Evaluación MITRE APT29 – Importancia de la prevención en Endpoint Protection


En nuestro reciente blog Racing with Cozy Bear, cubrimos el concepto de Seguridad basada en el tiempo y destacamos el valor que la protección brinda al defensor. Esto no quiere decir que bloquear un ataque elimine al actor de amenaza de la ecuación. Protección de bloqueo de ataque ralentiza el delincuente, comprando el defensor tiempo valioso para responder. Hay tres razones para esto:

  1. Bloquear un avance, obliga al delincuente a cambiar su enfoque e intentar nuevamente
  2. Las detecciones a nivel de bloque son inherentemente de alta fidelidad, elevando su prioridad para los defensores
  3. Los defensores pueden centrarse en otros eventos detectados de mayor prioridad que no han sido bloqueados

Como parte de la evaluación APT29, MITRE no permitió a los proveedores implementar productos en modo de bloqueo para no interferir con la prueba. Sin embargo, permitieron el despliegue de tales tecnologías en modo sin bloqueo y para que los participantes resaltaran escenarios en los que los productos se habrían bloqueado.

Las detecciones a nivel de bloque aumentaron el rendimiento de McAfee más que cualquier otro proveedor.

En futuras evaluaciones, MITRE tiene fijado que los resultados de protección recibirán sus propias categorías, pero durante la evaluación APT29, MITRE capturó las detecciones a nivel de bloque como notas al pie como se muestra en la Figura 1.

Figura 1 – Ejemplo de nota al pie de bloque

Desde la perspectiva de un defensor, las detecciones que son más definitivas son más accionables con un valor creciente. De acuerdo con la seguridad basada en el tiempo, la interrogación del host se ha incluido en el siguiente cuadro Una representación visual de los tipos de detección de la evaluación.

Figura 2: representación basada en el tiempo del valor para cada tipo de detección

El alcance de la evaluación APR29 de MITRE cubrió 20 pasos principales en todos los proveedores participantes, cubriendo 57 técnicas distribuidas en 134 subpasos. Se eliminó un paso importante debido a desafíos de emulación, dejando 19 pasos principales.

El siguiente cuadro muestra los trazados de la detección de más alto rango de cada participante. Cada paso representa los principales hitos del atacante como emulados, y una oportunidad para que el defensor proteja, detecte y responda.

Figura 3: vista de seguridad de foundation de tiempo de la mejor cobertura por paso principal

Otra representación de estos datos es agregar estos valores de detección superiores para cada participante. Aquí también se aplica un modificador de bloque para representar completamente las detecciones sin bloqueo.

Tabla 1 – Asignaciones de valor de Modificador de bloque
Figura 4 – Vista de seguridad de base de tiempo agregada

Las detecciones a nivel de bloque no solo aumentaron el rendimiento de McAfee más que cualquier otro proveedor, sino que MVISION Endpoint fue la única solución para informar tales detecciones en varios pasos de ataque.

Un ejemplo de esto en acción fue capturado durante:

  • Paso 11 – Compromiso inicial
    • Técnica T1140 (Desobuscar / Decodificar archivos o información)
      • Subpaso 11.A.10 (Decodificó una carga útil de DLL incrustada en el disco usando certutil.exe)

Los archivos binarios que viven fuera de la tierra (también conocidos como lolbins) son archivos nativos del sistema operativo que se pueden (ab) usar para algo más que su intención first. Se sabe que los adversarios los usan para eludir los controles de seguridad, ya que la mayoría de estos programas son confiables. Ya sea que se use en una macro o desde la línea de comandos, hay varios ejemplos disponibles. Una opción well-known por grupos como APT28, Turla, Oilrig y APT10 es la herramienta «certutil.exe». Originalmente destinado a consultar información de certificados o configurar Servicios de certificados, también se puede utilizar para ofuscar / desuscar datos (T1140) o copiar archivos a distancia (T1105) para descargar archivos.

En el momento de escribir este artículo, MITRE tiene 70 referencias de informes para T1140, de hecho, es una técnica de acceso para muchos delincuentes. Las figuras 5 y 6 fueron capturadas durante la evaluación de esta técnica.

Figura 5: la regla JTI evita los ataques en vivo desde tierra utilizando certutil.exe durante el subpaso 11.A.10
Figura 6: la regla JTI evita los ataques en vivo desde tierra utilizando certutil.exe durante el subpaso 11.A.10

Si bien MVISION Endpoint proporcionó esta cobertura, la tecnología subyacente involucrada es la misma en McAfee Endpoint Security 10.7.

En definitiva, la cobertura es cuestión de tiempo. La evaluación APT29 de MITRE a su manera destacó la protección de seguridad basada en el tiempo de McAfee y la distinción de McAfee en la detección a nivel de bloque. Ganar tiempo lanzando un golpe de velocidad en el camino de un Cozy Bear puede ser la diferencia para ganar la carrera por seguridad.

* Todos los datos son de: https://attackevals.mitre.org/evaluations.html?round=APT29

© 2018 – 2020 The MITRE Corporation. Este trabajo se reproduce y distribuye con el permiso de The MITRE Corporation.





Enlace a la noticia unique