state instaurate delle sessioni RDP [T1021.001<\/a>], SMB [T1021.002<\/a>] e WinRM [T1021.006<\/a>].<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Privilege Escalation [TA0004<\/a>]<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>
\n

I criminali, ottenuti accessi multipli a diverse postazioni e server, avviano attivit\u00e0 di escalation <\/strong>dei privilegi con l’utilizzo del comando getsystem<\/strong>. Nello specifico getsystem <\/em>\u00e8 un comando di Meterpreter<\/a> e CobaltStrike <\/a>che esegue un attivit\u00e0 di escalation dei privilegi, creando ed avviando un servizio di sistema ed sfruttandone il security context<\/em>, in questo caso SYSTEM<\/strong>.
L’evento con ID 7045<\/strong> sulla destra \u00e8 l’evento del server Windows che indica la creazione del servizio durante l’attivit\u00e0 di escalation<\/em>.
Maggiori dettagli<\/a>.<\/p>\n<\/div><\/div>\n\n\n\n

Discovery [TA0007<\/a>]<\/strong><\/h2>\n\n\n\n

La fase di Discovery <\/strong>consiste nella serie di operazioni tecniche che gli avversari eseguono per acquisire informazioni di sistemi e reti informatiche. Queste attivit\u00e0 permettono agli avversari di conoscere meglio l’ambiente in cui si muovono e orientando l’attenzione ai sistemi pi\u00f9 interessanti. Questo permette spesso di esplorare ci\u00f2 che \u00e8 nell’intorno<\/strong> del loro punto di accesso. Gli strumenti nativi del sistema operativo vengono spesso utilizzati in questa fase di raccolta di informazioni post-compromissione.
Nello specifico, i criminali hanno eseguito diversi accessi a server dell’azienda e posizionato al percorso “C:\\Users\\Public\\Downloads” il file netscan.exe<\/strong>, utilizzato successivamente per le attivit\u00e0 di scansione delle reti informatiche [T1046<\/a>].<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\n\n\n\n

Soluzioni Fortgale – MDR<\/strong><\/h3>\n\n\n\n

Come “Security Service Provider”, Fortgale <\/strong>supporta le Aziende nella prevenzione, gestione e intervento in caso di Cyber Attack<\/strong>, con una serie di servizi di monitoraggio<\/strong>, rilevamento <\/strong>e risposta <\/strong>e con l’integrazione di attivit\u00e0 specialistiche di Cyber Threat intelligence<\/strong> e Threat Hunting<\/strong>.<\/p>\n\n\n\n

\n