Adversary Emulation Dengan Atomic Red Team (ATR)

Introduction

Atomic Red Team sangat membantu untuk melakukan pengujian validasi deteksi dan efektivitas terhadap endpoint security seperti Endpoint Protection Platform (EPP) dan Endpoint Detection & Response (EDR). Dengan membuat powershell script sederhana yang dapat melakukan proses otomatisasi eksekusi Atomic Red Team dan Mitre ATT&CK Layer Navigator untuk menjalankan adversary emulation menggunakan TTPs yang sama dari threat actor group tertentu.

Adversary Emulation

Adversary emulation merupakan kegiatan red team dengan meniru threat actor menggunakan taktik, teknik, dan prosedur (TTP) yang sama berdasarkan dari laporan threat intelligence. Ini berbeda dengan kegiatan red-teaming dan penetration testing pada umumnya, pada adversary emulation disini red team membuat skenario untuk menguji aspek tertentu dari taktik, teknik, dan prosedur (TTP) dari threat actor group secara spesifik.

Sebagai contoh salah satu threat actor group X menggunakan teknik PowerShell untuk melakukan eksekusi dan memasang backdoor, sebagai red team harus menggunakan teknik dan prosedur yang sama persis digunakan oleh threat actor tersebut, untuk memulai kegiatan adversary emulation menggunakan Atomic Red Team berikut tahapan yang dilakukan :

Laporan Threat Intelligence

Laporan threat Intelligence memberikan banyak informasi terkait dengan taktik, teknik dan prosedur (TTP) yang dapat membantu organisasi dalam mengumpulkan data tentang ancaman serangan siber saat ini dan mencegah serangan dikemudian hari yang dapat mengancam keamanan aset atau organisasi. Untuk mendapatkan informasi laporan threat Intelligence dapat melalui Cyber Threat Intelligence Provider seperti Fireeye, Kaspersky, Cisco Talos, Record Future, Group-IB dan lainnya secara gratis atau berbayar.

Fireeye M-Trends Report

Pemetaan ke dalam Mitre ATT&CK

Laporan FireEye yang dipetakan ke Mitre ATT&CK (https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html)

Melakukan pemetaan teknik dari laporan threat intelligence ke dalam Mitre ATT&CK bertujuan untuk membagi fase siklus serangan sesuai dengan teknik dan taktik yang digunakan dimulai dari fase akses awal sampai dengan tujuan akhir. Salah satu alat yang memudahkan untuk membuat skenario dan melakukan pemetaan teknik dapat menggunakan Mitre ATT&CK Navigator membantu menandakan teknik apa saja yang digunakan.

Mitre ATT&CK Navigator Layer
(https://mitre-attack.github.io/attack-navigator/)

Pada halaman Mitre ATT&CK grup terdapat deskripsi yang menjelaskan mengenai grup tersebut secara spesifik dan dibagian bawah menjelaskan teknik yang digunakan. Pada menu disamping kanan menyediakan Navigator Layers fitur ini memudahkan untuk melakukan Adversary Emulation tanpa harus mengisi Navigator Layers secara manual.

Mitre ATT&CK Group
(https://attack.mitre.org/groups/)

Atomic Red Team

Logo Atomic Red Team

Atomic Red Team (ATR) merupakan proyek sumber terbuka yang dikembangan oleh Red Canary salah satu perusahaan keamanan siber di Amerika Serikat adalah kumpulan teknik serangan dalam bentuk format yaml yang dipetakan ke dalam MITRE ATT&CK Framework.

Atomic Red Team dapat digunakan untuk memperkenalkan teknik yang dikenal dengan cara yang terkontrol dan membantu organisasi untuk menguji pertahanan dari serangan yang dilakukan oleh aktor ancaman, serta dapat melakukan penilainan terkait dengan validasi kontrol dan visibilitas terhadap kemampuan pemantauan seperti Security Information Event Management (SIEM) agar dapat bekerja dengan maksimal sesuai yang diharapkan.

