Motivazioni dei cybercriminali: tattiche, tecniche e procedure (TTP)
Comprendere tattiche, tecniche e procedure (TTP) utilizzate dagli attaccanti permette ai responsabili della sicurezza informatica di rispondere meglio agli attacchi più sofisticati. A fronte di uno scenario delle minacce sempre più complesso, complicato dalle evoluzioni dei malware, dalle campagne APT “nation-State” e da una criminalità as-a-service, le TTP rimangono un elemento critico per contrastare attivamente le violazioni alla sicurezza.
Iniziare a capire il perché – Esaminare motivazioni e obiettivi degli hacker
Conoscere le motivazioni che sono alla base di un attacco informatico contribuisce a migliorare notevolmente la capacità di proteggere efficacemente l’organizzazione. Scomporre il “chi”, il “perché” e il “come” dell’attacco può aiutare i difensori a realizzare un profilo degli aggressori, individuare i vantaggi che deriverebbero dal successo dell’attacco, il modo in cui verrebbero monetizzati questi vantaggi e la probabilità di un eventuale attacco successivo.
In base a motivazioni e capacità, sono sei le principali ragioni alla base dei cyberattacchi:
- Ritorno economico
- Spionaggio
- Interruzione del servizio
- Cyber-terrorismo
- Motivazioni personali
- Attenzione e notorietà
- Come le TTP aiutano i difensori
Le TTP svolgono un ruolo essenziale per consentire ai difensori della sicurezza di contrastare efficacemente le minacce informatiche. Analizzando e comprendendo le TTP, i si ottengono informazioni preziose sui comportamenti e sulle metodologie utilizzate dagli avversari velocizzando il processo di identificazione dei potenziali attacchi, lo sviluppo di strategie di difesa proattive e l’implementazione di misure di sicurezza specifiche per i rischi aziendali e di settore.
Organizzazioni come il NIST e il MITRE classificano e catalogano i comportamenti degli attori delle minacce in tattiche, tecniche e procedure, note collettivamente come TTP:
- Tattiche – Si riferiscono alle strategie e agli obiettivi generali di un attacco. Possono essere considerate il “perché” degli obiettivi tattici e illustrano le ragioni del cyberattaccante. Le tattiche sono importanti per i difensori informatici perché possono essere utilizzate per costruire il profilo dell’attore oggetto di indagine. Molti attori e gruppi di minacce sono riconoscibili proprio dall’uso di tattiche specifiche impiegate.
- Tecniche – Sono le modalità a cui l’attore della minaccia ricorre per lanciare e sferrare l’attacco per raggiungere il proprio obiettivo. Gli attori spesso utilizzano molte tecniche durante la loro campagna per facilitare la compromissione iniziale, muoversi trasversalmente all’interno dell’ambiente compromesso, trafugare i dati e altro ancora. Le tecniche possono essere analizzate in ogni fase dell’attacco informatico, lasciando dietro di sé un’impronta digitale che rende identificabile l’attore della minaccia.
- Procedure – Si tratta della sequenza di azioni che compongono l’attacco, compresi gli strumenti e i kit utilizzati dall’attore della minaccia. Durante le indagini forensi, ad esempio, gli analisti della sicurezza possono eseguire l’analisi del file system per ricostruire una procedura al fine di creare una cronologia dell’attacco. Gli analisti cercheranno anche modifiche ai file di sistema, troveranno indizi negli event log e cercheranno di ottenere un quadro di ciò che è accaduto in ogni fase dell’attacco.
La capacità di individuare schemi e indicatori di compromissione attraverso le TTP è fondamentale per aiutare i professionisti della sicurezza a rispondere prontamente alle minacce. È anche il fattore abilitante di miglioramenti critici necessari nelle policy e nei workflow che possono fermare minacce simili in futuro. Le TTP servono come base per l’intelligence delle minacce che porta a una migliore mitigazione del rischio e facilita un approccio più collettivo alla sicurezza informatica.
Capire come funzionano le TTP negli attacchi del mondo reale
Sia la frequenza dei crimini informatici sia la loro costante evoluzione continuano ad aumentare a ritmi impressionanti. Questa sezione esplora alcune delle TTP più comuni utilizzate nelle campagne di minacce e come vengono sfruttate nel mondo reale.
