MITRE ATT&CK erklärt und umgangen

MITRE ATT&CK erklärt und umgangen

Was ist MITRE ATT&CK überhaupt?

MITRE ist eine Non Profit Organisation die unter anderem Sicherheitsdatenbanken betreibt.
Eine der bekanntesten davon ist der MITRE ATT&CK, welche:

- Angriffsvektoren
- Taktiken
- Techniken

dokumentiert die von realer Malware oder Angreifern benutzt wird. Dabei wird die Dokumentation in einzelne T‘ gegliedert und Einträge werden anhand der T-Nummern unterteilt. Z.B wie hier im Post beschrieben der:

T1082 – System Information Discovery

T1082 - System Information Discovery verständlich erklärt

Um dies auch anhand von Beispielen klar zu visualisieren habe ich ein Beispiel programmiert was bekannt ist bei MITRE nämlich der Standard WIN-API Call GlobalMemoryStatusEx welcher Informationen abruft zur aktuellen Systemauslastung des Physischen Arbeitsspeichers:


Eigentlich nichts Verdächtiges, oder? Könnte man meinen… Jedoch nutzt Malware und vor allem Software mit Anti Sandbox verschiedenste Techniken, um zu identifizieren, ob das Programm auf einem richtigen PC läuft oder auf einer isolierten Umgebung.


Ausgeführt sieht unser erkanntes Beispiel so aus:
Scannen wir dieses Codebeispiel nun einmal auf Virus Total erhalten wir in den Sandbox Checks folgendes Ergebnis:
AHA! Unser Virustotal Scan hat also im Verhaltenscheck gezeigt das T1082 getriggert wurde. Dies blockt unsere Software erstmal nicht per sé, sind aber Indikatoren das hier was schief gehen könnte.

Klicken wir im Virus Total auf die Zahl erhalten wir auch das Ergebnis, wofür wir geflagged werden. Und siehe da: „Get Memory capacity“ über GlobalMemoryStatusEx:


Was heißt das nun konkret?

Der MITRE ATT&CK ist wie bereits erwähnt eine Datenbank. MITRE ist nicht hingegangen und hat alle möglichen Methoden/Funktionen/Wege in den MITRE ATT&CK gepackt und gesagt kommt damit klar, ab jetzt ist alles geflagged. Das bedeutet? Wir müssen kreativ werden, es gibt immer noch haufenweise Implementierungen von Code mit der wir die Datenbank umgehen können.


Die MITRE ATT&CK Datenbank umgehen:

Mir war es ziemlich schnell möglich den Mitre zu umgehen (zumindest den T1082).
Trotzdem werde ich hier keine Direktanleitung zum Begehen von Straftaten geben.
Ihr könnt euren Grips anstrengen mit den Informationen, die ihr nun habt. Davon gibt’s logischerweise auch noch einen Proof, unser Programm macht genau das was das Programm oben macht:
Und der dazugehörige VT-Scan:


Fazit

Wie wir sehen, ist die Ausgabe der beiden Programme ziemlich ähnlich. Somit haben wir die MITRE ATT&CK Datenbank umgangen mit gleicher Funktionalität aber unerkannt. Persönlich, finde ich das enorm spannend das man in diesem Bereich out of the Box denken muss und verschiedenste Lösungswege nach Rom führen.

Disclaimer: Dies dient zu Schulungs & Informationszwecken.
Ich hafte nicht für Schaden der mit diesen Informationen angestellt wird.