Tattica: Ricognizione 

Le tecniche di ricognizione ( Reconnaissance  [TA0043]) sono quelle attività condotte dall’avversario per ottenere informazioni con lo scopo di pianificare un attacco informatico.

Esempi di tecniche:

Scansioni di rete
Ottenere informazioni  sul perimetro aziendale

Tattica: Accesso Iniziale

Le tecniche di “Accesso Iniziale” ( Initial Access [TA0001]) consistono in attività condotte dai criminali per accedere all’interno della rete Aziendale.

Alcuni esempi:

Phishing

Invio di e-mail contenete link o allegati malevoli. Questo permette al criminale di accedere al sistema o ad un servizio (posta).

Exploitation

Avvio di attività offensiva per sfruttare una vulnerabilità presente su un sistema perimetrale. Citrix, Microsoft Exchange, Log4j fra quelle più sfruttate.

Tattica: Esecuzione

Le tecniche di “Esecuzione” ( Execution [TA0002]) sono quelle attività condotte dall’avversario per eseguire codice malevolo. In questo modo gli avversari ottengono il controllo del sistema o una sua modifica.

Esempi di tecniche:

Interprete di comandi e script

Esecuzione di comandi o script malevoli. Spesso abusati: Powershell, Windows Command, Unix Shell, Javascript, ecc…

Esecuzione dell’utente

Esecuzione del codice malevolo tramite interazione con l’utente vittima.

Tattica: Persistenza

Le tecniche di “Persistenza” ( Persistence [TA0003]) consistono in attività condotte dai criminali per mantenere l’acceso persistente nel sistema, nell’infrastruttura o in un servizio (posta elettronica).

Alcuni esempi:

Task Schedulati

Utilizzo di Task Schedulati (Windows e Linux) per l’avvio di codice malevolo al riavvio del sistema o in momenti specifici.

Account Validi

Utilizzo di credenziali valide per l’accesso al sistema (account di Dominio Active Directory), al Network (accesso tramite VPN) o al servizio (accesso posta elettronica).

Tattica: Escalation dei Privilegi

Le tecniche di “Escalation dei Privilegi” ( Privilege Escalation [TA0004]) sono quelle attività condotte dall’avversario per aumentare i propri privilegi nel sistema o nella rete. In questo modo ottengono maggior controllo e libertà di movimento.

Esempi di tecniche:

Manipolazione dei Token

Gli avversari possono manipolare i token di accesso per far apparire un processo in esecuzione come se fosse figlio di un processo diverso. In questo caso il processo assume anche il contesto di sicurezza associato al nuovo token.

Exploitation

Gli avversari possono sfruttare le vulnerabilità del software nel tentativo di elevare i privilegi. Lo sfruttamento di una vulnerabilità si verifica quando un avversario sfrutta un errore di programmazione per eseguire codice controllato dall’avversario.

Tattica: Evasione Difesa

Le tecniche di “Evasione Difesa” ( Defence Evasion [TA0005]) consistono in attività condotte dai criminali per evadere gli strumenti di difesa del sistema o delle reti.

Alcuni esempi:

Manipolazione Token

Gli avversari possono modificare i token di accesso per operare in un contesto di sicurezza di sistema o utente diverso per eseguire azioni e aggirare i controlli di accesso.


Account Validi

Gli avversari possono eseguire i propri payload dannosi dirottando il modo in cui i sistemi operativi eseguono i programmi.


Tattica: Accesso alle Credenziali

Le tecniche di “Accesso alle Credenziali” ( Credential Access [TA0006]) sono quelle attività condotte dall’avversario per ottenere le credenziali di accesso al sistema o al servizio (username; password; token; ecc..) in modo da ottenere un accesso legittimo.

Esempi di tecniche:

Forza Bruta

Gli avversari possono utilizzare tecniche di forza bruta per accedere agli account quando le password sono sconosciute o quando vengono ottenuti gli hash delle password.

Dump Credenziali

Gli avversari possono esfiltrare le credenziali dopo la compromissione di un sistema, ottenendo hash o informazioni in chiaro. Tecnica utilizzata sfruttata per eseguire movimenti laterali.

