، فإن غالبية (87٪) من حوادث أمن المعلومات تحدث في غضون دقائق ، بينما تستغرق 68٪ من الشركات شهورًا للكشف عنها. هذا مؤكد و ، وفقًا لما تستغرقه معظم المؤسسات ما متوسطه 206 يومًا لاكتشاف حادث. بناءً على تحقيقاتنا ، يمكن للقراصنة التحكم في البنية التحتية للشركة لسنوات دون أن يتم اكتشافهم. لذلك ، في إحدى المنظمات التي أجرى فيها خبراؤنا تحقيقًا في حادث أمن المعلومات ، تم الكشف عن أن المتسللين يتحكمون تمامًا في البنية التحتية للمؤسسة بالكامل ويسرقون بانتظام معلومات مهمة .
لنفترض أن لديك بالفعل SIEM قيد التشغيل ، والذي يجمع السجلات ويحلل الأحداث ، ويتم تثبيت برامج مكافحة الفيروسات على العقد النهائية. مع ذلك، ، تمامًا كما يستحيل تنفيذ أنظمة EDR للشبكة بأكملها ، مما يعني أنه لا يمكن تجنب المناطق "العمياء". تساعد أنظمة تحليل حركة مرور الشبكة (NTA) على التعامل معها. تكتشف هذه الحلول نشاط المهاجمين في المراحل الأولى من اختراق الشبكة ، وكذلك أثناء محاولات الحصول على موطئ قدم وتطوير هجوم داخل الشبكة.
هناك نوعان من NTAs: أحدهما يعمل مع NetFlow ، والآخر يحلل حركة المرور الأولية. ميزة الأنظمة الثانية هي أنها يمكن أن تخزن سجلات حركة المرور الأولية. بفضل هذا ، يمكن لأخصائي أمن المعلومات التحقق من نجاح الهجوم ، وتحديد موقع التهديد ، وفهم كيفية حدوث الهجوم وكيفية منع حدوث هجوم مشابه في المستقبل.
سنوضح كيف يمكن استخدام NTA للتعرف ، من خلال الإشارات المباشرة أو غير المباشرة ، على جميع تكتيكات الهجوم المعروفة الموضحة في قاعدة المعرفة. . سنتحدث عن كل من التكتيكات الاثني عشر ، ونحلل التقنيات التي تكتشفها حركة المرور ، ونعرض اكتشافها باستخدام نظام NTA الخاص بنا.
حول قاعدة المعارف ATT & CK
MITER ATT & CK هي قاعدة معرفية عامة تم تطويرها وصيانتها بواسطة شركة MITER استنادًا إلى تحليل أجهزة APT الحقيقية. إنها مجموعة منظمة من التكتيكات والتقنيات التي يستخدمها المهاجمون. يتيح ذلك لمتخصصي أمن المعلومات من جميع أنحاء العالم التحدث باللغة نفسها. تتوسع قاعدة البيانات باستمرار وتستكمل بمعرفة جديدة.
تحدد قاعدة البيانات 12 تكتيكا مقسمة إلى مراحل هجوم إلكتروني:
- الوصول الأولي (الوصول الأولي) ؛
- إعدام (إعدام) ؛
- التوحيد (المثابرة) ؛
- التصعيد امتياز؛
- منع الكشف (التهرب الدفاعي) ؛
- الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد) ؛
- ذكاء (اكتشاف) ؛
- الحركة داخل المحيط (حركة جانبية) ؛
- جمع (جمع) البيانات ؛
- القيادة والسيطرة
- استخراج البيانات
- تأثير.
لكل تكتيك ، تسرد ATT & CK Knowledge Base قائمة من التقنيات التي تساعد المهاجمين على تحقيق هدفهم في المرحلة الحالية من الهجوم. نظرًا لأنه يمكن استخدام نفس الأسلوب في مراحل مختلفة ، فيمكن أن يشير إلى عدة تكتيكات.
يتضمن وصف كل تقنية ما يلي:
- المعرف.
- قائمة التكتيكات التي يتم تطبيقها ؛
- أمثلة على الاستخدام من قبل مجموعات APT ؛
- تدابير لتقليل الضرر الناجم عن استخدامه ؛
- توصيات الكشف.
يمكن لمتخصصي أمن المعلومات استخدام المعرفة من قاعدة البيانات لهيكلة المعلومات حول أساليب الهجوم الحالية ، مع وضع ذلك في الاعتبار ، بناء نظام أمان فعال. يمكن أن يصبح فهم كيفية عمل مجموعات APT الحقيقية مصدر فرضيات للبحث الاستباقي عن التهديدات بداخلها .
