Как системите за анализ на трафика откриват хакерски тактики от MITER ATT&CK, използвайки примера на PT Network Attack Discovery

Според Verizon, по-голямата част (87%) от инцидентите със сигурността на информацията се случват в рамките на минути, докато на 68% от компаниите са нужни месеци, за да ги открият. Това се потвърждава и Изследване на института Ponemon, според който на повечето организации са нужни средно 206 дни, за да открият инцидент. Въз основа на нашите разследвания, хакерите могат да контролират инфраструктурата на компанията в продължение на години, без да бъдат открити. И така, в една от организациите, където нашите експерти проведоха разследване на инцидент със сигурността на информацията, беше разкрито, че хакерите напълно контролират цялата инфраструктура на организацията и редовно крадат важна информация в продължение на осем години.

Да приемем, че вече имате работещ SIEM, който събира регистрационни файлове и анализира събития, а антивирусите са инсталирани на крайните възли. Въпреки това, не всичко може да бъде открито с помощта на SIEM, както е невъзможно да се внедрят EDR системи за цялата мрежа, което означава, че „слепите“ зони не могат да бъдат избегнати. Системите за анализ на мрежовия трафик (NTA) помагат да се справят с тях. Тези решения откриват активността на нападателите в най-ранните етапи на проникване в мрежата, както и по време на опити за овладяване и развитие на атака вътре в мрежата.

Има два вида NTA: единият работи с NetFlow, другият анализира необработен трафик. Предимството на вторите системи е, че те могат да съхраняват необработени записи на трафика. Благодарение на това специалист по информационна сигурност може да провери успеха на атаката, да локализира заплахата, да разбере как е възникнала атаката и как да предотврати подобна в бъдеще.

Ще покажем как NTA може да се използва за идентифициране, чрез преки или косвени признаци, на всички известни тактики за атака, описани в базата знания. MITER ATT&CK. Ще говорим за всяка от 12-те тактики, ще анализираме техниките, които се откриват от трафика, и ще демонстрираме тяхното откриване с помощта на нашата NTA система.

Относно базата знания на ATT&CK

MITER ATT&CK е публична база от знания, разработена и поддържана от MITER Corporation въз основа на анализ на реални APT. Това е структуриран набор от тактики и техники, използвани от нападателите. Това позволява на професионалистите по информационна сигурност от цял ​​свят да говорят на един език. Базата данни непрекъснато се разширява и допълва с нови знания.

Базата данни идентифицира 12 тактики, които са разделени на етапи на кибератака:

• първоначален достъп (първоначален достъп);
• екзекуция (изпълнение);
• консолидация (постоянство);
• повишаване на привилегиите;
• предотвратяване на откриване (избягване на защита);
• получаване на идентификационни данни (достъп до идентификационни данни);
• разузнаване (откривателство);
• движение в периметъра (странично движение);
• събиране на данни (събиране);
• командване и управление;
• ексфилтрация на данни;
• въздействие.

За всяка тактика базата знания на ATT&CK изброява списък с техники, които помагат на нападателите да постигнат целта си на текущия етап от атаката. Тъй като една и съща техника може да се използва на различни етапи, тя може да се отнася до няколко тактики.

Описанието на всяка техника включва:

• идентификатор;
• списък на тактиките, в които се прилага;
• примери за използване от APT групи;
• мерки за намаляване на щетите от използването му;
• препоръки за откриване.

Специалистите по информационна сигурност могат да използват знанията от базата данни, за да структурират информацията за текущите методи на атака и, имайки това предвид, да изградят ефективна система за сигурност. Разбирането как действат истински APT групи също може да се превърне в източник на хипотези за проактивно търсене на заплахи в тях лов на заплахи.

Относно PT Network Attack Discovery

Ние ще идентифицираме използването на техники от ATT & CK матрицата, използвайки системата Откриване на PT мрежова атака - NTA система на Positive Technologies, предназначена за откриване на атаки в периметъра и вътре в мрежата. PT NAD покрива всичките 12 тактики от матрицата MITER ATT&CK в различна степен. Той е най-силен при идентифициране на първоначален достъп, странично движение и техники за командване и контрол. В тях PT NAD обхваща повече от половината от известните техники, като открива използването им по преки или косвени признаци.

