بناء استراتيجية الكشف عن الهجمات إستنادًا على MITRE ATT&CK

عبدالله الشريف
10/1/2021

المقدمة
في هذه المقالة سنستعرض طريقة تحسين القدرة على كشف الهجمات باستخدام MITRE ATT&CK من خلال تجميع البيانات اللازمة و وضع منهجية لاكتشاف التهديدات السيبرانية. قد تضع بعض المنظمات الكثير من الأدوات التقنية لمنع المهاجمين من الاختراق وهذا قد لا يمنع المهاجم من ابتكار طرق أخرى. لذلك، على مركز العمليات الأمنية بناء نماذج لاكتشاف التهديدات.


مركز العمليات الأمنية
يتوجّب على المحللين في قسم مركز العمليات الأمنية بتجميع البيانات الوصفية(Collecting Logs) من مختلف المصادر كـ (Windows event, Sysmon, or Powershell) ويمكن الاستفادة منها كلياً في حال معرفة نوع المعلومات المذكورة في هذه البيانات. قد تساعد مراجعة مصادر البيانات ونوع التنبيهات التي تصل إلى الـ SIEM في فهم ما يحدث داخل المنظمة وتقليل النتائج الإيجابية الخاطئة (False Positive). بناء ثقافة متابعة ومعالجة التنبيهات ومصادر البيانات سيفيد مركز العمليات الأمنية ويرفع من مستوى الاستجابة للتهديدات الحقيقية.


نبذة عن إطار MITRE ATT&CK
هي قاعدة معرفية لتكتيكات وتقنيات المهاجمين التخريبية والتي بُنيت على حوادث حقيقة حدثت لمنظمات تمت مهاجمتها من قِبل منظمات تخريبية. عُرف عن MITRE ATT&CK بأنها مصدرًا قيمًا لبناء نماذج ومنهجيات التهديدات السيبرانية.


كيف يمكننا الاستفادة من MITRE ATT&CK
سنستخدم إطار MITRE ATT&CK في اكتشاف المناطق غير المرئية لمحللي مركز العمليات الأمنية والتي من خلالها قد يستغل المهاجم في الوصول إلى الأنظمة الحساسة في المنظمة دون أي تنبيه قد يصدر لمركز العمليات الأمنية. لذلك، سنستخدم الإطار في معرفة التكتيكات والتقنيات والإجراءات(TTPs) المستخدمة من قِبل مجموعات الاختراق المتقدمة(Advanced Persistent Threat).
هناك بعض التحديات التي قد تواجه مركز العمليات الأمنية إذا تم استخدام إطار ATT&CK وهي:
  • ليست كل التقنيات خبيثة (دائمًا)
    • مثال: البيانات الوصفية الخاصة بمحرك الأقراص المشترك على الشبكة (T1039) "Data from Network Shared Drive".
  • بعض التقنيات قد تكون ذكرت أكثر من مرّة
  • بعض التقنيات لها العديد من الطرق الممكنة للتنفيذ ، ليس كل التقنيات يمكن اكتشافها بسهولة
    • مثال: رسائل البريد التصيديه التي تحتوي على رابط خارجي(T1192) " Spearphishing Link".
ولكن بالإمكان التغلب على جميع هذه التحديات.


بناء إستراتيجية للكشف عن التهديدات

ليس من السهل بناء نماذج اكتشاف لمجموعات الاختراق المتقدم، ولذلك يتطلب من فريق مركز المعلومات الأمنية العمل الدؤوب والمستمر لتحقيق هذه الإستراتيجية المهمة. ولبناء إستراتيجية الكشف عن التهديدات سنستخدم إطار MITRE ATT&CK بناءً على عدة عوامل.


  • تحديد مجموعات الاختراق المتقدمة
بعد الذهاب إلى صفحة مجموعات الاختراق التي تم تصنيفها، ابحث عن مجموعات الاختراق التي عُرف عنها بمهاجمة المنظمات الشبيهة بمنظمتك، أو لم يعُرف عنها إلا اهتمامها بالمنطقة التي توجد بها منظمتك على سبيل المثال "الشرق الأوسط". بعد اختيارك لمجموعة واحدة أو أكثر، قد تجد الكثير من التقاطعات بين مجموعات الاختراق المتقدمة وأساليب الهجوم الخاصة بهم. ضع في اعتبارك أن تكون محددًا اهتمامك بشكلٍ خاص على هذه المجموعات وعلى نوع الأنظمة التي تمت مهاجمتها وذلك لأن إطار ATT&CK يحتوي على العديد من التكتيكات والتقنيات والأساليب التي تم رصدها على مختلف الأنظمة مثل أنظمة الويندوز ولينكس وغيرهم.

