, većina (87%) incidenata u informacijskoj sigurnosti događa se za nekoliko minuta, a za 68% kompanija potrebni su mjeseci da ih otkriju. Ovo potvrđuje i , prema kojem je većini organizacija potrebno u prosjeku 206 dana da otkriju incident. Na osnovu iskustva naših istraga, hakeri mogu godinama kontrolirati infrastrukturu kompanije, a da ne budu otkriveni. Tako je u jednoj od organizacija u kojoj su naši stručnjaci istraživali incident u vezi s informacijskom sigurnošću otkriveno da su hakeri u potpunosti kontrolirali cjelokupnu infrastrukturu organizacije i redovno krali važne informacije .
Recimo da već imate pokrenut SIEM koji prikuplja evidencije i analizira događaje, a antivirusni softver je instaliran na krajnjim čvorovima. ipak, , kao što je nemoguće implementirati EDR sisteme u cijeloj mreži, što znači da se ne mogu izbjeći „slijepe“ tačke. Sistemi za analizu mrežnog saobraćaja (NTA) pomažu u rješavanju njih. Ova rješenja otkrivaju aktivnost napadača u najranijim fazama prodora u mrežu, kao i prilikom pokušaja da se učvrste i razviju napad unutar mreže.
Postoje dva tipa NTA: neki rade sa NetFlow-om, drugi analiziraju sirovi saobraćaj. Prednost drugog sistema je u tome što mogu pohraniti neobrađene podatke o prometu. Zahvaljujući tome, stručnjak za informacijsku sigurnost može provjeriti uspješnost napada, lokalizirati prijetnju, razumjeti kako je došlo do napada i kako spriječiti sličan napad u budućnosti.
Pokazat ćemo kako pomoću NTA možete koristiti direktne ili indirektne dokaze da identificirate sve poznate taktike napada opisane u bazi znanja . Razgovaraćemo o svakoj od 12 taktika, analizirati tehnike koje detektuje saobraćaj i demonstrirati njihovo otkrivanje pomoću našeg NTA sistema.
O ATT&CK bazi znanja
MITER ATT&CK je javna baza znanja koju je razvila i održava MITER Corporation zasnovana na analizi stvarnih APT-ova. To je strukturirani skup taktika i tehnika koje koriste napadači. Ovo omogućava stručnjacima za informatičku sigurnost iz cijelog svijeta da govore istim jezikom. Baza podataka se stalno širi i dopunjuje novim saznanjima.
Baza podataka identificira 12 taktika, koje su podijeljene po fazama cyber napada:
- početni pristup;
- izvršenje;
- konsolidacija (upornost);
- eskalacija privilegija;
- sprečavanje otkrivanja (izbjegavanje odbrane);
- pribavljanje vjerodajnica (pristup vjerodajnicama);
- istraživanje;
- kretanje unutar perimetra (bočno kretanje);
- prikupljanje (prikupljanje) podataka;
- komandovanje i kontrola;
- eksfiltracija podataka;
- uticaj.
Za svaku taktiku, ATT&CK baza znanja navodi listu tehnika koje pomažu napadačima da postignu svoj cilj u trenutnoj fazi napada. Pošto se ista tehnika može koristiti u različitim fazama, može se odnositi na nekoliko taktika.
Opis svake tehnike uključuje:
- identifikator;
- spisak taktika u kojima se koristi;
- primjeri upotrebe od strane APT grupa;
- mjere za smanjenje štete od njegove upotrebe;
- preporuke za otkrivanje.
Stručnjaci za sigurnost informacija mogu koristiti znanje iz baze podataka kako bi strukturirali informacije o trenutnim metodama napada i, uzimajući to u obzir, izgradili efikasan sigurnosni sistem. Razumijevanje kako prave APT grupe funkcionišu takođe može postati izvor hipoteza za proaktivno traženje prijetnji unutar njih .
O PT Network Attack Discovery
Identifikovaćemo upotrebu tehnika iz ATT&CK matrice koristeći sistem — Positive Technologies NTA sistem, dizajniran za otkrivanje napada na perimetru i unutar mreže. PT NAD pokriva, u različitom stepenu, svih 12 taktika MITER ATT&CK matrice. Najmoćniji je u identifikaciji tehnika za početni pristup, bočno kretanje i komandu i kontrolu. U njima PT NAD pokriva više od polovine poznatih tehnika, otkrivajući njihovu primjenu direktnim ili indirektnim znakovima.
Sistem otkriva napade koristeći ATT&CK tehnike koristeći pravila detekcije koja je kreirao tim (PT ESC), mašinsko učenje, indikatori kompromisa, duboka analitika i retrospektivna analiza. Analiza saobraćaja u realnom vremenu u kombinaciji sa retrospektivom omogućava vam da identifikujete trenutne skrivene zlonamerne aktivnosti i pratite vektore razvoja i hronologiju napada.
potpuno mapiranje PT NAD u MITER ATT&CK matricu. Slika je velika, pa predlažemo da je pogledate u posebnom prozoru.
Početni pristup
Početne taktike pristupa uključuju tehnike za prodor u mrežu kompanije. Cilj napadača u ovoj fazi je da napadnutom sistemu isporuče zlonamjerni kod i osiguraju mogućnost njegovog daljeg izvršavanja.
Analiza saobraćaja iz PT NAD otkriva sedam tehnika za dobijanje početnog pristupa:
1. : drive-by kompromis
Tehnika u kojoj žrtva otvara web stranicu koju napadači koriste za iskorištavanje web preglednika i dobivanje tokena za pristup aplikaciji.
Šta radi PT NAD?: Ako web promet nije šifriran, PT NAD provjerava sadržaj odgovora HTTP servera. Ovi odgovori sadrže eksploatacije koje omogućavaju napadačima da izvrše proizvoljan kod unutar pretraživača. PT NAD automatski otkriva takve eksploatacije koristeći pravila detekcije.
Dodatno, PT NAD otkriva prijetnju u prethodnom koraku. Pravila i indikatori kompromisa se aktiviraju ako je korisnik posjetio stranicu koja ga je preusmjerila na stranicu s gomilom exploit-a.
2. : iskoristiti aplikaciju koja je okrenuta javnosti
Iskorišćavanje ranjivosti u uslugama koje su dostupne sa Interneta.
Šta radi PT NAD?: Obavlja duboku inspekciju sadržaja mrežnih paketa, identifikujući znakove anomalne aktivnosti. Konkretno, postoje pravila koja vam omogućavaju da otkrijete napade na glavne sisteme za upravljanje sadržajem (CMS), web interfejse mrežne opreme i napade na mail i FTP servere.
3. : eksterni daljinski servisi
Napadači koriste usluge udaljenog pristupa za povezivanje na interne mrežne resurse izvana.
Šta radi PT NAD?: pošto sistem ne prepoznaje protokole po brojevima portova, već po sadržaju paketa, korisnici sistema mogu filtrirati promet kako bi pronašli sve sesije protokola za daljinski pristup i provjerili njihovu legitimnost.
4. Dodatna oprema: spearphishing dodatak
Govorimo o ozloglašenom slanju phishing priloga.
Šta radi PT NAD?: Automatski izdvaja datoteke iz prometa i provjerava ih u odnosu na indikatore kompromitacije. Izvršne datoteke u prilozima otkrivaju se pravilima koja analiziraju sadržaj prometa pošte. U korporativnom okruženju, takva investicija se smatra anomalnom.
5. : spearphishing veza
Korištenje phishing linkova. Tehnika uključuje napadači koji šalju phishing email sa vezom koja, kada se klikne, preuzima zlonamjerni program. U pravilu, link prati tekst sastavljen u skladu sa svim pravilima društvenog inženjeringa.
Šta radi PT NAD?: Otkriva phishing veze koristeći indikatore kompromisa. Na primjer, u PT NAD interfejsu vidimo sesiju u kojoj je postojala HTTP veza preko veze uključene u listu phishing adresa (phishing-urls).
Povezivanje preko linka sa liste indikatora kompromitovanih phishing-url-ova
6. : odnos od poverenja
Pristup mreži žrtve preko trećih lica sa kojima je žrtva uspostavila odnos od poverenja. Napadači mogu hakovati pouzdanu organizaciju i preko nje se povezati na ciljnu mrežu. Da bi to učinili, koriste VPN veze ili povjerenja domena, koja se mogu identificirati analizom prometa.