Social Engineering
Il Social Engineering consiste nella manipolazione psicologica delle persone per indurle a divulgare informazioni sensibili o a compiere azioni che compromettono la sicurezza. Le campagne di social engineering utilizzano varie TTP per influenzare il comportamento umano e sfruttare le vulnerabilità. Oltre al phishing, le TTP comuni associate al social engineering includono:
- Pretexting – L’aggressore crea uno scenario plausibile o una falsa identità per ingannare l’obiettivo, ottenere la sua fiducia ed estorcere informazioni sensibili.
- Impersonificazione – fingere di essere qualcun altro, come un collega fidato, una figura autoritaria o un fornitore di servizi, per manipolare l’obiettivo e indurlo a fornire dati sensibili o a eseguire determinate azioni.
- Water-holing – Compromettere siti web legittimi frequentemente visitati dal target scelto e introdurre codici o link dannosi per corrompere i dispositivi dei visitatori.
Sfruttare le vulnerabilità
Gli aggressori sfruttano spesso le vulnerabilità note di software e hardware per ottenere un accesso non autorizzato ai sistemi o per aumentare i privilegi. Allo sfruttamento delle vulnerabilità vengono associate diverse TTP, tra cui:
- Scansione
- Zero Day Exploit
- Privilege Escalation
- Remote Code Execution (RCE)
- Attacchi Denial-of-Service (DoS)
- Living off the land
Il “Living off the land” (LotL) è una tattica attraverso la quale gli aggressori utilizzano strumenti e processi legittimi e già presenti sul sistema della vittima per portare a termine i loro attacchi, rendendo così più difficile il rilevamento delle attività sospette da parte delle soluzioni di sicurezza. Gli attaccanti sono noti per l’utilizzo di queste TTP per portare a termine un’operazione LotL di successo:
- Abuso di Windows Management Instrumentation (WMI)
- Abuso di linguaggi di scripting
- Masquerading
- Movimento laterali
Una volta che gli aggressori si sono insediati all’interno di una rete, spesso, utilizzano tecniche di movimenti laterali per spostarsi tra i sistemi e aumentare i propri privilegi. In tecniche come il pass-the-hash o il pass-the-ticket, un attaccante utilizza credenziali o token di autenticazione rubati per muoversi tra i sistemi.
Le seguenti TTP contribuiscono a questo modus operandi:
- Hijacking del protocollo RDP (Remote Desktop Protocol)
- Furto di credenziali e attacchi aggressivi
- Attacchi Man-in-the-Middle (MitM)
- Sfruttamento di Active Directory
- Esfiltrazione dei dati e copertura delle tracce
Dopo aver raggiunto i propri obiettivi, gli hacker spesso esfiltrano i dati rubati, utilizzando canali nascosti o comunicazioni criptate per evitare il rilevamento delle loro attività. Per eliminare le loro tracce gli aggressori ricorrono a una combinazione di queste TTP:
- Compressione e crittografia:
- Tunneling del protocollo
- Offuscamento dei dati
- Esfiltrazione attraverso protocolli affidabili
- Distruzione dei dati.
Misure proattive per i professionisti della sicurezza
Sebbene la comprensione delle TTP sia parte integrante per ottenere informazioni aggiuntive sulle minacce e per accrescere i meccanismi di difesa, da sola non è sufficiente. Le aziende devono anche applicare eccellenti protocolli di igiene informatica e rafforzare la loro strategia di sicurezza in modo olistico:
- Implementando un solido framework di sicurezza
- Formando e sensibilizzando continuamente sulla sicurezza
- Implementando un solido processo di gestione delle patch e scansione delle vulnerabilità
- Incentivando la segmentazione della rete e il modello Zero Trust
- Definendo una strategia di monitoraggio e risposta agli incidenti
Conclusioni
L’identificazione dei vettori di attacco e dei nuovi metodi è fondamentale per rimanere un passo avanti rispetto agli aggressori informatici. Esempi reali e recenti campagne APT hanno dimostrato come l’analisi delle TTP arricchisca le informazioni a disposizione dei professionisti della sicurezza.
Anche se gli attaccanti continueranno ad aggiornare metodi e processi, oggi, sono disponibili molti modi grazie ai quali le aziende possono mitigare il rischio e rafforzare le loro difese. Stabilire una strategia di risposta efficace e un monitoraggio continuo e approfondito può incrementare le difese del team interno di un’azienda con solide capacità di rilevamento e risposta.
di Marco Rottigni, Technical Director per l’Italia di SentinelOne