, vind die meerderheid (87%) van inligtingsekuriteitvoorvalle binne minute plaas, terwyl 68% van maatskappye maande neem om dit op te spoor. Dit word bevestig en , waarvolgens dit die meeste organisasies gemiddeld 206 dae neem om 'n voorval te ontdek. Op grond van ons ondersoeke kan kuberkrakers jare lank 'n maatskappy se infrastruktuur beheer sonder om opgespoor te word. Dus, in een van die organisasies waar ons kundiges 'n ondersoek na 'n inligtingsekuriteitsvoorval gedoen het, is dit aan die lig gebring dat kuberkrakers die hele infrastruktuur van die organisasie heeltemal beheer en gereeld belangrike inligting gesteel het .
Kom ons sê jy het reeds SIEM aan die gang, wat logboeke versamel en gebeure ontleed, en antivirusse is op eindnodusse geïnstalleer. Nietemin, , net soos dit onmoontlik is om EDR-stelsels vir die hele netwerk te implementeer, wat beteken dat "blinde" sones nie vermy kan word nie. Netwerkverkeeranalise-stelsels (NTA) help om dit te hanteer. Hierdie oplossings bespeur die aktiwiteit van aanvallers in die vroegste stadiums van penetrasie in die netwerk, sowel as tydens pogings om vastrapplek te kry en 'n aanval binne die netwerk te ontwikkel.
Daar is twee tipes NTA's: een werk met NetFlow, die ander ontleed rou verkeer. Die voordeel van die tweede stelsels is dat hulle rou verkeersrekords kan stoor. Danksy dit kan 'n inligtingsekuriteitspesialis die sukses van die aanval nagaan, die bedreiging lokaliseer, verstaan hoe die aanval plaasgevind het en hoe om 'n soortgelyke een in die toekoms te voorkom.
Ons sal wys hoe NTA gebruik kan word om, deur direkte of indirekte tekens, alle bekende aanvalstaktieke wat in die kennisbasis beskryf word, te identifiseer. . Ons sal oor elk van die 12 taktieke praat, die tegnieke wat deur verkeer opgespoor word, ontleed en hul opsporing met behulp van ons NTA-stelsel demonstreer.
Oor die ATT&CK Knowledge Base
MITER ATT&CK is 'n openbare kennisbasis wat ontwikkel en onderhou word deur die MITER Corporation gebaseer op ontleding van werklike APT's. Dit is 'n gestruktureerde stel taktieke en tegnieke wat deur aanvallers gebruik word. Dit laat inligtingsekuriteitswerkers van regoor die wêreld toe om dieselfde taal te praat. Die databasis word voortdurend uitgebrei en aangevul met nuwe kennis.
Die databasis identifiseer 12 taktieke, wat in stadiums van 'n kuberaanval verdeel word:
- aanvanklike toegang (aanvanklike toegang);
- uitvoering (uitvoering);
- konsolidasie (volharding);
- voorreg-eskalasie;
- opsporing voorkoming (verdediging ontduiking);
- verkryging van geloofsbriewe (bewystoegang);
- intelligensie (ontdekking);
- beweging binne die omtrek (laterale beweging);
- data-insameling (versameling);
- bevel en beheer;
- data-eksfiltrasie;
- impak.
Vir elke taktiek lys die ATT&CK Knowledge Base 'n lys van tegnieke wat aanvallers help om hul doel te bereik in die huidige stadium van die aanval. Aangesien dieselfde tegniek op verskillende stadiums gebruik kan word, kan dit na verskeie taktieke verwys.
Die beskrywing van elke tegniek sluit in:
- identifiseerder;
- 'n lys van taktieke waarin dit toegepas word;
- voorbeelde van gebruik deur APT-groepe;
- maatreëls om skade deur die gebruik daarvan te verminder;
- opsporing aanbevelings.
Inligtingsekuriteitspesialiste kan kennis van die databasis gebruik om inligting oor huidige aanvalmetodes te struktureer en, met dit in gedagte, 'n effektiewe sekuriteitstelsel te bou. Om te verstaan hoe werklike APT-groepe funksioneer, kan ook 'n bron van hipoteses word vir die proaktiewe soeke na bedreigings binne .
