タグ: ATT&CK

MITRE ATT&CKの補助ツール DeTT&CTをインストール&起動してみた

Splunk にていろいろなログソースをつかった検知ルールをつくりたいと考えていたところ、DeTT&CTというツールを見つけたのでインストールしてみた。

まだはっきりと理解していませんが、各ログソースから MITRE ATT&CK のどの TTPs に該当する検知ができるかマッピングする際に利用できるツールではないかと考えています。

1.インストール

インストールは意外と簡単で、Macのコンソールからおもむろに以下のコマンド(太字部分)を打ち込んでいくだけで大丈夫です。

% git clone https://github.com/rabobank-cdc/DeTTECT.git
% cd DeTTECT
DeTTECT % cat requirements.txt
DeTTECT % pip install -r requirements.txt

2.起動

インストールが終わったら DeTT&CTを起動します。
起動は、DeTTECTディレクトリ配下にある detteck.py をつかって以下のコマンドを実行するだけです。

DeTTECT % python dettect.py editor
Editor started at port 8080
Opening webbrowser: http://localhost:8080/

実行すると自動的にブラウザが起動し、以下の画面が表示されます。

ScreenshotDeTT&CT起動直後

<参考サイト>

・How to Download DeTT&CT Editor For MITRE ATT&ACK Techniques(https://systemweakness.com/how-to-download-dett-ct-editor-for-mitre-att-ack-techniques-dd41b21ebcfe)
・MITRE Practical Use Cases(Youtube、https://www.youtube.com/watch?v=1zgpTR6D3M8&list=LL&index=2&t=168s)
・MITRE DeTTECT – Data Source Visibility and Mapping(Youtube、https://www.youtube.com/watch?v=EXnutTLKS5o)

MITER ATT&CK Navigatorで複数の攻撃集団の攻撃テクニックを重ねて色塗りしてみた

前回、特定の攻撃集団の攻撃テクニックを確認する基本的なATT&CK Navigatorの使い方を確認してみました。

https://k2-ornata.com/miter-attck-navigator_attack-group_technique/

そこで今回は複数の攻撃集団の攻撃テクニックを重ねて表示する(色塗りする)方法を記載しておきます。

なお、この方法は、先に色塗りした攻撃グループの攻撃テクニックが、後で色塗りした攻撃グループのテクニックで塗り潰されてしまうので、注意してください。

1.BlackTech の攻撃テクニックを色塗りする

まず1つ目の攻撃集団 BlackTech のテクニックを検索します。

ATT&CK Navigator(MITER)

検索窓から攻撃集団の名前を入れると「Threat Group」に検索にヒットした集団の名前が表示されるので、その中の「select」ボタンを押します。

ATT&CK Navigator(MITER)

その後で、下図のように好きな色をカラーパレットから選べば、その色で攻撃集団のテクニックが色塗りされます。(下図の場合は赤色)

ATT&CK Navigator(MITER)

色塗りをした後は「deselect」で選択を解除しておきます。

ATT&CK Navigator(MITER)

2.Lazarus Groupの攻撃テクニックを色塗りする

1.と同じ要領でLazarus Groupの攻撃テクニックを色塗りします。

ATT&CK Navigator(MITER)

3.Kimsukyの攻撃テクニックを色塗りする

Kimsukyについても同様に行います。

ATT&CK Navigator(MITER)

このように攻撃集団のテクニック毎に色を分けて塗りつぶすことができました。

ただし、今回の方法では、先に述べたように先に色塗りした攻撃集団のテクニックが後に色塗りした攻撃集団のテクニックで上書きされてしまいます。

もっとよい方法が無いか、もう少し調べてみたいと思います。

MITER ATT&CK Navigatorで特定の攻撃集団の攻撃テクニックを洗い出す

諸事情によりMITER ATT&CKを利用して、特定の攻撃集団が得意な攻撃テクニックを抽出する方法が知りたくなったので、実際にATT&CK Navigatorを使って操作してみました。

1. MITREのサイトにアクセスする

下記のMITERのサイトにアクセスします。

https://attack.mitre.org/matrices/enterprise/

すると、以下のようなサイトが表示されるので、右上にある「View on the ATT&CK® Navigator」のリンクをクリックします。

ATT&CK MATRICES

以下の画面が表示されたら、「Create New Layer」から企業向けと思われる「Enterprise」を選択してみます。

ATT&CK Navigator

すると、ATT&CK Navigatorが表示されます。

2. Navigatorにて攻撃グループを指定

ATT&CK Navigatorが表示されたら、上のツールバーの虫めがねマークをクリックし、検索窓から攻撃グループを指定します。

ATT&CK Navigator

ここでは、台湾や日本を狙った中国の攻撃集団と言われている「BlackTech」を指定しています。

すると、「Threat Groups」の中に「BlackTech」が表示されるので、そこにマウスのカーソルを当てると、その攻撃集団が利用すると思われるテクニックはハイライトされます。

3.対象環境を絞り込む

さらに、漏斗のアイコンをクリックすると、OSの種類やオンプレ/クラウドなどの環境を絞ったテクニックのみ表示させることも可能です。

ATT&CK Navigator

4.攻撃集団のテクニックのマッピング状況

なお、最近トレンドマイクロが発表していた「主な標的型攻撃集団」を確認してみたところ、以下のようになっていました。

攻撃集団ATT&CK Navigatorでの検索可否
BlackTech(ブラックテック)中国が拠点
Earth Tengshe(アーステンシェ)(≒APT10?なら中国が支援していると言われている)×(APT10(menuPass)なら○)
LODEINFO(ロードインフォ)(≒APT10?なら中国が支援していると言われている)×(APT10(menuPass)なら○)
Lazarus Group(ラザルス)北朝鮮が拠点
Kimsuky(キムスキー)北朝鮮が拠点
攻撃集団とATT&CK Navigatorへの登録状況

私の調べ方が悪い可能性や別の名前で登録されている可能性がありますが、すべての攻撃集団が登録されているわけではなさそうです。

新しい攻撃集団が出た場合は、その全容を調べるのに少し時間がかかるのかもしれませんね。

<参考サイト>
・日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと(トレンドマイクロ)
https://www.trendmicro.com/ja_jp/jp-security/22/e/securitytrend-20220510.html#3
・MITRE ATT&CK徹底活用(@IT)
https://atmarkit.itmedia.co.jp/ait/articles/2209/08/news004.html