MITRE
اللهم انفعنا بما علمتنا، وعلمنا ما ينفعنا، وزدني علما
Last updated
اللهم انفعنا بما علمتنا، وعلمنا ما ينفعنا، وزدني علما
Last updated
السلام عليكم
هحاول ف البلوج دي اشرح اي هيا الMITRE و اي الtactics و الtechniques و اشهرهم و ازاي تزاكرها و تستفاد منها باذن الله
What is MITRE?
Stages of the Framework
How to study?
Real-World Scenario
Resources and Labs
مايتر منظمة غير ربحيه اتاسست سنه 1958, بكل بساطه مايتر شغلانتها انها تجمع الهجمات الي بتحصل في الحقيقه وتبدا تحللها و تقسمها لي tactics و techniques و تقلك مثلا tactic زي الinitial access جوا تقنيه التقنيه دي مستخدمه من الAPT الفولاني و الAPT الفولاني وهكذا
ف انت كSoc او ك pentester هتستفاد منها كتير زي انك لو soc ف تبقا علي درايه بهجمات الي بتحصل و ازاي بينفذوها و بلتالي هتقدر تعملها detect , و كا pentester ف انت هستفاد انك تقدر تعمل الهجمات دي بطريقه صح و يبقا عندك معلومات كافيه و ف اي مجال جوا السيكيورتي عموما ف انت اكيد هتحتاج الMITRE
المايتر بتنقسم لكذا لقسم ذي الWindows, MacOS, Linux, Cloud, Network, Mobile و غيرهم كل قسم من دول عندو الTactics الخاصه بيه التكتيكس دي بمعني الهدف الكبير الي الاتكر عايز يوصلو زي انو يعمل Initial Access او Persistence و غيرو اما بقا الtechniques دي الطرق الي من خللها هيقدر يوصل للهدف الكبير الي هوا الtactic
مثال الphishing ده تقنيه/technique مستخدمه ف الinitial access و من اشهر التقنيات كمان فبلتالي انت عرفت ان فمرحله الinitial access دي الاتكر ممكن يحققها ب تقنيه زي الphishing ف مايتر بتبدا توفرلك شرح لكل ده و جداول زي ف الصوره تحت كدا
خلينا دلوقتي بقا نخش ع MITRE عشان نبدا نشرح اي هيا ال initial access , persistence الي قلت عليهم دول
المايتر مقسما الTacTics لي 14 تكتيك كل تكتيك بيقع تحتيه عدد كبير من التقنيات و بيقع برضو تحت بعض الtechniques عدد من الsub-techniques ف انت اكيد م هتعرف تزاكر ده كلو ودي المشكله الي وجهتني بس حلتها ازاي
بغض النظر علي عددهم ف انت بكل بساطه هتبدا تفهم هيا اي المايتر بتستخدم ف اي و ده زي مانا شرحتلك فوق
و هتبدا تشوف الtactics و تفهم كل واحده بيحصل فيها اي بلظبت و ازاي بيتم و اي الميتيجيشن بتاعها و ده كلو مشروح ف الموقع الرسمي لMITRE
تيجي بقا للtechniques انت مع الوقت ومع المزاكره هيقع قدامك تقنيات كتير و لو انت بتحل ctf نفس الكلام برضو ف الحته دي لا تقلق منها بس لو عايز تعمل زي مانا عملت عشان برضو المعلومه تثبت جوا دماغك ف انا بدات ازاكر اشهر التقنيات/التكنيكس لكل مرحله او كل tactic و مش بحفظها انا بفهمها و بفهم ازاي بتتعمل
ودي الtactics وهحطلك مع كل tactic تقنيه واحده مشهوره عشان البوست ميكبرش وانت بعض متفهم الفكره خش ع موقعهم الرسمي و عيش
Reconnaissance (TA0003) => تجميع معلومات عن التارجت زي الايبيز زي ايميلات زي اكونتات زي حاجات كتير يعني
Active Scanning (T1595) => port scaning, vulnerability scaning, brute force, etc
Resource Development (TA0042) => ف هذا المرحله الاتكر بيجهز البيئه بتاعتو زي انو يشتري او يعمل المالوير الي هيهجم بيه يجهز الدومينات و السيرفرات بتاعتو و هكذا