Системата открива атаки с помощта на ATT&CK техники, като използва правила за откриване, създадени от командата PT експертен център за сигурност (PT ESC), машинно обучение, индикатори за компромис, дълбок анализ и ретроспективен анализ. Анализът на трафика в реално време, комбиниран с ретроспекция, ви позволява да идентифицирате текущата скрита злонамерена дейност и да проследите векторите на развитие и хронологията на атаките.

Тук пълно картографиране на PT NAD към MITRE ATT&CK матрица. Картината е голяма, затова ви предлагаме да я разгледате в отделен прозорец.

Първоначален достъп

Първоначалните тактики за достъп включват техники за проникване в мрежата на компанията. Целта на атакуващите на този етап е да доставят зловреден код на атакуваната система и да осигурят по-нататъшното му изпълнение.

Анализът на трафика на PT NAD разкрива седем техники за получаване на първоначален достъп:

1. T1189: компромис при шофиране

Техника, при която жертвата отваря уебсайт, който се използва от нападателите за използване на уеб браузър за получаване на токени за достъп до приложението.

Какво прави PT NAD?: Ако уеб трафикът не е шифрован, PT NAD проверява съдържанието на отговорите на HTTP сървъра. Именно в тези отговори се откриват експлойти, които позволяват на нападателите да изпълняват произволен код в браузъра. PT NAD автоматично открива такива експлойти с помощта на правила за откриване.

Освен това PT NAD открива заплахата в предишната стъпка. Правила и индикатори за компрометиране се задействат, ако потребителят посети сайт, който го пренасочи към сайт с куп експлойти.

2. T1190: използване на публично приложение

Използване на уязвимости в услуги, които са достъпни от интернет.

Какво прави PT NAD?: извършва задълбочена проверка на съдържанието на мрежовите пакети, разкривайки признаци на аномална активност в него. По-специално, има правила, които ви позволяват да откривате атаки срещу основните системи за управление на съдържанието (CMS), уеб интерфейси на мрежово оборудване, атаки срещу поща и FTP сървъри.

3. T1133: външни дистанционни услуги

Нападателите използват услуги за отдалечен достъп, за да се свържат с вътрешни мрежови ресурси отвън.

Какво прави PT NAD?: тъй като системата разпознава протоколите не по номерата на портовете, а по съдържанието на пакетите, потребителите на системата могат да филтрират трафика по такъв начин, че да намерят всички сесии на протоколи за отдалечен достъп и да проверят тяхната легитимност.

4. T1193: прикачен файл

Говорим за прословутото изпращане на фишинг прикачени файлове.

Какво прави PT NAD?: автоматично извлича файлове от трафика и ги проверява спрямо индикатори за компрометиране. Изпълнимите файлове в прикачените файлове се откриват от правила, които анализират съдържанието на пощенския трафик. В корпоративна среда подобна инвестиция се счита за аномална.

5. T1192: връзка за spearphishing

Използване на фишинг връзки. Техниката включва нападателите да изпращат фишинг имейл с линк, който при кликване изтегля злонамерена програма. По правило връзката е придружена от текст, съставен по всички правила на социалното инженерство.

Какво прави PT NAD?: Открива фишинг връзки, като използва индикатори за компрометиране. Например в интерфейса PT NAD виждаме сесия, в която е имало HTTP връзка чрез връзка, включена в списъка с фишинг адреси (phishing-url).

Връзка чрез връзка от списъка с индикатори за компрометирани фишинг-URL

6. T1199: доверителна връзка

Достъп до мрежата на жертвата чрез трети страни, с които жертвата има доверени отношения. Нападателите могат да проникнат в доверена организация и да се свържат чрез нея с целевата мрежа. За да направят това, те използват VPN връзки или домейн доверителни отношения, които могат да бъдат разкрити чрез анализ на трафика.

Какво прави PT NAD?: анализира протоколите на приложението и записва анализираните полета в базата данни, така че анализаторът по информационна сигурност да може да използва филтри, за да намери всички подозрителни VPN връзки или междудомейн връзки в базата данни.

7. T1078: валидни акаунти

Използване на стандартни, локални или домейн идентификационни данни за оторизация на външни и вътрешни услуги.

Какво прави PT NAD?: автоматично извлича идентификационни данни от HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos протоколи. В общия случай това е вход, парола и знак за успешно удостоверяване. Ако са били използвани, те се показват в съответната карта на сесията.

