, Большасць (87%) інцыдэнтаў ИБ адбываюцца за лічаныя хвіліны, а на іх выяўленне ў 68% кампаній сыходзяць месяцы. Гэта пацвярджаецца і , паводле якога ў большасці арганізацый сыходзіць у сярэднім 206 дзён на выяўленне інцыдэнту. Па досведзе нашых расследаванняў, хакеры могуць гадамі кантраляваць інфраструктуру кампаніі і не быць выяўленымі. Так, у адной з арганізацый, дзе нашы эксперты праводзілі расследаванне інцыдэнту ИБ, было выяўлена, што хакеры поўнасцю кантралявалі ўсю інфраструктуру арганізацыі і рэгулярна выкрадалі важныя звесткі .
Дапушчальны, у вас ужо працуе SIEM, які збірае логі і аналізуе падзеі, і ўсталяваныя антывірусы на канчатковых вузлах. Тым не менш, , гэтак жа як і немагчыма на ўсю сетку ўкараніць сістэмы EDR, а значыць, "сляпых" зон не пазбегнуць. Справіцца з імі дапамагаюць сістэмы аналізу сеткавага трафіку (network traffic analysis, NTA). Гэтыя рашэнні выяўляюць актыўнасць зламыснікаў на самых ранніх этапах пранікнення ў сетку, а таксама падчас спроб замацавацца і развіць атаку ўнутры сеткі.
NTA бываюць двух відаў: адны працуюць з NetFlow, другія аналізуюць волкі трафік. Перавага другіх сістэм у тым, што яны могуць захоўваць запісы волкага трафіку. Дзякуючы гэтаму адмысловец па ИБ можа праверыць паспяховасць нападу, лакалізаваць пагрозу, зразумець, як напад адбылася і як прадухіліць аналагічную ў будучыні.
Мы пакажам, як з дапамогай NTA можна па прамых ці ўскосных прыкметах выяўляць усе вядомыя тактыкі нападаў, апісаныя ў базе ведаў. . Мы раскажам пра кожную з 12 тактык, разбяром тэхнікі, якія дэтэктуюцца па трафіку, і прадэманструем іх выяўленне з дапамогай нашай NTA-сістэмы.
Аб базе ведаў ATT&CK
MITRE ATT&CK – гэта агульнадаступная база ведаў, распрацаваная і падтрымліваемая карпарацыяй MITRE на аснове аналізу рэальных APT. Яна ўяўляе сабой структураваны набор тактык і тэхнік, якія выкарыстоўваюцца зламыснікамі. Гэта дазваляе спецыялістам па інфармацыйнай бяспецы з усяго свету размаўляць на адной мове. База ўвесь час пашыраецца і дапаўняецца новымі ведамі.
У базе вылучаюцца 12 тактык, якія падзелены па стадыях кібератакі:
- першапачатковы доступ (initial access);
- выкананне (execution);
- замацаванне (persistence);
- павышэнне прывілеяў (privilege escalation);
- прадухіленне выяўлення (defense evasion);
- атрыманне уліковых дадзеных (credential access);
- разведка (discovery);
- перасоўванне ўсярэдзіне перыметра (lateral movement);
- збор даных (collection);
- кіраванне і кантроль (command and control);
- эксфільтрацыя дадзеных (exfiltration);
- уздзеянне (impact).
Для кожнай тактыкі ў базе ведаў ATT&CK пералічаны спіс тэхнік, якія дапамагаюць зламыснікам у дасягненні мэты на бягучым этапе нападу. Паколькі адна і тая ж тэхніка можа быць скарыстана на розных этапах, яна можа ставіцца да некалькіх тактыкам.
Апісанне кожнай тэхнікі ўключае ў сябе:
- ідэнтыфікатар;
- спіс тактык, у якіх яна прымяняецца;
- прыклады выкарыстання APT-групоўкамі;
- меры па зніжэнні ўрону ад яе прымянення;
- рэкамендацыі па дэтэктаванні.
ИБ-спецыялісты могуць выкарыстоўваць веды з базы, каб структураваць інфармацыю аб актуальных метадах нападаў і з улікам гэтага пабудаваць эфектыўную сістэму бяспекі. Разуменне, як дзейнічаюць рэальныя APT-групоўкі, у тым ліку можа стаць крыніцай гіпотэз для праактыўнага пошуку пагроз у рамках .
