Submit Search
Upload
MITRE ATT&CK T1587 Develop Capabilities
•
Download as PPTX, PDF
•
0 likes
•
45 views
Waku Kataoka
Follow
MITRE勉強会で使った資料です。 This document is what I used in the MITRE study group.
Read less
Read more
Technology
Report
Share
Report
Share
1 of 13
Download now
Recommended
RedTeamGuide -2章-
RedTeamGuide -2章-
Waku Kataoka
MITRE ATT&CK T1489 Service Stop
MITRE ATT&CK T1489 Service Stop
Waku Kataoka
MITRE ATT&CK T1611 Escape to Host
MITRE ATT&CK T1611 Escape to Host
Waku Kataoka
NoSQLi(Redis)
NoSQLi(Redis)
Waku Kataoka
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
Recommended
RedTeamGuide -2章-
RedTeamGuide -2章-
Waku Kataoka
MITRE ATT&CK T1489 Service Stop
MITRE ATT&CK T1489 Service Stop
Waku Kataoka
MITRE ATT&CK T1611 Escape to Host
MITRE ATT&CK T1611 Escape to Host
Waku Kataoka
NoSQLi(Redis)
NoSQLi(Redis)
Waku Kataoka
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
More Related Content
Recently uploaded
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Recently uploaded
(8)
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Featured
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
The six step guide to practical project management
The six step guide to practical project management
MindGenius
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
ChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
Featured
(20)
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
Skeleton Culture Code
Skeleton Culture Code
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
How to have difficult conversations
How to have difficult conversations
Introduction to Data Science
Introduction to Data Science
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
The six step guide to practical project management
The six step guide to practical project management
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
ChatGPT webinar slides
ChatGPT webinar slides
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
MITRE ATT&CK T1587 Develop Capabilities
1.
MITRE ATT&CK -
T1587 Resource Development Develop Capabilities May 10, 2021 kataokaw
2.
T1587 - Develop
Capabilitiesの立ち位置 MITRE ATT&CKマトリックスでの立ち位置 a
3.
TACTICS - Resource
Development (TA0042) ATT&CKマトリックスの列名「Resource Devlopment」は、 ターゲティングをサポートするために使用できるリソース(インフラ、アカウント、手段)を 作成、購入、または侵害/盗む敵を含む手法で構成されている。 例) 購入したドメインを使ってコマンド&コントロールを支援 初期アクセスの一環として電子メールアカウントを使ってフィッシングを実施 コード署名証明書を盗んで防御回避を支援 [MITER ATT&CK TACTICS (Enterprise) - Resource Development]https://attack.mitre.org/tactics/TA0042/
4.
TECHNIQUES - Develop
Capabilities (T1587) ID Name T1587.001 Malware T1587.002 Code Signing Certificates T1587.003 Digital Certificates T1587.004 Exploits [MITER ATT&CK TECKNIQUES (Enterprise) - Develop Capabilities] https://attack.mitre.org/techniques/T1587/ Sub-techniques 攻撃者たちは、Capabilities(手段)を購入/フリーDL/盗む以外に、独自開発することがある。 「Develop Capabilities」は、 開発要件を特定し、下表などを構築するプロセスと定義してます。
5.
Capabilityって? 直訳すると、 能力、才能、特性、性能 、素質、将来性を指すようです。 特に仕事や専門的な能力、素質を指し、 既に備わっているものや、これから取得するもの というニュアンスがあるようです。 個人的には、手段や機能と意訳した方が、 本資料は通じやすいと思うので、以降のページではそのように記載しています。
6.
Develop Capabilities: Malware
(T1587.001) 攻撃者は、マルウェアおよびマルウェアコンポーネントを開発することがあり、 そのようなターゲティング中に使用できる”悪意のあるソフトウェアの構築”には、 下記などの開発/作成が含まれるとしている。 ペイロード ドロッパー 侵害後のツール バックドア(バックドアイメージを含む) パッカー C2プロトコル 感染したリムーバブルメディア
7.
Develop Capabilities: Malware
(T1587.001) マルウェアの事例 - SUNSPOT 2020年12月に開示された、NWパフォーマンス監視ツール大手プロバイダである SolarWinds社へのサプライチェーン攻撃に用いられた 脅威グループ「StellarParticle」によって作成されたマルウェアです。 当該マルウェアは、SolarWinds社Orionアプリのビルドサーバーにインストールされ、 ビルドコマンドを検出すると、Orionアプリの一部のソースコードファイルを、 バックドアとして機能するSUNBURSTマルウェアをロードするファイルに置換します。 SUNSPOTはディスク上で「taskhostsvc.exe」(SHA256 Hash: c45c9bda8db1d470f1fd0dc c346dc449839eb5ce9a948c70369230af0b3ef168)で識別されるようです。 [SROWD STRIKE Blog - SUNSPOT: An Implant in the Build Process] https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/ [SolarWinds Security Advisory] https://www.solarwinds.com/ja/sa-overview/securityadvisory#anchor2
8.
