Setiap tahun, beberapa penyedia solusi keamanan – termasuk Sophos – mendaftar untuk mengikuti Evaluasi MITRE ATT&CK: Enterprise, yaitu emulasi serangan siber berskala besar yang mencakup satu atau lebih skenario berdasarkan aktor ancaman dunia nyata serta taktik, alat, dan prosedur mereka.
Evaluasi ini dirancang untuk memberikan penilaian yang realistis (dan transparan – hasilnya tersedia untuk publik) mengenai kinerja solusi keamanan, berdasarkan rangkaian serangan dari awal hingga akhir yang mencakup akses awal, keberlanjutan, pergerakan lateral, dan dampak. Emulasi biasanya melibatkan lingkungan ‘pelanggan’ dengan berbagai perangkat, lengkap dengan endpoint, server, perangkat yang tergabung dalam domain, dan pengguna yang dikelola oleh Active Directory.
Tahun 2024 menandai tahun keempat Sophos berpartisipasi, dan untuk merayakannya kami ingin memberikan beberapa wawasan mengenai apa yang terlibat dalam penilaian tahun ini dan menunjukkan seberapa realistis evaluasi tersebut. Secara khusus, kami akan menyelami realisme alat yang digunakan, nuansa dalam metodologi pengujian, serta kemampuan perlindungan dan deteksi Sophos. Meskipun kami tidak dapat mencakup semuanya (setiap skenario memiliki 20-40 langkah!), kami akan membahas beberapa contoh, menyoroti kedalaman dan akurasi dari emulasi tersebut.
Kategori Ancaman 2024
Untuk evaluasi tahun 2024, MITRE memilih dua kategori ancaman, yaitu Ransomware dan Republik Rakyat Demokratik Korea (DPRK). Yang pertama, seperti yang sudah lama terjadi, adalah salah satu ancaman terbesar di industri keamanan siber dan terus berkembang (misalnya, peningkatan enkripsi jarak jauh). Yang kedua juga sangat relevan, mengingat proliferasi serangan spionase yang didukung negara yang terkait dengan wilayah tersebut.
MITRE membangun tiga skenario berdasarkan kategori ini: serangan oleh aktor ancaman yang terkait dengan DPRK yang berfokus pada MacOS (menyusul aktor ancaman yang menargetkan MacOS dalam beberapa kampanye, tren yang tampaknya akan berlanjut), dan serangan oleh afiliasi dari dua kelompok ransomware (Cl0p dan LockBit).
DPRK
Skenario DPRK sederhana namun realistis, berdasarkan alur kompromi rantai pasokan JumpCloud: seorang penyerang mengkompromikan perangkat, membangun agen yang bersifat persisten, dan mencuri kredensial. Aktor ancaman yang berafiliasi dengan DPRK dikenal membagi serangan mereka menjadi beberapa tahap yang terpisah dan memelihara pintu belakang untuk melancarkan serangan di masa depan.
Akses Awal
Meskipun evaluasi ini mengasumsikan serangan rantai pasokan, skenario itu sendiri melibatkan seorang pengguna yang mengunduh dan menjalankan skrip Ruby berbahaya (analisis kami menunjukkan jalur eksekusi pengguna menggunakan Ruby). Dalam serangan rantai pasokan dunia nyata, perangkat lunak yang sudah terinstal kemungkinan akan menjalankan skrip tersebut secara otomatis. Meskipun demikian, ini tetap merupakan pendekatan yang layak dan bermakna – penyerang yang berafiliasi dengan DPRK akan menggunakan rekayasa sosial untuk meyakinkan pengguna agar menjalankan skrip, seperti yang ditunjukkan oleh insiden-insiden terbaru.
Sama seperti dalam serangan JumpCloud, skrip Ruby MITRE (disebut start.rb, mirip dengan nama skrip asli: init.rb) mengunduh dan mengeksekusi agen C2 tahap pertama (binary Mach-O), menyamar sebagai komponen terkait docker. Perlu dicatat bahwa rekayasa balik sampel JumpCloud yang asli tidak memungkinkan; menurut pengetahuan kami, sampel dunia nyata tidak tersedia untuk publik. Seperti pada semua Evaluasi MITRE ATT&CK, malware yang digunakan dibangun khusus untuk penilaian ini.
Keberlanjutan
Agen C2 tahap pertama kemudian mengunduh backdoor tahap kedua (dikenal sebagai ‘STRATOFEAR’ dalam serangan JumpCloud dunia nyata), yang membangun keberlanjutan dengan cara yang hampir sama seperti aslinya, melalui LaunchDaemons (/Library/LaunchDaemons/us.zoom.ZoomHelperTool.plist).
Dampak
Sama seperti dalam serangan JumpCloud, tujuan aktor ancaman adalah untuk mengumpulkan data, termasuk informasi sistem, kredensial, dan data sensitif yang ada di Keychain. Backdoor STRATOFEAR MITRE sangat mirip dengan yang asli, yang mengunduh dan mengeksekusi modul-modul tambahan dari server C2 untuk melakukan pencurian. Seperti modul-modul yang diunduh oleh STRATOFEAR asli, modul-modul ini ditulis ke dalam file .tmp di direktori /tmp, masing-masing diberi nama dengan string acak yang terdiri dari enam karakter alfanumerik.
Skenario ini berakhir dengan backdoor yang mengumpulkan data; evaluasi ini tidak melibatkan eksfiltrasi data yang sebenarnya. Meskipun beberapa orang mungkin menganggap ini sebagai masalah dalam metodologi – karena kredensial sering kali hanya berguna jika dieksfiltrasi – kami akan berargumen bahwa ini adalah masalah kecil. Jika Anda, sebagai responden insiden, dapat mengamati pencurian kredensial, Anda akan menyadari potensi dampak dan aktivitas berbahaya terkait.
Cl0p
Skenario kedua melibatkan emulasi serangan oleh grup ransomware Cl0p (juga dikenal sebagai TA505), aktor ancaman yang terkenal. Di sini, alur serangan hampir sepenuhnya meniru – sebagian besar – insiden tahun 2019, yang melibatkan pengunduh, RAT persisten, penyuntikan proses yang canggih, dan penyalahgunaan proses yang tepercaya – yang akhirnya mengarah pada payload ransomware.
Akses Awal
Meskipun sebagian besar skenario setia pada kampanye dunia nyata tahun 2019, tahap akses awal sedikit berbeda. Seperti tahun 2019, aktor ancaman menggunakan DLL untuk menginstal RAT persisten. Namun, serangan dunia nyata melibatkan dokumen Office berbahaya yang berisi DLL yang disematkan, yang dimuat secara dinamis ke dalam proses Office, sedangkan skenario MITRE melibatkan pengguna yang menjalankan cmd.exe secara interaktif dan mengeksekusi DLL melalui rundll32.exe.
DLL ini sudah ada di host, yang sebelumnya diunduh melalui perintah curl dari cmd.exe interaktif terpisah (langkah ini tidak termasuk dalam skenario) setelah akses awal melalui RDP. Perlu dicatat bahwa metode akses awal ini sangat umum di kalangan grup ransomware dan aktor ancaman lainnya, terutama ketika membeli kredensial/akses yang dicuri melalui broker akses awal (IAB).