Аб PT Network Attack Discovery
Выяўляць ужыванне тэхнік з матрыцы ATT&CK мы будзем з дапамогай сістэмы - NTA-сістэмы Positive Technologies, прызначанай для выяўлення нападаў на перыметры і ўнутры сеткі. PT NAD пакрывае ў рознай ступені ўсе 12 тактык матрыцы MITRE ATT \uXNUMX CK. Ён найболей моцны ў выяўленні тэхнік першапачатковага доступу (initial access), перасоўванні ўсярэдзіне перыметра (lateral movement) і кіраванні і кантролю (command and control). У іх PT NAD пакрывае больш за палову вядомых тэхнік, выяўляючы іх ужыванне па прамых або ўскосных прыкметах.
Сістэма выяўляе напады з ужываннем тэхнік ATT&CK з дапамогай правіл дэтэктавання, ствараных камандай. (PT ESC), машыннага навучання, індыкатараў кампраметацыі, глыбокай аналітыкі і рэтраспектыўнага аналізу. Разбор трафіку ў рэальным часе ў спалучэнні з рэтраспектывай дазваляе выяўляць бягучую ўтоеную шкоднасную актыўнасць і адсочваць вектары развіцця і храналогію нападаў.
поўны мапінг PT NAD на матрыцу MITRE ATT \uXNUMX CK. Карціна вялікая, так што прапануем вам яе разгледзець у асобным акне.
Першапачатковы доступ (initial access)
Тактыка атрымання першапачатковага доступу ўключае ў сябе тэхнікі для пранікнення ў сетку кампаніі. Мэта зламыснікаў на гэтым этапе - даставіць у атакаваную сістэму шкодны код і забяспечыць магчымасць яго далейшага выканання.
Аналіз трафіку з PT NAD дазваляе выявіць сем тэхнік атрымання першапачатковага доступу:
1. : drive-by compromise
Тэхніка, пры якой ахвяра адкрывае вэб-сайт, які выкарыстоўваецца зламыснікамі для эксплуатацыі вэб-браўзэра, атрымання токенаў доступу да дадатку.
Што робіць PT NAD: калі вэб-трафік не шыфраваны, PT NAD правярае змесціва адказаў HTTP-сервераў. Менавіта ў гэтых адказах знаходзяцца эксплойты, якія дазваляюць зламыснікам выканаць адвольны код усярэдзіне браўзэра. PT NAD аўтаматычна выяўляе такія эксплойты з дапамогай правіл дэтэктавання.
Дадаткова PT NAD выяўляе пагрозу на папярэднім кроку. Правілы і індыкатары кампраметацыі спрацоўваюць, калі карыстач наведаў сайт, які перанакіраваў яго на сайт са звязкам эксплойтаў.
2. : exploit public-facing application
Эксплуатацыя ўразлівасцяў у сэрвісах, даступных з інтэрнэту.
Што робіць PT NAD: вырабляе глыбокую інспекцыю зместу сеткавых пакетаў, выяўляючы ў ім прыкметы анамальнай актыўнасці. У прыватнасці, ёсць правілы, якія дазваляюць выяўляць напады на асноўныя сістэмы кіравання кантэнтам (content management system, CMS), вэб-інтэрфейсы сеткавага абсталявання, напады на паштовыя і FTP-серверы.
3. : external remote services
Ужыванне зламыснікамі службаў выдаленага доступу для падлучэння да рэсурсаў унутранай сеткі звонку.
Што робіць PT NAD: паколькі сістэма распазнае пратаколы не па нумарах портаў, а па змесцівам пакетаў, карыстачы сістэмы могуць адфільтраваць трафік так, каб знайсці ўсе сесіі пратаколаў выдаленага доступу і праверыць іх легітымнасць.
4. : spearphishing attachment
Размова ідзе аб праславутых адпраўках фішынгавых укладанняў.
Што робіць PT NAD: аўтаматычна здабывае файлы з трафіку і правярае іх па індыкатарах кампраметацыі. Выконваныя файлы ва ўкладаннях выяўляюцца правіламі, якія аналізуюць змесціва паштовага трафіку. У карпаратыўным асяроддзі такое ўкладанне лічыцца анамальным.
