タグ: ATT&CK

DeTT&CTを使って指定したログソースでMITER ATT&CKのどのTTPsが検知できる可能性があるのか確認してみた

前回、DeTT&CTをインストールしてみました。

http://k2-ornata.com/dettck_install

そこで今回は、 DeTT&CTを使うと SIEMで保有しているログソースで、MITER ATT&CKのどのTTPsを検知できる(可能性がある)か確認できるようなので、試してみることにしました。

YAMLファイルを作成する

とりあず Zscalerのログがある場合を想定し、試してみました。

DeTT&CTの画面の左ペインにある DATA SOURCESをクリックすると以下のような画面がでるので、必要な項目を入力していきます。

DeTT&CT
①「New File」を選択
②「Name」を適当に入力
③「Add Data Source」をクリック
④「Data Source」のカテゴリを選択
⑤ Data Sourceの入手状況などを適当に入力
⑥「Save YAML file」を押して、Downloadsディレクトリのファイルを保存

この操作によりDownloadsディレクトリの配下に、「data-sources-new.yaml」というファイルが生成されます。

なお、上図の①〜⑤を順番に行っていけばいいのですが、④のカテゴリを何にすればいいのかが一番悩むところだと思います。

そこで、④を決める際に以下のコマンドを打って、そもそもどんな Data Souceカテゴリがあるのか確認します。

% python dettect.py generic -ds
Count  Data Source                              Platform(s)
-------------------------------------------------------------------------
280    Command Execution                        Containers, Linux, Network, Windows, macOS
247    Process Creation                         Linux, Windows, macOS
108    File Modification                        Linux, Network, Windows, macOS
102    File Creation                            Linux, Network, Windows, macOS
99     OS API Execution                         Linux, Windows, macOS
94     Network Traffic Flow                     IaaS, Linux, Windows, macOS
85     Network Traffic Content                  IaaS, Linux, Windows, macOS
83     Application Log Content                  Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS
67     Windows Registry Key Modification        Windows
61     Network Connection Creation              IaaS, Linux, Windows, macOS
55     Module Load                              Linux, Windows, macOS
49     File Access                              Linux, Network, Windows, macOS
48     Web [DeTT&CT data source]                Windows, macOS, Linux, IaaS, Office 365, Google Workspace, SaaS,
                                                Network, Containers
47     File Metadata                            Linux, Network, Windows, macOS
39     Logon Session Creation                   Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows,
                                                macOS
31     Script Execution                         Windows
・・・

今回、Zscalerは「Web [DeTT&CT data source]」に該当するとおもわれたので、これを選択しています。

この辺については、以下のURLが参考になるのではないかと思われます。

DeTT&CT data sources
(https://github.com/rabobank-cdc/DeTTECT/wiki/DeTT&CT-data-sources#web)

また、以下のサンプルでは、Zscaler のData sourceが Web [DeTT&CT data source]に設定されています。

DeTTECT
(https://github.com/rabobank-cdc/DeTTECT/blob/master/sample-data/data-sources-endpoints.yaml)

YAMLをファイル JSONファイルに変換する

MITER ATT&CK Navigator にDeTT&CTで作成した情報を取り込むには、JSONファイルに変換する必要があるので、以下のコマンドを実行します。

前述の通り Downloadsディレクトリの配下に、「data-sources-new.yaml」というファイルが生成されますので、ここから JSONファイルを生成するには以下のようにコマンドを実行します。

% python dettect.py ds -fd /Users/(ディレクトリ名)/Downloads/data-sources-new.yaml -l

すると、DeTT&CTをインストールしたディレクトリDeTTECTの配下の tmp フォルダに jsonファイル(data_sources_example.json)が作成されます。

MITER ATT&CK Navigatorにインポートしマッピングする

MITER ATT&CK Navigatorトップページの「Open Existing Layer」から「Upload from local」を選択し、先ほど YAMLから変換して生成した「data_sources_example.json」ファイルを取り込みます。

MITER ATT&CK Navigator

すると、以下のとおり Zscalerのログで検知できる可能性のある TTPSが色塗り(下図の紫部分)されて表示されます。

MITER ATT&CK Navigator

MITRE ATT&CKの補助ツール DeTT&CTをインストール&起動してみた

Splunk にていろいろなログソースをつかった検知ルールをつくりたいと考えていたところ、DeTT&CTというツールを見つけたのでインストールしてみた。

まだはっきりと理解していませんが、各ログソースから MITRE ATT&CK のどの TTPs に該当する検知ができるかマッピングする際に利用できるツールではないかと考えています。

1.インストール

インストールは意外と簡単で、Macのコンソールからおもむろに以下のコマンド(太字部分)を打ち込んでいくだけで大丈夫です。

% git clone https://github.com/rabobank-cdc/DeTTECT.git
% cd DeTTECT
DeTTECT % cat requirements.txt
DeTTECT % pip install -r requirements.txt

2.起動

インストールが終わったら DeTT&CTを起動します。
起動は、DeTTECTディレクトリ配下にある detteck.py をつかって以下のコマンドを実行するだけです。

DeTTECT % python dettect.py editor
Editor started at port 8080
Opening webbrowser: http://localhost:8080/

