🥇Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

Согласно Verizon, большинство (87%) инцидентов ИБ происходят за считанные минуты, а на их обнаружение у 68% компаний уходят месяцы. Это подтверждается и исследованием Ponemon Institute, согласно которому у большинства организаций уходит в среднем 206 дней на обнаружение инцидента. По опыту наших расследований, хакеры могут годами контролировать инфраструктуру компании и не быть обнаруженными. Так, в одной из организаций, где наши эксперты проводили расследование инцидента ИБ, было выявлено, что хакеры полностью контролировали всю инфраструктуру организации и регулярно похищали важные сведения в течение восьми лет.

Допустим, у вас уже работает SIEM, который собирает логи и анализирует события, и установлены антивирусы на конечных узлах. Тем не менее, не все можно обнаружить с помощью SIEM, так же как и невозможно на всю сеть внедрить системы EDR, а значит, «слепых» зон не избежать. Справиться с ними помогают системы анализа сетевого трафика (network traffic analysis, NTA). Эти решения выявляют активность злоумышленников на самых ранних этапах проникновения в сеть, а также во время попыток закрепиться и развить атаку внутри сети.

NTA бывают двух видов: одни работают с NetFlow, вторые анализируют сырой трафик. Преимущество вторых систем в том, что они могут хранить записи сырого трафика. Благодаря этому специалист по ИБ может проверить успешность атаки, локализовать угрозу, понять, как атака произошла и как предотвратить аналогичную в будущем.

Мы покажем, как с помощью NTA можно по прямым или косвенным признакам выявлять все известные тактики атак, описанные в базе знаний MITRE ATT&CK. Мы расскажем о каждой из 12 тактик, разберем техники, которые детектируются по трафику, и продемонстрируем их обнаружение с помощью нашей NTA-системы.

О базе знаний ATT&CK

MITRE ATT&CK — это общедоступная база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT. Она представляет собой структурированный набор тактик и техник, используемых злоумышленниками. Это позволяет специалистам по информационной безопасности со всего мира разговаривать на одном языке. База постоянно расширяется и дополняется новыми знаниями.

В базе выделяются 12 тактик, которые разделены по стадиям кибератаки:

первоначальный доступ (initial access);
выполнение (execution);
закрепление (persistence);
повышение привилегий (privilege escalation);
предотвращение обнаружения (defense evasion);
получение учетных данных (credential access);
разведка (discovery);
перемещение внутри периметра (lateral movement);
сбор данных (collection);
управление и контроль (command and control);
эксфильтрация данных (exfiltration);
воздействие (impact).

Для каждой тактики в базе знаний ATT&CK перечислен список техник, которые помогают злоумышленникам в достижении цели на текущем этапе атаки. Поскольку одна и та же техника может быть использована на разных этапах, она может относиться к нескольким тактикам.

Описание каждой техники включает в себя:

идентификатор;
список тактик, в которых она применяется;
примеры использования APT-группировками;
меры по снижению ущерба от ее применения;
рекомендации по детектированию.

ИБ-специалисты могут использовать знания из базы, чтобы структурировать информацию об актуальных методах атак и с учетом этого построить эффективную систему безопасности. Понимание, как действуют реальные APT-группировки, в том числе может стать источником гипотез для проактивного поиска угроз в рамках threat hunting.

О PT Network Attack Discovery

Выявлять применение техник из матрицы ATT&CK мы будем с помощью системы PT Network Attack Discovery — NTA-системы Positive Technologies, предназначенной для выявления атак на периметре и внутри сети. PT NAD покрывает в разной степени все 12 тактик матрицы MITRE ATT&CK. Он наиболее силен в выявлении техник первоначального доступа (initial access), перемещения внутри периметра (lateral movement) и управления и контроля (command and control). В них PT NAD покрывает более половины известных техник, обнаруживая их применение по прямым или косвенным признакам.

Система выявляет атаки с применением техник ATT&CK с помощью правил детектирования, создаваемых командой PT Expert Security Center (PT ESC), машинного обучения, индикаторов компрометации, глубокой аналитики и ретроспективного анализа. Разбор трафика в реальном времени в сочетании с ретроспективой позволяет выявлять текущую скрытую вредоносную активность и отслеживать векторы развития и хронологию атак.

