Top 6 MITRE ATT&CK Techniques Identified in 2020, Defense Evasion Tactics Prevail

Top 6 MITRE ATT&CK Techniques Identified in 2020, Defense Evasion Tactics Prevail [Report]

insikt-group-logo-updated-3.png
Ce rapport présente une vue d'ensemble des tactiques et techniques identifiées dans les sources de données de la plateforme Recorded Future®, telles que cartographiées dans le cadre MITRE ATT&CK pour l'année 2020. Les données couvrent la période du 1er janvier au 1er décembre 2020. Ce rapport est destiné aux personnes familiarisées avec le Cadre MITRE ATT&CK, particulièrement pertinent pour les équipes de sécurité qui s'appuient sur ce cadre pour informer les exercices des équipes rouges et bleues, les tests de pénétration, la recherche de menaces et diverses priorisations de protocoles de sécurité.

Executive Summary

In 2020, the six most widely used techniques according to the Recorded Future Platform were T1027 — Obfuscated Files and Information, T1055 — Process Injection, T1098 — Account Manipulation, T1219 — Remote Access Tools, T1082 — System Information Discovery, and T1018 — Remote System Discovery. Additional “Associated Techniques”, or MITRE ATT&CK techniques that were related to the top six, included the following three: T1497 — Virtualization/Sandbox Evasion, T1083 — File and Directory Discovery, and T1036 — Masquerading.

Four of these techniques are categorized under the Defense Evasion tactic, followed by Persistence and Discovery. Seeing Defense Evasion tactics prevail in the data is in line with Insikt Group’s observations that these tactics are becoming more commonplace in malware. Identifying these techniques helps to identify what the cyber threat landscape looked like in the last year: from opportunistic threat actors taking advantage of a remote workforce due to COVID-19 to major expansions of prominent ransomware operators to include exfiltration and extortion. All of the techniques identified were critical to the success of cyberattacks in 2020.

Le défi pour les défenseurs consiste à rendre ces informations exploitables. La détection de certaines de ces techniques peut s'avérer difficile, car les acteurs malveillants les plus avancés tentent de dissimuler leurs véritables intentions ou de se fondre dans les activités normales. Comme indiqué dans le glossaire MITRE ATT&CK, les données ne doivent pas être considérées isolément, mais plutôt comme un modèle d'activité qui met en évidence des tactiques telles que la déviation de défense ou la persistance. En corrélant ces techniques avec des événements supplémentaires de haute fidélité, les défenseurs peuvent trouver de meilleurs indices d'activités suspectes. Nous avons inclus dans ce rapport les détections des logiciels malveillants individuels observés à l'aide des techniques mises en évidence, ainsi que des stratégies de détection plus avancées.

Background

MITRE ATT&CK est une base de connaissances accessible dans le monde entier qui répertorie les tactiques et techniques utilisées par les adversaires, basées sur des observations réelles. Le cadre ATT (&CK) est utilisé comme base pour le développement de modèles et de méthodologies spécifiques aux menaces dans le secteur privé, au sein des gouvernements et dans la communauté des produits et services de cybersécurité. Grâce au cadre ATT (&CK), les équipes de sécurité disposent d'une vision plus large du comportement des adversaires, ce qui leur permet de tester des méthodes d'atténuation et de détection contre ces techniques. Il est devenu un outil précieux dans de nombreux domaines de la cybersécurité pour fournir des renseignements, suivre les tendances en matière de tactiques et de techniques, effectuer des tests par le biais de simulations d'attaques ou d'émulation d'adversaires, et améliorer les défenses des réseaux et des systèmes contre les intrusions.

The ATT&CK framework has evolved since its publication in 2018, containing almost 200 unique tactics, techniques, and procedures (TTPs). The recent consolidation of the Pre-ATT&CK framework with the main Enterprise ATT&CK framework, as well as the introduction of subtechniques, have only furthered the usability of the framework.

Methodology

Dans son rapport 2019, Insikt Group s’est appuyé sur Recorded Future Malware Detonation Sandbox comme source de recherche des meilleures techniques ATT&CK. Sur la base des modifications apportées au cadre ATT&CK et de l’amélioration continue des données Recorded Future, nous avons utilisé trois requêtes dans la plateforme Recorded Future pour faciliter l’identification des principales techniques MITRE ATT&CK utilisées en 2020. Les données de chaque requête sont extraites des notes Insikt, des échantillons de Recorded Future Malware Detonation Sandbox et des vecteurs d’attaque tels qu’automatiquement catégorisés par Recorded Future.

