Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery

Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery

Богласно Verizon, Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ (87%) ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ² Π˜Π‘ происходят Π·Π° считанныС ΠΌΠΈΠ½ΡƒΡ‚Ρ‹, Π° Π½Π° ΠΈΡ… ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Ρƒ 68% ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ уходят мСсяцы. Π­Ρ‚ΠΎ подтвСрТдаСтся ΠΈ исслСдованиСм Ponemon Institute, согласно ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ Ρƒ Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π° ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ ΡƒΡ…ΠΎΠ΄ΠΈΡ‚ Π² срСднСм 206 Π΄Π½Π΅ΠΉ Π½Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π°. По ΠΎΠΏΡ‹Ρ‚Ρƒ Π½Π°ΡˆΠΈΡ… расслСдований, Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ Π³ΠΎΠ΄Π°ΠΌΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ инфраструктуру ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΈ Π½Π΅ Π±Ρ‹Ρ‚ΡŒ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹ΠΌΠΈ. Π’Π°ΠΊ, Π² ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ, Π³Π΄Π΅ наши экспСрты ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»ΠΈ расслСдованиС ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π° Π˜Π‘, Π±Ρ‹Π»ΠΎ выявлСно, Ρ‡Ρ‚ΠΎ Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π»ΠΈ всю инфраструктуру ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ рСгулярно ΠΏΠΎΡ…ΠΈΡ‰Π°Π»ΠΈ Π²Π°ΠΆΠ½Ρ‹Π΅ свСдСния Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠ΅ восьми Π»Π΅Ρ‚.

Допустим, Ρƒ вас ΡƒΠΆΠ΅ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ SIEM, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ собираСт Π»ΠΎΠ³ΠΈ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ события, ΠΈ установлСны антивирусы Π½Π° ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹Ρ… ΡƒΠ·Π»Π°Ρ…. Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, Π½Π΅ всС ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ SIEM, Ρ‚Π°ΠΊ ΠΆΠ΅ ΠΊΠ°ΠΊ ΠΈ Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ Π½Π° всю ΡΠ΅Ρ‚ΡŒ Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ систСмы EDR, Π° Π·Π½Π°Ρ‡ΠΈΡ‚, «слСпых» Π·ΠΎΠ½ Π½Π΅ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ. Π‘ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒΡΡ с Π½ΠΈΠΌΠΈ ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ систСмы Π°Π½Π°Π»ΠΈΠ·Π° сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° (network traffic analysis, NTA). Π­Ρ‚ΠΈ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‚ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ²Β Π½Π°Β ΡΠ°ΠΌΡ‹Ρ… Ρ€Π°Π½Π½ΠΈΡ… этапах проникновСния Π²Β ΡΠ΅Ρ‚ΡŒ, Π° такТС во врСмя ΠΏΠΎΠΏΡ‹Ρ‚ΠΎΠΊ Π·Π°ΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒΡΡ ΠΈΒ Ρ€Π°Π·Π²ΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ Π²Π½ΡƒΡ‚Ρ€ΠΈ сСти.

NTA Π±Ρ‹Π²Π°ΡŽΡ‚ Π΄Π²ΡƒΡ… Π²ΠΈΠ΄ΠΎΠ²: ΠΎΠ΄Π½ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ с NetFlow, Π²Ρ‚ΠΎΡ€Ρ‹Π΅ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ сырой Ρ‚Ρ€Π°Ρ„ΠΈΠΊ. ΠŸΡ€Π΅ΠΈΠΌΡƒΡ‰Π΅ΡΡ‚Π²ΠΎ Π²Ρ‚ΠΎΡ€Ρ‹Ρ… систСм Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Ρ…Ρ€Π°Π½ΠΈΡ‚ΡŒ записи сырого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°. Благодаря этому спСциалист ΠΏΠΎ Π˜Π‘ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ, Π»ΠΎΠΊΠ°Π»ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΠ³Ρ€ΠΎΠ·Ρƒ, ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΊΠ°ΠΊ Π°Ρ‚Π°ΠΊΠ° ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° ΠΈ ΠΊΠ°ΠΊ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΡƒΡŽ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ.

ΠœΡ‹ ΠΏΠΎΠΊΠ°ΠΆΠ΅ΠΌ, ΠΊΠ°ΠΊ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ NTA ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎ прямым ΠΈΠ»ΠΈ косвСнным ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠ°ΠΌ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ всС извСстныС Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Π°Ρ‚Π°ΠΊ, описанныС Π² Π±Π°Π·Π΅ Π·Π½Π°Π½ΠΈΠΉ MITRE ATT&CK. ΠœΡ‹ расскаТСм ΠΎ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΈΠ· 12 Ρ‚Π°ΠΊΡ‚ΠΈΠΊ, Ρ€Π°Π·Π±Π΅Ρ€Π΅ΠΌ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΏΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΡƒ, ΠΈ продСмонстрируСм ΠΈΡ… ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ нашСй NTA-систСмы.

