Taggat med: modus operandi

Unfetter – NSA:s nya verktyg för att upptäcka avancerade cyberattacker

Den amerikanska myndigheten NSA har tillsammans med det icke vinstdrivande företaget Mitre utvecklat ett nytt verktyg vid namn Unfetter. Med hjälp av detta verktyg så kan en organisation effektivare identifiera cyberattacker genom att fokusera på att upptäcka beteendebaserad metodik istället för indikatorer samt inspireras av Mitres tidigare projekt vid namn CAR och ATT&CK.

Verktyget finns tillgängligt som open-source via Github och jag har givetvis testat verktyget.

Först och främst så klonade jag hem repot som innehåller docker-compose.yml vilket används av Docker. Sedan skrev jag docker-compose up i katalogen för att ladda hem och starta upp sex stycken containers:

NSA unfetter Docker composer up

Den container som heter unfetter-discover-gateway ser till att exponera tcp port 80 samt 443 och surfar vi sedan in på https://localhost så möts vi (förutom ett certifikatfel) följande bild:

Där jag sedan har möjlighet att navigera vidare till någon av de vyer som finns förinstallerade via Kibana:

  • Threat Dashboard
  • Analytic Exchange
  • Assessments
  • Assessments 3.0
  • Intrusion Set Dashboard
  • Events Dashboard
  • API Explorer
  • STIX

Tanken är alltså att du ska skicka in data från olika klienter och servrar med hjälp av NXlog och sysmon exempelvis.

Följande övergripande arkitekturbild visar hur det hänger ihop:

Givetvis så följer det även med exempelkonfigurationer till både nxlog och sysmon.

Men den kanske mest intressanta frågan är: Hur upptäcks avancerade cyberattacker? Det är genom att koppla ihop olika indikatorer, exempelvis denna:

CAR-2016-04-005: Remote Desktop Logon

Vilket implementerar ungefär (pseudokod) följande regler på inkommande analyserade loggar:

[EventCode] == 4624 and
[AuthenticationPackageName] == 'Negotiate' and
[Severity] == "Information" and
[LogonType] == 10

A remote desktop logon, through RDP, may be typical of a system administrator or IT support, but only from select workstations. Monitoring remote desktop logons and comparing to known/approved originating systems can detect lateral movement of an adversary.

Dessa indikatorer kan sedan kopplas mot Mitres ATT&CK och olika grupperingar såsom Equation Group (EQGRP) och deras modus operandi. Dock verkar det inte gå automatiskt i dagsläget och så här ser Intrusion Set Dashboard ut för Equation:

Equation Group

Vi kan även se att Equation har 2 av 219 attack patterns i det intrusion set som följer med Unfetter. För den som vill se hur logstash är konfigurerad mot sysmon kan kolla in följande konfigg-fil på Github.

NSA framhäver även att Unfetter inte är färdigt för att användas i produktion ännu:

This is not designed for production use

MUST årsöversikt 2016: Ryska påverkansoperationer

Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.

Och om påverkansoperationer så skriver MUST följande:

”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.

Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.

Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”

Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.

MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).

Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.

Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.

Här kan du läsa MUST årsöversikt: