Tattica: Ricognizione
Le tecniche di ricognizione (
Reconnaissance
[TA0043]) sono quelle attività condotte dall’avversario per ottenere informazioni con lo scopo di pianificare un attacco informatico.
Esempi di tecniche:
Scansioni di rete
Ottenere informazioni sul perimetro aziendale
Tattica: Accesso Iniziale
Le tecniche di “Accesso Iniziale” (
Initial Access [TA0001]) consistono in attività condotte dai criminali per accedere all’interno della rete Aziendale.
Alcuni
esempi:
Phishing
Invio di e-mail contenete link o allegati malevoli. Questo permette al criminale di accedere al sistema o ad un servizio (posta).
Exploitation
Avvio di attività offensiva per sfruttare una vulnerabilità presente su un sistema perimetrale. Citrix, Microsoft Exchange, Log4j fra quelle più sfruttate.
Tattica: Esecuzione
Le tecniche di “Esecuzione” (
Execution [TA0002]) sono quelle attività condotte dall’avversario per eseguire codice malevolo. In questo modo gli avversari ottengono il controllo del sistema o una sua modifica.
Esempi di tecniche:
Interprete di comandi e script
Esecuzione di comandi o script malevoli. Spesso abusati: Powershell, Windows Command, Unix Shell, Javascript, ecc…
Esecuzione dell’utente
Esecuzione del codice malevolo tramite interazione con l’utente vittima.
Tattica: Persistenza
Le tecniche di “Persistenza” (
Persistence [TA0003]) consistono in attività condotte dai criminali per mantenere l’acceso persistente nel sistema, nell’infrastruttura o in un servizio (posta elettronica).
Alcuni
esempi:
Task Schedulati
Utilizzo di Task Schedulati (Windows e Linux) per l’avvio di codice malevolo al riavvio del sistema o in momenti specifici.
Account Validi
Utilizzo di credenziali valide per l’accesso al sistema (account di Dominio Active Directory), al Network (accesso tramite VPN) o al servizio (accesso posta elettronica).
Tattica: Escalation dei Privilegi
Le tecniche di “Escalation dei Privilegi” (
Privilege Escalation [TA0004]) sono quelle attività condotte dall’avversario per aumentare i propri privilegi nel sistema o nella rete. In questo modo ottengono maggior controllo e libertà di movimento.
Esempi di tecniche:
Manipolazione dei Token
Gli avversari possono manipolare i token di accesso per far apparire un processo in esecuzione come se fosse figlio di un processo diverso. In questo caso il processo assume anche il contesto di sicurezza associato al nuovo token.
Exploitation
Gli avversari possono sfruttare le vulnerabilità del software nel tentativo di elevare i privilegi. Lo sfruttamento di una vulnerabilità si verifica quando un avversario sfrutta un errore di programmazione per eseguire codice controllato dall’avversario.
Tattica: Evasione Difesa
Le tecniche di “Evasione Difesa” (
Defence Evasion [TA0005]) consistono in attività condotte dai criminali per evadere gli strumenti di difesa del sistema o delle reti.
Alcuni
esempi:
Manipolazione Token
Gli avversari possono modificare i token di accesso per operare in un contesto di sicurezza di sistema o utente diverso per eseguire azioni e aggirare i controlli di accesso.
Account Validi
Gli avversari possono eseguire i propri payload dannosi dirottando il modo in cui i sistemi operativi eseguono i programmi.
Tattica: Accesso alle Credenziali
Le tecniche di “Accesso alle Credenziali” (
Credential Access [TA0006]) sono quelle attività condotte dall’avversario per ottenere le credenziali di accesso al sistema o al servizio (username; password; token; ecc..) in modo da ottenere un accesso legittimo.
Esempi di tecniche:
Forza Bruta
Gli avversari possono utilizzare tecniche di forza bruta per accedere agli account quando le password sono sconosciute o quando vengono ottenuti gli hash delle password.
Dump Credenziali
Gli avversari possono esfiltrare le credenziali dopo la compromissione di un sistema, ottenendo hash o informazioni in chiaro. Tecnica utilizzata sfruttata per eseguire movimenti laterali.
