Emulace kybernetických útoků APT skupin za účelem testování detekčních řešení

Abstract

Tato práce představuje metodiku emulace protivníka určenou k otestování obranyschopnosti proti pokročilým kybernetickým hrozbám. Navržený přístup spočívá v emulaci útoků prostřednictvím identifikace skupin úzce spjatých útočných technik, které jsou testovány jednotlivě. Metodika využívá projekt Atomic Red Team, veřejně dostupnou sbírku testovacích scénářů, který propojuje s na míru vytvořenými testy s cílem co nejlépe pokrýt emulovaný útok. Metodika je demonstrována emulací skutečného útoku, který byl proveden státem podporovaným útočníkem, za účelem otestovat ochranu koncových zařízení založenou na bezpečnostní platformě Wazuh a antivirovém řešení Windows Defender. Pro vyhodnocení přesnosti emulace je vyvinut malware replikující stejný útok, který je spuštěn v téže prostředí, což umožňuje přímé porovnání výsledků. Na základě těchto výsledků lze konstatovat, že daný útok byl úspěšně emulován, avšak určitá omezení navrženého přístupu byla identifikována.

This thesis introduces an adversary emulation methodology aimed at helping cybersecurity defenders identify weaknesses in their defenses against advanced threats. The methodology is grounded in the principle of deconstructing cyberattacks into logical clusters of attack techniques, which are then tested individually. It leverages Atomic Red Team, a publicly available collection of attack procedure simulations, supplemented with custom-developed tests to improve its capabilities. The methodology is demonstrated through a case study that emulates a real-world attack campaign attributed to a nation-state threat actor, with the objective of assessing the effectiveness of an endpoint protection stack comprising the Wazuh security platform and Windows Defender. To validate the accuracy of the emulation, malware replicating the same attack is developed and executed in the same environment, allowing for direct comparison. The evaluation confirms that the proposed methodology effectively replicates the attack campaign, while also revealing certain limitations.