О базС знаний ATT&CK

MITRE ATT&CK β€” это общСдоступная Π±Π°Π·Π° Π·Π½Π°Π½ΠΈΠΉ, разработанная ΠΈ поддСрТиваСмая ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ†ΠΈΠ΅ΠΉ MITRE Π½Π° основС Π°Π½Π°Π»ΠΈΠ·Π° Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… APT. Она прСдставляСт собой структурированный Π½Π°Π±ΠΎΡ€ Ρ‚Π°ΠΊΡ‚ΠΈΠΊ ΠΈ Ρ‚Π΅Ρ…Π½ΠΈΠΊ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ. Π­Ρ‚ΠΎ позволяСт спСциалистам ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности со всСго ΠΌΠΈΡ€Π° Ρ€Π°Π·Π³ΠΎΠ²Π°Ρ€ΠΈΠ²Π°Ρ‚ΡŒ Π½Π° ΠΎΠ΄Π½ΠΎΠΌ языкС. Π‘Π°Π·Π° постоянно Ρ€Π°ΡΡˆΠΈΡ€ΡΠ΅Ρ‚ΡΡ ΠΈ дополняСтся Π½ΠΎΠ²Ρ‹ΠΌΠΈ знаниями.

Π’ Π±Π°Π·Π΅ Π²Ρ‹Π΄Π΅Π»ΡΡŽΡ‚ΡΡ 12 Ρ‚Π°ΠΊΡ‚ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ€Π°Π·Π΄Π΅Π»Π΅Π½Ρ‹ ΠΏΠΎ стадиям ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΈ:

  • ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½Ρ‹ΠΉ доступ (initial access);
  • Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ (execution);
  • Π·Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΈΠ΅ (persistence);
  • ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ (privilege escalation);
  • ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ обнаруТСния (defense evasion);
  • ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… (credential access);
  • Ρ€Π°Π·Π²Π΅Π΄ΠΊΠ° (discovery);
  • ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π° (lateral movement);
  • сбор Π΄Π°Π½Π½Ρ‹Ρ… (collection);
  • ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ (command and control);
  • ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡ Π΄Π°Π½Π½Ρ‹Ρ… (exfiltration);
  • воздСйствиС (impact).

Для ΠΊΠ°ΠΆΠ΄ΠΎΠΉ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Π² Π±Π°Π·Π΅ Π·Π½Π°Π½ΠΈΠΉ ATT&CK пСрСчислСн список Ρ‚Π΅Ρ…Π½ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ Π² достиТСнии Ρ†Π΅Π»ΠΈ Π½Π° Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΌ этапС Π°Ρ‚Π°ΠΊΠΈ. ΠŸΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΎΠ΄Π½Π° ΠΈ Ρ‚Π° ΠΆΠ΅ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована Π½Π° Ρ€Π°Π·Π½Ρ‹Ρ… этапах, ΠΎΠ½Π° ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡ‚Π½ΠΎΡΠΈΡ‚ΡŒΡΡ ΠΊ нСскольким Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠ°ΠΌ.

ОписаниС ΠΊΠ°ΠΆΠ΄ΠΎΠΉ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя:

  • ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€;
  • список Ρ‚Π°ΠΊΡ‚ΠΈΠΊ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ½Π° примСняСтся;
  • ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ использования APT-Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ°ΠΌΠΈ;
  • ΠΌΠ΅Ρ€Ρ‹ ΠΏΠΎ сниТСнию ΡƒΡ‰Π΅Ρ€Π±Π° ΠΎΡ‚ Π΅Π΅ примСнСния;
  • Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ.

Π˜Π‘-спСциалисты ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ знания ΠΈΠ· Π±Π°Π·Ρ‹, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΌΠ΅Ρ‚ΠΎΠ΄Π°Ρ… Π°Ρ‚Π°ΠΊ ΠΈ с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ этого ΠΏΠΎΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΡƒΡŽ систСму бСзопасности. ПониманиС, ΠΊΠ°ΠΊ Π΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‚ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Π΅ APT-Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠΈ, Π² Ρ‚ΠΎΠΌ числС ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‚Π°Ρ‚ΡŒ источником Π³ΠΈΠΏΠΎΡ‚Π΅Π· для ΠΏΡ€ΠΎΠ°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ поиска ΡƒΠ³Ρ€ΠΎΠ· Π² Ρ€Π°ΠΌΠΊΠ°Ρ… threat hunting.