Oor PT Network Attack Discovery
Ons sal die gebruik van tegnieke uit die ATT & CK matriks identifiseer deur die stelsel te gebruik - Positiewe tegnologiese NTA-stelsel wat ontwerp is om aanvalle op die omtrek en binne die netwerk op te spoor. PT NAD dek al 12 taktieke van die MITER ATT&CK-matriks in verskillende grade. Dit is die sterkste in die identifisering van aanvanklike toegang, laterale beweging en bevel- en beheertegnieke. In hulle dek PT NAD meer as die helfte van die bekende tegnieke, wat die gebruik daarvan deur direkte of indirekte tekens opspoor.
Die stelsel bespeur aanvalle deur ATT&CK-tegnieke te gebruik deur opsporingsreëls wat deur die opdrag geskep is (PT ESC), masjienleer, aanwysers van kompromie, diep analise en retrospektiewe analise. Intydse verkeersanalise, gekombineer met retrospektief, laat jou toe om huidige verborge kwaadwillige aktiwiteit te identifiseer en ontwikkelingsvektore en aanvalchronologie op te spoor.
volledige kartering van PT NAD na MITER ATT&CK matriks. Die prentjie is groot, daarom stel ons voor dat jy dit in 'n aparte venster oorweeg.
Aanvanklike toegang
Aanvanklike toegangstaktieke sluit tegnieke in om 'n maatskappy se netwerk te infiltreer. Die doel van aanvallers op hierdie stadium is om kwaadwillige kode aan die aangeval stelsel te lewer en die verdere uitvoering daarvan te verseker.
PT NAD verkeersontleding onthul sewe tegnieke om aanvanklike toegang te verkry:
1. : ry-by kompromie
'n Tegniek waarin die slagoffer 'n webwerf oopmaak wat deur aanvallers gebruik word om 'n webblaaier te ontgin om toepassingstoegangtokens te verkry.
Wat doen PT NAD?: As die webverkeer nie geïnkripteer is nie, inspekteer PT NAD die inhoud van HTTP-bedienerantwoorde. Dit is in hierdie antwoorde dat uitbuitings gevind word wat aanvallers toelaat om arbitrêre kode binne die blaaier uit te voer. PT NAD bespeur outomaties sulke uitbuitings deur opsporingreëls te gebruik.
Boonop bespeur PT NAD die bedreiging in die vorige stap. Reëls en aanwysers van kompromie word geaktiveer as die gebruiker 'n webwerf besoek het wat hom na 'n webwerf herlei het met 'n klomp uitbuitings.
2. : ontgin publiekgerigte toepassing
Uitbuiting van kwesbaarhede in dienste wat vanaf die internet toeganklik is.
Wat doen PT NAD?: voer 'n diepgaande inspeksie van die inhoud van netwerkpakkies uit, wat tekens van abnormale aktiwiteit daarin openbaar. Daar is veral reëls wat jou toelaat om aanvalle op die hoofinhoudbestuurstelsels (CMS), webkoppelvlakke van netwerktoerusting, aanvalle op pos- en FTP-bedieners op te spoor.
3. : eksterne afgeleë dienste
Aanvallers gebruik afstandtoegangsdienste om van buite af aan interne netwerkbronne te koppel.
Wat doen PT NAD?: aangesien die stelsel protokolle nie deur poortnommers herken nie, maar deur die inhoud van die pakkies, kan stelselgebruikers verkeer op so 'n manier filter om alle sessies van afstandtoegangprotokolle te vind en hul legitimiteit na te gaan.
4. : spearphishing aanhangsel
Ons praat van die berugte stuur van uitvissing-aanhangsels.
Wat doen PT NAD?: onttrek outomaties lêers uit die verkeer en kontroleer dit teen aanwysers van kompromie. Uitvoerbare lêers in aanhegsels word opgespoor deur reëls wat die inhoud van posverkeer ontleed. In 'n korporatiewe omgewing word so 'n belegging as ongewoon beskou.
