, informasiya təhlükəsizliyi insidentlərinin əksəriyyəti (87%) dəqiqələr ərzində baş verir, şirkətlərin 68%-i isə onları aşkar etmək üçün aylar çəkir. Bu təsdiqlənir və , buna görə əksər təşkilatlar bir hadisəni aşkar etmək üçün orta hesabla 206 gün çəkir. Araşdırmalarımıza əsasən, hakerlər illərlə şirkətin infrastrukturunu aşkarlanmadan idarə edə bilirlər. Belə ki, ekspertlərimizin informasiya təhlükəsizliyi hadisəsi ilə bağlı araşdırma apardığı təşkilatlardan birində hakerlərin təşkilatın bütün infrastrukturuna tam nəzarət etdikləri və mütəmadi olaraq mühüm məlumatları oğurladıqları üzə çıxıb. .
Tutaq ki, sizdə artıq logları toplayan və hadisələri təhlil edən SIEM işləyir və son qovşaqlarda antiviruslar quraşdırılıb. Buna baxmayaraq, , bütün şəbəkə üçün EDR sistemlərini tətbiq etmək mümkün olmadığı kimi, bu da "kor" zonaların qarşısını almaq mümkün deyil. Şəbəkə trafikinin təhlili (NTA) sistemləri onların öhdəsindən gəlməyə kömək edir. Bu həllər şəbəkəyə nüfuz etmənin ən erkən mərhələlərində, eləcə də şəbəkə daxilində möhkəmlənmək və hücumu inkişaf etdirmək cəhdləri zamanı təcavüzkarların fəaliyyətini aşkarlayır.
İki növ NTA var: biri NetFlow ilə işləyir, digəri xam trafiki təhlil edir. İkinci sistemlərin üstünlüyü ondan ibarətdir ki, onlar xam trafik qeydlərini saxlaya bilirlər. Bunun sayəsində informasiya təhlükəsizliyi üzrə mütəxəssis hücumun müvəffəqiyyətini yoxlaya, təhlükəni lokallaşdıra, hücumun necə baş verdiyini və gələcəkdə oxşar hadisənin qarşısını necə alacağını anlaya bilər.
Biz NTA-nın bilik bazasında təsvir edilən bütün məlum hücum taktikalarını birbaşa və ya dolayı əlamətlərlə müəyyən etmək üçün necə istifadə oluna biləcəyini göstərəcəyik. . 12 taktikanın hər biri haqqında danışacağıq, trafik tərəfindən aşkar edilən texnikaları təhlil edəcəyik və NTA sistemimizdən istifadə edərək onların aşkarlanmasını nümayiş etdirəcəyik.
ATT&CK Bilik Bazası haqqında
MITER ATT&CK, real APT-lərin təhlili əsasında MITER Korporasiyası tərəfindən hazırlanmış və saxlanılan ictimai məlumat bazasıdır. Təcavüzkarlar tərəfindən istifadə edilən strukturlaşdırılmış taktika və texnikalar toplusudur. Bu, dünyanın hər yerindən informasiya təhlükəsizliyi mütəxəssislərinə eyni dildə danışmağa imkan verir. Verilənlər bazası daim genişlənir və yeni biliklərlə tamamlanır.
Verilənlər bazası kiberhücumun mərhələlərinə bölünən 12 taktikanı müəyyən edir:
- ilkin giriş (ilkin giriş);
- icra (icra);
- konsolidasiya (inadkarlıq);
- imtiyazların artırılması;
- aşkarlanmanın qarşısının alınması (müdafiədən yayınma);
- etimadnamələrin əldə edilməsi (etimadnamə əldə etmək);
- kəşfiyyat (kəşf);
- perimetr daxilində hərəkət (yanal hərəkət);
- məlumatların toplanması (toplanması);
- komanda və nəzarət;
- məlumatların eksfiltrasiyası;
- təsir.
