21.3 C
Warszawa
piątek 14 czerwca • 2024
Strona głównaTECHNIKACYBERBEZPIECZEŃSTWOTTP – TAJEMNICZY AKRONIM POZWALAJĄCY WEJŚĆ W UMYSŁ HAKERA

TTP – TAJEMNICZY AKRONIM POZWALAJĄCY WEJŚĆ W UMYSŁ HAKERA

TTP czyli Taktyki, Techniki i Procedury opisuje zachowania cyberprzestępcy oraz ustrukturyzowane ramy przeprowadzania cyberataku. Jednocześnie opisuje i wyjaśnia przyczyny i sposoby ataków, dostarczając informacji jak reagować na naruszenia bezpieczeństwa oraz jak zapobiegać przyszłym podobnym cyberatakom.

TTP to akronim odnoszący się do zachowań, metod, narzędzi oraz strategii, które są wykorzystywane przez cyberprzestępców do planowania i przeprowadzania cyberataków.

Opisuje on i wyjaśnia przyczyny i sposoby ataków, jednocześnie dostarczając informacji jak reagować na naruszenia bezpieczeństwa oraz jak zapobiegać przyszłym podobnym cyberatakom.

Krótko o TTP

TTP czyli Taktyki, Techniki i Procedury (ang. Tactics, Techniques and Procedures) opisuje zachowania cyberprzestępcy (terminem tym określam hakerów – zarówno profesjonalnych jak i hobbystów, crackerów, haktywistów, zorganizowane grupy przestępcze, a także jednostki i zorganizowane grupy sponsorowane przez poszczególne państwa) oraz ustrukturyzowane ramy przeprowadzania cyberataku. TTP dedykowany jest szczególnie przedsiębiorstwom i organizacjom, pozwalając im na zrozumienie taktyk, technik i procedur stosowanych choćby w atakach opartych o tzw. cyfrowy łańcuch śmierci (Cyber Kill Chain), dzięki czemu możliwe jest zastosowanie proaktywnego podejścia do obrony przed konkretnymi cyberatakami, poprzez ich wykrywanie a następnie ocenianie i właściwe reagowanie.

Wobec powyższego można stwierdzić, że TTP są wskaźnikami artefaktów systemowych lub cech behawioralnych faktycznie obserwowanych przez ludzi. Wskaźniki TTP pokazują, kiedy cyberprzestępca (nieuprawniony podmiot) próbuje wykonać niedozwoloną lub zablokowaną czynność, np.:

  • dokonać zmiany sieci, aby przejąć kontrolę nad przesyłanymi danymi (atak Man in the Middle szczegółowo opisałem w tym przewodniku),
  • uzyskać dostęp do wrażliwych zasobów obliczeniowych,
  • przesyłać pozyskane dane do zewnętrznego serwera dowodzenia i kontroli.

Na zakończenie warto dodać, że kompleksowy zbiór wskaźników TTP rzeczywiście używanych przez cyberprzestępców jest zawarty we frameworku MITRE ATT&CK.

Warto jeszcze dodać, że na podstawie TTP najczęściej przeprowadzane są ataki takie jak e-skimming, magecart, JavaScript injection, cross-site scripting (XSS), ransomware oraz ataki na łańcuchy dostaw.

Pierwsze „T” czyli Taktyka

Taktyka jest ogólnym opisem zachowania i strategii cyberprzestępcy, która opisuje jego zachowania na różnych etapach ataku, które można bardzo ogólnie przedstawić następująco:

  • rekonesans,
  • dostawa payloada i jego eksploitacja, np. przy wykorzystaniu znalezionej podatności lub za pomocą inżynierii społecznej,
  • działanie zgodne z zamierzonymi celami.

Trudność w wykryciu ataku oraz etapu, na którym się znajduje, w dużej mierze zależy od jego wyrafinowania, ale także od tego na ile jest nowy i znany oraz od tego, czy cyberprzestępca opiera się na nigdy nie zmieniającej się taktyce, czy też dostosowuje się do różnych sytuacji i modyfikuje sposób realizacji całości lub części ataku (kampanii). Przykładowo, jeżeli na podstawie wzorców zagrożeń został wykryty atak DDoS, który co do zasady jest dobrze znany, a jego taktyka raczej nie jest zmienna, wówczas można przewidzieć kolejne jego etapy poprzez zbieranie danych dotyczących m.in. początkowych punktów wejścia oraz naruszonych węzłów lub poświadczeń.

