THE MITRE ATT&CK™ FRAMEWORK

Protecting against zero days with

Sandblast Network, Agent & Mobile

Jose “Pepe” Tapia | Security Engineer CL

Lucas S. García | Security Engineer AR & UY

©2020 Check Point Software Technologies Ltd. 1

Agenda
1. MITRE - Introducción

2. MITRE ATT&CK™ Framework

3. MITRE ATT&CK™ Mejores Prácticas

4. MITRE ATT&CK™ Secure Your Everything

5. MITRE ATT&CK™ Análisis de Ataque “Robin Hood”

6. MITRE ATT&CK™ Demo

7. Resumen

©2020 Check Point Software Technologies Ltd. 2

1
MITRE -
INTRODUCCIÓN

©2020 Check Point Software Technologies Ltd. 3

MIT Research Establishment – MITRE
• Organización sin fines de lucro creada en 1958 en el Massachusetts Institute
of Technology, financiada con fondos del gobierno de Estados Unidos.
• El objetivo es proveer lineamientos al gobierno de Estados Unidos
intersectando asuntos federales con tecnología avanzada.
• Primera Organización en registrar un sitio “.ORG”.
• https://www.mitre.org/
• Creadores de “CVE” en 1999.
• Presentación de “MITRE ATT&CK” en 2015.

©2020 Check Point Software Technologies Ltd. 4

 MITRE – CVE / ATT&CK
• Introducidas por MITRE en 1999.
• Identifica vulnerabilidades de software
que pueden ser explotadas por
atacantes.
• Las CVE no cubren todos los tipos de
técnicas que se pueden utilizar.
• Las CVE no explican el objetivo del
atacante.
• https://cve.mitre.org/
• MITRE ATT&CK® es una base de
conocimientos que contiene tácticas y
técnicas de ataques de Ciberseguridad.
• El objetivo es ayudar a desarrollar una
ciberseguridad efectiva a cualquier
persona u organización sin ningún tipo de
costo.
• https://attack.mitre.org/
©2020 Check Point Software Technologies Ltd. 5
2
MITRE ATT&CK™
FRAMEWORK

©2020 Check Point Software Technologies Ltd. 6

Qué es MITRE ATT&CK™?
Adversarial Tactics Techniques & Common Knowledge
• Base de conocimiento de tácticas y técnicas de adversarios. Son acciones
ofensivas que pueden ser utilizadas en contra de una plataforma o sistema.
• Análisis de eventos observados en el mundo real sobre el comportamiento del
adversario.
• El foco es la interacción de los adversarios con la plataforma o sistema
cuando se realiza un ataque.
• Puede ser un disparador para ejecutar análisis de seguridad y/o de respuesta
a incidentes.

©2020 Check Point Software Technologies Ltd. 7

Mitre ATT&CK™ - Pilares
• Adversary Behaviors – Comportamiento de los Adversarios
• Analiza tácticas y técnicas para desarrollar analíticas que determinan el comportamiento
del adversario.
• Información “estática” (IP, dominio, hashes, claves de registro, etc) es útil por un período
corto de tiempo.
• Lifecycle Models – Modelos de Ciclo de Vida
• El ciclo de vida del adversario y el “Cyber Kill Chain” son en alto nivel, sin correlación de
comportamientos a defensas aplicables para desarrollar nuevos sensores de alerta.
• Real Environments – Ambientes reales
• Son eventos observables y observados en el mundo real, asociados a grupos bien
conocidos de Advanced Persistent Threats (ATPs).
• Common Taxonomy – Taxonomía común
• Unificación de la terminología para referirse a tácticas, técnicas y procedimientos
(métodos).

©2020 Check Point Software Technologies Ltd. 8

Qué es el Mitre ATT&CK™ Framework? I
• Describe como los adversarios penetran en redes, se mueven de forma
lateral, escalan privilegios y evaden defensas.
• Se analiza desde el punto de vista del atacante (“Red Team”), que intent
lograr y el método a través del cual lo intenta.
• Se organizan los comportamientos en una serie de tácticas y técnicas según
los objetivos.
• El enfoque es entender como un adversario opera para detectar o detener el
comportamiento cuando prepara, lanza o ejecuta un ataque.
• Permite integrar CIT (Cyber Threat Intelligence) para relacionar distintos
grupos conocidos de APT.