Devlop Capabilities (T1587) => Adversaries may build capabilities that can be used during targeting. Rather than purchasing, freely downloading, or stealing capabilities, adversaries may develop their own capabilities in-house
Initial Access (TA0001) => في المرحله دي الاتكر بيسعي لاول وصول جوا الانظمه الخاصه بلتارجت
Phishing (T1566) ⇒ use types of phishing like attachment, link, etc
Execution (TA0002) => الي بيحصل ف المرحله دي ان الاتكر بيبدا يشغل و يكسكيوت البروجرامز او الكومندس بتاعتو عشان يحقق هدف ما
Command and Scripting Interpreter (T1059) ⇒ like write code in shell, powershell, appleshell, python, ruby, etc
Persistence (TA0003) => ف المرحله دي بيحاول الاتكر انو يفضل جوا النظام اكبر وقت ممكن من غير ميتم طردو
Scheduled Task/Job (T1053) ⇒ used for persistence by run malware after reboot/logon
Privilege Escalation (TA0004) => السعي ورا الحصول علي صلاحيات اعلي لتمكن المهاجم لوصول لبيانات و اشياء اكثر خطوره و حساسيه
Exploitation for Privilege Escalation (T1068) ⇒ use cve or weakness to get higher privilege on the system
Defense Evasion (TA0005) => محاوله الهروب من وسائل الحمايه مثل ويندوز ديفيدر و الانتيفايرس عن طريق تعطلهم او تعطيل سجلات الاحدث أو تعديل في الريجيستري وغيرو
Impair Defenses (T1562) => Adversaries may maliciously modify components of a victim environment in order to hinder or disable defensive mechanisms
Credential Access (TA0006) => استخراج كلمات المرور و المفاتيح و الشهادات الخاصه بلهدف
OS Credential Dumping (T1003) ⇒ dumping Credentials can be obtained from OS caches, memory, or structures.
Discovery (TA0007) => استكشاف البيئه المحيطه بك مثل الشباكات و الاجهزه والخدامات
Remote system Discovery (T1018) => Adversaries may attempt to get a listing of other systems by IP address, hostname and test it by Ping, net view, nmap, etc
Lateral Movement (TA0008) => بعني التوسع ف هذا المرحله يبدا المهاجم بلتوسع داخل الشبكه و الانظمه مثل استخدام حسابات لانتقال لاجهزه اخره او استغلال بروتوكولات الشبكه و غيرو
Exploitation of Remote Services (T1210) ⇒ use Remote Services (SMB, RDP, etc) or vuln in system to Lateral Movement
Collection (TA0009) => جمع البيانات التي يرغب بها المهاجم مثل ملفات حساسه او داتا معينه
Automated Collection (T1119) => Once established within a system or network, an adversary may use automated techniques for collecting internal data
Command and Control (TA0011) => هنا يقوم المهاجم بتجهيز و توصيل السيرفر بتاعو بلهدف لاتمام العمليه القادمه الي هيا نقل البيانات و ايضا لارسال اوامر و غيرو
Application Layer Protocol (T1071) ⇒ communicate using OSI application layer protocols to avoid detection/network filtering by blending in with existing traffic
Exfiltration (TA0010) => ف هذا المرحله يتم نقل البيانات التي يريدها المهاجم من داخل شبكه الهدف الي خارج الشبكه الي المهاجم
Exfiltration Over C2 Channel (T1041) ⇒ steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the normal communications channel using the same protocol as command and control communications.