حول اكتشاف هجوم الشبكة PT
سوف نحدد استخدام التقنيات من مصفوفة ATT & CK باستخدام النظام - نظام NTA للتقنيات الإيجابية مصمم لاكتشاف الهجمات على محيط الشبكة وداخلها. يغطي PT NAD جميع التكتيكات الـ 12 لمصفوفة MITER ATT & CK بدرجات متفاوتة. إنه الأقوى في تحديد الوصول الأولي ، والحركة الجانبية ، وتقنيات القيادة والسيطرة. في نفوسهم ، يغطي PT NAD أكثر من نصف التقنيات المعروفة ، ويكتشف استخدامها عن طريق العلامات المباشرة أو غير المباشرة.
يكتشف النظام الهجمات باستخدام تقنيات ATT & CK باستخدام قواعد الكشف التي أنشأها الأمر (PT ESC) والتعلم الآلي ومؤشرات التسوية والتحليلات العميقة والتحليل بأثر رجعي. يسمح لك تحليل حركة المرور في الوقت الفعلي ، جنبًا إلى جنب مع الاسترجاع ، بتحديد النشاط الضار المخفي الحالي وتتبع متجهات التطوير والتسلسل الزمني للهجوم.
رسم الخرائط الكاملة لمصفوفة PT NAD إلى MITER ATT & CK. الصورة كبيرة ، لذا نقترح عليك النظر إليها في نافذة منفصلة.
الوصول الأولي
تتضمن تكتيكات الوصول الأولية تقنيات لاختراق شبكة الشركة. هدف المهاجمين في هذه المرحلة هو تسليم تعليمات برمجية خبيثة إلى النظام المهاجم وضمان تنفيذه بشكل إضافي.
يكشف تحليل حركة المرور PT NAD عن سبع تقنيات للوصول الأولي:
1. : حل وسط
تقنية تقوم من خلالها الضحية بفتح موقع ويب يستخدمه المهاجمون لاستغلال متصفح الويب للحصول على رموز الوصول إلى التطبيق.
ماذا تفعل PT NAD؟: إذا لم يتم تشفير حركة مرور الويب ، يقوم PT NAD بفحص محتوى استجابات خادم HTTP. في هذه الإجابات تم العثور على الثغرات التي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية داخل المتصفح. يكتشف PT NAD تلقائيًا مثل هذه الثغرات باستخدام قواعد الكشف.
بالإضافة إلى ذلك ، يكتشف PT NAD التهديد في الخطوة السابقة. يتم تشغيل قواعد ومؤشرات الاختراق إذا زار المستخدم موقعًا أعاد توجيهه إلى موقع به مجموعة من الثغرات.
2. : استغلال التطبيق المواجه للجمهور
استغلال نقاط الضعف في الخدمات التي يمكن الوصول إليها من الإنترنت.
ماذا تفعل PT NAD؟: يقوم بفحص عميق لمحتويات حزم الشبكة ، ويكشف عن علامات النشاط الشاذ فيها. على وجه الخصوص ، هناك قواعد تسمح لك باكتشاف الهجمات على أنظمة إدارة المحتوى الرئيسية (CMS) ، وواجهات الويب لمعدات الشبكة ، والهجمات على البريد وخوادم FTP.
3. : خدمات خارجية عن بعد
يستخدم المهاجمون خدمات الوصول عن بعد للاتصال بموارد الشبكة الداخلية من الخارج.
ماذا تفعل PT NAD؟: نظرًا لأن النظام لا يتعرف على البروتوكولات عن طريق أرقام المنافذ ، ولكن من خلال محتويات الحزم ، يمكن لمستخدمي النظام تصفية حركة المرور بطريقة للعثور على جميع جلسات بروتوكولات الوصول عن بُعد والتحقق من شرعيتها.
4. : مرفق الرمح
نحن نتحدث عن الإرسال السيئ السمعة لمرفقات التصيد الاحتيالي.
ماذا تفعل PT NAD؟: يستخرج الملفات تلقائيًا من حركة المرور ويتحقق منها مقابل مؤشرات الاختراق. يتم الكشف عن الملفات القابلة للتنفيذ في المرفقات من خلال القواعد التي تحلل محتوى حركة مرور البريد. في بيئة الشركات ، يعتبر مثل هذا الاستثمار أمرًا شاذًا.
5. : رابط spearphishing
استخدام روابط التصيد. تتضمن هذه التقنية قيام المهاجمين بإرسال بريد إلكتروني للتصيد الاحتيالي مع رابط يقوم ، عند النقر فوقه ، بتنزيل برنامج ضار. كقاعدة عامة ، يكون الرابط مصحوبًا بنص تم تجميعه وفقًا لجميع قواعد الهندسة الاجتماعية.