©2020 Check Point Software Technologies Ltd. 9

Qué es el Mitre ATT&CK™ Framework? II
• Las tácticas describen múltiples técnicas que un adversario puede utilizar en
diferentes métodos, con diferentes herramientas para penetrar una plataforma
o sistema.
• Análisis de Comportamiento de ataques.
• Análisis de Taxonomía de ataques.
• ATT&CK contiene dominios por tecnología:
• PRE-ATT&CK: enfocado en reconocimiento y como es el despliegue de infraestructura
objeto de ataque.
• ATT&CK for Enterprise: comportamientos frente a infraestructura de IT.
• ATT&CK for Mobile: comportamientos frente a dispositivos móviles.
• Foco inicial de ATT&CK for Enterprise:
• Microsoft Windows™ (incorporando mas información de Linux y MAC)

©2020 Check Point Software Technologies Ltd. 10

 MITRE ATT&CK ™ - Conceptos básicos

Táctica El objetivo táctico del atacante “Para qué”

Técnica La manera de ejecución de la táctica “Como”
Software Las herramientas utilizadas “Que”
Grupo Los “actores”- Adversarios “Quién”
Grupo
Adversario Utiliza Técnicas

Utiliza Logra
Implementa

Software Tácticas

©2020 Check Point Software Technologies Ltd. 11

Mitre ATT&CK™ - Tácticas y Técnicas

• Las tácticas representan la razón por la cual ejecutar una acción.

• Por ejemplo, un adversario puede intentar lograr un ataque de “credential access”.
• Las técnicas representan como un adversario logra un objetivo táctico.
• Por ejemplo, un adversario puede intentar una técnica de “dump credentials” para lograr
un ataque de “credential access”.
• Las “sub-técnicas” son mas especificas para describir el comportamiento de
un adversario para lograr un objetivo.
• Por ejemplo, un adversario ejecuta “dump credentials” accediendo al “Local Security
Authority (LSA) Secrets”.

©2020 Check Point Software Technologies Ltd. 12

 Cyber Kill Chain vs. MITRE ATT&CK ™
Recon Weaponize Deliver Exploit Control Execute Maintain

PRE-ATT&CK Enterprise ATT&CK

 Priority definition  Adversary OpSec 1. Initial Access 7. Discovery
 Planning,  Establish & Maintain 2. Execution 8. Lateral Movement
Direction Infrastructure 3. Persistence 9. Collection
 Target Selection  Persona Development 4. Privilege Escalation 10. Exfiltration
 Information Gathering  Build Capabilities 5. Defense Evasion 11. Command and Control
 Technical,  Test Capabilities 6. Credential Access 12. Impact
People,  Stage Capabilities
Organizational

©2020 Check Point Software Technologies Ltd. 13

 Táctica: ASEDIO

Técnica: Demolición
Método: Impacto de
objetos contundentes Técnica: Demolición
aéreos. Método: Impacto de objeto contundente
Herramienta: terrestre
Lanzapiedras accionado Herramienta: Ariete
por Gravedad Técnica: Penetración de Muros
Método: Escalación de Muros
Herramienta: Torre

©2020 Check Point Software Technologies Ltd. 14

Mitre ATT&CK™ Matrix

©2020 Check Point Software Technologies Ltd. 15

MITRE ATT&CK - Enterprise Matrix

©2020 Check Point Software Technologies Ltd. 16

MITRE ATT&CK - Mobile Matrix

©2020 Check Point Software Technologies Ltd. 17

Preguntas que nos podemos hacer

Cuan efectivas son mis defensas?

Cual es la forma de evaluación de las defensas?

Qué calidad y utilidad poseen los datos que estoy recolectando?

Es posible detectar Amenazas Avanzadas Persistentes?

©2020 Check Point Software Technologies Ltd. 18

MITRE ATT&CK ™ - Casos de Uso

Red Team & Assessment &

Threat Intelligence Detect & Analyze
Adversary Emulation Response

Attack Navigator

©2020 Check Point Software Technologies Ltd. 19

3
MITRE ATT&CK™
MEJORES PRACTICAS

©2020 Check Point Software Technologies Ltd. 20

ATT&CK ™ Mejores Prácticas

Visualize Assess Map Investigate

Ataques, Adversarios, Técnicas Ataques, Adversarios, Riesgos, Brecha defensiva Ataques, incidentes
Defensas

PREVENIR

©2020 Check Point Software Technologies Ltd. 21

“Agent Smith” Mobile Malware
Agent Smith Attack Methods

Dormant versions on Play Store

Injected into legitimate apps

Listen on BOOT_COMPLETE

Exploit OS Vulnerability (Janus, Feng-Shui, Bundle)