5. : spearphishing skakel
Gebruik van phishing-skakels. Die tegniek behels dat die aanvallers 'n uitvissing-e-pos stuur met 'n skakel wat, wanneer daarop geklik word, 'n kwaadwillige program aflaai. As 'n reël word die skakel vergesel van 'n teks wat saamgestel is volgens al die reëls van sosiale ingenieurswese.
Wat doen PT NAD?: Bespeur uitvissingskakels deur gebruik te maak van aanwysers van kompromie. Byvoorbeeld, in die PT NAD-koppelvlak sien ons 'n sessie waarin daar 'n HTTP-verbinding was via 'n skakel ingesluit in die lys van uitvissing-adresse (phishing-urls).
Verbinding via 'n skakel uit die lys van aanwysers van kompromie phishing-URL's
6. : vertrouensverhouding
Toegang tot die slagoffer se netwerk deur derde partye met wie die slagoffer 'n vertrouensverhouding het. Aanvallers kan by 'n betroubare organisasie inbreek en daardeur aan die teikennetwerk koppel. Om dit te doen, gebruik hulle VPN-verbindings of domeinvertroueverhoudings, wat deur verkeersanalise onthul kan word.
Wat doen PT NAD?: ontleed toepassingsprotokolle en stoor die ontleedde velde na die databasis, sodat die inligtingsekuriteitsontleder filters kan gebruik om alle verdagte VPN-verbindings of kruisdomeinverbindings in die databasis te vind.
7. : geldige rekeninge
Gebruik standaard-, plaaslike of domeinbewyse vir magtiging op eksterne en interne dienste.
Wat doen PT NAD?: haal outomaties geloofsbriewe vanaf HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos-protokolle. In die algemene geval is dit 'n aanmelding, wagwoord en 'n teken van suksesvolle verifikasie. As hulle gebruik is, word hulle in die ooreenstemmende sessiekaart vertoon.
Uitvoering
Uitvoeringstaktieke sluit tegnieke in wat aanvallers gebruik om kode op gekompromitteerde stelsels uit te voer. Die gebruik van kwaadwillige kode help aanvallers om teenwoordigheid (volhardingstaktiek) te vestig en toegang tot afgeleë stelsels op die netwerk uit te brei deur binne die omtrek te beweeg.
PT NAD laat jou toe om die gebruik van 14 tegnieke te identifiseer wat deur aanvallers gebruik word om kwaadwillige kode uit te voer.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
'n Taktiek waarin aanvallers 'n spesiaal vervaardigde kwaadwillige .inf-installasielêer voorberei vir die ingeboude Windows CMSTP.exe-nutsding (Connection Manager Profile Installer). CMSTP.exe neem 'n lêer as 'n parameter en installeer 'n diensprofiel vir die afstandverbinding. As gevolg hiervan kan CMSTP.exe gebruik word om dinamiese skakelbiblioteke (*.dll) of scriptlets (*.sct) vanaf afgeleë bedieners af te laai en uit te voer.
Wat doen PT NAD?: Bespeur outomaties die oordrag van spesiale vorm .inf-lêers in HTTP-verkeer. Daarbenewens bespeur dit HTTP-oordragte van kwaadwillige scriptlets en dinamiese skakelbiblioteke vanaf 'n afgeleë bediener.
2. : opdragreël-koppelvlak
Interaksie met die opdragreël-koppelvlak. Die opdraglyn-koppelvlak kan plaaslik of op afstand in wisselwerking gebring word, soos deur afstandtoegangshulpmiddels.
Wat doen PT NAD?: bespeur outomaties die teenwoordigheid van skulpe deur reaksies op opdragte om verskeie opdragreëlhulpmiddels te begin, soos ping, ifconfig.
3. : komponent objek model en verspreide COM
Gebruik COM- of DCOM-tegnologie om kode op plaaslike of afgeleë stelsels uit te voer terwyl dit die netwerk deurkruis.
Wat doen PT NAD?: Bespeur verdagte DCOM-oproepe wat aanvallers algemeen gebruik om programme te begin.