Insikt Group notes cover a wide range of threat intelligence and cyberattacks, which is represented in the first query. The second query, using the Malware Detonation Sandbox sample analysis as a source, provides a technical perspective focused on execution of malware. The third query looks for Cyber Attack events where a MITRE ATT&CK technique was specified as an attack vector to try and capture any additional information. The queries were separated to tune out false positives and to provide a more holistic picture of techniques used.

&L a révision semestrielle du cadre ATT (&) CK, qui incluait les techniques et sous-techniques de reconnaissance pré-ATT, a permis de créer ce que nous estimons être une représentation plus précise et détaillée de la chaîne de cyberattaque, de la reconnaissance à l'exfiltration et au-delà. Insikt Group Les notes couvrent les tactiques pré- et post-exploitation (reconnaissance, accès initial, impact, etc.) de par leur nature même, puisqu'elles portent sur des renseignements finis ou des « ouï-dire » (par exemple, un acteur malveillant affirmant avoir accès à des identifiants). Les résultats de Malware Detonation Sandbox se concentrent toutefois sur les tactiques d'exploitation (telles que l'exécution, la persistance ou l'élévation des privilèges) basées sur l'analyse dynamique des échantillons malveillants soumis. Les résultats relatifs aux vecteurs d'attaque sont basés sur le traitement et la classification par Recorded Future des tactiques utilisées dans les cyberattaques à l'échelle mondiale, qui varient considérablement.

Because Insikt Notes, Malware Detonation Sandbox results, and references to Attack Vectors cover different ranges of tactics, the three queries together better capture the full lifecycle of what core techniques were used in cyberattacks in 2020.

Each column below is populated with the top-referenced MITRE ATT&CK techniques per appearance in Insikt Notes, appearance in our Malware Detonation Sandbox source, or association with Attack Vector entities in the Recorded Future Platform. The lists in this table are ordered in descending order of reference count.

top-2020-mitre-techniques-1-1-scaled.jpg

top-2020-mitre-techniques-2-1.png
Tableau 1: Les 10 principales techniques d'&-CK MITRE ATT classées par requête (Source : Recorded Future)

Top Six ATT&CK Technique Analysis

top-2020-mitre-techniques-3-1.png
Tableau 2: Les six principales techniques d'&-CK en 2020 (Source : Recorded Future)

We identified six techniques that were observed in two or more sources, and of those, only two techniques were present in all three source groups: _T1027 — Obfuscated Files and Information_and T1055 — Process Injection. These two techniques, which fall under the Defense Evasion (TA0005) and Privilege Escalation (TA0004) tactics, respectively, have such prolific use among threat actors because they are essential to most successful cyber threat operations, unlike specific techniques such as T1486 — Data Encrypted for Impact, which is only useful to ransomware operators.

The additional techniques, T1098 — Account Manipulation, T1219 — Remote Access Tools, T1082 — System Information Discovery, and T1018 — Remote System Discovery, were present in only two of the three source types. These techniques represent a small fraction of the cyber landscape of 2020, including opportunistic threat actors taking advantage of a remote workforce due to COVID-19 and major expansions of prominent ransomware operators to include exfiltration and extortion.

In line with 2019’s results, the top tactic these techniques share is Defense Evasion. Threat actors deploying ransomware, remote access tools (RATs), or infostealers, will all look to evade detection whether that is through obfuscated files that remain undetected by static file detections, or masquerade as legitimate services through process injection techniques.

Insikt Group has compiled relevant examples of each of the six techniques from the past year, including associated malware, threat actors, and associated techniques. Suggestions for mitigations and detections for each malware mentioned are linked in line.

Additional ATT&CK Technique Analysis and Detections

top-2020-mitre-techniques-4-1.png
Tableau 3Techniques restantes de MITRE ATT&&CK telles qu'affichées dans la méthodologie (Source : Recorded Future)

Insikt Group identified 16 additional MITRE ATT&CK techniques (Table 3) that were widely used by threat actors in 2020. While they were identified within one of the three queries’ “Top 10” list, they were not present in more than one of the queries and therefore not detailed in the “Top Techniques Analysis” section above.

Some of these are referenced in the “Associated Techniques” subsections, including three techniques mentioned more than once: T1497 — Virtualization /Sandbox Evasion, T1083 — File and Directory Discovery, and T1036 — Masquerading. These techniques, categorized under Defense Evasion and Discovery tactics, derive their references from the Malware Sandbox query.

Detection of these techniques can be difficult as all three incorporate some attempt to hide their true intentions or blend in with normal activities. As mentioned in the MITRE ATT&CK glossary, data should not be viewed in isolation, but rather has a pattern of activity that highlights tactics like Defense Evasion or Persistence. By correlating these techniques with additional high-fidelity events, defenders can find better indications of suspicious activity.