Halaman Github Atomic Red Team (https://github.com/redcanaryco/atomic-red-team)

Instalasi

Sebagai informasi saat ini tidak semua teknik dalam Mitre ATT&CK tersedia pada Atomic Red Team untuk itu dapat disesuaikan dengan teknik yang sudah ada. Untuk memasang atomic red team pada windows jalankan powershell sebagai administrator dan jalankan powershell script install-atomicredteam.ps1 untuk memulai memasang atomic red team.

Set-ExecutionPolicy Bypass -Force
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1'); Install-AtomicRedTeam -getAtomics -Force

Proses Install Atomic Red Team

Eksekusi

Atomic Red Team yang telah berhasil dipasang berlokasi pada folder C:\AtomicRedTeam\invoke-atomicredteam untuk mengeksekusi teknik individu dengan memanggil cmdlet Invoke-AtomicTest diikuti dengan Mitre ATT&CK ID. Sebagai contoh dibawah ini menjalankan teknik Registry Run Keys / Startup Folder dengan menjalankan Invoke-AtomicTest T1547.001.

Pengujian Teknik Persistence Menggunakan Invoke-AtomicTest

Validasi Deteksi

Setelah membangun deteksi sekarang saatnya untuk memvalidasi bahwa pendeteksian tersebut berfungsi dan disetel dengan tepat, apakah simulasi serangan yang telah dijalankan terdeteksi pada SIEM. Salah satu tujuannya adalah untuk mencoba mengukur cakupan / kemampuan terhadap Mitre ATT&CK Matrix dan untuk mengidentifikasi dimana letak celah visibilitas dan menentukan dimana perlu untuk melakukan perbaikan.

Mitre ATT&CK Atomic Testing

Studi Kasus

Fireeye APT29

APT29 atau Cozy Bear merupakan kelompok spionase siber yang diyakini terkait dengan satu atau lebih badan intelijen Rusia. Sepanjang Tahun 2020, APT29 telah menargetkan organisasi yang terlibat dalam pengembangan vaksin COVID-19 di Kanada, Amerika Serikat, dan Britania Raya, dengan tujuan mencuri informasi terkait pengembangan dan pengujian vaksin.

Dalam studi kasus ini melakukan Adversary Emulation terhadap kelompok spionase siber APT29 dengan menjalankan serangkaian teknik dan prosedur menggunakan Atomic Red Team. Untuk menjalankan teknik secara otomatisasi memanfaatkan Mitre ATT&CK Navigator Layers, buat powershell script berikut ini dengan nama Invoke-AtomicEnterpriseLayer.ps1 :

Import-Module C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psm1
Set-ExecutionPolicy Bypass -Force
$Logfile = $MyInvocation.MyCommand.Path -replace '\.ps1$', '.log'
Start-Transcript -Path $Logfile
$layer = Get-Content .\APT29-enterprise-layer.json | ConvertFrom-Json
$techniques = $layer.techniques.techniqueID
$name = $layer.name
$desc = $layer.description
Write-Output ""
Write-Output "[+] Name : $name"
Write-Output "[+] Description : $desc"
Start-Sleep 3
Write-Output "[+] Running Atomic Red Team"
foreach($id in $techniques) {
Invoke-AtomicTest $id
}
Write-Output "[+] Done"

Gambar dibawah ini merupakan hasil eksekusi prosedur teknik yang digunakan oleh APT29 berdasarkan pemetaan dari Layer Navigator yang didapatkan dari halaman group APT29.

Adversary Emulation APT29

Referensi

• https://attack.mitre.org/
• https://attack.mitre.org/groups/G0016
• https://www.fireeye.com/current-threats/apt-groups.html
• https://github.com/redcanaryco/atomic-red-team
• https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3
• https://www.cybereason.com/blog/what-are-adversary-emulation-plans
• https://redcanary.com/blog/invoke-atomicredteam-leaves-the-nest/
• https://threat.tevora.com/simulating-attacker-activity-with-atomic-red-team/
• https://docs.google.com/spreadsheets/d/1tGamZ46Sd_bzqMiwgsN1HST6qDiWR6ZwaguSmX9hUSM/edit