Enumerate all apps

payload masked as JPG

Hide Icon

Man-in-the-Disk for specific apps

Calls ads for every intent of original app

©2020 Check Point Software Technologies Ltd. 22

“Agent Smith” – MITRE ATT&CK ™
MITRE ATT&CK Tactic MITRE ATT&CK Technique Agent Smith Attack Methods
Deliver Malicious App via Authorized App Store Dormant versions on Play Store
Initial Access
Masquerade as Legitimate Application Injected into legitimate apps

Persistence App Auto-Start at Device Boot Listen on BOOT_COMPLETE

Privilege Escalation Exploit OS Vulnerability Janus, Feng-Shui, Bundle

Application Discovery Enumerate all apps

Defense Evasion Obfuscated Files or Information Payload masked as JPG

Suppress Application Icon Hide Icon

Access Stored Application Data Man-in-the-Disk for specific apps

Credential Access
Android Intent Hijacking Calls ads for every intent of original app

©2020 Check Point Software Technologies Ltd. 23

ATT&CK ™ Navigator Mejores Prácticas - Visualize

©2020 Check Point Software Technologies Ltd. 24

ATT&CK ™ Navigator Mejores Prácticas - Compare

©2020 Check Point Software Technologies Ltd. 25

ATT&CK ™ Navigator Mejores Prácticas SmartEvent

[Internal Use] for Check Point employees​ ©2020 Check Point Software Technologies Ltd. 26
 Visualize:
ATT&CK ™ Mejores Prácticas  Utilizar Forensics Reports MITRE Matrix

 Análisis utilizando ATT&CK ™ navigator

Assess:
 Identificar a los adversarios y evaluar riesgos
Prevent Visualize con el mapa de Smart Event
 Utilizar el ATT&CK ™ navigator

Map:
 Mapear la cobertura de Seguridad con
SmartEvent
 Planear la mitigación de gaps de seguridad
Anti-bot Investigate:
Investigate Assess
 Utilize SmartEvent para hallar incidentes

 Analice usando Forensic y Threat Emulation

 Evaluar rápidamente con ATT&CKs

Map Prevent:
 Active Prevención y despliegue arquitectura
“Zero Trust” ©2020 Check Point Software Technologies Ltd. 27
4
MITRE ATT&CK™
SECURE YOUR EVERYTHING

©2020 Check Point Software Technologies Ltd. 28

©2020 Check Point Software Technologies Ltd. 29
Prevención impulsada por análisis de Big Data

©2020 Check Point Software Technologies Ltd. 30

ZERO TRUST - INFINTY

AUTOMATION & ORCHESTRATION

DEVICES
COMPLETA VISIBILITY & ANALYTICS

1 Cumplir los 7 principios de Zero Trust.

WORKLOADS

2
EFICIENTE PEOPLE
Administración y visibilidad
centralizada.
NETWORKS
PREVENTIVA

3 Enfocada en prevención de
amenazas y ataques de día cero.
DATA

©2020 Check Point Software Technologies Ltd. 31

 THREAT
MOBILE INTELLIGENCE CLOUD
Research, AI, Sensors
Mobile Threat Defense Infrastructure, Workload, Applications

NETWORK
Consolidated Security
ENDPOINT Architecture Perimeter, Data Center, Branch
Protection, Detection, Response

Unified, Integrated, Central

MANAGEMENT

©2020 Check Point Software Technologies Ltd. 32

 Threat Cloud

RESEARCH & ANALYSIS

VISIBILITY
FEEDS
Gateways • CERTS
100’s millions

• Law enforcement
• Partnerships
• Cyber Threat Alliance
Devices
AI ENRICHMENT
• Attack campaigns hunting
Cloud OSINT • Phishing analysis
• Malware DNA
• Community
• Context aware detection
• Social media
• DGA

©2020 Check Point Software Technologies Ltd. 33

Análisis y operación simple

©2020 Check Point Software Technologies Ltd. 34

 Threat Cloud Portal – Infinity SOC Complemento
Check Point
Research

Búsqueda de
Indicadores

OSINT

Vista
Geográfica

Linea de
Superficie de
Tiempo
Ataque
según
conocida
Actividad

Investigation with contextualized threat intelligence from Threat Cloud

©2020 Check Point Software Technologies Ltd. 35
 Check Point Infinity alineado a MITRE ATT&CK
Framework

NGTP NGTX INFINITY

Protección Base de Red, motores Protección Avanzada de Red, Soluciones adicionales de

de Prevención de Amenazas: motores de Prevención de seguridad:
Amenazas Avanzadas:
• Anti-Bot • Endpoint: SandBlast Agent
• Threat Emulation
• IPS • Mobile: SandBlast Mobile
• Threat Extraction
• Anti-Virus • Cloud: CloudGuard family
• Artificial Intelligence
©2020 Check Point Software Technologies Ltd. 36
5
MITRE ATT&CK™
ANÁLISIS DE ATAQUES

©2020 Check Point Software Technologies Ltd. 37

“RobbinHood” Ransomware
Demanda un pago a cambio de desencriptar los archivos.

RobbinHood – Tácticas

 Execution Command-line, API’s and other techniques.

 Defense Evasion Removed share connections.
 Credential Access Accessed encryption keys.
 Discovery Gathered OS and processes information.
 Collection Collected information from the system.
 Exfiltration Data was compressed.
 Impact Encrypted data and stopped services.

Técnicas

©2020 Check Point Software Technologies Ltd. 38

“RobbinHood” Phishing + RDP Attack

©2020 Check Point Software Technologies Ltd. 39

RobbinHood – Alineación a MITRE ATT&CK ™
MITRE ATT&CK TacitMITRE ATT&CK Technique SOURCE SBA Infinity
Command-Line Interface Mitre Prevent Prevent
Compiled HTML File Check Point Detect Detect
Execution through API Check Point Detect Detect
Execution
Scripting Check Point Prevent Prevent
Unsigned Process Check Point Detect Detect
User Execution Check Point Prevent Prevent
Disabling Security Tools Mitre Partial Detect Prevent
Network Share Connection Removal Mitre Strict Profile Strict Profile
Defense Evasion
Compiled HTML File Check Point Detect Detect
Scripting Check Point Prevent Prevent
Credential Access Private Keys Check Point Detect Detect
Process Discovery Check Point Detect Prevent
Discovery
System Information Discovery Check Point Detect Prevent
Collection Data from Local System Check Point Detect Prevent
Exfiltration Data Compressed Check Point Partial Detect Partial Prevent
Impact Data Encrypted for Impact Mitre Prevent Prevent
Inhibit System Recovery Mitre Partial Detect Partial Detect
Service Stop Mitre None Partial Prevent
Process Termination Check Point Detect Detect

©2020 Check Point Software Technologies Ltd. 40

6
MITRE ATT&CK™
DEMO

©2020 Check Point Software Technologies Ltd. 41

DEMO
• SmartConsole
• Configuración de Gateway
• Política de Acceso - Layers
• Threat Prevention
• Perfil de Threat Prevention
• SmartEvent
• Log
• Vista
• Reportes
• Sandblast Agent
• Reporte Web
• Reporte Cliente

©2020 Check Point Software Technologies Ltd. 42

7
RESUMEN
LINKS ÚTILES

©2020 Check Point Software Technologies Ltd. 43

 • El Mitre ATT&CK™ Framework es una excelente herramienta
para analizar malware.
• Es continuamente actualizado.
• Nuevos análisis de malware se van a publicar utilizando el
reporte de Sandblast Agent Forense y el Mitre ATT&CK ™
Framework.
• MITRE ATT&CK ™ es una herramienta para mejorar la
Resumen postura de Seguridad.
• La taxonomia es muy útil y detallada, require una inversión
significativa de tiempo para analizar.
• Una vez realizado un análisis, se debe desplegar la solución
requerida en modo de “prevención”.
• Check Point Infinity es LA arquitectura de seguridad enfocada
en Prevención.

©2020 Check Point Software Technologies Ltd. 44

 Preventing Zero Day
Attacks using ATT&CK AI Technologies
MITRE ATT&CK Navigator White Paper
Links útiles Framework

Robin Hood MITRE ATT&CK

Forensics Report Matrix

©2020 Check Point Software Technologies Ltd. 45

PREGUNTAS?

©2020 Check Point Software Technologies Ltd. 46

GRACIAS !!!
Jose “Pepe” Tapia | Security Engineer CL
jtapia@Checkpoint.com

Lucas S. García | Security Engineer AR & UY

garcial@Checkpoint.com

©2020 Check Point Software Technologies Ltd. 47