4. : uitbuiting vir kliëntuitvoering
Uitbuiting van kwesbaarhede om arbitrêre kode op 'n werkstasie uit te voer. Die nuttigste misbruik vir aanvallers is dié wat toelaat dat kode op 'n afgeleë stelsel uitgevoer word, aangesien dit deur aanvallers gebruik kan word om toegang tot so 'n stelsel te verkry. Die tegniek kan deur die volgende metodes geïmplementeer word: kwaadwillige poslys, webwerf met misbruik vir blaaiers en afgeleë uitbuiting van toepassingskwesbaarhede.
Wat doen PT NAD?: terwyl e-posverkeer ontleed word, kontroleer PT NAD dit vir die teenwoordigheid van uitvoerbare lêers in die aanhegsel. Onttrek outomaties kantoordokumente uit e-posse wat uitbuitings kan bevat. Pogings om kwesbaarhede uit te buit is sigbaar in verkeer, wat PT NAD outomaties bespeur.
5. : mshta
Gebruik die mshta.exe-hulpprogram, wat Microsoft HTML-toepassings (HTA) met 'n .hta-uitbreiding uitvoer. Omdat mshta lêers verwerk wat blaaiersekuriteitinstellings omseil, kan aanvallers mshta.exe gebruik om kwaadwillige HTA-, JavaScript- of VBScript-lêers uit te voer.
Wat doen PT NAD?: .hta-lêers vir uitvoering deur mshta word ook oor die netwerk versend - dit kan in die verkeer gesien word. PT NAD bespeur die oordrag van sulke kwaadwillige lêers outomaties. Dit vang lêers vas, en inligting daaroor kan in die sessiekaart bekyk word.
6. : powershell
Gebruik PowerShell om inligting te soek en kwaadwillige kode uit te voer.
Wat doen PT NAD?: Wanneer PowerShell op afstand deur aanvallers gebruik word, bespeur PT NAD dit deur reëls te gebruik. Dit bespeur die PowerShell-taalsleutelwoorde wat die meeste in kwaadwillige skrifte gebruik word en die oordrag van PowerShell-skrifte oor SMB.
7. : geskeduleerde taak
Gebruik die Windows-taakskeduleerder en ander nutsprogramme om programme of skrifte outomaties op spesifieke tye te laat loop.
Wat doen PT NAD?: aanvallers skep sulke take, gewoonlik op afstand, wat beteken dat sulke sessies in die verkeer sigbaar is. PT NAD bespeur outomaties verdagte taakskepping en -wysigingsbewerkings deur die ATSVC- en ITaskSchedulerService RPC-koppelvlakke te gebruik.
8. : skrif
Uitvoering van skrifte om verskeie aksies van aanvallers te outomatiseer.
Wat doen PT NAD?: bespeur die oordrag van skrifte oor die netwerk, dit wil sê selfs voordat dit geloods word. Dit bespeur skrifinhoud in rou verkeer en bespeur netwerkoordrag van lêers met uitbreidings wat ooreenstem met gewilde skriftale.
9. : diensuitvoering
Begin 'n uitvoerbare lêer, CLI-instruksies of skrip deur interaksie met Windows-dienste, soos die Service Control Manager (SCM).
Wat doen PT NAD?: inspekteer SMB-verkeer en bespeur versoeke aan SCM deur reëls vir die skep, wysiging en begin van 'n diens.
Die tegniek vir die begin van dienste kan geïmplementeer word met behulp van die afgeleë opdraguitvoeringshulpmiddel PSExec. PT NAD ontleed die SMB-protokol en bespeur die gebruik van PSExec wanneer dit die PSEXESVC.exe-lêer of die PSEXECSVC-standaarddiensnaam gebruik om kode op 'n afgeleë masjien uit te voer. Die gebruiker moet die lys van uitgevoerde opdragte en die legitimiteit van eksterne opdraguitvoering vanaf die gasheer nagaan.
Die aanvalskaart in PT NAD vertoon data oor die taktiek en tegnieke wat deur die ATT&CK-matriks gebruik word sodat die gebruiker kan verstaan in watter stadium van die aanval die aanvallers is, watter doelwitte hulle nastreef en watter kompenserende maatreëls om te tref.