Develop Capabilities: Code Signing
Certificates (T1587.002) ユーザーやセキュリティツールは、証明書の発行者や作成者が不明な場合でも、 “署名されたコード”を”署名されていないコード”よりも信頼することがあるため、 攻撃者は、自己署名のコードサイニング証明書を作成し、作戦に利用することがある。 事例) Patchwork:架空のソフトウェア会社になりすました自己署名証明書を作成し、後にマルウェアの署名に使用。 PROMETHIUM:悪意のあるインストーラに署名するために自己署名証明書を作成。 参考) Subvert Trust Controls: Code Signing(T1553.002)
9.
Develop Capabilities: Digital Certificates
(T1587.003) 攻撃者は、C2トラフィックの暗号化や、MITMなどを実現するため、 サードパーティの認証局(CA)の要素が無い自己署名SSL / TLS証明書を作成することがあります。 事例) APT29:マルウェアの相互TLS認証を可能にする自己署名デジタル証明書を作成 PROMETHIUM:C2トラフィックでHTTPSを使用するための自己署名デジタル証明書を作成 参考) Stage Capabilities: Install Digital Certificate(T1608.003)
10.
Develop Capabilities: Exploits
(T1587.004) 攻撃者は、ネット上から見つけて改修、ベンダから購入、独自開発するなどして、 バグまたは脆弱性を利用して、ハード/ソフトの両面で意図しない動作を発生させる エクスプロイトを手に入れることがあります。 エクスプロイト開発プロセスの一環として、攻撃者は ファジングやパッチ分析などの方法で悪用可能な脆弱性を発見する可能性があります。 参考) Exploitation for Privilege Escalation(1068) Exploit Public-Facing Application(T1190) Exploitation for Client Execution(T1203) Endpoint Denial of Service: Application or System Exploitation(T1499.004) Exploitation of Remote Services(TT1210) Exploitation for Defense Evasion(T1211) Exploitation for Credential Access(T1212)
11.
Develop Capabilities: Exploits
(T1587.004) エクスプロイトの事例 - CVE-2019-5736 「CVE-2019-5736」は、Docker コンテナ等で使用する「runC」に関する脆弱性です。 本脆弱性により、悪意のあるコンテナは(最小限のユーザー操作で)ホストの「runC」バイナリを上書きし、 ホスト上でrootレベルのコードを実行できる権限を獲得できるようになります。 「runC」は、Dockerの一部として開発されたコンテナランタイムで、 次のコンテキストにおいて、コンテナ内でrootとして任意のコマンドを実行することができるようです。 • 攻撃者によって制御されたイメージを使用して、新しいコンテナを作成する。 • 攻撃者が以前書き込みアクセス権を持っていた既存のコンテナに(docker execを)追加する。 MITER ATT&CKの内容によると、マルウェア「Hildegard」は、 当該脆弱性を悪用するBOtB(Break out the Box)ツールを使用したようです。 [Github - brompwnie/botb] https://github.com/brompwnie/botb [Paloalto - runCによるDockerコンテナブレークアウト: CVE-2019-5736の解説]https://unit42.paloaltonetworks.jp/breaking-docker-via-runc-explaining-cve-2019-5736/
12.
Develop Capabilities: Exploits
(T1587.004) 新しいコンテナを作成する場合と 既存のコンテナにプロセスを追加する場合の 両方で「runC」が使用する方法。 攻撃者が/proc/self/exeを実行するように 求めることで、runCを騙して実行できる。 /proc/self/exeは、 ホスト上のrunCバイナリへのシンボリック リンク。
13.
おわり
Editor's Notes
ドロッパー:トロイの木馬の一種で、それ自体には不正コードが含まれないが、 あるタイミングで不正コードを投下(ドロップ)する パッカー:プログラムを実行できる状態(自己解凍形式)のまま圧縮、符号化することをパッキングといい、 パッキングするソフトやツールをパッカーという。 プログラムが静的解析されるのを妨害する目的で使われる。
マルウェアのビルドタイムスタンプ「2020-02-20 11:40:02」より、攻撃のタイムラインと一致することから
ユーザー バイナリが実行されるときは、コンテナ内ですでに特定および制限されている必要がある。
runCは「runC init」サブプロセスを作成します。
Download now