Natomiast celem wyrafinowanej taktyki ataku jest ukrywanie się i wprowadzanie jedynie subtelnych zmian w zaatakowanej sieci do czasu dostarczenia szkodliwego ładunku  lub eksfiltracji zasobów (baz) danych i przesyłanie ich do zewnętrznego serwera dowodzenia i kontroli (ang. command and control server, C&C) zarządzanego lub kontrolowanego przez cyberprzestępcę.

Wobec powyższego jednym ze sposobów na wykrywanie ataków opierających się na wyrafinowanej taktyce jest dokładna analiza artefaktów, narzędzi i zmian w infrastrukturze, które prowadzą do wszelkich nietypowych incydentów sieciowych, ponieważ zwykły haker może korzystać wyłącznie z narzędzi typu open source lub publicznie dostępnych exploitów, a wyrafinowany cyberatak wykorzystujący luki dnia zerowego (0-day vulnerabilities) może polegać na niestandardowych i/lub samodzielnie stworzonych narzędziach, które są w dużym stopniu zaciemnione lub warstwowe.

W takim przypadku można wykorzystać odcisk palca taktycznego zachowania cyberprzestępcy, którym są punkty wejścia, narzędzia wykorzystane w ataku, zmiany w infrastrukturze i zachowania w ruchu sieciowym podczas prowadzonego ataku. Taki cyfrowy odcisk palca pozwala na powiązanie zbudowanego w ten sposób profilu hakera z przeprowadzającym atak cyberprzestępcą oraz proaktywne dostosowywanie dotychczasowych i wprowadzanie nowych środków zaradczych w ramach obrony.

Ponadto można prowadzić profilowanie cyberprzestępcy także na wczesnych etapach ataku (kampanii) poprzez analizę zastosowanej taktyki, w szczególności poprzez sposoby gromadzenia informacji, liczbę punktów wejścia, które zostały trafione podczas próby ustanowienia przyczółka przez cyberprzestępcę w docelowej infrastrukturze ofiary, czy stopień zaawansowania dostarczonego payloada zawierającego złośliwy kod. Na tym etapie można pozyskać wiedzę o tym jak był przeprowadzany rekonesans, tzn. czy był pośredni – poprzez zbieranie danych dostępnych w Internecie, czy bezpośredni – poprzez fizyczną infiltrację organizacji lub wykorzystanie inżynierii społecznej do wydobycia od pracowników atakowanej organizacji lub firmy cennych dla cyberprzestępcy informacji (o atakach phishingowych i inżynierii społecznej przeczytasz więcej w tym oraz w tym artykule).

Kolejnym sposobem na wykrycie taktyki ataku jest zbadanie kluczowych artefaktów użytych podczas ataku. Przykładem może być serwer dowodzenia i kontroli (serwer C&C), na który były przesyłane dane zdobyte w trakcie trwania ataku. Serwer lub takie serwery mogły być przejęte przez cyberprzestępcę, jak też legalnie przez niego pozyskane. Ponadto serwery takie mogą być zlokalizowane w jednej lokalizacji lub też być umieszczone w różnych częściach świata, a także być statyczne lub też szybko się zmieniać.

Także odkrycie taktyki wykorzystywanej w ostatnich etapach ataku (kampanii) może prowadzić do odkrycia cyberprzestępcy i zrozumienia jego działania. Tutaj dobrym przykładem może być wykradanie dużych ilości danych. Jedni cyberprzestępcy mogą chcieć pozostać niezauważonymi, wobec czego dane przesyłane są w mniejszych porcjach, tak aby nie wzbudzać podejrzeń zwiększonym ruchem sieciowym wychodzącym, podczas gdy inni cyberprzestępcy mogą chcieć podjąć ryzyko wygenerowania ogromnego ruchu sieciowego wychodzącego jednorazowo przesyłając na kontrolowane przez siebie serwery lub serwer C&C wszystkie wykradzione dane.

Także cennych informacji mogą dostarczyć próby zacierania śladów po przeprowadzonym ataku, tzn. czy ślady czyszczone są po cichu, aby nie wywoływać alertów bezpieczeństwa, czy też ślady ataku czyszczone są poprzez całkowite czyszczenie systemów i w związku z tym głośne informowanie ofiary o przeprowadzonym ataku.