Hər bir taktika üçün ATT&CK Bilik Bazası hücumun hazırkı mərhələsində hücumçulara məqsədlərinə çatmağa kömək edən üsulların siyahısını verir. Eyni texnika müxtəlif mərhələlərdə istifadə oluna bildiyi üçün bir neçə taktikaya istinad edə bilər.
Hər bir texnikanın təsvirinə aşağıdakılar daxildir:
- identifikator;
- onun tətbiq olunduğu taktikaların siyahısı;
- APT qrupları tərəfindən istifadə nümunələri;
- onun istifadəsindən zərərin azaldılması üçün tədbirlər;
- aşkarlama tövsiyələri.
İnformasiya təhlükəsizliyi üzrə mütəxəssislər verilənlər bazasındakı biliklərdən cari hücum üsulları haqqında məlumatı strukturlaşdırmaq üçün istifadə edə və bunu nəzərə alaraq effektiv təhlükəsizlik sistemi qura bilərlər. Həqiqi APT qruplarının necə işlədiyini başa düşmək həm də daxili təhdidlərin proaktiv axtarışı üçün fərziyyə mənbəyi ola bilər. .
PT Network Attack Discovery haqqında
Sistemdən istifadə edərək ATT və CK matrisindən texnikaların istifadəsini müəyyən edəcəyik - Perimetrdə və şəbəkə daxilində hücumları aşkar etmək üçün nəzərdə tutulmuş Positive Technologies NTA sistemi. PT NAD müxtəlif dərəcələrdə MITER ATT&CK matrisinin bütün 12 taktikasını əhatə edir. İlkin giriş, yanal hərəkət və komanda və idarəetmə üsullarını müəyyən etməkdə ən güclüdür. Onlarda PT NAD bilavasitə və ya dolayı əlamətlərlə onların istifadəsini aşkar edərək məlum texnikaların yarısından çoxunu əhatə edir.
Sistem komanda tərəfindən yaradılan aşkarlama qaydalarından istifadə edərək ATT&CK üsullarından istifadə edərək hücumları aşkarlayır (PT ESC), maşın öyrənməsi, kompromis göstəriciləri, dərin analitika və retrospektiv təhlil. Real vaxt rejimində trafik təhlili retrospektiv ilə birlikdə cari gizli zərərli fəaliyyəti müəyyən etməyə və inkişaf vektorlarını və hücum xronologiyasını izləməyə imkan verir.
PT NAD-ın MITER ATT&CK matrisinə tam xəritələşdirilməsi. Şəkil böyükdür, ona görə də onu ayrı bir pəncərədə nəzərdən keçirməyi təklif edirik.
İlkin giriş
İlkin giriş taktikasına şirkətin şəbəkəsinə sızmaq üsulları daxildir. Bu mərhələdə təcavüzkarların məqsədi zərərli kodu hücuma məruz qalan sistemə çatdırmaq və onun sonrakı icrasını təmin etməkdir.
PT NAD trafik təhlili ilkin giriş əldə etmək üçün yeddi üsul aşkar edir:
1. : sürücülük kompromis
Qurbanın təcavüzkarlar tərəfindən tətbiqə giriş nişanlarını əldə etmək üçün veb-brauzerdən istifadə etmək üçün istifadə edilən veb saytı açdığı bir texnika.
PT NAD nə edir?: Veb trafiki şifrələnməyibsə, PT NAD HTTP server cavablarının məzmununu yoxlayır. Məhz bu cavablarda təcavüzkarlara brauzer daxilində ixtiyari kodu icra etməyə imkan verən istismarlar aşkar edilir. PT NAD aşkarlama qaydalarından istifadə edərək bu cür istismarları avtomatik aşkarlayır.
Bundan əlavə, PT NAD əvvəlki addımda təhlükəni aşkarlayır. İstifadəçi onu bir dəstə istismarı olan sayta yönləndirən saytı ziyarət edərsə, güzəşt qaydaları və göstəriciləri işə salınır.
2. : ictimaiyyətə baxan tətbiqdən istifadə edin
İnternetdən əldə edilə bilən xidmətlərdə zəifliklərin istismarı.
PT NAD nə edir?: şəbəkə paketlərinin məzmununu dərindən yoxlayır, onlarda anomal fəaliyyət əlamətlərini aşkar edir. Xüsusilə, əsas məzmun idarəetmə sistemlərinə (CMS), şəbəkə avadanlıqlarının veb interfeyslərinə, poçt və FTP serverlərinə hücumları aşkar etməyə imkan verən qaydalar var.
3. : xarici uzaqdan xidmətlər
Təcavüzkarlar xaricdən daxili şəbəkə resurslarına qoşulmaq üçün uzaqdan giriş xidmətlərindən istifadə edirlər.
PT NAD nə edir?: sistem protokolları port nömrələri ilə deyil, paketlərin məzmunu ilə tanıdığından, sistem istifadəçiləri uzaqdan giriş protokollarının bütün seanslarını tapmaq və onların qanuniliyini yoxlamaq üçün trafiki süzgəcdən keçirə bilərlər.
4. : spearphishing əlavəsi
Söhbət fişinq əlavələrinin bədnam göndərilməsindən gedir.
PT NAD nə edir?: avtomatik olaraq faylları trafikdən çıxarır və onları kompromis göstəricilərinə qarşı yoxlayır. Qoşmalardakı icra edilə bilən fayllar poçt trafikinin məzmununu təhlil edən qaydalarla aşkar edilir. Korporativ mühitdə belə bir investisiya anormal hesab olunur.
5. : spearphishing linki
Fişinq bağlantılarından istifadə. Texnika təcavüzkarların, kliklədikdə zərərli proqramı endirən, linki olan fişinq e-poçtu göndərməsini nəzərdə tutur. Bir qayda olaraq, keçid sosial mühəndisliyin bütün qaydalarına uyğun tərtib edilmiş mətnlə müşayiət olunur.
PT NAD nə edir?: Kompromis göstəricilərindən istifadə edərək fişinq bağlantılarını aşkar edir. Məsələn, PT NAD interfeysində biz fişinq ünvanları (phishing-url) siyahısına daxil edilmiş keçid vasitəsilə HTTP bağlantısının mövcud olduğu bir sessiya görürük.
Kompromis fişinq-url göstəriciləri siyahısından keçid vasitəsilə əlaqə
6. : güvən münasibəti
Qurbanın etibarlı əlaqəsi olan üçüncü şəxslər vasitəsilə qurbanın şəbəkəsinə daxil olmaq. Təcavüzkarlar etibarlı təşkilata daxil ola və onun vasitəsilə hədəf şəbəkəyə qoşula bilər. Bunun üçün onlar VPN bağlantılarından və ya trafik analizi ilə aşkarlana bilən domen etibar əlaqələrindən istifadə edirlər.
PT NAD nə edir?: proqram protokollarını təhlil edir və təhlil edilmiş sahələri verilənlər bazasında saxlayır ki, informasiya təhlükəsizliyi analitiki verilənlər bazasında bütün şübhəli VPN bağlantılarını və ya domenlərarası əlaqələri tapmaq üçün filtrlərdən istifadə edə bilsin.
7. : etibarlı hesablar
Xarici və daxili xidmətlərdə avtorizasiya üçün standart, yerli və ya domen etimadnamələrindən istifadə.
PT NAD nə edir?: avtomatik olaraq HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokollarından etimadnamələri alır. Ümumi halda bu, giriş, parol və uğurlu autentifikasiyanın əlamətidir. Əgər onlar istifadə olunubsa, müvafiq sessiya kartında göstərilir.
İcra
İcra taktikasına təcavüzkarların təhlükəyə məruz qalmış sistemlərdə kodu icra etmək üçün istifadə etdiyi üsullar daxildir. Zərərli kodun işlədilməsi təcavüzkarlara mövcudluğu (davamlılıq taktikası) yaratmağa və perimetr daxilində hərəkət edərək şəbəkədəki uzaq sistemlərə girişi genişləndirməyə kömək edir.
PT NAD sizə zərərli kodu icra etmək üçün təcavüzkarlar tərəfindən istifadə edilən 14 texnikanın istifadəsini müəyyən etməyə imkan verir.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Təcavüzkarların daxili Windows CMSTP.exe yardım proqramı (Bağlantı Meneceri Profil Quraşdırıcısı) üçün xüsusi hazırlanmış zərərli .inf quraşdırma faylı hazırladığı taktika. CMSTP.exe faylı parametr kimi götürür və uzaqdan əlaqə üçün xidmət profilini quraşdırır. Nəticədə, CMSTP.exe uzaq serverlərdən dinamik keçid kitabxanalarını (*.dll) və ya skriptləri (*.sct) yükləmək və icra etmək üçün istifadə edilə bilər.
PT NAD nə edir?: HTTP trafikində xüsusi forma .inf fayllarının ötürülməsini avtomatik aşkarlayır. Bundan əlavə, o, uzaq serverdən zərərli skriptlərin və dinamik keçid kitabxanalarının HTTP köçürmələrini aşkarlayır.
2. : komanda xətti interfeysi
Komanda xətti interfeysi ilə qarşılıqlı əlaqə. Komanda xətti interfeysi ilə yerli və ya uzaqdan, məsələn, uzaqdan giriş kommunalları vasitəsilə qarşılıqlı əlaqədə olmaq olar.
PT NAD nə edir?: ping, ifconfig kimi müxtəlif əmr satırı yardım proqramlarını işə salmaq üçün əmrlərə cavablar vasitəsilə avtomatik olaraq qabıqların mövcudluğunu aşkar edir.
3. : komponent obyekt modeli və paylanmış COM
Şəbəkəni keçərkən yerli və ya uzaq sistemlərdə kodu icra etmək üçün COM və ya DCOM texnologiyalarından istifadə.
PT NAD nə edir?: Təcavüzkarların proqramları işə salmaq üçün istifadə etdiyi şübhəli DCOM zənglərini aşkar edir.
4. : müştərinin icrası üçün istismar
İş stansiyasında ixtiyari kodun icrası üçün zəifliklərdən istifadə. Təcavüzkarlar üçün ən faydalı istismarlar kodun uzaq sistemdə icrasına imkan verənlərdir, çünki onlar belə sistemə giriş əldə etmək üçün təcavüzkarlar tərəfindən istifadə edilə bilər. Texnika aşağıdakı üsullarla həyata keçirilə bilər: zərərli poçt siyahısı, brauzerlər üçün eksploitləri olan veb sayt və proqram zəifliklərinin uzaqdan istismarı.
PT NAD nə edir?: poçt trafikini təhlil edərkən, PT NAD onu əlavədə icra edilə bilən faylların olub-olmadığını yoxlayır. İstismar ehtiva edə bilən e-poçtlardan ofis sənədlərini avtomatik çıxarır. Zəifliklərdən istifadə etmək cəhdləri PT NAD-ın avtomatik aşkar etdiyi trafikdə görünür.
5. : mshta
.hta uzantısı ilə Microsoft HTML Tətbiqlərini (HTA) icra edən mshta.exe yardım proqramının istifadəsi. Mshta brauzerin təhlükəsizlik parametrlərini aşaraq faylları emal etdiyi üçün təcavüzkarlar zərərli HTA, JavaScript və ya VBScript fayllarını icra etmək üçün mshta.exe-dən istifadə edə bilərlər.