للتبسيط ، سنركز على مجموعات الإختراق التي تهاجم الشرق الأوسط وتقنياتهم التي تستخدم على أنظمة الويندوز.
تحديد مجموعة اختراق تستهدف الشرق الأوسط
وبعد البحث عن مجموعات الاختراق المتقدم التي تهاجم الشرق الأوسط ، اخترنا ما يلي:
  1. APT37
  2. DarkHydrus
  3. Inception
  4. Leafminer

  • مخطط التنفيذ
بعد اختيار مجموعات الاختراق المتقدمة ، يمكن استخدام أداة تم انشاؤها بواسطة فريق MITRE وتسمى MITRE ATT&CK Navigator

يمكنك متابعة الشرح التفصيلي لإستخدام الأداة بالشكل الأمثل والذي سيساعدك في دمج تقنيات العديد من مجموعات الاختراق المتقدمة

فلتر النتائج بناءً على أنظمة التشغيل، سيكون التركيز في هذه المقالة على أنظمة الويندوز.
فلترة الأنظمة الغير مهمة
أخيرًا ، يمكنك عرض الملف بصيغة SVG أو ملف Excel. توضح لنا الألوان ادناه أي المجموعات التي تستخدم التقنيات المختلفة. يظهر اللون الأحمر التقاطع بين المجموعات في التقنيات المستخدمة.
تكتيكات وتقنيات مجموعات الإختراق المتقدمة
قم بتحميل الملف بصيغة csv لمتابعة العمل
  • فحص التهديدات
الآن بعد وجود مخطط التنفيذ ، يمكننا البدء في معرفة المزيد حول التقنيات والأدوات المستخدمة في الهجمات السيبرانية وذلك عن طريق صفحة التقنية (technique) المستخدمة وسنجد الكثير من المعلومات كتعريفها وأمثلة وطرق تحجيمها واكتشافها و أيضًا مراجع للإستزادة. سنركز في هذه المقالة على الكشف من خلال مصادر البيانات التي تم جمعها ودمجها في المعلومات الأمنية وإدارة الأحداث (SIEM) الخاص بالمنظمة.


محاكاة التقنيات
بعد تحديد استراتيجية الكشف الخاصة بنا ، ننتقل الآن لمحاكاة الهجمات السيبرانية. من الأفضل إشراك فريق الأختبار الأخلاقي والمعروف بالفريق الأحمر(Red Team) في المحاكاة وبناء وتطوير التنبيهات الأمنية "Use cases". سنستخدم في هذه المقالة أحد الأدوات مفتوحة المصدر والتي أُخذ في عين الإعتبار عند بنائها إطار ATT&CK وهناك العديد مثلها كـ "MITRE Caldera, Atomic Red Team, PurpleSharp" وغيرهم.

سنستخدم الأداة PurpleSharpوهي أداة تم كتابتها باستخدام لغة الـ #C لتنفيذ التقنيات المستخدمة من قِبل مجموعات الاختراق المتقدم داخل المنظمة داخل بيئة الـ Active Directory بناءً على إطار ATT&CK.
بعض المهاجمين يستخدمون نفس التقنية ولكن بطرق مختلفة. تطبيق التقنيات بطريقة واحدة لا يساعد في إكتشاف الطرق الأخرى
  1. محاكاة إستغلال الـPowerShell لتشغيل ملف خبيث(T1059.001)
سنعمل على محاكاة هذه التقنية ونرى إذا كان هناك أي حدث تمت مشاركتهُ مع الـSIEM من الجهاز المستهدف.
تنفيذ T1059.001 على نظام ويندوز10
بعد تحديد الجهاز المستهدف واسم المستخدم ونوع التقنية المنفذة، يظهر لنا سير عمل الأداة وهو ما يساعد في تضييق نطاق البحث لوجود وقت تنفيذ الهجوم الموضّح في الـPowerShell في الصورة السابقة.
البيانات الوصفية من Splunk لأحداث الويندوز
كما رأينا في الصورة السابقة وجود أحداث تمت مشاركتها مع الـSIEM. المهم لدنيا هو نوع التقنية المستخدم والذي يركز على أن PowerShell سيستخدم في عمليات خبيثة داخل النظام وفي هذه الحالة وجود Encoded Command. هذا لم يكن ليوجد لولا تفعيل التدقيق الخاص بإنشاء الـProcess بكل نظام يعمل داخل بيئة الـActive Directory عن طريق Local Security Policy. ولتضمين سطر الأوامر الخاص بـPowerShell مع الحدث رقم 4688 يتوجب تمكين ذلك من خلال الـGroup Policy.