T1497 — Évasion de virtualisation/sandbox n'est pas une technique nouvelle, mais son utilisation s'est développée l'année dernière, se manifestant dans des variantes de logiciels malveillants tels que Pysa Ransomware ou BABAX Stealer. La détection de T1497 — Techniques de virtualisation/contournement de sandbox peut être effectuée à l'aide de la règle YARA Antidebug_antivm du projet The Yara Rules Project. Cette règle Yara détecte uniquement un sous-ensemble de tactiques de virtualisation/contournement de sandbox et doit être considérée comme un point de départ ou utilisée en conjonction avec d'autres techniques ou outils de détection.

La détection des deux techniques T1083 — Découverte de fichiers et de répertoires et T1036 — Déguisement peut être effectuée en surveillant les activités suspectes dans vos outils de surveillance. Pour T1083 — Découverte de fichiers et de répertoires, certaines commandes sont généralement exécutées lorsqu'un acteur malveillant procède activement à l'énumération d'un réseau. Le JPCERT a répertorié certaines des commandes les plus couramment utilisées par les attaquants. Les commandes les plus pertinentes pour la recherche et l'énumération de fichiers sont « dir », « type », « net view » et « net use ».

Detections of the commands such as “dir”, “type”, “net view”, and “net use” alone are not enough to alert you of malicious activity, as they are also used by system administrators. However, the execution of those commands combined with the activity of downloading a file from a remote drive within 30 minutes of each other, for example, would be better indicative of malicious activity. In addition to this, a threat actor will likely use multiple Discovery tactics including T1082 — System Information Discovery and T1018 — Remote System Discovery, as we observed in the “Associated Techniques” category.

Similar to T1083 — File and Directory Discovery, detection for T1036 — Masquerading relies on identifying improper use of legitimate applications and tools. The Sunburst malware is a good example of masquerading malware as the code is executed under SolarWinds processes and the code also uses the SolarWinds Orion Improvement Program (OIP) for its C2 communication. Detection of this activity requires understanding the normal behavior of such tools and then identifying anomalies. While the Sunburst malware uses sophisticated techniques for masquerading, detection could still be possible by monitoring outbound connections, or monitoring for activity from SolarWinds processes, users, or hosts indicative of credential harvesting or privilege escalation.

Outlook

The ATT&CK framework is designed to map the lifecycle of a cyberattack to a set of TTPs acknowledged by the cybersecurity community. Defenders can map cyberattacks to this framework to prioritize which techniques to defend against. As network and endpoint defense technologies adapt to the most novel threats, attackers will continue focusing on creating innovative ways to evade detections put in place by defenders. The constant struggle between attackers and defenders is why Defense Evasion remains the most prevalent tactic each year.

While defenders should prioritize tooling and detections to identify attackers during the Initial Access phase to stop the attack before it infects the victim, that is not always possible or easy to do. Defenders should also prioritize the 37 techniques encapsulated by the Defense Evasion tactic, specifically the ones outlined in this report that were most common in 2020. One challenge defender’s face when building detections for a particular Defense Evasion technique such as T1140 — Deobfuscate/Decode Files or Information is the wide variety of implementations attackers use. In these cases, it is more important to focus on the underlying detectable artifacts and behavior hidden underneath the specific technique than the technique itself.

In line with last year’s findings, the second most common tactic after Defense Evasion was Discovery in 2020. The extensive use of the Discovery tactic highlights the common goal among almost all attackers to discover and steal sensitive information. This includes ransomware operators such as those behind Netwalker discovering and exfiltrating data for extortion purposes, info stealers such as FickerStealer looking for Bitcoin wallets, and RATs such as SDBbot running network scans for future lateral movement. Many of the techniques used by threat actors to perform Discovery have legitimate uses, as described above, so defenders should focus on building detections to identify improper use of these legitimate applications and tools.

L'identification des techniques utilisées par les tactiques de contournement et de détection de la défense offre souvent au défenseur la possibilité de détecter une attaque pendant une opération active, ce qui est essentiel pour limiter les dommages. Bien que ces deux tactiques doivent être prioritaires pour les défenseurs, il est tout de même important de mettre en place des systèmes de détection pour les 12 autres tactiques. Chaque fois qu'un attaquant utilise une autre technique de la matrice ATT (&CK), une nouvelle opportunité s'offre au défenseur pour détecter l'activité malveillante. En utilisant les mesures d'atténuation décrites dans chaque section, les mécanismes de détection CK-mapped ATT&accessibles au public et les packages Insikt Group Hunting, les défenseurs peuvent rester à jour dans leurs défenses contre les dernières TTP.