MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), siber tehdit aktörlerinin saldırı taktiklerini, tekniklerini ve prosedürlerini (TTPs) tanımlayan bir bilgi tabanıdır. Genellikle şirketlerde Hardening yani sıkılaştırma amaçlı kullandığımız Mittre Att&ck TTP leri önceden meydana gelmiş olan vakaların bir kaynağa aktarılıp, şirketlerin buna karşı önlem almasını sağlamak amacıyla oluşturulmuştur. Kısaca saldırıların önlenmesinde TTP lerin paylaşıldığı ve konuşulduğu ortak dil ve ortak database diyebiliriz.
Üç önemli yapılanma üzerine kurulmuştur: Taktikler, Teknikler ve Sub-Techniques dediğimiz alt tekniklerden oluşur.
Yukarıdaki resimde gördüğümüz üzere, kırmızı oklarla gösterdiğim en üstteki başlıklar Taktikleri oluşturur ve 14 tanedir. Bunların altına sıralanmış kutucuklar mavi renkle belirttiğim teknikleri göstermektedir. Ve bu tekniklerden bazıları sarı kutucukta göründüğü gibi açılıp alt teknik bilgileri gösterebilirler.
Örnek olarak “Execution > Scheduled Task/ Job (T1053) ” üzerine tıklayarak detaylı incelenmek üzere aşağıdaki bilgileri görüntüleyebiliriz:
Bu fotoğraftaki gibi Sub-Techniques (Alt teknikler) i isimleriyle beraber sıralanarak genel bir bilgilendirme içeriyor.
Bu tablodaki bilgileri aşağıdaki bir tablo ile yorumlarsak şunları aktarabiliriz:
Açılan sayfanın devamında gerçek hayattan saldırı örnekleriyle bunun nasıl gerçekleştiğine dair bir tablo vardır. Örneğin; Earth Lusca vakasında kalıcılık için hangi komut kullanılarak scheduled task yani zamanlanmış görev gerçekleştirildi.
Sonrasındaki tabloda Mitigate etmek yani önlemek için neler yapılmalı sorusunu cevaplar. Örneğin; M1022 kodlu kısımda “Kullanıcılara veya ayrıcalıklı hesaplara özgü olmayan dizin ve dosya izinlerini ayarlayarak erişimi kısıtlayın.” önerisinde bulunarak nasıl önlenmesi gerektiğine dair yönlendirme yapılır.
Sonuncu tabloda ise ; Detection yani Tespit edilmesi için yöntemler listelenmiş. Örneğin ; Process kaynağı üzerinden :
Windows’ta:
- Sysmon Event ID 1 →
schtasks.exe,at.exe,Taskeng.exesüreçlerini inceler. - Windows Event ID 4688 → Yeni bir işlem yaratıldığında log kaydı alır.
- Windows Task Scheduler Logları → Görev oluşturma, değiştirme veya silme işlemlerini takip eder.
- Sysmon Event ID 1 →
Linux/macOS’ta:
- Auditd:
/etc/cron/içinde değişiklik olup olmadığını kontrol eder. - Syslog:
cronile ilgili kayıtları tarar. - FIM (File Integrity Monitoring):
/etc/cron.d/ve/var/spool/cron/gibi dosyalardaki değişiklikleri izler. - Containers: Kubernetes veya Docker içinde çalışan zamanlanmış görevleri analiz eder.
- Auditd:
Kısaca toparlayacak olursak; T1053 – Scheduled Task/Job, saldırganların sistemde uzun süre gizli kalmasını sağlayan bir tekniktir. SIEM araçlarıyla anormal görev oluşturma olaylarını tespit edip, en az ayrıcalık prensibiyle yetkilendirmeleri sınırlayarak bu saldırıları önleyebiliriz. SIEM araçlarında log analizi yaparken, MITRE ATT&CK çerçevesini referans alarak belirli tekniklere karşı özel algılama kuralları oluşturabilir ve anormal aktiviteleri tespit edebiliriz.
 Tekniğinin Analizi ve Savunma Yöntemleri){kind=link}