ماذا تفعل PT NAD؟: يكتشف روابط التصيد باستخدام مؤشرات الاختراق. على سبيل المثال ، في واجهة PT NAD ، نرى جلسة يوجد فيها اتصال HTTP عبر رابط مدرج في قائمة عناوين التصيد (عناوين url الخاصة بالتصيد الاحتيالي).
الاتصال عبر رابط من قائمة مؤشرات عناوين url الخاصة بالتصيد الاحتيالي المخترق
6. : علاقة ثقة
الوصول إلى شبكة الضحية من خلال أطراف ثالثة تربطها بالضحية علاقة ثقة. يمكن للمهاجمين اقتحام مؤسسة موثوقة والاتصال من خلالها بالشبكة المستهدفة. للقيام بذلك ، يستخدمون اتصالات VPN أو علاقات ثقة المجال ، والتي يمكن الكشف عنها من خلال تحليل حركة المرور.
ماذا تفعل PT NAD؟: يوزع بروتوكولات التطبيق ويحفظ الحقول التي تم تحليلها في قاعدة البيانات ، بحيث يمكن لمحلل أمن المعلومات استخدام عوامل التصفية للعثور على جميع اتصالات VPN المشبوهة أو الاتصالات عبر النطاقات في قاعدة البيانات.
7. : حسابات صالحة
استخدام بيانات اعتماد قياسية أو محلية أو مجال للترخيص على الخدمات الخارجية والداخلية.
ماذا تفعل PT NAD؟: يسترد بيانات الاعتماد تلقائيًا من بروتوكولات HTTP و FTP و SMTP و POP3 و IMAP و SMB و DCE / RPC و SOCKS5 و LDAP و Kerberos. في الحالة العامة ، هذا هو تسجيل الدخول وكلمة المرور وعلامة المصادقة الناجحة. إذا تم استخدامها ، يتم عرضها في بطاقة الجلسة المقابلة.
تنفيذ
تتضمن تكتيكات التنفيذ التقنيات التي يستخدمها المهاجمون لتنفيذ التعليمات البرمجية على الأنظمة المخترقة. يساعد تشغيل التعليمات البرمجية الخبيثة المهاجمين على إثبات التواجد (تكتيك الاستمرارية) وتوسيع الوصول إلى الأنظمة البعيدة على الشبكة عن طريق التحرك داخل المحيط.
يسمح لك PT NAD بتحديد استخدام 14 أسلوبًا يستخدمها المهاجمون لتنفيذ تعليمات برمجية ضارة.
1. : CMSTP (مثبت ملف تعريف Microsoft Connection Manager)
تكتيك يقوم فيه المهاجمون بإعداد ملف تثبيت .inf ضار مصمم خصيصًا لأداة Windows CMSTP.exe المضمنة (مثبت ملف تعريف مدير الاتصال). يأخذ CMSTP.exe ملفًا كمعامل ويقوم بتثبيت ملف تعريف خدمة للاتصال البعيد. نتيجة لذلك ، يمكن استخدام CMSTP.exe لتنزيل وتنفيذ مكتبات الارتباط الديناميكي (* .dll) أو scriptlets (* .sct) من الخوادم البعيدة.
ماذا تفعل PT NAD؟: يكتشف تلقائيًا نقل ملفات .inf ذات الشكل الخاص في حركة مرور HTTP. بالإضافة إلى ذلك ، فإنه يكتشف عمليات نقل HTTP للبرامج النصية الضارة ومكتبات الارتباط الديناميكي من خادم بعيد.
2. : واجهة خط الأوامر
التفاعل مع واجهة سطر الأوامر. يمكن التفاعل مع واجهة سطر الأوامر محليًا أو عن بُعد ، على سبيل المثال من خلال أدوات الوصول عن بُعد.
ماذا تفعل PT NAD؟: يكتشف تلقائيًا وجود قذائف من خلال الاستجابات لأوامر تشغيل أدوات مساعدة مختلفة لسطر الأوامر ، مثل ping و ifconfig.
3. : نموذج كائن مكون و COM الموزعة
استخدام تقنيات COM أو DCOM لتنفيذ التعليمات البرمجية على الأنظمة المحلية أو البعيدة أثناء عبورها للشبكة.
ماذا تفعل PT NAD؟: يكتشف مكالمات DCOM المشبوهة التي يستخدمها المهاجمون عادةً لإطلاق البرامج.
4. : استغلال لتنفيذ العميل
استغلال الثغرات الأمنية لتنفيذ تعليمات برمجية عشوائية على محطة عمل. أكثر الثغرات فائدة للمهاجمين هي تلك التي تسمح بتنفيذ التعليمات البرمجية على نظام بعيد ، حيث يمكن للمهاجمين استخدامها للوصول إلى مثل هذا النظام. يمكن تنفيذ هذه التقنية بالطرق التالية: قائمة بريدية خبيثة ، موقع ويب به ثغرات للمتصفحات ، واستغلال ثغرات التطبيق عن بعد.
ماذا تفعل PT NAD؟: أثناء تحليل حركة مرور البريد ، يتحقق PT NAD من وجود ملفات قابلة للتنفيذ في المرفق. يستخرج تلقائيًا مستندات المكتب من رسائل البريد الإلكتروني التي قد تحتوي على ثغرات. تظهر محاولات استغلال الثغرات الأمنية في حركة المرور ، والتي يكتشفها PT NAD تلقائيًا.
5. : مشتا
استخدام الأداة المساعدة mshta.exe ، التي تقوم بتنفيذ تطبيقات Microsoft HTML (HTA) بملحق .hta. نظرًا لأن mshta يعالج الملفات التي تتجاوز إعدادات أمان المتصفح ، يمكن للمهاجمين استخدام mshta.exe لتنفيذ ملفات HTA أو JavaScript أو VBScript ضارة.
ماذا تفعل PT NAD؟: يتم إرسال ملفات .hta للتنفيذ من خلال mshta عبر الشبكة أيضًا - ويمكن ملاحظة ذلك في حركة المرور. يكتشف PT NAD نقل هذه الملفات الضارة تلقائيًا. إنه يلتقط الملفات ، ويمكن عرض المعلومات المتعلقة بها في بطاقة الجلسة.
6. : بوويرشيل
استخدام PowerShell للبحث عن المعلومات وتنفيذ التعليمات البرمجية الضارة.
ماذا تفعل PT NAD؟: عندما يتم استخدام PowerShell من قبل المهاجمين عن بعد ، يكتشف PT NAD هذا باستخدام القواعد. يكتشف الكلمات الأساسية للغة PowerShell الأكثر شيوعًا في البرامج النصية الضارة ونقل نصوص PowerShell النصية عبر SMB.
7. : مهمة مجدولة
استخدم برنامج جدولة مهام Windows والأدوات المساعدة الأخرى لتشغيل البرامج أو البرامج النصية تلقائيًا في أوقات محددة.
ماذا تفعل PT NAD؟: ينشئ المهاجمون مثل هذه المهام ، عادةً عن بُعد ، مما يعني أن هذه الجلسات تكون مرئية في حركة المرور. يكتشف PT NAD تلقائيًا عمليات إنشاء وتعديل المهام المشبوهة باستخدام واجهات ATSVC و ITaskSchedulerService RPC.
8. : البرمجة النصية
تنفيذ البرامج النصية لأتمتة إجراءات المهاجمين المختلفة.
ماذا تفعل PT NAD؟: يكتشف نقل البرامج النصية عبر الشبكة ، أي حتى قبل إطلاقها. يكتشف محتوى البرنامج النصي في حركة المرور الأولية ويكتشف نقل الشبكة للملفات ذات الامتدادات المقابلة للغات البرمجة النصية الشائعة.
9. : تنفيذ الخدمة
قم بتشغيل ملف قابل للتنفيذ ، أو تعليمات CLI ، أو برنامج نصي من خلال التفاعل مع خدمات Windows ، مثل Service Control Manager (SCM).
ماذا تفعل PT NAD؟: يتفقد حركة مرور SMB ويكشف الطلبات إلى SCM من خلال قواعد إنشاء وتعديل وبدء الخدمة.
يمكن تنفيذ تقنية بدء الخدمات باستخدام الأداة المساعدة PSExec لتنفيذ الأوامر عن بُعد. يوزع PT NAD بروتوكول SMB ويكتشف استخدام PSExec عندما يستخدم ملف PSEXESVC.exe أو اسم الخدمة القياسي PSEXECSVC لتنفيذ التعليمات البرمجية على جهاز بعيد. يحتاج المستخدم إلى التحقق من قائمة الأوامر المنفذة وشرعية تنفيذ الأوامر عن بعد من المضيف.
تعرض بطاقة الهجوم في PT NAD بيانات عن التكتيكات والتقنيات المستخدمة بواسطة مصفوفة ATT & CK بحيث يمكن للمستخدم أن يفهم في أي مرحلة من الهجوم يكون المهاجمون ، وما هي الأهداف التي يسعون إليها وما هي الإجراءات التعويضية التي يجب اتخاذها.