PT NAD nə edir?: mshta vasitəsilə icra üçün .hta faylları şəbəkə üzərindən də ötürülür - bunu trafikdə görmək olar. PT NAD avtomatik olaraq belə zərərli faylların ötürülməsini aşkarlayır. O, faylları çəkir və onlar haqqında məlumatı sessiya kartında görmək olar.
6. : powershell
Məlumat axtarmaq və zərərli kodu icra etmək üçün PowerShell-dən istifadə edin.
PT NAD nə edir?: PowerShell hücumçular tərəfindən uzaqdan istifadə edildikdə, PT NAD bunu qaydalardan istifadə edərək aşkar edir. O, zərərli skriptlərdə ən çox istifadə olunan PowerShell dili açar sözlərini və PowerShell skriptlərinin SMB üzərindən ötürülməsini aşkarlayır.
7. : planlaşdırılmış tapşırıq
Proqramları və ya skriptləri müəyyən vaxtlarda avtomatik işə salmaq üçün Windows Task Scheduler və digər yardım proqramlarından istifadə edin.
PT NAD nə edir?: təcavüzkarlar bu cür tapşırıqları adətən uzaqdan yaradırlar, yəni belə seanslar trafikdə görünür. PT NAD avtomatik olaraq ATSVC və ITaskSchedulerService RPC interfeyslərindən istifadə edərək şübhəli tapşırıqların yaradılması və dəyişdirilməsi əməliyyatlarını aşkarlayır.
8. : skript
Təcavüzkarların müxtəlif hərəkətlərini avtomatlaşdırmaq üçün skriptlərin icrası.
PT NAD nə edir?: skriptlərin şəbəkə üzərindən ötürülməsini, yəni işə salınmamışdan əvvəl aşkarlayır. O, xam trafikdə skript məzmununu aşkarlayır və populyar skript dillərinə uyğun uzantıları olan faylların şəbəkə ötürülməsini aşkarlayır.
9. : xidmətin icrası
Xidmətə Nəzarət Meneceri (SCM) kimi Windows xidmətləri ilə əlaqə quraraq icra edilə bilən faylı, CLI təlimatlarını və ya skripti işə salın.
PT NAD nə edir?: SMB trafikini yoxlayır və xidmətin yaradılması, dəyişdirilməsi və işə salınması qaydaları ilə SCM-ə sorğuları aşkarlayır.
Xidmətlərin işə salınması texnikası PSExec uzaqdan əmr icrası yardım proqramından istifadə etməklə həyata keçirilə bilər. PT NAD SMB protokolunu təhlil edir və uzaq maşında kodu icra etmək üçün PSEXESVC.exe faylından və ya PSEXECSVC standart xidmət adından istifadə etdikdə PSExec istifadəsini aşkarlayır. İstifadəçi yerinə yetirilən əmrlərin siyahısını və hostdan uzaqdan əmrlərin icrasının qanuniliyini yoxlamalıdır.
PT NAD-dakı hücum kartı ATT&CK matrisi tərəfindən istifadə edilən taktika və üsullar haqqında məlumatları göstərir ki, istifadəçi hücumun hansı mərhələsində olduğunu, hansı məqsədləri güddüklərini və hansı kompensasiya tədbirlərinin görülməli olduğunu başa düşə bilsin.
Uzaq bir maşında əmrləri yerinə yetirmək cəhdini göstərə bilən PSExec yardım proqramının istifadəsi ilə bağlı qaydanın aktivləşdirilməsi
10. : üçüncü tərəf proqram təminatı
Təcavüzkarların uzaqdan idarəetmə proqramına və ya korporativ proqram yerləşdirmə sisteminə giriş əldə etdiyi və onlardan zərərli kodu işlətmək üçün istifadə etdiyi texnika. Belə proqram təminatına nümunələr: SCCM, VNC, TeamViewer, HBSS, Altiris.
Yeri gəlmişkən, texnika uzaqdan işə kütləvi keçid və nəticədə çoxsaylı ev qorunmayan cihazların şübhəli uzaqdan giriş kanalları vasitəsilə qoşulması ilə əlaqədar xüsusilə aktualdır.