Warto jeszcze wskazać, że cyberprzestępcy mogą podejmować próby ponownego wykorzystania już wcześniej naruszonej infrastruktury w poprzednich atakach, co także stanowi kolejną odmianę taktyki.

Analiza taktyki, chociaż sama w sobie nie jest wystarczająca, to pozwala stworzyć częściowy, wstępny profil cyberprzestępcy. Na podstawie tak stworzonego profilu można prowadzić dalszą analizę ataku na podstawie użytych w nim Technik i Procedur, co ostatecznie prowadzi do stworzenia pełnego profilu cyberprzestępcy.

Na zakończenie warto dodać, że wyrafinowana Taktyka ataku, przy jednoczesnej stałej modyfikacji Technik i Procedur, wykorzystywana jest przez grupy APT. Natomiast więcej o zagrożeniach APT dowiesz się z tego artykułu.

Drugie „T” czyli Techniki

Techniki to ogólne wytyczne i metody pośrednie, które opisują w jaki sposób można zrealizować dane działanie taktyczne. Tym samym są to działania cyberprzestępcy prowadzące do poważnych naruszeń i zagrożeń dla infrastruktury ofiary. Do tych działań możemy zaliczyć:

  • infiltrację sieci ofiary,
  • poruszanie się po sieci bez pozostawiania śladów,
  • rozprzestrzenianie złośliwego oprogramowania w rozproszonych lokalizacjach sieciowych, co jest równoznaczne z rozprzestrzenianiem infekcji wprowadzonym do sieci wirusem,
  • ustanawianie serwerów i centrów dowodzenia i kontroli,
  • kontrolę i przeprowadzanie niewykrywalnych modyfikacji infrastruktury ofiary,
  • zdobycie kontroli nad przesyłanymi danymi, a także przesyłanie danych do kontrolowanego serwera lub serwerów.

Celem technik jest, m.in. ułatwienie kompromitacji sieci ofiary, utrzymanie serwerów i/lub centrów dowodzenia i kontroli, umożliwienie poruszania się po infrastrukturze ofiary oraz ukrywanie eksfiltracji danych.

Z uwagi na to, że techniki mają ogólny charakter, przez co mogą być wykorzystane w różnych rodzajach (kampaniach) cyberataków, dlatego niezwykle istotne jest zrozumienie jakie metody i narzędzia mogą być użyte do przeprowadzenia ataku. Co ważne techniki mogą nie określać technologii, ale skupiać się jedynie na metodologii prowadzonego ataku (prowadzonej kampanii) i wyznaczać kolejność działań podejmowanych przez cyberprzestępcę.

Dla przykładu można posłużyć się techniką spear phishingu, bardziej szczegółowo opisaną w tym artykule, opartą na inżynierii społecznej. Technika ta może zostać wykorzystana w celu nakłonienia niczego niepodejrzewającego pracownika atakowanej organizacji do kliknięcia łącza, które pobiera złośliwy ładunek na komputer lokalny tego pracownika i kradnie jego dane logowania. Cyberprzestępcy mogą zaprojektować tą technikę specjalnie z myślą o określonej grupie osób, np. pracowników atakowanej organizacji, aby uczynić atak socjotechniczny bardziej przekonującym i tym samym skutecznym.

Jeżeli atak jest związany z dostarczeniem payloada zwierającego złośliwy kod, infiltracją sieci przez cyberprzestępcę, wykorzystaniem luk w zabezpieczeniach lub zmianami w konfiguracji poszczególnych urządzeń, wówczas wybór odpowiednich narzędzi służących do wykrycia ataku, w szczególności na późniejszych jego etapach, odgrywa ważną rolę. Jest to o tyle istotne, gdyż cyberprzestępca miał wystarczającą ilość czasu, aby zainstalować niestandardowy kod w podatnym na ataki komponencie systemu. Jeżeli taka instalacja nie została wykryta, wówczas zespół odpowiedzialny za cyberbezpieczeństwo powinien przeanalizować system pod kątem nadużycia konfiguracji, eskalacji uprawnień, modyfikacji infrastruktury oraz innych nieautoryzowanych zmian w systemie.