実行すると自動的にブラウザが起動し、以下の画面が表示されます。

ScreenshotDeTT&CT起動直後

<参考サイト>

・How to Download DeTT&CT Editor For MITRE ATT&ACK Techniques(https://systemweakness.com/how-to-download-dett-ct-editor-for-mitre-att-ack-techniques-dd41b21ebcfe)
・MITRE Practical Use Cases(Youtube、https://www.youtube.com/watch?v=1zgpTR6D3M8&list=LL&index=2&t=168s)
・MITRE DeTTECT – Data Source Visibility and Mapping(Youtube、https://www.youtube.com/watch?v=EXnutTLKS5o)

MITER ATT&CK Navigatorで複数の攻撃集団の攻撃テクニックを重ねて色塗りしてみた

前回、特定の攻撃集団の攻撃テクニックを確認する基本的なATT&CK Navigatorの使い方を確認してみました。

http://k2-ornata.com/miter-attck-navigator_attack-group_technique/

そこで今回は複数の攻撃集団の攻撃テクニックを重ねて表示する(色塗りする)方法を記載しておきます。

なお、この方法は、先に色塗りした攻撃グループの攻撃テクニックが、後で色塗りした攻撃グループのテクニックで塗り潰されてしまうので、注意してください。

1.BlackTech の攻撃テクニックを色塗りする

まず1つ目の攻撃集団 BlackTech のテクニックを検索します。

ATT&CK Navigator(MITER)

検索窓から攻撃集団の名前を入れると「Threat Group」に検索にヒットした集団の名前が表示されるので、その中の「select」ボタンを押します。

ATT&CK Navigator(MITER)

その後で、下図のように好きな色をカラーパレットから選べば、その色で攻撃集団のテクニックが色塗りされます。(下図の場合は赤色)

ATT&CK Navigator(MITER)

色塗りをした後は「deselect」で選択を解除しておきます。

ATT&CK Navigator(MITER)

2.Lazarus Groupの攻撃テクニックを色塗りする

1.と同じ要領でLazarus Groupの攻撃テクニックを色塗りします。

ATT&CK Navigator(MITER)

3.Kimsukyの攻撃テクニックを色塗りする

Kimsukyについても同様に行います。

ATT&CK Navigator(MITER)

このように攻撃集団のテクニック毎に色を分けて塗りつぶすことができました。

ただし、今回の方法では、先に述べたように先に色塗りした攻撃集団のテクニックが後に色塗りした攻撃集団のテクニックで上書きされてしまいます。

もっとよい方法が無いか、もう少し調べてみたいと思います。

MITER ATT&CK Navigatorで特定の攻撃集団の攻撃テクニックを洗い出す

諸事情によりMITER ATT&CKを利用して、特定の攻撃集団が得意な攻撃テクニックを抽出する方法が知りたくなったので、実際にATT&CK Navigatorを使って操作してみました。

1. MITREのサイトにアクセスする

下記のMITERのサイトにアクセスします。

https://attack.mitre.org/matrices/enterprise/

すると、以下のようなサイトが表示されるので、右上にある「View on the ATT&CK® Navigator」のリンクをクリックします。

ATT&CK MATRICES

以下の画面が表示されたら、「Create New Layer」から企業向けと思われる「Enterprise」を選択してみます。

ATT&CK Navigator

すると、ATT&CK Navigatorが表示されます。

2. Navigatorにて攻撃グループを指定

ATT&CK Navigatorが表示されたら、上のツールバーの虫めがねマークをクリックし、検索窓から攻撃グループを指定します。

ATT&CK Navigator

ここでは、台湾や日本を狙った中国の攻撃集団と言われている「BlackTech」を指定しています。

すると、「Threat Groups」の中に「BlackTech」が表示されるので、そこにマウスのカーソルを当てると、その攻撃集団が利用すると思われるテクニックはハイライトされます。

3.対象環境を絞り込む

さらに、漏斗のアイコンをクリックすると、OSの種類やオンプレ/クラウドなどの環境を絞ったテクニックのみ表示させることも可能です。

ATT&CK Navigator

4.攻撃集団のテクニックのマッピング状況

なお、最近トレンドマイクロが発表していた「主な標的型攻撃集団」を確認してみたところ、以下のようになっていました。

攻撃集団ATT&CK Navigatorでの検索可否
BlackTech(ブラックテック)中国が拠点
Earth Tengshe(アーステンシェ)(≒APT10?なら中国が支援していると言われている)×(APT10(menuPass)なら○)
LODEINFO(ロードインフォ)(≒APT10?なら中国が支援していると言われている)×(APT10(menuPass)なら○)
Lazarus Group(ラザルス)北朝鮮が拠点
Kimsuky(キムスキー)北朝鮮が拠点
攻撃集団とATT&CK Navigatorへの登録状況

私の調べ方が悪い可能性や別の名前で登録されている可能性がありますが、すべての攻撃集団が登録されているわけではなさそうです。

新しい攻撃集団が出た場合は、その全容を調べるのに少し時間がかかるのかもしれませんね。

<参考サイト>
・日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと(トレンドマイクロ)
https://www.trendmicro.com/ja_jp/jp-security/22/e/securitytrend-20220510.html#3
・MITRE ATT&CK徹底活用(@IT)
https://atmarkit.itmedia.co.jp/ait/articles/2209/08/news004.html