Екзекуция

Тактиките за изпълнение включват техники, които атакуващите използват за изпълнение на код на компрометирани системи. Изпълнението на злонамерен код помага на нападателите да установят присъствие (тактиката за постоянство) и да разширят достъпа до отдалечени системи в мрежата, като се движат вътре в периметъра.

PT NAD ви позволява да идентифицирате използването на 14 техники, използвани от нападателите за изпълнение на зловреден код.

1. T1191: CMSTP (инсталатор на профила на Microsoft Connection Manager)

Тактика, при която нападателите подготвят специално създаден злонамерен .inf инсталационен файл за вградената помощна програма Windows CMSTP.exe (инсталатор на профили на мениджъра на връзки). CMSTP.exe приема файл като параметър и инсталира сервизен профил за отдалечената връзка. В резултат на това CMSTP.exe може да се използва за изтегляне и изпълнение на библиотеки с динамични връзки (*.dll) или скриптове (*.sct) от отдалечени сървъри.

Какво прави PT NAD?: Автоматично открива предаването на специални файлове .inf в HTTP трафик. В допълнение, той открива HTTP трансфери на злонамерени скриптове и библиотеки с динамични връзки от отдалечен сървър.

2. T1059: интерфейс на командния ред

Взаимодействие с интерфейса на командния ред. Интерфейсът на командния ред може да се взаимодейства локално или отдалечено, например чрез помощни програми за отдалечен достъп.

Какво прави PT NAD?: автоматично открива наличието на черупки чрез отговори на команди за стартиране на различни помощни програми на командния ред, като ping, ifconfig.

3. T1175: компонентен обектен модел и разпределен COM

Използване на COM или DCOM технологии за изпълнение на код на локални или отдалечени системи, докато преминава през мрежата.

Какво прави PT NAD?: Открива подозрителни DCOM извиквания, които атакуващите обикновено използват за стартиране на програми.

4. T1203: експлоатация за клиентско изпълнение

Използване на уязвимости за изпълнение на произволен код на работна станция. Най-полезните експлойти за нападателите са тези, които позволяват кодът да бъде изпълнен на отдалечена система, тъй като те могат да бъдат използвани от нападателите, за да получат достъп до такава система. Техниката може да бъде приложена чрез следните методи: злонамерен пощенски списък, уеб сайт с експлойти за браузъри и отдалечено използване на уязвимости на приложения.

Какво прави PT NAD?: докато анализира пощенския трафик, PT NAD го проверява за наличие на изпълними файлове в прикачения файл. Автоматично извлича офис документи от имейли, които може да съдържат експлойти. Опитите за използване на уязвимости се виждат в трафика, който PT NAD открива автоматично.

5. T1170: мща

Използване на помощната програма mshta.exe, която изпълнява Microsoft HTML приложения (HTA) с разширение .hta. Тъй като mshta обработва файлове, заобикаляйки настройките за сигурност на браузъра, нападателите могат да използват mshta.exe, за да изпълнят злонамерени HTA, JavaScript или VBScript файлове.

Какво прави PT NAD?: .hta файловете за изпълнение през mshta се предават и по мрежата - това се вижда в трафика. PT NAD открива предаването на такива злонамерени файлове автоматично. Той улавя файлове и информацията за тях може да се види в картата на сесията.

6. T1086: powershell

Използване на PowerShell за търсене на информация и изпълнение на зловреден код.

Какво прави PT NAD?: Когато PowerShell се използва от нападатели дистанционно, PT NAD открива това с помощта на правила. Той открива езиковите ключови думи на PowerShell, които най-често се използват в злонамерени скриптове и предаването на скриптове на PowerShell през SMB.

7. T1053: планирана задача
Използвайте Windows Task Scheduler и други помощни програми за автоматично стартиране на програми или скриптове в определени моменти.

Какво прави PT NAD?: нападателите създават такива задачи, обикновено дистанционно, което означава, че такива сесии са видими в трафика. PT NAD автоматично открива подозрителни операции за създаване и модифициране на задачи с помощта на интерфейсите ATSVC и ITaskSchedulerService RPC.

8. T1064: скриптове

Изпълнение на скриптове за автоматизиране на различни действия на нападателите.

Какво прави PT NAD?: открива предаването на скриптове по мрежата, тоест дори преди да бъдат стартирани. Той открива съдържание на скрипт в необработен трафик и открива мрежово предаване на файлове с разширения, съответстващи на популярни скриптови езици.