О PT Network Attack Discovery

Π’Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Ρ‚Π΅Ρ…Π½ΠΈΠΊ ΠΈΠ· ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Ρ‹ ATT&CK ΠΌΡ‹ Π±ΡƒΠ΄Π΅ΠΌ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ систСмы PT Network Attack Discovery β€” NTA-систСмы Positive Technologies, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠΉ для выявлСния Π°Ρ‚Π°ΠΊ Π½Π°Β ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π΅ ΠΈΒ Π²Π½ΡƒΡ‚Ρ€ΠΈ сСти. PT NAD ΠΏΠΎΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ Π² Ρ€Π°Π·Π½ΠΎΠΉ стСпСни всС 12 Ρ‚Π°ΠΊΡ‚ΠΈΠΊ ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Ρ‹ MITRE ATT&CK. Он Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ силСн Π² выявлСнии Ρ‚Π΅Ρ…Π½ΠΈΠΊ ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ доступа (initial access), пСрСмСщСния Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π° (lateral movement) ΠΈ управлСния ΠΈ контроля (command and control). Π’ Π½ΠΈΡ… PT NAD ΠΏΠΎΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ Π±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ»ΠΎΠ²ΠΈΠ½Ρ‹ извСстных Ρ‚Π΅Ρ…Π½ΠΈΠΊ, обнаруТивая ΠΈΡ… ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΏΠΎ прямым ΠΈΠ»ΠΈ косвСнным ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠ°ΠΌ.

БистСма выявляСт Π°Ρ‚Π°ΠΊΠΈ с ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ΠΌ Ρ‚Π΅Ρ…Π½ΠΈΠΊ ATT&CK с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€Π°Π²ΠΈΠ» дСтСктирования, создаваСмых ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ PT Expert Security Center (PT ESC), машинного обучСния, ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ, Π³Π»ΡƒΠ±ΠΎΠΊΠΎΠΉ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈ рСтроспСктивного Π°Π½Π°Π»ΠΈΠ·Π°. Π Π°Π·Π±ΠΎΡ€ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π² сочСтании с рСтроспСктивой позволяСт Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ Ρ‚Π΅ΠΊΡƒΡ‰ΡƒΡŽ ΡΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ Π²Ρ€Π΅Π΄ΠΎΠ½ΠΎΡΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΈ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ Π²Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ развития ΠΈ Ρ…Ρ€ΠΎΠ½ΠΎΠ»ΠΎΠ³ΠΈΡŽ Π°Ρ‚Π°ΠΊ.

Π’ΠΎΡ‚ здСсь ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΌΠ°ΠΏΠΏΠΈΠ½Π³ PT NAD Π½Π° ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Ρƒ MITRE ATT&CK. ΠšΠ°Ρ€Ρ‚ΠΈΠ½Π° большая, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅ΠΌ Π²Π°ΠΌ Π΅Π΅ Ρ€Π°ΡΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΌ ΠΎΠΊΠ½Π΅.

ΠŸΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½Ρ‹ΠΉ доступ (initial access)

Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery

Π’Π°ΠΊΡ‚ΠΈΠΊΠ° получСния ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ доступа Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ для проникновСния Π² ΡΠ΅Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. ЦСль Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² Π½Π° этом этапС β€” Π΄ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Π² Π°Ρ‚Π°ΠΊΡƒΠ΅ΠΌΡƒΡŽ систСму Π·Π»ΠΎΠ²Ρ€Π΅Π΄Π½Ρ‹ΠΉ ΠΊΠΎΠ΄ ΠΈ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π΅Π³ΠΎ дальнСйшСго выполнСния.

Анализ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° с PT NAD позволяСт Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ сСмь Ρ‚Π΅Ρ…Π½ΠΈΠΊ получСния ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ доступа:

1. T1189: drive-by compromise

Π’Π΅Ρ…Π½ΠΈΠΊΠ°, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΆΠ΅Ρ€Ρ‚Π²Π° ΠΎΡ‚ΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ Π²Π΅Π±-сайт, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ для эксплуатации Π²Π΅Π±-Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°, получСния Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² доступа ΠΊ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡŽ.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Ссли Π²Π΅Π±-Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π½Π΅ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ, PT NAD инспСктируСт содСрТимоС ΠΎΡ‚Π²Π΅Ρ‚ΠΎΠ² HTTP-сСрвСров. ИмСнно Π² этих ΠΎΡ‚Π²Π΅Ρ‚Π°Ρ… находятся эксплойты, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΠΈΡΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΊΠΎΠ΄ Π²Π½ΡƒΡ‚Ρ€ΠΈ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°. PT NAD автоматичСски выявляСт Ρ‚Π°ΠΊΠΈΠ΅ эксплойты с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€Π°Π²ΠΈΠ» дСтСктирования.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ PT NAD ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ ΡƒΠ³Ρ€ΠΎΠ·Ρƒ Π½Π° ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅ΠΌ шагС. ΠŸΡ€Π°Π²ΠΈΠ»Π° ΠΈ ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Ρ‹ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ΡΡ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚, Ссли ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ посСтил сайт, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²ΠΈΠ» Π΅Π³ΠΎ Π½Π° сайт со связкой эксплойтов.