PT NAD nə edir?: Şəbəkədə belə proqram təminatının işini avtomatik aşkarlayır. Məsələn, qaydalar VNC protokolu vasitəsilə qoşulma faktları və qurbanın hostunda gizli şəkildə VNC serverini quraşdıran və onu avtomatik işə salan EvilVNC troyanının fəaliyyəti ilə işə salınır. Həmçinin, PT NAD avtomatik olaraq TeamViewer protokolunu aşkarlayır ki, bu da analitikə filtrdən istifadə edərək bütün belə sessiyaları tapmağa və onların qanuniliyini yoxlamağa kömək edir.
11. : istifadəçi icrası
İstifadəçinin kodun icrasına səbəb ola biləcək faylları işlətdiyi bir texnika. Bu, məsələn, icra edilə bilən faylı açdıqda və ya makro ilə ofis sənədini işlədirsə ola bilər.
PT NAD nə edir?: bu cür faylları işə salınmazdan əvvəl köçürmə mərhələsində görür. Onlar haqqında məlumat onların ötürüldüyü sessiyaların kartında öyrənilə bilər.
12. : Windows İdarəetmə Alətləri
Windows sistem komponentlərinə yerli və uzaqdan girişi təmin edən WMI alətindən istifadə etməklə. WMI-dən istifadə edərək təcavüzkarlar yerli və uzaq sistemlərlə qarşılıqlı əlaqə qura və kəşfiyyat məqsədləri üçün məlumat toplamaq və yanal hərəkət zamanı prosesləri uzaqdan işə salmaq kimi müxtəlif tapşırıqları yerinə yetirə bilərlər.
PT NAD nə edir?: WMI vasitəsilə uzaq sistemlərlə qarşılıqlı əlaqə trafikdə göründüyü üçün PT NAD avtomatik olaraq WMI seansları yaratmaq üçün şəbəkə sorğularını aşkarlayır və WMI istifadə edən skriptlərin ötürülməsi faktına görə trafiki yoxlayır.
13. : Windows Uzaqdan İdarəetmə
İstifadəçiyə uzaq sistemlərlə qarşılıqlı əlaqə yaratmağa imkan verən Windows xidməti və protokolundan istifadə.
PT NAD nə edir?: Windows Remote Management istifadə edərək qurulan şəbəkə bağlantılarını görür. Belə seanslar qaydalarla avtomatik olaraq aşkar edilir.
14. : XSL (Extensible Stylesheet Language) skript emalı
XSL üslubunda işarələmə dili XML fayllarında məlumatların işlənməsi və göstərilməsini təsvir etmək üçün istifadə olunur. Mürəkkəb əməliyyatları dəstəkləmək üçün XSL standartı çoxsaylı dillərdə daxili skriptlərin dəstəyini ehtiva edir. Bu dillər ağ siyahıya alınmış təhlükəsizlik siyasətlərini aşan ixtiyari kodun icrasına imkan verir.
PT NAD nə edir?: belə faylların şəbəkə üzərindən ötürülməsini, yəni işə salınmamışdan əvvəl aşkarlayır. O, XSL fayllarının şəbəkə üzərindən ötürülməsini və anomal XSL işarələməsi olan faylları avtomatik aşkarlayır.
Aşağıdakı materiallarda biz PT Network Attack Discovery NTA sisteminin MITER ATT & CK-a uyğun olaraq təcavüzkarların digər taktika və üsullarını necə tapdığına baxacağıq. Bizimlə qalın!
Müəlliflər:
- Anton Kutepov, Positive Technologies ekspert təhlükəsizlik mərkəzinin (PT Ekspert Təhlükəsizlik Mərkəzi) mütəxəssisi
- Natalia Kazankova, Positive Technologies-in məhsul marketoloqu
Mənbə: www.habr.com