Impact (TA0040) => هنا يقوم المهاجم بعمل ضرر حقيقي الذي يسعي له مثل تدمير الداتا في النظام او تشفيرها او غيرو
Data Encrypted for Impact (T1486) ⇒ ransomware
لو قلتلك مثلا دلوقتي ف شركه اسمها Xcorp لاحظ تيم الsoc ان في malicious file موجود علي احد الEndpoints
الي حصل كلاتي ان الاتكر بعد mail بيقول فيه ان ده ملف الضرايب و لازم تدفع خلال 24 ساعه وبتاع ف بلفعل واحد من الموظفين حمل الملف و شغلو بعد فتره لاحظ السوك تيم شويت powershell commands طالعه من الاند بويند بعدها تم تحميل ملف غريب باسم update.exe بعدها لاحظ فريق IR تسجيل ريجيستر جديدة على النظام باسم "DataSyncService"، ترتبط بملف DataSyncSvc.exe في المسار C:\Windows\Temp. بعدها تم اكتشاف تشغيل ملف exploit.dll في نفس الوقت، مرتبط بأداة معروفة لاختراق امتيازات المستخدم. ب لاحظ نظام الحماية تعطيل بعض ميزات الأمان على الأجهزة المتأثرة، بما في ذلك Windows Firewall.سجلت أدوات المراقبة محاولات متعددة للوصول إلى بيانات الاعتماد المخزنة عبر استخدام عملية LSASS وجد الفريق سجلات اتصال بين الجهاز المصاب وأجهزة أخرى على الشبكة باستخدام أداة تقوم بنقل الملفات بشكل غير اعتيادي. بعدها تم اكتشاف وجود ملف كبير يحتوي على بيانات مشفرة مرسلة إلى خادم خارجي عبر بروتوكول HTTP، مع استخدام شهادة TLS. انتهى الهجوم بتشفير كامل للبيانات على نظامين أساسيين، مع ظهور ملف README.txt يطلب فدية قيمتها 250,000 دولار.
Initial Access:
Phishing mail
Execution:
Command and Scripting Interpreter - download malicuos file = update.exe
Persistence:
Boot or Logon Autostart Execution - DataSyncService = c:\windows\temp\DataSyncSvc.exe
Privilege Escalation:
Process dll Injection - exploit.dll -> بلتالي هياخد صلاحيات البروسيس الي حقن فيها اي هيا صلاحيات اعلي طبعا
Defense Evasion:
Impair Defenses: Disable or Modify Tools - display windows Firewall to avoid detection
Credential Access:
OS Credential Dumping: LSASS Memory - by tool like procdump to dumping all credential in lsass memory
Lateral Movement:
SMB/Windows Admin Shares (T1021.002)
Exfiltration:
Exfiltration Over C2 Channel - HTTP TLS
Impact:
Data Encrypted for Impact = Ransomware (T1486).
تقريبا كدا الصوره وضحت قدامك و عشان تدرب اكتر ممكن تشوف ريل سيناريو و تبدا تحللو و تقراء اكتر عن الحوار ده
MITRE is a non-profit organization established in 1958. It is responsible for several initiatives, including the MITRE ATT&CK framework and CVEs. If you are familiar with CVE (Common Vulnerabilities and Exposures), MITRE is the organization behind that system.
Today, we'll focus on the MITRE ATT&CK framework, a structured model that compiles all attacker tactics and techniques into a single reference. The goal is to understand how adversaries operate at every stage of an attack.
MITRE ATT&CK is divided into multiple domains, such as Windows, MacOS, Linux, Cloud, Network, and Mobile. Each domain has its specific Tactics and Techniques.
Tactics: These are the high-level goals or objectives an attacker aims to achieve, such as gaining Initial Access or maintaining Persistence.
Techniques: These are the methods or procedures used to accomplish a specific tactic.
Now, let’s explore the MITRE ATT&CK framework and the tactics like Initial Access and Persistence that were mentioned earlier.
MITRE ATT&CK consists of 14 Tactics, each containing numerous techniques and sub-techniques. Memorizing everything is nearly impossible, but understanding the framework and its purpose is key.
Despite the large number of tactics and techniques, the framework becomes manageable if you study systematically:
Understand what MITRE ATT&CK is used for (as explained above).