تفعيل القاعدة المتعلقة باستخدام الأداة المساعدة PSExec ، والتي قد تشير إلى محاولة تنفيذ الأوامر على جهاز بعيد
10 : برامج الطرف الثالث
تقنية يستطيع المهاجمون من خلالها الوصول إلى برامج الإدارة عن بُعد أو نظام نشر برامج الشركة ويستخدمونها لتشغيل تعليمات برمجية ضارة. أمثلة على هذه البرامج: SCCM ، VNC ، TeamViewer ، HBSS ، Altiris.
بالمناسبة ، هذه التقنية مهمة بشكل خاص فيما يتعلق بالانتقال الهائل إلى العمل عن بعد ، ونتيجة لذلك ، توصيل العديد من الأجهزة المنزلية غير المحمية عبر قنوات الوصول عن بُعد المشكوك فيها.
ماذا تفعل PT NAD؟: يكتشف تلقائيًا تشغيل مثل هذه البرامج على الشبكة. على سبيل المثال ، يتم تشغيل القواعد من خلال حقائق الاتصال عبر بروتوكول VNC ونشاط EvilVNC Trojan ، الذي يقوم سراً بتثبيت خادم VNC على مضيف الضحية ويبدأ تشغيله تلقائيًا. أيضًا ، يكتشف PT NAD تلقائيًا بروتوكول TeamViewer ، مما يساعد المحلل في العثور على كل هذه الجلسات باستخدام مرشح والتحقق من شرعيتها.
11 : تنفيذ المستخدم
تقنية يقوم من خلالها المستخدم بتشغيل الملفات التي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية. قد يكون هذا ، على سبيل المثال ، إذا فتح ملفًا قابلاً للتنفيذ أو قام بتشغيل مستند مكتبي باستخدام ماكرو.
ماذا تفعل PT NAD؟: يرى مثل هذه الملفات في مرحلة النقل ، قبل إطلاقها. يمكن دراسة المعلومات المتعلقة بهم في بطاقة الجلسات التي تم نقلها فيها.
12 : نوافذ إدارة الأجهزة
استخدام أداة WMI ، التي توفر وصولاً محليًا وبعيدًا لمكونات نظام Windows. باستخدام WMI ، يمكن للمهاجمين التفاعل مع الأنظمة المحلية والبعيدة وتنفيذ مجموعة متنوعة من المهام ، مثل جمع المعلومات لأغراض استخبارية وعمليات الإطلاق عن بُعد أثناء الحركة الجانبية.
ماذا تفعل PT NAD؟: نظرًا لأن التفاعلات مع الأنظمة البعيدة عبر WMI مرئية في حركة المرور ، يكتشف PT NAD تلقائيًا طلبات الشبكة لإنشاء جلسات WMI ويتحقق من حركة المرور لحقيقة أن البرامج النصية التي تستخدم WMI يتم إرسالها.
13 : إدارة Windows عن بعد
استخدام خدمة وبروتوكول Windows يسمحان للمستخدم بالتفاعل مع الأنظمة البعيدة.
ماذا تفعل PT NAD؟: يرى اتصالات الشبكة التي تم إنشاؤها باستخدام Windows Remote Management. يتم الكشف عن هذه الجلسات بواسطة القواعد تلقائيًا.
14 : معالجة البرنامج النصي XSL (لغة ورقة الأنماط الموسعة)
تُستخدم لغة ترميز نمط XSL لوصف معالجة البيانات وعرضها في ملفات XML. لدعم العمليات المعقدة ، يتضمن معيار XSL دعمًا للنصوص المضمنة بلغات متعددة. تسمح هذه اللغات بتنفيذ تعليمات برمجية عشوائية تتجاوز سياسات الأمان المدرجة في القائمة البيضاء.
ماذا تفعل PT NAD؟: يكتشف إرسال مثل هذه الملفات عبر الشبكة ، أي حتى قبل إطلاقها. يكتشف تلقائيًا نقل ملفات XSL عبر الشبكة والملفات ذات ترميز XSL الشاذ.
في المواد التالية ، سننظر في كيفية اكتشاف نظام PT Network Attack Discovery NTA تكتيكات وتقنيات أخرى للمهاجمين وفقًا لـ MITER ATT & CK. ابقوا متابعين!
الكتاب:
- أنتون كوتيبوف ، متخصص في مركز الأمان الخبير (مركز أمان الخبراء في PT) التقنيات الإيجابية
- ناتاليا كازانكوفا ، مسوقة منتجات في شركة Positive Technologies
المصدر: www.habr.com