5. : spearphishing link
Выкарыстанне фішынгавых спасылак. Тэхніка мае на ўвазе адпраўку зламыснікамі фішынгавага ліста са спасылкай, пры кліку на якую спампоўваецца шкоднасная праграма. Як правіла, спасылку суправаджае тэкст, складзены па ўсіх правілах сацыяльнай інжынерыі.
Што робіць PT NAD: выяўляе фішынгавыя спасылкі з дапамогай індыкатараў кампраметацыі. Напрыклад, у інтэрфейсе PT NAD мы бачым сесію, у якой было HTTP-злучэнне па спасылцы, занесенай у спіс фішынгавых адрасоў (phishing-urls).
Злучэнне па спасылцы са спісу індыкатараў кампраметацыі phishing-urls
6. : trusted relationship
Доступ да сеткі ахвяры праз трэціх асоб, з якімі ў ахвяры ўстаноўлены давераныя ўзаемаадносіны. Зламыснікі могуць узламаць давераную арганізацыю і падключацца праз яе да мэтавай сеткі. Для гэтага яны выкарыстоўваюць VPN-злучэнні ці адносіны даверу даменаў, што можна выявіць з дапамогай аналізу трафіку.
Што робіць PT NAD: разбірае прыкладныя пратаколы і захоўвае разабраныя палі ў базу дадзеных, дзякуючы чаму ИБ-аналітык з дапамогай фільтраў можа знайсці ў базе дадзеных усе падазроныя VPN-злучэнні ці крос-даменныя падлучэнні.
7. : valid accounts
Выкарыстанне стандартных, лакальных ці даменных уліковых дадзеных для аўтарызацыі на вонкавых і ўнутраных сэрвісах.
Што робіць PT NAD: у аўтаматычным рэжыме здабывае уліковыя дадзеныя з пратаколаў HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. У агульным выпадку гэта лагін, пароль і прыкмета паспяховасці аўтэнтыфікацыі. Калі яны былі скарыстаны, яны адлюстроўваюцца ў адпаведнай картцы сесіі.
Выкананне (execution)
У тактыку Выкананне ўваходзяць тэхнікі, якія зламыснікі ўжываюць для выканання кода ў скампраметаваных сістэмах. Запуск шкоднаснага кода дапамагае атакавалым замацаваць прысутнасць (тактыка persistence) і пашырыць доступ да выдаленых сістэм у сеткі, перамяшчаючыся ўсярэдзіне перыметра.
PT NAD дазваляе выявіць прымяненне зламыснікамі 14 тэхнік, якія выкарыстоўваюцца для выканання шкоднаснага кода.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Тактыка, пры якой зламыснікі рыхтуюць адмысловы шкоднасны ўсталявальны INF-файл для ўбудаванай у Windows утыліты CMSTP.exe (усталёўшчык профіляў дыспетчара падлучэнняў). CMSTP.exe прымае файл у якасці параметру і ўстанаўлівае профіль службы для выдаленага падлучэння. У выніку CMSTP.exe можа быць скарыстаны для загрузкі і выкананні дынамічна падлучаных бібліятэк (*.dll) або скрыптлетаў (*.sct) з выдаленых сервераў.
Што робіць PT NAD: аўтаматычна выяўляе ў HTTP-трафіку перадачу INF-файлаў спецыяльнага віду. У дадатак да гэтага, ён выяўляе перадачу па пратаколе HTTP шкоднасных скрыптлетаў і дынамічна падключаюцца бібліятэк з выдаленага сервера.
2. : command-line interface
Узаемадзеянне з інтэрфейсам каманднага радка. З інтэрфейсам каманднага радка можна ўзаемадзейнічаць лакальна ці выдалена, напрыклад пры дапамозе ўтыліт выдаленага доступу.
Што робіць PT NAD: аўтаматычна дэтэктуе наяўнасць шеллов па адказах на каманды запуску розных утыліт каманднага радка, такіх як ping, ifconfig.
3. : component object model and distributed COM
Выкарыстанне тэхналогій COM або DCOM для выканання кода на лакальнай або выдаленых сістэмах пры прасоўванні па сетцы.
Што робіць PT NAD: дэтэктуе падазроныя DCOM-выклікі, якія зламыснікі звычайна выкарыстоўваюць для запуску праграм.
4. : exploitation for client execution
Эксплуатацыя ўразлівасцяў для выканання адвольнага кода на працоўнай станцыі. Найбольш карысныя для атакавалых эксплойты - тыя, якія дазваляюць выконваць код у выдаленай сістэме, бо з іх дапамогай зламыснікі могуць атрымаць доступ да такой сістэмы. Тэхніка можа быць рэалізавана наступнымі метадамі: шкоднаснае паштовае рассыланне, вэб-сайт з эксплойтамі для браўзэраў і выдаленая эксплуатацыя ўразлівасцяў прыкладанняў.
Што робіць PT NAD: падчас разбору паштовага трафіку PT NAD правярае яго на наяўнасць выкананых файлаў ва ўкладанні. Аўтаматычна здабывае офісныя дакументы з лістоў, у якіх могуць быць эксплойты. Спробы эксплуатацыі ўразлівасцяў бачныя ў трафіку, што PT NAD выяўляе аўтаматычна.
5. : mshta
Ужыванне ўтыліты mshta.exe, якая выконвае прыкладанні Microsoft HTML (HTA) з пашырэннем .hta. Бо mshta апрацоўвае файлы ў абыход налад бяспекі браўзэра, атакавалыя могуць выкарыстоўваць mshta.exe для выканання шкоднасных файлаў HTA, JavaScript ці VBScript.
Што робіць PT NAD: файлы .hta для выканання праз mshta перадаюцца ў тым ліку і па сетцы - гэта відаць у трафіку. PT NAD выяўляе перадачу такіх шкоднасных файлаў аўтаматычна. Ён захоплівае файлы, і інфармацыю аб іх можна паглядзець у картцы сесіі.
6. : PowerShell
Выкарыстанне PowerShell для пошуку інфармацыі і выкананні шкоднаснага кода.
Што робіць PT NAD: калі PowerShell прымяняецца атакавалымі выдалена, PT NAD дэтэктуе гэта з дапамогай правілаў. Ён выяўляе ключавыя словы мовы PowerShell, якія часцей за ўсё выкарыстоўваюцца ў шкоднасных скрыптах, і перадачу PowerShell-скрыптоў па пратаколе SMB.
7. : scheduled task
Ужыванне планавальніка задач Windows і іншых утыліт для аўтаматычнага запуску праграм ці скрыптоў у вызначаны час.
Што робіць PT NAD: атакавалыя ствараюць такія задачы, як правіла выдалена, а значыць такія сесіі бачныя ў трафіку. PT NAD аўтаматычна выяўляе падазроныя аперацыі па стварэнні і змене задач з выкарыстаннем RPC-інтэрфейсаў ATSVC і ITaskSchedulerService.
8. : scripting
Выкананне скрыптоў для аўтаматызацыі розных дзеянняў атакавалых.
Што робіць PT NAD: выяўляе факты перадачы скрыптоў па сетцы, гэта значыць яшчэ да іх запуску. Ён выяўляе кантэнт скрыптоў у волкім трафіку і дэтэктуе перадачу па сетцы файлаў з пашырэннямі, якія адпавядаюць папулярным скрыптовым мовам.
9. : service execution
Запуск выкананага файла, інструкцый інтэрфейсу каманднага радка або скрыпту з дапамогай узаемадзеяння са службамі Windows, напрыклад з дыспетчарам кіравання службамі (Service Control Manager, SCM).
Што робіць PT NAD: правярае SMB-трафік і дэтэктуе зварот да SCM правіламі на стварэнне, змену і запуск сэрвісу.
Тэхніка запуску службаў можа быць рэалізавана з дапамогай утыліты для выдаленага выканання каманд PSExec. PT NAD аналізуе пратакол SMB і дэтэктуе прымяненне PSExec, калі яна выкарыстоўвае файл PSEXESVC.exe або стандартнае імя сэрвісу PSEXECSVC для выканання кода на выдаленай машыне. Карыстальніку неабходна праверыць спіс выкананых каманд і легітымнасць выдаленага выканання каманд з вузла.
У картцы нападу ў PT NAD адлюстроўваюцца дадзеныя аб скарыстаных тактыках і тэхніках па матрыцы ATT&CK, каб карыстач мог зразумець, на якой стадыі нападу знаходзяцца зламыснікі, якія мэты яны пераследуюць і якія кампенсавальныя меры распачаць.