Tattica: Discovery
Le tecniche di “Discovery” ( Discovery [TA0007]) sono quelle attività condotte dall’avversario per ottenere informazioni sull’ambiente informatico. Solitamente sono attività svolte post-compromissione eseguite dall’avversario per capire come muoversi all’interno della rete.
Esempi di tecniche:
Scansioni di rete
Gli avversari conducono spesso attività di scansione delle reti post-compromissione. In questo modo identificano nuovi sistemi target per movimenti interni.
Domain Discovery
Gli avversari eseguono attività di enumerazione dell’ambiente Active Directory. In questo modo possono sfruttare le logiche AD per eseguire ulteriori movimenti.
Tattica: Movimento Laterale
Le tecniche di “Movimento Laterale” (
Lateral Movement [TA0008]) sono quelle attività condotte dall’avversario post-compromissione per muoversi all’interno della rete aziendale con attività di pivoting interno. Solitamente l’obiettivo del criminale è quello
di ottenere accesso a server più critici e mantenere un accesso persistente all’infrastruttura.
Esempi di tecniche:
Pass the Hash
Gli avversari possono utilizzare metodi di autenticazione alternativi, come gli hash delle password, per spostarsi lateralmente all’interno di un ambiente e aggirare i normali controlli di accesso al sistema.
Servizi Remoti
Gli avversari possono utilizzare Account validi per accedere a un servizio che accetta connessioni remote (telnet, SSH e VNC, SMB). L’avversario può quindi eseguire azioni come utente connesso.
Tattica: Raccolta Dati
Le tecniche di “Raccolta Dati” ( Collection [TA0009]) sono quelle attività condotte dall’avversario per la raccolta delle informazioni e dati. Attività svolte post-compromissione per ottenere informazioni (password, dati strategici, ecc..).
Esempi di tecniche:
Cattura schermata
Gli avversari eseguono Screen Capture per ottenere screenshot della schermata. Tecnica utilizzata per spiare le operazioni della vittima.
Cattura Audio
Gli avversari eseguono la registrazione audio del dispositivo della vittima per ascoltare le conversazioni.
Tattica: Comando e Controllo
Le tecniche di “Comando e Controllo” (
Command & Control [TA0011]) riguardano le modalità di comunicazione implementate dall’avversario per il controllo remoto del sistema compromesso. In questo modo l’avversario trasmette comandi al sistema vittima.
Esempi di tecniche:
Software Accesso Remoto
Gli avversari sfruttano software leciti di terze parti per l’accesso remoto (Team Viewer, LogMeIn, AmmyyAdmin, ecc..).
Protocollo applicativo
Gli avversari utilizzano protocolli applicativi per la trasmissione di comandi al sistema vittima come i protocolli Web, MAIL e DNS.
Tattica: Esfiltrazione
Le tecniche di “Esfiltrazione” ( Exfiltration [TA0010]) sono quelle attività condotte dall’avversario per l’estrazione di dati o informazioni dal sistema vittima.
L’esfiltrazione consiste in tecniche che gli avversari possono utilizzare per rubare dati dalla rete. Le tecniche per estrarre i dati da una rete target includono il trasferimento attraverso il canale di comando e controllo.
Esempi di tecniche:
Esfiltrazione attraverso C2
Gli avversari esfiltrano le informazioni sfruttando lo stesso canale di comunicazione utilizzato per l’invio di comandi al sistema (Command and Controll).
Esfiltrazione attraverso account Cloud
Gli avversari esfiltrano i dati attraverso l’utilizzo di account e servizi in Cloud.
Tattica: Impatto
Le tecniche di “Impatto” ( Impact [TA0040]) sono quelle attività svolte dagli avversari per manipolare, interrompere o distruggere i sistemi o dati (come nel caso Ransomware).
Esempi di tecniche:
Cifratura dei Dati
Gli avversari possono crittografare i dati sui sistemi target per interrompere la disponibilità del sistema e delle risorse di rete.
Defacement
Gli avversari possono modificare i contenuti visivi disponibili internamente o esternamente a una rete aziendale (tipicamente siti internet e hacktivismo).