2. T1190: exploit public-facing application

Эксплуатация уязвимостСй Π² сСрвисах, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ доступны ΠΈΠ· ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π°.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ Π³Π»ΡƒΠ±ΠΎΠΊΡƒΡŽ ΠΈΠ½ΡΠΏΠ΅ΠΊΡ†ΠΈΡŽ содСрТимого сСтСвых ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², выявляя Π² Π½Π΅ΠΌ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΈ аномальной активности. Π’ частности, Π΅ΡΡ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»Π°, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠ΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ Π½Π° основныС систСмы управлСния ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ΠΎΠΌ (content management system, CMS), Π²Π΅Π±-интСрфСйсы сСтСвого оборудования, Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹Π΅ ΠΈ FTP-сСрвСры.

3. T1133: external remote services

ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ слуТб ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа для ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΊ рСсурсам Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅ΠΉ сСти ΠΈΠ·Π²Π½Π΅.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ систСма распознаСт ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ Π½Π΅ ΠΏΠΎ Π½ΠΎΠΌΠ΅Ρ€Π°ΠΌ ΠΏΠΎΡ€Ρ‚ΠΎΠ², Π° ΠΏΠΎ содСрТимому ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ систСмы ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡ‚Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π°ΠΉΡ‚ΠΈ всС сСссии ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΠΈΡ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΡΡ‚ΡŒ.

4. T1193: spearphishing attachment

Π Π΅Ρ‡ΡŒ ΠΈΠ΄Π΅Ρ‚ ΠΎ прСсловутых ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ°Ρ… Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: автоматичСски ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ Ρ„Π°ΠΉΠ»Ρ‹ ΠΈΠ· Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈ провСряСт ΠΈΡ… ΠΏΠΎ ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Π°ΠΌ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ. Π˜ΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΡ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹ Π²ΠΎ влоТСниях Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ содСрТимоС ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°. Π’ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ срСдС Ρ‚Π°ΠΊΠΎΠ΅ Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠ΅ считаСтся Π°Π½ΠΎΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΌ.

5. T1192: spearphishing link

ИспользованиС Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… ссылок. Π’Π΅Ρ…Π½ΠΈΠΊΠ° ΠΏΠΎΠ΄Ρ€Π°Π·ΡƒΠΌΠ΅Π²Π°Π΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΡƒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ³ΠΎ письма со ссылкой, ΠΏΡ€ΠΈ ΠΊΠ»ΠΈΠΊΠ΅ Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ скачиваСтся врСдоносная ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°. Как ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, ссылку сопровоТдаСт тСкст, составлСнный ΠΏΠΎ всСм ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌ ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€ΠΈΠΈ.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: выявляСт Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Π΅ ссылки с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ. НапримСр, Π² интСрфСйсС PT NAD ΠΌΡ‹ Π²ΠΈΠ΄ΠΈΠΌ сСссию, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π±Ρ‹Π»ΠΎ HTTP-соСдинСниС ΠΏΠΎ ссылкС, занСсСнной Π² список Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… адрСсов (phishing-urls).

Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery

Π‘ΠΎΠ΅Π΄ΠΈΠ½Π΅Π½ΠΈΠ΅ ΠΏΠΎ ссылкС ΠΈΠ· списка ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ² ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ phishing-urls

6. T1199: trusted relationship

Доступ ΠΊ сСти ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ Ρ‡Π΅Ρ€Π΅Π· Ρ‚Ρ€Π΅Ρ‚ΡŒΠΈΡ… Π»ΠΈΡ†, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ Ρƒ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ установлСны Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Π΅ Π²Π·Π°ΠΈΠΌΠΎΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡ. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π²Π·Π»ΠΎΠΌΠ°Ρ‚ΡŒ Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½ΡƒΡŽ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΡŽ ΠΈ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒΡΡ Ρ‡Π΅Ρ€Π΅Π· Π½Π΅Π΅ ΠΊ Ρ†Π΅Π»Π΅Π²ΠΎΠΉ сСти. Для этого ΠΎΠ½ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ VPN-соСдинСния ΠΈΠ»ΠΈ ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡ довСрия Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Ρ€Π°Π·Π±ΠΈΡ€Π°Π΅Ρ‚ ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ ΠΈ сохраняСт Ρ€Π°Π·ΠΎΠ±Ρ€Π°Π½Π½Ρ‹Π΅ поля Π² Π±Π°Π·Ρƒ Π΄Π°Π½Π½Ρ‹Ρ…, благодаря Ρ‡Π΅ΠΌΡƒ Π˜Π‘-Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ΠΎΠ² ΠΌΠΎΠΆΠ΅Ρ‚ Π½Π°ΠΉΡ‚ΠΈ Π² Π±Π°Π·Π΅ Π΄Π°Π½Π½Ρ‹Ρ… всС ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ VPN-соСдинСния ΠΈΠ»ΠΈ кросс-Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ.

7. T1078: valid accounts

ИспользованиС стандартных, Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΈΠ»ΠΈ Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… для Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° Π²Π½Π΅ΡˆΠ½ΠΈΡ… ΠΈ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… сСрвисах.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π² автоматичСском Ρ€Π΅ΠΆΠΈΠΌΠ΅ ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Π’ ΠΎΠ±Ρ‰Π΅ΠΌ случаС это Π»ΠΎΠ³ΠΈΠ½, ΠΏΠ°Ρ€ΠΎΠ»ΡŒ ΠΈ ΠΏΡ€ΠΈΠ·Π½Π°ΠΊ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ. Если ΠΎΠ½ΠΈ Π±Ρ‹Π»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹, ΠΎΠ½ΠΈ ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°ΡŽΡ‚ΡΡ Π² ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΉ ΠΊΠ°Ρ€Ρ‚ΠΎΡ‡ΠΊΠ΅ сСссии.

Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ (execution)

Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery
Π’ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΡƒ Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ входят Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ для выполнСния ΠΊΠΎΠ΄Π° Π² скомпромСтированных систСмах. Запуск врСдоносного ΠΊΠΎΠ΄Π° ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌ Π·Π°ΠΊΡ€Π΅ΠΏΠΈΡ‚ΡŒ присутствиС (Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠ° persistence) ΠΈ Ρ€Π°ΡΡˆΠΈΡ€ΠΈΡ‚ΡŒ доступ ΠΊ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΌ систСмам Π² сСти, ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Ρ‰Π°ΡΡΡŒ Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π°.

PT NAD позволяСт Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ 14 Ρ‚Π΅Ρ…Π½ΠΈΠΊ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… для выполнСния врСдоносного ΠΊΠΎΠ΄Π°.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

Π’Π°ΠΊΡ‚ΠΈΠΊΠ°, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ готовят ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ врСдоносный установочный INF-Ρ„Π°ΠΉΠ» для встроСнной Π² Windows ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ CMSTP.exe (установщик ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΉ диспСтчСра ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ). CMSTP.exe ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Π΅Ρ‚ Ρ„Π°ΠΉΠ» Π² качСствС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° ΠΈ устанавливаСт ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ слуТбы для ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ CMSTP.exe ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использован для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΈ выполнСния динамичСски ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌΡ‹Ρ… Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ (*.dll) ΠΈΠ»ΠΈ скриптлСтов (*.sct) с ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹Ρ… сСрвСров.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: автоматичСски ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ Π² HTTP-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ INF-Ρ„Π°ΠΉΠ»ΠΎΠ² ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ Π²ΠΈΠ΄Π°. Π’ Π΄ΠΎΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΊ этому, ΠΎΠ½ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ HTTP врСдоносных скриптлСтов ΠΈ динамичСски ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌΡ‹Ρ… Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ с ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ сСрвСра.

2. T1059: command-line interface

ВзаимодСйствиС с интСрфСйсом ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки. C интСрфСйсом ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки ΠΌΠΎΠΆΠ½ΠΎ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ локально ΠΈΠ»ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: автоматичСски Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ шСллов ΠΏΠΎ ΠΎΡ‚Π²Π΅Ρ‚Π°ΠΌ Π½Π° ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ запуска Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ ping, ifconfig.

3. T1175: component object model and distributed COM

ИспользованиС Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ COM ΠΈΠ»ΠΈ DCOM для выполнСния ΠΊΠΎΠ΄Π° Π½Π° локальной ΠΈΠ»ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹Ρ… систСмах ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠΆΠ΅Π½ΠΈΠΈ ΠΏΠΎ сСти.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ DCOM-Π²Ρ‹Π·ΠΎΠ²Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ для запуска ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ.

