Blue Team Lab: Desafio ATT&CK

 Olá a todos!


Nesta postagem irei explicar a resolução do desafio ATT&CK, um ótimo desafio para aprender como funciona o MITRE ATT&CK.


0) Entendendo o Lab

Primeiro o que é MITRE ATT&CK? É uma framework que explica como cybercrimonosos podem atuar na sua empresa e as técnicas que eles podem usar para fazer isso, assim como quais soluções são ideais para detectar e mitigar esses ataques em cada passo! É uma ótima ferramenta que nos fornece uma direção para onde devemos começar a proteção de nossas empresas.
Dependendo da infraestrutura, as boas práticas podem mudar e nesses casos a MITRE ATT&CK possui uma matriz para os demais tipos de infras, desde servidores on premisses, passando por mobile até em Cloud!



Fonte: https://attack.mitre.org

Dito isto, vamos começar a fazer o lab!

1) Your company heavily relies on cloud services like Azure AD, and Office 365 publicly. What technique should you focus on mitigating, to prevent an attacker performing Discovery activities if they have obtained valid credentials? (Hint: Not using an API to interact with the cloud environment!)

A questão nos diz que nossa empresa possui serviços em nuvem e pede estratégias de mitigações para prevenir técnicas de descoberta, olhando na matriz do Mitre na sessão de Cloud, podemos ver que existe 13 técnicas de descoberta, bastante ein! Para filtrar melhor vamos procurar pelo serviços apresentados, como por exemplo Azure AD


Com isso passamos a ter 5 técnicas, mas qual dessas é a resposta? A questão nos deu uma dica, isto é, ela informa que o ataque não pode ser através de APIs, então devemos usar o servico integrado na cloud, e qual a melhor forma de fazer isso? Através do dashboard que as empresas de Cloud possuem, no dashboard podemos interagir com todo o ambiente da cloud sem nenhum tipo de API!


Resposta: T1538

2) You were analyzing a log and found uncommon data flow on port 4050. What APT group might this be?


Nessa questão eles pedem para analisarmos uma outra função que existe no MITRE ATT&CK, que é ver os tipos de grupos conhecidos e como eles atuam. No caso para responder essa pergunta é mais tranquila, basta procurar na lupa a keyword "4050" e logo conseguimos ver que o grupo APT-C-36 com ID G0099 são os responsáveis


3) The framework has a list of 9 techniques that falls under the tactic to try to get into your network. What is the tactic ID?


A questão nos fornece duas informações:
A quantidade de técnicas: 9
O estágio do ataque: Entrar na rede interna da empresa
A única tática com essas condições é a Initial Acess (Acesso inicial) na matriz padrão, nesse caso o seu ID é TA0001

4) A software prohibits users from accessing their account by deleting, locking the user account, changing password etc. What such software has been documented by the framework?

Desta fez ele busca um software específico, pelas característica desse software, com certeza ele está ligado a tática "Impact", mas especificamente na técnica "Account Access Removal".
Antes de prosseguir é importante entender essa tática, ela é considerada o "Ultimo passo" que o atacante pode fazer, e o mais devastador. Todo tipo de forma de edição e alteração de algo da infraestrutura da empresa está ligado a essa tática, no caso o software fala de alteração em contas de usuários, por isso que somente pode ser a técnica "Account Access Removal"



Entrando na aba, conseguimos ver 3 softwares que tem a característica dita na questão, sabemos que são softwares pois seu ID começa com "S". Como a questão é muito vaga nesse sentido, a única forma de acertar é tentando os 3. Nesse caso o escolhido pelo BTLO foi o S0372.



5) Using ‘Pass the Hash’ technique to enter and control remote systems on a network is common. How would you detect it in your company?


Nessa questão procure por "Pass the Hash" na lupa e entra na sessão que fala da técnica, ele quer uma forma de detectar esse tipo de problema, e logo vemos que o MITRE nos fornece várias soluções de detecção 



Agora a questão nos fornece um padrão, ele somente aceita como resposta o texto que começa com "Monitor" e termina com "discrepancies" e logo vemos que esse texto está na técnica de monitoramento de sessão de logins.


E é isso! Com esse pequeno lab conseguimos ver as maravilhas que o MITRE pode nos fornecer para proteger uma empresa, com certeza ele pode fazer maravilhas para esclarecer o que proteger e como proteger quando mapeamos a infraestrutura da empresa e colocamos do lado do framework do MITREATT&CK.

Grande Abraço!
Luan Weba Soares

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Blue Team Lab: Desafio Phishing Analysis 2

Imagem
 Olá a todos! mas uma postagem de um desafio feito na plataforma Blue Team Labs, dessa vez vamos analizar um Phishing! Decidi documentar o Phishing Analysis 2, visto que foi um pouco mais informativo que o Phising Analysis 1 e segue o mesmo raciocínio, então vamos lá! 0) Entendendo o Lab O lab se trata em analizar esse email e decidir quais são as características padrões de um phishing, bem tranquilo de se fazer visto que precisamos de poucas ferramentas e a maioria das respostas já está no primeiro print! As ferramentas como sempre estão nas tags do lab, uma delas está escrito "Thunderbird". Esse é um aplicativo para ler emails, como a extensão do arquivo que baixamos do lab está em .eml esse aplicativo é uma boa opção para abrir emails, porém qualquer app de emails serve também. Para instalar o Thunderbird no linux digite como root no terminal o seguinte comando: sudo apt install thunderbird  E pronto! Agora abra o arquivo .eml do lab com o thunderbird e vamos para as quest...
Leia mais

Blue team lab: Investigação DeepBlue CLI

Imagem
  Blue team lab: Investigação DeepBlue CLI Olá a todos! Nesta postagem irei explicar como resolvi o laboratório do BTL, um ótimo laboratório para quem estar começando na segurança da informação e principalmente, como analista SOC! O laboratório consiste em validar uma suspeita de ataque causado por injeção DLL nos eventos de log do Windows usando uma ferramenta open source chamada DeepBlueCLI. Vamos por partes! 0) Entendendo o Lab esse lab tem como propósito ensinar 2 coisas essencias Conceito de injeção DLL O que é DeepBlueCLI Injeção DLL é um tipo de ataque onde permite o atacante rodar qualquer código na memória de outro processo, ele faz isso forcando o processo alvo carregar um arquivo DLL do atacante. DeepBlueCLI é um modulo do powershell para encontrar ameaças no log de evento do Windows, ele faz isso detectando eventos na qual é considerado suspeito, facilita muito a visualização de logs realmente importantes, visto que o log de evento do windows possui vários logs Fonte:...
Leia mais