9. T1035: изпълнение на услугата

Стартирайте изпълним файл, CLI инструкции или скрипт чрез взаимодействие с услуги на Windows, като например Service Control Manager (SCM).

Какво прави PT NAD?: проверява трафика на SMB и открива заявки към SCM по правила за създаване, модифициране и стартиране на услуга.

Техниката за стартиране на услуги може да се реализира с помощта на помощната програма за отдалечено изпълнение на команди PSExec. PT NAD анализира SMB протокола и открива използването на PSExec, когато използва файла PSEXESVC.exe или стандартното име на услугата PSEXECSVC за изпълнение на код на отдалечена машина. Потребителят трябва да провери списъка с изпълнени команди и легитимността на дистанционното изпълнение на команда от хоста.

Картата за атака в PT NAD показва данни за тактиките и техниките, използвани от матрицата ATT&CK, така че потребителят да може да разбере на какъв етап от атаката са нападателите, какви цели преследват и какви компенсаторни мерки да предприеме.

Активиране на правилото за използване на помощната програма PSExec, което може да означава опит за изпълнение на команди на отдалечена машина

10. T1072: софтуер на трети страни

Техника, при която нападателите получават достъп до софтуер за отдалечено администриране или корпоративна система за внедряване на софтуер и ги използват за изпълнение на зловреден код. Примери за такъв софтуер: SCCM, VNC, TeamViewer, HBSS, Altiris.
Между другото, техниката е особено актуална във връзка с масовия преход към отдалечена работа и в резултат на това свързването на множество домашни незащитени устройства чрез съмнителни канали за отдалечен достъп.

Какво прави PT NAD?: Автоматично открива работата на такъв софтуер в мрежата. Например, правилата се задействат от фактите за свързване чрез VNC протокола и активността на троянския кон EvilVNC, който тайно инсталира VNC сървър на хоста на жертвата и автоматично го стартира. Освен това PT NAD автоматично открива протокола TeamViewer, който помага на анализатора да намери всички такива сесии с помощта на филтър и да провери тяхната легитимност.

11. T1204: потребителско изпълнение

Техника, при която потребителят изпълнява файлове, които могат да предизвикат изпълнение на код. Това може да бъде, например, ако отвори изпълним файл или изпълни офис документ с макрос.

Какво прави PT NAD?: вижда такива файлове на етапа на прехвърляне, преди да бъдат стартирани. Информация за тях може да се проучи в картата на сесиите, в които са предадени.

12. T1047: Инструментариум за управление на Windows

Използване на инструмента WMI, който осигурява локален и отдалечен достъп до системните компоненти на Windows. Използвайки WMI, атакуващите могат да взаимодействат с локални и отдалечени системи и да изпълняват различни задачи, като събиране на информация за разузнавателни цели и дистанционно стартиране на процеси по време на странично движение.

Какво прави PT NAD?: Тъй като взаимодействията с отдалечени системи чрез WMI са видими в трафика, PT NAD автоматично открива мрежови заявки за установяване на WMI сесии и проверява трафика за факта, че се предават скриптове, които използват WMI.

13. T1028: Отдалечено управление на Windows

Използване на услуга и протокол на Windows, които позволяват на потребителя да взаимодейства с отдалечени системи.

Какво прави PT NAD?: Вижда мрежовите връзки, установени чрез отдалечено управление на Windows. Такива сесии се откриват автоматично от правилата.

14. T1220: XSL (Extensible Stylesheet Language) обработка на скриптове

Езикът за маркиране в стил XSL се използва за описание на обработката и изобразяването на данни в XML файлове. За да поддържа сложни операции, стандартът XSL включва поддръжка за вградени скриптове на множество езици. Тези езици позволяват изпълнението на произволен код, който заобикаля политиките за сигурност в белия списък.

Какво прави PT NAD?: открива предаването на такива файлове по мрежата, тоест дори преди да бъдат стартирани. Той автоматично открива предаването на XSL файлове по мрежата и файлове с аномално XSL маркиране.

В следващите материали ще разгледаме как системата PT Network Attack Discovery NTA намира други тактики и техники на нападателите в съответствие с MITER ATT & CK. Останете на линия!

Автори:

• Антон Кутепов, специалист на експертния център за сигурност (PT Expert Security Center) Positive Technologies
• Наталия Казанкова, продуктов маркетинг в Positive Technologies

Източник: www.habr.com