4. T1203: exploitation for client execution

Эксплуатация уязвимостСй для выполнСния ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° Π½Π° Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ станции. НаиболСС ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Π΅ для Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… эксплойты β€” Ρ‚Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΊΠΎΠ΄ Π² ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠΉ систСмС, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ с ΠΈΡ… ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ Ρ‚Π°ΠΊΠΎΠΉ систСмС. Π’Π΅Ρ…Π½ΠΈΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°ΠΌΠΈ: врСдоносная почтовая рассылка, Π²Π΅Π±-сайт с эксплойтами для Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ² ΠΈ удалСнная эксплуатация уязвимостСй ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π²ΠΎ врСмя Ρ€Π°Π·Π±ΠΎΡ€Π° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° PT NAD провСряСт Π΅Π³ΠΎ Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ исполняСмых Ρ„Π°ΠΉΠ»ΠΎΠ² Π²ΠΎ Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠΈ. АвтоматичСски ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ офисныС Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹ ΠΈΠ· писСм, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ эксплойты. ΠŸΠΎΠΏΡ‹Ρ‚ΠΊΠΈ эксплуатации уязвимостСй Π²ΠΈΠ΄Π½Ρ‹ Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅, Ρ‡Ρ‚ΠΎ PT NAD выявляСт автоматичСски.

5. T1170: mshta

ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ mshta.exe, которая выполняСт прилоТСния Microsoft HTMLΒ (HTA) с Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ΠΌ .hta. Π’Π°ΠΊ ΠΊΠ°ΠΊ mshta ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ Ρ„Π°ΠΉΠ»Ρ‹ Π² ΠΎΠ±Ρ…ΠΎΠ΄ настроСк бСзопасности Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π°, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ mshta.exe для выполнСния врСдоносных Ρ„Π°ΠΉΠ»ΠΎΠ² HTA, JavaScript ΠΈΠ»ΠΈ VBScript.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Ρ„Π°ΠΉΠ»Ρ‹ .hta для исполнСния Ρ‡Π΅Ρ€Π΅Π· mshta ΠΏΠ΅Ρ€Π΅Π΄Π°ΡŽΡ‚ΡΡ Π² Ρ‚ΠΎΠΌ числС ΠΈ ΠΏΠΎ сСти β€” это Π²ΠΈΠ΄Π½ΠΎ Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅. PT NAD выявляСт ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ Ρ‚Π°ΠΊΠΈΡ… врСдоносных Ρ„Π°ΠΉΠ»ΠΎΠ² автоматичСски. Он Π·Π°Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ Ρ„Π°ΠΉΠ»Ρ‹, ΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Π½ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π² ΠΊΠ°Ρ€Ρ‚ΠΎΡ‡ΠΊΠ΅ сСссии.

6. T1086: PowerShell

ИспользованиС PowerShell для поиска ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΈ выполнСния врСдоносного ΠΊΠΎΠ΄Π°.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: ΠΊΠΎΠ³Π΄Π° PowerShell примСняСтся Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ, PT NAD Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ это с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€Π°Π²ΠΈΠ». Он ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ слова языка PowerShell, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ‡Π°Ρ‰Π΅ всСго ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π²ΠΎ врСдоносных скриптах, ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ PowerShell-скриптов ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ SMB.

7. T1053: scheduled task
ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΏΠ»Π°Π½ΠΈΡ€ΠΎΠ²Ρ‰ΠΈΠΊΠ° Π·Π°Π΄Π°Ρ‡ Windows ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ для автоматичСского запуска ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΈΠ»ΠΈ скриптов Π² ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠ΅ врСмя.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΡΠΎΠ·Π΄Π°ΡŽΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ Π·Π°Π΄Π°Ρ‡ΠΈ, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ, Π° Π·Π½Π°Ρ‡ΠΈΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ сСссии Π²ΠΈΠ΄Π½Ρ‹ Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅. PT NAD автоматичСски выявляСт ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ ΠΏΠΎ созданию ΠΈ измСнСнию Π·Π°Π΄Π°Ρ‡ с использованиСм RPC-интСрфСйсов ATSVC ΠΈ ITaskSchedulerService.

8. T1064: scripting

ИсполнСниС скриптов для Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… дСйствий Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ….

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: выявляСт Ρ„Π°ΠΊΡ‚Ρ‹ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ скриптов ΠΏΠΎ сСти, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ Π΅Ρ‰Π΅ Π΄ΠΎ ΠΈΡ… запуска. Он ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ скриптов Π² сыром Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ ΠΈ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΏΠΎ сСти Ρ„Π°ΠΉΠ»ΠΎΠ² с Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡΠΌΠΈ, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌΠΈ популярным скриптовым языкам.

9. T1035: service execution

Запуск исполняСмого Ρ„Π°ΠΉΠ»Π°, инструкций интСрфСйса ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки ΠΈΠ»ΠΈ скрипта с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ взаимодСйствия со слуТбами Windows, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ с диспСтчСром управлСния слуТбами (Service Control Manager, SCM).

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: инспСктируСт SMB-Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ΠΈ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΊ SCM ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌΠΈ Π½Π° созданиС, ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΈ запуск сСрвиса.