Вот здесь полный маппинг PT NAD на матрицу MITRE ATT&CK. Картина большая, так что предлагаем вам ее рассмотреть в отдельном окне.

Первоначальный доступ (initial access)

Тактика получения первоначального доступа включает в себя техники для проникновения в сеть компании. Цель злоумышленников на этом этапе — доставить в атакуемую систему зловредный код и обеспечить возможность его дальнейшего выполнения.

Анализ трафика с PT NAD позволяет выявить семь техник получения первоначального доступа:

1. T1189: drive-by compromise

Техника, при которой жертва открывает веб-сайт, который используется злоумышленниками для эксплуатации веб-браузера, получения токенов доступа к приложению.

Что делает PT NAD: если веб-трафик не шифрованный, PT NAD инспектирует содержимое ответов HTTP-серверов. Именно в этих ответах находятся эксплойты, которые позволяют злоумышленникам исполнить произвольный код внутри браузера. PT NAD автоматически выявляет такие эксплойты с помощью правил детектирования.

Дополнительно PT NAD обнаруживает угрозу на предыдущем шаге. Правила и индикаторы компрометации срабатывают, если пользователь посетил сайт, который перенаправил его на сайт со связкой эксплойтов.

2. T1190: exploit public-facing application

Эксплуатация уязвимостей в сервисах, которые доступны из интернета.

Что делает PT NAD: производит глубокую инспекцию содержимого сетевых пакетов, выявляя в нем признаки аномальной активности. В частности, есть правила, позволяющие обнаруживать атаки на основные системы управления контентом (content management system, CMS), веб-интерфейсы сетевого оборудования, атаки на почтовые и FTP-серверы.

3. T1133: external remote services

Применение злоумышленниками служб удаленного доступа для подключения к ресурсам внутренней сети извне.

Что делает PT NAD: так как система распознает протоколы не по номерам портов, а по содержимому пакетов, пользователи системы могут отфильтровать трафик так, чтобы найти все сессии протоколов удаленного доступа и проверить их легитимность.

4. T1193: spearphishing attachment

Речь идет о пресловутых отправках фишинговых вложений.

Что делает PT NAD: автоматически извлекает файлы из трафика и проверяет их по индикаторам компрометации. Исполняемые файлы во вложениях выявляются правилами, которые анализируют содержимое почтового трафика. В корпоративной среде такое вложение считается аномальным.

5. T1192: spearphishing link

Использование фишинговых ссылок. Техника подразумевает отправку злоумышленниками фишингового письма со ссылкой, при клике на которую скачивается вредоносная программа. Как правило, ссылку сопровождает текст, составленный по всем правилам социальной инженерии.

Что делает PT NAD: выявляет фишинговые ссылки с помощью индикаторов компрометации. Например, в интерфейсе PT NAD мы видим сессию, в которой было HTTP-соединение по ссылке, занесенной в список фишинговых адресов (phishing-urls).

Соединение по ссылке из списка индикаторов компрометации phishing-urls

6. T1199: trusted relationship

Доступ к сети жертвы через третьих лиц, с которыми у жертвы установлены доверенные взаимоотношения. Злоумышленники могут взломать доверенную организацию и подключаться через нее к целевой сети. Для этого они используют VPN-соединения или отношения доверия доменов, что можно выявить с помощью анализа трафика.

Что делает PT NAD: разбирает прикладные протоколы и сохраняет разобранные поля в базу данных, благодаря чему ИБ-аналитик с помощью фильтров может найти в базе данных все подозрительные VPN-соединения или кросс-доменные подключения.

7. T1078: valid accounts

Использование стандартных, локальных или доменных учетных данных для авторизации на внешних и внутренних сервисах.

Что делает PT NAD: в автоматическом режиме извлекает учетные данные из протоколов HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. В общем случае это логин, пароль и признак успешности аутентификации. Если они были использованы, они отображаются в соответствующей карточке сессии.