Aktivering van die reël oor die gebruik van die PSExec-hulpprogram, wat kan dui op 'n poging om opdragte op 'n afgeleë masjien uit te voer
10. : derdeparty sagteware
'n Tegniek waarin aanvallers toegang tot afstandadministrasiesagteware of 'n korporatiewe sagteware-ontplooiingstelsel kry en dit gebruik om kwaadwillige kode uit te voer. Voorbeelde van sulke sagteware: SCCM, VNC, TeamViewer, HBSS, Altiris.
Terloops, die tegniek is veral relevant in verband met die massiewe oorgang na afgeleë werk en, as gevolg daarvan, die koppeling van talle onbeskermde huistoestelle via twyfelagtige afgeleë toegangskanale.
Wat doen PT NAD?: Bespeur outomaties die werking van sulke sagteware op die netwerk. Die reëls word byvoorbeeld veroorsaak deur die feite van verbinding via die VNC-protokol en die aktiwiteit van die EvilVNC Trojan, wat in die geheim 'n VNC-bediener op die slagoffer se gasheer installeer en dit outomaties begin. PT NAD bespeur ook outomaties die TeamViewer-protokol, wat die ontleder help om al sulke sessies met behulp van 'n filter te vind en hul legitimiteit na te gaan.
11. : gebruiker uitvoering
'n Tegniek waarin die gebruiker lêers laat loop wat kan veroorsaak dat kode uitgevoer word. Dit kan byvoorbeeld wees as dit 'n uitvoerbare lêer oopmaak of 'n kantoordokument met 'n makro laat loop.
Wat doen PT NAD?: sien sulke lêers in die oordragstadium, voordat hulle bekendgestel word. Inligting oor hulle kan bestudeer word in die kaart van die sessies waarin hulle oorgedra is.
12. : Windows Bestuursinstrumentasie
Gebruik die WMI-nutsding, wat plaaslike en afstandtoegang tot Windows-stelselkomponente bied. Deur WMI te gebruik, kan aanvallers met plaaslike en afgeleë stelsels interaksie hê en 'n verskeidenheid take verrig, soos om inligting vir intelligensiedoeleindes in te samel en prosesse op 'n afstand te begin tydens laterale beweging.
Wat doen PT NAD?: Aangesien interaksies met afgeleë stelsels via WMI in die verkeer sigbaar is, bespeur PT NAD outomaties netwerkversoeke om WMI-sessies te vestig en kontroleer die verkeer vir die feit dat skrifte wat WMI gebruik, versend word.
13. : Windows Remote Management
Gebruik 'n Windows-diens en -protokol wat die gebruiker toelaat om met afgeleë stelsels te kommunikeer.
Wat doen PT NAD?: Sien netwerkverbindings wat met behulp van Windows Remote Management gevestig is. Sulke sessies word outomaties deur die reëls bespeur.
14. : XSL (Extensible Stylesheet Language) skripverwerking
Die XSL-styl-opmaaktaal word gebruik om die verwerking en weergawe van data in XML-lêers te beskryf. Om komplekse bedrywighede te ondersteun, sluit die XSL-standaard ondersteuning vir inlyn-skrifte in verskeie tale in. Hierdie tale laat die uitvoering van arbitrêre kode toe, wat gewitlys-sekuriteitsbeleide omseil.
Wat doen PT NAD?: bespeur die oordrag van sulke lêers oor die netwerk, dit wil sê selfs voordat dit geloods word. Dit bespeur outomaties die oordrag van XSL-lêers oor die netwerk en lêers met onreëlmatige XSL-opmerking.
In die volgende materiaal sal ons kyk hoe die PT Network Attack Discovery NTA-stelsel ander taktieke en tegnieke van aanvallers vind in ooreenstemming met MITER ATT & CK. Bly ingeskakel!
Skrywers:
- Anton Kutepov, spesialis van die deskundige sekuriteitsentrum (PT Expert Security Centre) Positive Technologies
- Natalia Kazankova, produkbemarker by Positive Technologies
Bron: will.com