Π’Π΅Ρ…Π½ΠΈΠΊΠ° запуска слуТб ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ для ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ выполнСния ΠΊΠΎΠΌΠ°Π½Π΄ PSExec. PT NAD Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMB ΠΈ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ PSExec, ΠΊΠΎΠ³Π΄Π° ΠΎΠ½Π° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Ρ„Π°ΠΉΠ» PSEXESVC.exe ΠΈΠ»ΠΈ стандартноС имя сСрвиса PSEXECSVC для выполнСния ΠΊΠΎΠ΄Π° Π½Π° ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠΉ машинС. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ список Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠΌΠ°Π½Π΄ ΠΈ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΡΡ‚ΡŒ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ выполнСния ΠΊΠΎΠΌΠ°Π½Π΄ с ΡƒΠ·Π»Π°.

Π’ ΠΊΠ°Ρ€Ρ‚ΠΎΡ‡ΠΊΠ΅ Π°Ρ‚Π°ΠΊΠΈ Π² PT NAD ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°ΡŽΡ‚ΡΡ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΠ± ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠ°Ρ… ΠΈ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ°Ρ… ΠΏΠΎ ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Π΅ ATT&CK, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΌΠΎΠ³ ΠΏΠΎΠ½ΡΡ‚ΡŒ, Π½Π° ΠΊΠ°ΠΊΠΎΠΉ стадии Π°Ρ‚Π°ΠΊΠΈ находятся Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ, ΠΊΠ°ΠΊΠΈΠ΅ Ρ†Π΅Π»ΠΈ ΠΎΠ½ΠΈ ΠΏΡ€Π΅ΡΠ»Π΅Π΄ΡƒΡŽΡ‚ ΠΈ ΠΊΠ°ΠΊΠΈΠ΅ ΠΊΠΎΠΌΠΏΠ΅Π½ΡΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ ΠΌΠ΅Ρ€Ρ‹ ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΡΡ‚ΡŒ.

Как систСмы Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΏΠΎ MITRE ATT&CK Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ PT Network Attack Discovery

Π‘Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° ΠΏΡ€Π°Π²ΠΈΠ»Π° ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠΈ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ PSExec, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ ΠΎ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ΅ выполнСния ΠΊΠΎΠΌΠ°Π½Π΄ Π½Π° ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠΉ машинС

10. T1072: third-party software

Π’Π΅Ρ…Π½ΠΈΠΊΠ°, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ доступ ΠΊ ПО для ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ администрирования ΠΈΠ»ΠΈ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ систСмС развСртывания ПО ΠΈ с ΠΈΡ… ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π·Π°ΠΏΡƒΡΠΊΠ°ΡŽΡ‚ Π·Π»ΠΎΠ²Ρ€Π΅Π΄Π½Ρ‹ΠΉ ΠΊΠΎΠ΄. ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ Ρ‚Π°ΠΊΠΎΠ³ΠΎ ПО: SCCM, VNC, TeamViewer, HBSS, Altiris.
ΠšΡΡ‚Π°Ρ‚ΠΈ, Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ° особСнно Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½Π° Π² связи с массовым ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΎΠΌ Π½Π° ΡƒΠ΄Π°Π»Π΅Π½Π½ΡƒΡŽ Ρ€Π°Π±ΠΎΡ‚Ρƒ ΠΈ, ΠΊΠ°ΠΊ слСдствиС, ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ΠΌ многочислСнных Π΄ΠΎΠΌΠ°ΡˆΠ½ΠΈΡ… Π½Π΅Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Ρ… устройств ΠΏΠΎ ΡΠΎΠΌΠ½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ ΠΊΠ°Π½Π°Π»Π°ΠΌ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: автоматичСски выявляСт Π² сСти Ρ€Π°Π±ΠΎΡ‚Ρƒ Ρ‚Π°ΠΊΠΎΠ³ΠΎ ПО. НапримСр, ΠΏΡ€Π°Π²ΠΈΠ»Π° ΡΡ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ Π½Π° Ρ„Π°ΠΊΡ‚Ρ‹ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ VNC ΠΈ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ трояна EvilVNC, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ скрытно устанавливаСт VNC-сСрвСр Π½Π° хост ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ ΠΈ автоматичСски Π΅Π³ΠΎ запускаСт. Π’Π°ΠΊΠΆΠ΅ PT NAD автоматичСски опрСдСляСт ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» TeamViewer, это ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΡƒ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π° Π½Π°ΠΉΡ‚ΠΈ всС Ρ‚Π°ΠΊΠΈΠ΅ сСссии ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΠΈΡ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΡΡ‚ΡŒ.