Выполнение (execution)

В тактику Выполнение входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Запуск вредоносного кода помогает атакующим закрепить присутствие (тактика persistence) и расширить доступ к удаленным системам в сети, перемещаясь внутри периметра.

PT NAD позволяет выявить применение злоумышленниками 14 техник, используемых для выполнения вредоносного кода.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

Тактика, при которой злоумышленники готовят специальный вредоносный установочный INF-файл для встроенной в Windows утилиты CMSTP.exe (установщик профилей диспетчера подключений). CMSTP.exe принимает файл в качестве параметра и устанавливает профиль службы для удаленного подключения. В результате CMSTP.exe может быть использован для загрузки и выполнения динамически подключаемых библиотек (*.dll) или скриптлетов (*.sct) с удаленных серверов.

Что делает PT NAD: автоматически обнаруживает в HTTP-трафике передачу INF-файлов специального вида. В дополнение к этому, он обнаруживает передачу по протоколу HTTP вредоносных скриптлетов и динамически подключаемых библиотек с удаленного сервера.

2. T1059: command-line interface

Взаимодействие с интерфейсом командной строки. C интерфейсом командной строки можно взаимодействовать локально или удаленно, например при помощи утилит удаленного доступа.

Что делает PT NAD: автоматически детектирует наличие шеллов по ответам на команды запуска различных утилит командной строки, таких как ping, ifconfig.

3. T1175: component object model and distributed COM

Использование технологий COM или DCOM для выполнения кода на локальной или удаленных системах при продвижении по сети.

Что делает PT NAD: детектирует подозрительные DCOM-вызовы, которые злоумышленники обычно используют для запуска программ.

4. T1203: exploitation for client execution

Эксплуатация уязвимостей для выполнения произвольного кода на рабочей станции. Наиболее полезные для атакующих эксплойты — те, которые позволяют выполнять код в удаленной системе, так как с их помощью злоумышленники могут получить доступ к такой системе. Техника может быть реализована следующими методами: вредоносная почтовая рассылка, веб-сайт с эксплойтами для браузеров и удаленная эксплуатация уязвимостей приложений.

Что делает PT NAD: во время разбора почтового трафика PT NAD проверяет его на наличие исполняемых файлов во вложении. Автоматически извлекает офисные документы из писем, в которых могут быть эксплойты. Попытки эксплуатации уязвимостей видны в трафике, что PT NAD выявляет автоматически.

5. T1170: mshta

Применение утилиты mshta.exe, которая выполняет приложения Microsoft HTML (HTA) с расширением .hta. Так как mshta обрабатывает файлы в обход настроек безопасности браузера, атакующие могут использовать mshta.exe для выполнения вредоносных файлов HTA, JavaScript или VBScript.

Что делает PT NAD: файлы .hta для исполнения через mshta передаются в том числе и по сети — это видно в трафике. PT NAD выявляет передачу таких вредоносных файлов автоматически. Он захватывает файлы, и информацию о них можно посмотреть в карточке сессии.

6. T1086: PowerShell

Использование PowerShell для поиска информации и выполнения вредоносного кода.

Что делает PT NAD: когда PowerShell применяется атакующими удаленно, PT NAD детектирует это с помощью правил. Он обнаруживает ключевые слова языка PowerShell, которые чаще всего используются во вредоносных скриптах, и передачу PowerShell-скриптов по протоколу SMB.

7. T1053: scheduled task
Применение планировщика задач Windows и других утилит для автоматического запуска программ или скриптов в определенное время.

Что делает PT NAD: атакующие создают такие задачи, как правило удаленно, а значит такие сессии видны в трафике. PT NAD автоматически выявляет подозрительные операции по созданию и изменению задач с использованием RPC-интерфейсов ATSVC и ITaskSchedulerService.

8. T1064: scripting

Исполнение скриптов для автоматизации различных действий атакующих.

Что делает PT NAD: выявляет факты передачи скриптов по сети, то есть еще до их запуска. Он обнаруживает контент скриптов в сыром трафике и детектирует передачу по сети файлов с расширениями, соответствующими популярным скриптовым языкам.