Warto dodać, że ostatni etap techniki ataku może łączyć w sobie metodologię i narzędzia, czego przykładem może być eksfiltracja zainfekowanych zasobów danych poprzez ich zaciemnienie przy użyciu wybranych przez cyberprzestępcę protokołów sieciowych i schematów szyfrowania.

Co istotne, podobnie jak w przypadku taktyki, techniki można również analizować na każdym etapie przeprowadzanego ataku. W przypadku wstępnych etapów ataku, techniki w nich użyte służą do prawidłowego wykorzystania narzędzi, które nie muszą mieć charakteru technologicznego, stosowanych do wstępnego gromadzenia informacji i wstępnej kompromitacji sieci ofiary. Przykładem może być opisane powyżej zastosowanie socjotechniki do przeprowadzenia ataku, gdyż sama w sobie nie ma charakteru technologicznego.

Natomiast techniki wykorzystywane w dalszych etapach ataku co do zasady opierają się już na narzędziach technologicznych, np. umożliwiających eskalację uprawnień w zaatakowanym systemie lub niezauważone poruszanie się po sieci ofiary. W tych etapach ataku jako narzędzi technologicznych do uzyskania dostępu do innych systemów cyberprzestępcy wykorzystują eksploity lub błędy konfiguracyjne w podatnym na ataki systemie jak i błędy projektowe w infrastrukturze sieciowej.

Jednocześnie techniki wykorzystywane w ostatnich etapach ataku mogą opierać się zarówno na narzędziach technologicznych, jak i na narzędziach nie technologicznych. Dobrym przykładem są tutaj techniki wydobywania danych, które opierają się na szyfrowaniu i technologii sieciowej, ponieważ dane, które są wysyłane na serwer kontrolowany przez cyberprzestępcę, są początkowo zaciemniane, a następnie przesyłane przez sieć za pośrednictwem wybranego przez cyberprzestępcę protokołu.

Następnie, po przesłaniu wszystkich danych, cyberprzestępca trwale zaciera ślady włamania i ataku, do czego może wykorzystać narzędzia technologiczne (zestaw narzędzi programowych) lub oprzeć się na narzędziach nie technologicznych, takich jak wprowadzenie ofiary w błąd, np. poprzez celowe wykorzystanie artefaktów, które są kojarzone z innymi cyberprzestępcami. Stosując takie techniki cyberprzestępca ma na celu uniemożliwienie jego sprofilowania, a jednocześnie może uzyskać poufne informacje, ukryć swoją prawdziwą tożsamość, czy zmusić innych cyberprzestępców do wzięcia na siebie winy za przeprowadzony cyberatak.

Na zakończenie warto dodać, że szczegółowa i wnikliwa obserwacja i analiza technik wykorzystanych podczas cyberataku jest kluczową częścią dochodzenia, umożliwiającą przeprowadzenie prawidłowego profilowania cyberprzestępcy. Niemniej jednak jest to bardzo trudne, gdyż w celu wprowadzenia osób przeprowadzających śledztwo w błąd cyberprzestępcy nie wahają się korzystać z szerokiej gamy technik fałszowania cyfrowych dowodów.

„P” jak Procedury

Procedury dotyczą sekwencji działań wykonywanych przy użyciu Techniki w celu wykonania Taktyki ataku. Procedury obejmują szczegółowe opisy dostosowanych działań, które umożliwiają cyberprzestępcy osiągnięcie zamierzonych celów. Innymi słowy procedury to szczegółowy opis sposobu realizacji Taktyki przy użyciu wybranych Technik oraz zestawu możliwych do wykonania, starannie opracowanych i precyzyjnych działań, czyli właśnie Procedur.

Działania te wykonywane w określonej sekwencji wykorzystywane są do przeprowadzania każdego etapu ataku. Liczba czynności w każdej procedurze co do zasady jest różna w zależności od celu jakiemu dana procedura ma służyć, a także od cyberprzestępcy stojącego za przeprowadzanym atakiem. Jest to o tyle istotne, że dobrze dostosowana i odpowiednio dopracowana procedura zwiększa skuteczność ataku przy jednoczesnym zmniejszeniu prawdopodobieństwa jego wykrycia.