Tattica: Discovery

Le tecniche di “Discovery” ( Discovery [TA0007]) sono quelle attività condotte dall’avversario per ottenere informazioni sull’ambiente informatico. Solitamente sono attività svolte post-compromissione eseguite dall’avversario per capire come muoversi all’interno della rete.

Esempi di tecniche:

Scansioni di rete

Gli avversari conducono spesso attività di scansione delle reti post-compromissione. In questo modo identificano nuovi sistemi target per movimenti interni.


Domain Discovery

Gli avversari eseguono attività di enumerazione dell’ambiente Active Directory. In questo modo possono sfruttare le logiche AD per eseguire ulteriori movimenti.


Tattica: Movimento Laterale

Le tecniche di “Movimento Laterale” ( Lateral Movement [TA0008]) sono quelle attività condotte dall’avversario post-compromissione per muoversi all’interno della rete aziendale con attività di pivoting interno. Solitamente l’obiettivo del criminale è quello di ottenere accesso a server più critici e mantenere un accesso persistente all’infrastruttura.

Esempi di tecniche:

Pass the Hash

Gli avversari possono utilizzare metodi di autenticazione alternativi, come gli hash delle password, per spostarsi lateralmente all’interno di un ambiente e aggirare i normali controlli di accesso al sistema.


Servizi Remoti

Gli avversari possono utilizzare Account validi per accedere a un servizio che accetta connessioni remote (telnet, SSH e VNC, SMB). L’avversario può quindi eseguire azioni come utente connesso.


Tattica: Raccolta Dati

Le tecniche di “Raccolta Dati” ( Collection [TA0009]) sono quelle attività condotte dall’avversario per la raccolta delle informazioni e dati. Attività svolte post-compromissione per ottenere informazioni (password, dati strategici, ecc..).

Esempi di tecniche:

Cattura schermata

Gli avversari eseguono Screen Capture per ottenere screenshot della schermata. Tecnica utilizzata per spiare le operazioni della vittima.

Cattura Audio

Gli avversari eseguono la registrazione audio del dispositivo della vittima per ascoltare le conversazioni. 

Tattica: Comando e Controllo

Le tecniche di “Comando e Controllo” ( Command & Control [TA0011]) riguardano le modalità di comunicazione implementate dall’avversario per il controllo remoto del sistema compromesso. In questo modo l’avversario trasmette comandi al sistema vittima.

Esempi di tecniche:

Software Accesso Remoto

Gli avversari sfruttano software leciti di terze parti per l’accesso remoto (Team Viewer, LogMeIn, AmmyyAdmin, ecc..). 

Protocollo applicativo

Gli avversari utilizzano protocolli applicativi per la trasmissione di comandi al sistema vittima come i protocolli Web, MAIL e DNS.

Tattica: Esfiltrazione

Le tecniche di “Esfiltrazione” ( Exfiltration [TA0010]) sono quelle attività condotte dall’avversario per l’estrazione di dati o informazioni dal sistema vittima.

L’esfiltrazione consiste in tecniche che gli avversari possono utilizzare per rubare dati dalla rete. Le tecniche per estrarre i dati da una rete target includono il trasferimento attraverso il canale di comando e controllo.

Esempi di tecniche:

Esfiltrazione attraverso C2

Gli avversari esfiltrano le informazioni sfruttando lo stesso canale di comunicazione utilizzato per l’invio di comandi al sistema (Command and Controll).

Esfiltrazione attraverso account Cloud

Gli avversari esfiltrano i dati attraverso l’utilizzo di account e servizi in Cloud. 

Tattica: Impatto

Le tecniche di “Impatto” ( Impact [TA0040]) sono quelle attività svolte dagli avversari per manipolare, interrompere o distruggere i sistemi o dati (come nel caso Ransomware).

Esempi di tecniche:

Cifratura dei Dati

Gli avversari possono crittografare i dati sui sistemi target per interrompere la disponibilità del sistema e delle risorse di rete.

Defacement

Gli avversari possono modificare i contenuti visivi disponibili internamente o esternamente a una rete aziendale (tipicamente siti internet e hacktivismo).