11. T1204: user execution

Π’Π΅Ρ…Π½ΠΈΠΊΠ°, ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ запускаСт Ρ„Π°ΠΉΠ»Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ исполнСнию ΠΊΠΎΠ΄Π°. Π­Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ссли ΠΎΠ½ ΠΎΡ‚ΠΊΡ€ΠΎΠ΅Ρ‚ исполняСмый Ρ„Π°ΠΉΠ» ΠΈΠ»ΠΈ запустит офисный Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ с макросом.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π²ΠΈΠ΄ΠΈΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ Ρ„Π°ΠΉΠ»Ρ‹ Π΅Ρ‰Π΅ Π½Π° этапС ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ, Π΄ΠΎ ΠΈΡ… запуска. Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Π½ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ ΠΈΠ·ΡƒΡ‡ΠΈΡ‚ΡŒ Π² ΠΊΠ°Ρ€Ρ‚ΠΎΡ‡ΠΊΠ΅ сСссий, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ½ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π»ΠΈΡΡŒ.

12. T1047: Windows Management Instrumentation

ΠŸΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ инструмСнта WMI, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ обСспСчиваСт Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ локального ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа ΠΊ систСмным ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌ Windows. Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ WMI Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΌΠΎΠ³ΡƒΡ‚ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ с Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΌΠΈ систСмами ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ мноТСство Π·Π°Π΄Π°Ρ‡, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ Π² цСлях Ρ€Π°Π·Π²Π΅Π΄ΠΊΠΈ ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ процСссы Π² Ρ…ΠΎΠ΄Π΅ Π³ΠΎΡ€ΠΈΠ·ΠΎΠ½Ρ‚Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ пСрСмСщСния.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ взаимодСйствия с ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΌΠΈ систСмами ΠΏΠΎ WMI Π²ΠΈΠ΄Π½Ρ‹ Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅, PT NAD автоматичСски ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ сСтСвыС запросы Π½Π° установлСниС WMI-сСссий ΠΈ провСряСт Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π½Π° Ρ„Π°ΠΊΡ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ скриптов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ WMI.

13. T1028: Windows Remote Management

ИспользованиС слуТбы ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° Windows, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ позволяСт ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ с ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΌΠΈ систСмами.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: Π²ΠΈΠ΄ΠΈΡ‚ сСтСвыС соСдинСния, установлСнныС с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Windows Remote Management. Π’Π°ΠΊΠΈΠ΅ сСссии Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌΠΈ Π² автоматичСском Ρ€Π΅ΠΆΠΈΠΌΠ΅.

14. T1220: XSL (Extensible Stylesheet Language) script processing

Π―Π·Ρ‹ΠΊ Ρ€Π°Π·ΠΌΠ΅Ρ‚ΠΊΠΈ стилСй XSL ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для описания ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Π΄Π°Π½Π½Ρ‹Ρ… Π² XML-Ρ„Π°ΠΉΠ»Π°Ρ…. Для ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ слоТных ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ стандарт XSL Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ встроСнных сцСнариСв Π½Π° Ρ€Π°Π·Π½Ρ‹Ρ… языках. Π”Π°Π½Π½Ρ‹Π΅ языки ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΊΠΎΠ΄, Ρ‡Ρ‚ΠΎ Π²Π΅Π΄Π΅Ρ‚ ΠΊ ΠΎΠ±Ρ…ΠΎΠ΄Ρƒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ бСзопасности, основанных Π½Π° Π±Π΅Π»Ρ‹Ρ… списках.

Π§Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ PT NAD: выявляСт Ρ„Π°ΠΊΡ‚Ρ‹ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ Ρ‚Π°ΠΊΠΈΡ… Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΏΠΎ сСти, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ Π΅Ρ‰Π΅ Π΄ΠΎ ΠΈΡ… запуска. Он автоматичСски ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅Ρ‚ Ρ„Π°ΠΊΡ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ ΠΏΠΎ сСти XSL-Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈ Ρ„Π°ΠΉΠ»Ρ‹ с аномальной XSL-Ρ€Π°Π·ΠΌΠ΅Ρ‚ΠΊΠΎΠΉ.

Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»Π°Ρ… ΠΌΡ‹ рассмотрим, ΠΊΠ°ΠΊ NTA-систСма PT Network Attack Discovery Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ ΠΈ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² Π² соотвСтствии с MITRE ATT&CK. Stay tuned!

Авторы:

  • Антон ΠšΡƒΡ‚Π΅ΠΏΠΎΠ², спСциалист экспСртного Ρ†Π΅Π½Ρ‚Ρ€Π° бСзопасности (PT Expert Security Center) Positive Technologies
  • Наталия Казанькова, ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ²Ρ‹ΠΉ ΠΌΠ°Ρ€ΠΊΠ΅Ρ‚ΠΎΠ»ΠΎΠ³ Positive Technologies

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com