9. T1035: service execution

Запуск исполняемого файла, инструкций интерфейса командной строки или скрипта с помощью взаимодействия со службами Windows, например с диспетчером управления службами (Service Control Manager, SCM).

Что делает PT NAD: инспектирует SMB-трафик и детектирует обращение к SCM правилами на создание, изменение и запуск сервиса.

Техника запуска служб может быть реализована с помощью утилиты для удаленного выполнения команд PSExec. PT NAD анализирует протокол SMB и детектирует применение PSExec, когда она использует файл PSEXESVC.exe или стандартное имя сервиса PSEXECSVC для выполнения кода на удаленной машине. Пользователю необходимо проверить список выполненных команд и легитимность удаленного выполнения команд с узла.

В карточке атаки в PT NAD отображаются данные об использованных тактиках и техниках по матрице ATT&CK, чтобы пользователь мог понять, на какой стадии атаки находятся злоумышленники, какие цели они преследуют и какие компенсирующие меры предпринять.

Сработка правила о применении утилиты PSExec, что может свидетельствовать о попытке выполнения команд на удаленной машине

10. T1072: third-party software

Техника, при которой злоумышленники получают доступ к ПО для удаленного администрирования или корпоративной системе развертывания ПО и с их помощью запускают зловредный код. Примеры такого ПО: SCCM, VNC, TeamViewer, HBSS, Altiris.
Кстати, техника особенно актуальна в связи с массовым переходом на удаленную работу и, как следствие, подключением многочисленных домашних незащищенных устройств по сомнительным каналам удаленного доступа

Что делает PT NAD: автоматически выявляет в сети работу такого ПО. Например, правила срабатывают на факты подключения по протоколу VNC и активность трояна EvilVNC, который скрытно устанавливает VNC-сервер на хост жертвы и автоматически его запускает. Также PT NAD автоматически определяет протокол TeamViewer, это помогает аналитику при помощи фильтра найти все такие сессии и проверить их легитимность.

11. T1204: user execution

Техника, при которой пользователь запускает файлы, которые могут привести к исполнению кода. Это может быть, например, если он откроет исполняемый файл или запустит офисный документ с макросом.

Что делает PT NAD: видит такие файлы еще на этапе передачи, до их запуска. Информацию о них можно изучить в карточке сессий, в которых они передавались.

12. T1047: Windows Management Instrumentation

Применение инструмента WMI, который обеспечивает возможность локального и удаленного доступа к системным компонентам Windows. С помощью WMI атакующие могут взаимодействовать с локальными и удаленными системами и выполнять множество задач, например собирать информацию в целях разведки и удаленно запускать процессы в ходе горизонтального перемещения.

Что делает PT NAD: так как взаимодействия с удаленными системами по WMI видны в трафике, PT NAD автоматически обнаруживает сетевые запросы на установление WMI-сессий и проверяет трафик на факт передачи скриптов, которые используют WMI.

13. T1028: Windows Remote Management

Использование службы и протокола Windows, который позволяет пользователю взаимодействовать с удаленными системами.

Что делает PT NAD: видит сетевые соединения, установленные с помощью Windows Remote Management. Такие сессии детектируются правилами в автоматическом режиме.

14. T1220: XSL (Extensible Stylesheet Language) script processing

Язык разметки стилей XSL используется для описания обработки и визуализации данных в XML-файлах. Для поддержки сложных операций стандарт XSL включает поддержку встроенных сценариев на разных языках. Данные языки позволяют выполнять произвольный код, что ведет к обходу политик безопасности, основанных на белых списках.

Что делает PT NAD: выявляет факты передачи таких файлов по сети, то есть еще до их запуска. Он автоматически обнаруживает факт передачи по сети XSL-файлов и файлы с аномальной XSL-разметкой.

В следующих материалах мы рассмотрим, как NTA-система PT Network Attack Discovery находит другие тактики и техники злоумышленников в соответствии с MITRE ATT&CK. Stay tuned!

Авторы:

Антон Кутепов, специалист экспертного центра безопасности (PT Expert Security Center) Positive Technologies
Наталия Казанькова, продуктовый маркетолог Positive Technologies

Источник: habr.com