Спрацоўка правіла аб ужыванні ўтыліты PSExec, што можа сведчыць аб спробе выканання каманд на выдаленай машыне
10. : third-party software
Тэхніка, пры якой зламыснікі атрымліваюць доступ да ПЗ для выдаленага адміністравання або карпаратыўнай сістэме разгортвання ПЗ і з іх дапамогай запускаюць шкодны код. Прыклады такога ПЗ: SCCM, VNC, TeamViewer, HBSS, Altiris.
Дарэчы, тэхніка асабліва актуальная ў сувязі з масавым пераходам на выдаленую працу і, як следства, падлучэннем шматлікіх хатніх неабароненых прылад па сумнеўных каналах выдаленага доступу.
Што робіць PT NAD: аўтаматычна выяўляе ў сетцы працу такога ПЗ. Напрыклад, правілы спрацоўваюць на факты падлучэння па пратаколе VNC і актыўнасць траяна EvilVNC, які ўтойліва ўсталёўвае VNC-сервер на хост ахвяры і аўтаматычна яго запускае. Таксама PT NAD аўтаматычна вызначае пратакол TeamViewer, гэта дапамагае аналітыку пры дапамозе фільтра знайсці ўсе такія сесіі і праверыць іх легітымнасць.
11. : user execution
Тэхніка, пры якой карыстач запускае файлы, якія могуць прывесці да выканання кода. Гэта можа быць, напрыклад, калі ён адкрые выкананы файл ці запусціць офісны дакумент з макрасам.
Што робіць PT NAD: бачыць такія файлы яшчэ на этапе перадачы, да іх запуску. Інфармацыю аб іх можна вывучыць у картцы сесій, у якіх яны перадаваліся.
12. : Windows Management Instrumentation
Ужыванне прылады WMI, які забяспечвае магчымасць лакальнага і выдаленага доступу да сістэмных кампанентаў Windows. З дапамогай WMI атакавалы могуць узаемадзейнічаць з лакальнымі і выдаленымі сістэмамі і выконваць мноства задач, напрыклад збіраць інфармацыю ў мэтах выведкі і выдалена запускаць працэсы падчас гарызантальнага перасоўвання.
Што робіць PT NAD: так як узаемадзеянні з выдаленымі сістэмамі па WMI бачныя ў трафіку, PT NAD аўтаматычна выяўляе сеткавыя запыты на ўсталяванне WMI-сесій і правярае трафік на факт перадачы скрыптоў, якія выкарыстоўваюць WMI.
13. : Windows Remote Management
Выкарыстанне службы і пратаколу Windows, які дазваляе карыстачу ўзаемадзейнічаць з выдаленымі сістэмамі.
Што робіць PT NAD: бачыць сеткавыя злучэнні, усталяваныя з дапамогай Windows Remote Management. Такія сесіі дэтэктуюцца правіламі ў аўтаматычным рэжыме.
14. : XSL (Extensible Stylesheet Language) script processing
Мова разметкі стыляў XSL выкарыстоўваецца для апісання апрацоўкі і візуалізацыі дадзеных у XML-файлах. Для падтрымкі складаных аперацый стандарт XSL уключае падтрымку ўбудаваных сцэнарыяў на розных мовах. Дадзеныя мовы дазваляюць выконваць адвольны код, што вядзе да абыходу палітык бяспекі, заснаваных на белых спісах.
Што робіць PT NAD: выяўляе факты перадачы такіх файлаў па сетцы, гэта значыць яшчэ да іх запуску. Ён аўтаматычна выяўляе факт перадачы па сетцы XSL-файлаў і файлы з анамальнай XSL-разметкай.
У наступных матэрыялах мы разгледзім, як NTA-сістэма PT Network Attack Discovery знаходзіць іншыя тактыкі і тэхнікі зламыснікаў у адпаведнасці з MITRE ATT \uXNUMX CK. Stay tuned!
Аўтары:
- Антон Куцепаў, спецыяліст экспертнага цэнтра бяспекі (PT Expert Security Center) Positive Technologies
- Наталля Казанькова, прадуктовы маркетолаг Positive Technologies
Крыніца: habr.com