Go through each tactic and grasp the objectives, methods, and mitigations related to it. This information is detailed on MITRE's official site.
For techniques, focus on learning the most common and impactful ones. You'll encounter them repeatedly in CTFs or real-world scenarios.
Study the techniques practically and understand how they work instead of just memorizing them.
Here’s a brief overview of the tactics and one well-known technique for each. Once you understand the concept, visit the official MITRE ATT&CK website for deeper exploration.
Reconnaissance (TA0001)
Objective: Gathering information about the target (IP addresses, emails, accounts, etc.).
Technique: Active Scanning (T1595) - Includes port scanning, vulnerability scanning, brute-forcing, etc.
Resource Development (TA0042)
Objective: Preparing the environment for the attack (creating malware, purchasing domains, setting up C2 servers).
Technique: Develop Capabilities (T1587) - Adversaries may build their own tools or malware.
Initial Access (TA0001)
Objective: Gaining the first foothold in the target environment.
Technique: Phishing (T1566) - Sending malicious emails with attachments or links.
Execution (TA0002)
Objective: Running malicious commands or programs to achieve a specific goal.
Technique: Command and Scripting Interpreter (T1059) - Using PowerShell, Python, or other interpreters.
Persistence (TA0003)
Objective: Ensuring continuous access to the system despite reboots or credential changes.
Technique: Scheduled Task/Job (T1053) - Running malicious tasks on system startup.
Privilege Escalation (TA0004)
Objective: Gaining higher privileges to access sensitive data or systems.
Technique: Exploitation for Privilege Escalation (T1068) - Using CVEs or weaknesses to escalate privileges.
Defense Evasion (TA0005)
Objective: Avoiding detection or neutralizing defenses like antivirus or logging systems.
Technique: Impair Defenses (T1562) - Disabling Windows Defender or modifying security settings.
Credential Access (TA0006)
Objective: Extracting credentials, keys, or certificates from the target.
Technique: OS Credential Dumping (T1003) - Dumping credentials from memory or caches.
Discovery (TA0007)
Objective: Exploring the target environment to map networks, devices, or services.
Technique: Remote System Discovery (T1018) - Listing other systems using commands like ping, net view, or tools like Nmap.
Lateral Movement (TA0008)
Objective: Expanding control within the target network.
Technique: Exploitation of Remote Services (T1210) - Using SMB, RDP, or other protocols.
Collection (TA0009)
Objective: Gathering sensitive files or data.
Technique: Automated Collection (T1119) - Using tools or scripts to locate and copy data.
Command and Control (TA0011)
Objective: Establishing a connection between the attacker and the compromised system.
Technique: Application Layer Protocol (T1071) - Communicating via HTTP/S to blend in with legitimate traffic.
Exfiltration (TA0010)
Objective: Transferring stolen data out of the target network.
Technique: Exfiltration Over C2 Channel (T1041) - Sending data through existing C2 communications.
Impact (TA0040)
Objective: Causing damage or achieving the final goal, such as encrypting or deleting data.
Technique: Data Encrypted for Impact (T1486) - Encrypting data using ransomware.
Here’s a real-world example:
In a company named Xcorp, the SOC team noticed a malicious file on one of the endpoints. The attack unfolded as follows:
Initial Access: The attacker sent a phishing email claiming it contained a tax-related document. A user downloaded and opened a malicious Excel file.
Execution: The file executed PowerShell commands to download a file named update.exe.
Persistence: A new registry entry created a service named "DataSyncService," linked to DataSyncSvc.exe in C:\Windows\Temp.
Privilege Escalation: The attacker loaded exploit.dll, exploiting it to gain higher privileges.
Defense Evasion: Key security features like Windows Firewall were disabled.
Credential Access: The attacker used tools like Procdump to dump LSASS memory and extract credentials.
Lateral Movement: Tools were used to access network devices via SMB.
Exfiltration: Data was transferred to an external server using HTTP with TLS encryption.
Impact: Ransomware encrypted key systems, and a ransom note demanded $250,000.
