MITRE ATT&CK Framework

MITRE ATT&CK é framework globalmente reconhecido que cataloga táticas, técnicas e procedimentos (TTPs) de adversários cibernéticos baseados em observações do mundo real.

O Que é MITRE ATT&CK

Knowledge base desenvolvida pela MITRE Corporation que documenta comportamentos adversários através de 14 táticas e 193+ técnicas, baseadas em milhares de incidentes reais. Atualizado constantemente com novas TTPs observadas.

As 14 Táticas do ATT&CK

  1. Reconnaissance: Coleta de informações sobre alvo
  2. Resource Development: Aquisição de infraestrutura e ferramentas
  3. Initial Access: Ponto de entrada na rede da vítima
  4. Execution: Execução de código malicioso
  5. Persistence: Manutenção de acesso persistente
  6. Privilege Escalation: Obtenção de permissões elevadas
  7. Defense Evasion: Evitar detecção e análise
  8. Credential Access: Roubo de credenciais
  9. Discovery: Exploração do ambiente comprometido
  10. Lateral Movement: Movimento entre sistemas
  11. Collection: Coleta de dados de interesse
  12. Command and Control: Comunicação com infraestrutura C2
  13. Exfiltration: Roubo de dados da rede
  14. Impact: Manipulação, interrupção ou destruição de sistemas

Matrizes do ATT&CK

  • Enterprise: Ambientes Windows, Linux, macOS, Cloud, Network
  • Mobile: Android e iOS
  • ICS: Industrial Control Systems e SCADA

Aplicações Práticas

1. Mapeamento de Detecções

Mapear regras SIEM, assinaturas IDS e detecções EDR contra técnicas ATT&CK para identificar gaps de cobertura. Ferramentas como CALDERA e DeTT&CT auxiliam na visualização.

2. Threat Hunting

Usar técnicas específicas como base para hipóteses de hunting. Exemplo: buscar por T1055 (Process Injection) através de análise de handles e memory allocations suspeitas.

3. Red Team Emulation

Simular TTPs de grupos APT específicos (ex: APT29) para validar controles defensivos. Atomic Red Team oferece biblioteca de testes automatizados por técnica.

4. Análise de Incidentes

Documentar comportamento adversário usando IDs ATT&CK facilita compartilhamento de inteligência e correlação com campanhas conhecidas.

Ferramentas do Ecossistema

  • ATT&CK Navigator: Visualização interativa da matriz, heatmaps de cobertura
  • CALDERA: Plataforma de adversary emulation automatizada
  • Atomic Red Team: Biblioteca de testes de técnicas ATT&CK
  • DeTT&CT: Mapeamento e scoring de data sources e detecções
  • ATT&CK Powered Suit: Chrome extension para análise rápida
  • MITRE Cyber Analytics Repository: Pseudocode para detecções

Grupos APT e Campanhas

ATT&CK documenta 140+ grupos adversários com suas TTPs características. Exemplos:

  • APT29 (Cozy Bear): Spear phishing, WMI, PowerShell, Living off the Land
  • APT28 (Fancy Bear): Zero-days, credential dumping, C2 via HTTP
  • Lazarus Group: Custom malware, destructive attacks, cryptocurrency theft

Mapeamento de Controles

Cada técnica ATT&CK possui mitigações documentadas. Exemplo para T1003 (Credential Dumping):

  • M1027: Password Policies (MFA, long passwords)
  • M1028: Operating System Configuration (LSA Protection)
  • M1043: Credential Access Protection (Credential Guard)
  • M1026: Privileged Account Management (limite domain admins)

Data Sources

ATT&CK especifica data sources necessárias para detectar cada técnica:

  • Process monitoring
  • File monitoring
  • Network traffic
  • Authentication logs
  • Windows Event Logs
  • PowerShell logs

Integração com SIEM

SIEMs modernos (Splunk, Sentinel, Chronicle) oferecem dashboards pré-construídos com mapeamento ATT&CK. Permitem visualizar cobertura de detecção e priorizar desenvolvimento de use cases baseado em técnicas mais críticas ou com gaps.

Limitações

  • Framework descritivo, não prescritivo - não diz o que fazer
  • Foco em pós-exploração, menos coverage de network attacks
  • Granularidade variável entre técnicas
  • Não cobre todas as variantes de cada técnica

Recomendações Finais

MITRE ATT&CK deve ser integrado em todos os aspectos de programa de segurança: threat intelligence, detection engineering, hunting, red teaming e incident response. Comece mapeando detecções atuais, identifique gaps críticos e priorize desenvolvimento de cobertura para técnicas mais prevalentes em seu setor.