Dla przykładu stosowana na wstępnym etapie ataku procedura rozpoznawcza może obejmować:

  • zebranie wstępnych informacji o celu ataku,
  • identyfikację kluczowych osób w organizacji będącej celem ataku,
  • zebranie danych kontaktowych do pracowników organizacji będącej celem ataku,
  • zidentyfikowanie zewnętrznych systemów należących do celu ataku,
  • zebranie dodatkowych informacji o potencjalnie podatnych na ataki systemach,
  • udokumentowanie zebranych informacji.

Dodatkowo procedura rozpoznawcza może zostać rozszerzona o:

  • obszerne i wielokrotne zbieranie i gromadzenie informacji o celu ataku i jego pracownikach, aby posiadać jak najbardziej aktualne informacje o celu ataku,
  • ukierunkowane wyszukiwanie danych za pośrednictwem mediów społecznościowych o każdej kluczowej osobie w organizacji będącej celem ataku, co może ułatwiać dedykowany atak socjotechniczny (spear phishing lub whaling),
  • monitorowanie występowania podatności typu 0-day dla systemów wykorzystywanych przez cel ataku.

Ponadto procedura stosowana na dalszym etapie ataku może zakładać wykonanie złośliwego kodu w systemie ofiary i składa się z poszczególnych działań podejmowanych przez złośliwy kod (np. wirusa), aby spełnić cel, do którego takie szkodliwe oprogramowanie (malware) zostało stworzone. Przykładem może być wirus typu koń trojański, który po uruchomieniu sam się odszyfrowuje, a następnie próbuje wykryć i ominąć piaskownicę (sandbox) lub analizę heurystyczną, po czym zbiera zmienne środowiskowe, trwale zapisuje się w zainfekowanym systemie i rozpoczyna komunikację z serwerem dostępu i kontroli kontrolowanym przez cyberprzestępcę. Opisana tu procedura jest powszechna, ale może być różnie modyfikowana przez cyberprzestępców, np. poprzez dodanie funkcji automatycznej dezinstalacji po wykryciu przez systemy bezpieczeństwa, czy trwanie określoną ilość czasu w uśpieniu w celu ominięcia systemów antywirusowych. Właśnie takie unikalne funkcje tych procedur są przydatne dla osób prowadzących śledztwo. Warto tutaj przytoczyć możliwość rekonstrukcji działań podejmowanych przez atakującego na podstawie analizy systemu plików w ujęciu osi czasu. Takie działanie może dostarczyć cennych dowodów podczas prowadzenia dochodzenia kryminalistycznego. Jako przykład można wskazać phishingową wiadomość e-mail, wybraną jako punkt wyjścia do dalszego dochodzenia. Wówczas obserwacja modyfikacji systemu plików w ujęciu osi czasu może dostarczyć wskazówek i dowodów działania szkodliwego oprogramowania, m.in. pod względem artefaktów konfiguracyjnych, mechanizmów trwałości oraz dodatkowych etapów ataku. Także na podstawie analizy modyfikacji systemu plików w ujęciu osi czasu można zrekonstruować złośliwy ruch sieciowy przeprowadzając w tym celu szczegółową analizę dzienników zdarzeń, np. Microsoft Windows, czy dzienników zapory ogniowej (firewalla).

Podsumowanie

Wskaźniki TTP są wykorzystywane do powiązania ataku ze znanymi cyberprzestępcami oraz w celu lepszego zrozumienia struktury ataku. Ponadto TTP pomagają osobom odpowiedzialnym za cyberbezpieczeństwo skoncentrować się na prowadzonym śledztwie, zidentyfikować źródło zagrożenia oraz wektory ataku, a także zdefiniować wagę zagrożenia i wspomagać właściwe reagowanie na incydenty bezpieczeństwa. Ponadto TTP jest pomocne w modelowaniu zagrożeń i łagodzeniu skutków ataku.

Dodatkowo osoby prowadzące dochodzenie identyfikując aktorów i grupy zagrożeń, mają możliwość ustalić powiązania, które mogą istnieć z innymi atakującymi. Jednocześnie wskaźniki TTP mogą także pomóc w identyfikowaniu pojawiających się zagrożeń oraz w opracowywaniu środków zaradczych wobec obecnych oraz nowych zagrożeń i ataków.

Autor: Michał Mamica

Zobacz również

SKOMENTUJ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Artykuły

Komentarze