لتمكين تسجيل أحداث عمليات الـProcess Creation:
  • اذهب إلى"Advanced Audit Policy Configuration"
  • System Audit Policies
  • Local Group Policies
  • اضغط على"Audit Process Creation"
  • اختر"Success"
لتضمين سطر الأوامر مع الحدث رقم 4688 باستخدام Group Policy:
  • اذهب إلى"Local Computer Policy"
  • Computer Configuration
  • Administrative Templates
  • System
  • اضغط على"Audit Process Creation"
  • ضع Enable لـ"Include command line in process creation events"
يفضل ايقاف PowerShell V2 لجميع أنظمة ويندوز و استخدام PowerShell V5
2. محاكاة إستغلال T1059.007 JavaScript/JScript
سنعمل على محاكاة هذه التقنية ونرى إذا كان هناك أي حدث تمت مشاركته مع الـSIEM من الجهاز المستهدف.
تنفيذ التقنية T1059.007 على نظام ويندوز 10
في التقنية التي تم تنفيذها سابقًا والخاصة بـPowerShell تمت مشاركة الحدث (Event) من قبل نظام الويندوز (Windows Event). ولكن هذه المره، سنستخدم أداة Sysmon، والتي تشابه إلى حدٍ ما أحداث الويندوز(Window Event) ولكن تتميز بأنها تحتفظ بمعلومات أكثر والتي ستساعد المحلل بشكلٍ أفضل.
البيانات الوصفية من Splunk
من البيانات الوصفية (Logs) المعروضة في الصورة السابقة، يمكننا رؤية وجود ملفات مزروعة من الأداة PurpleSharp وهو المحاكي Firefox_installer.exe وبعد ذلك تم استخدام الأمر التالي "wscript.exe invoice0420.js" الذي يحتمل بأن يكون ملف ضار.
هذه التقنية تستخدم الـJscript وبناءً على وجود الـEvents داخل الـSIEM سنتمكن من تفعيل تنبيهات خاصة "Use case" بوجود ملف ضار داخل المنظمة.

يتم عادةً تشغيل ملفات Jscript و VBscript بواسطة Windows Script Host (WSH) بإستخدام cscript.exe أو wscript.exe.
وتعمل الملفات التنفيذية الخاصة بالويندوز"Windows executable (PE file)" بطريقتين:
1.Console executables (Implemented in cscript.exe)
2.GUI executables (Implemented in wscript.exe)
المحرك الخاص بـJscript موجود في jscript.dll. وتوجد عدة طرق لإيقاف أي هجوم يستخدم هذه التقنية عن طريق منع الوصول إلى cscript.exe و wscript.ex بإستخدام أداة Application Whitelisting أو عن طريق تعطيل دعم تشغيل ملفات Jscript من خلال ActiveX أو عن طريق تعطيل الوصول إلى WSH من خلال ملفات الرجيستري "لكل مستخدم على حده"
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
ختامًا
على محلل مركز العمليات الأمنية ان يفهم طريقة عمل الهجمات السيبرانية للدفاع بشكلٍ أفضل. وهذا لا يمكن حدوثه إلا بدعم من الإدارة العليا في المنظمة تدعيم موظفي المركز بالأدوات والتقنيات والتدريب اللازم.

لمشاركة هذه المدونة
تابعنا
طور مهاراتك من خلال متابعة آخر منشورات فريقنا
مدونات آخرى