Šta radi PT NAD?: analizira protokole aplikacije i sprema raščlanjena polja u bazu podataka, tako da analitičar sigurnosti informacija može koristiti filtere da pronađe sve sumnjive VPN veze ili veze između domena u bazi podataka.
7. : važeći računi
Korištenje standardnih, lokalnih ili domenskih vjerodajnica za autorizaciju na eksternim i internim uslugama.
Šta radi PT NAD?: Automatski preuzima vjerodajnice iz HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokola. Općenito, ovo je prijava, lozinka i znak uspješne autentifikacije. Ako su korišteni, oni se prikazuju na odgovarajućoj kartici sesije.
Izvršenje
Taktike izvršenja uključuju tehnike koje napadači koriste za izvršavanje koda na kompromitovanim sistemima. Pokretanje zlonamjernog koda pomaže napadačima da uspostave prisutnost (taktika postojanosti) i prošire pristup udaljenim sistemima na mreži krećući se unutar perimetra.
PT NAD vam omogućava da otkrijete upotrebu 14 tehnika koje koriste napadači za izvršavanje zlonamjernog koda.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktika u kojoj napadači pripremaju specijalnu zlonamjernu instalacijsku INF datoteku za ugrađeni Windows uslužni program CMSTP.exe (Instalator profila za upravljanje povezivanjem). CMSTP.exe uzima datoteku kao parametar i instalira servisni profil za udaljenu vezu. Kao rezultat, CMSTP.exe se može koristiti za učitavanje i izvršavanje biblioteka dinamičkih veza (*.dll) ili skriptleta (*.sct) sa udaljenih servera.
Šta radi PT NAD?: Automatski otkriva prijenos posebnih tipova INF datoteka u HTTP prometu. Pored toga, detektuje HTTP prenos zlonamernih skriptleta i biblioteka dinamičkih veza sa udaljenog servera.
2. : interfejs komandne linije
Interakcija sa interfejsom komandne linije. Sučelje komandne linije može se komunicirati lokalno ili udaljeno, na primjer pomoću pomoćnih programa za daljinski pristup.
Šta radi PT NAD?: automatski detektuje prisustvo školjki na osnovu odgovora na komande za pokretanje različitih uslužnih programa komandne linije, kao što su ping, ifconfig.
3. : komponentni objektni model i distribuirani COM
Upotreba COM ili DCOM tehnologija za izvršavanje koda na lokalnim ili udaljenim sistemima dok se krećete kroz mrežu.
Šta radi PT NAD?: Otkriva sumnjive DCOM pozive koje napadači obično koriste za pokretanje programa.
4. : eksploatacija za klijentsko izvršenje
Iskorištavanje ranjivosti za izvršavanje proizvoljnog koda na radnoj stanici. Najkorisniji eksploati za napadače su oni koji dozvoljavaju izvršavanje koda na udaljenom sistemu, jer mogu omogućiti napadačima da dobiju pristup tom sistemu. Tehnika se može implementirati korištenjem sljedećih metoda: zlonamjerno slanje e-pošte, web stranica sa eksploatacijom pretraživača i daljinska eksploatacija ranjivosti aplikacija.
Šta radi PT NAD?: Prilikom raščlanjivanja saobraćaja pošte, PT NAD ga provjerava da li ima izvršnih datoteka u prilozima. Automatski izdvaja uredske dokumente iz e-poruka koji mogu sadržavati eksploatacije. Pokušaji iskorištavanja ranjivosti vidljivi su u prometu, što PT NAD automatski detektuje.
5. : mshta
Koristite uslužni program mshta.exe koji pokreće Microsoft HTML aplikacije (HTA) sa ekstenzijom .hta. Budući da mshta obrađuje datoteke zaobilazeći sigurnosne postavke pretraživača, napadači mogu koristiti mshta.exe da izvrše zlonamjerne HTA, JavaScript ili VBScript datoteke.
Šta radi PT NAD?: .hta fajlovi za izvršavanje preko mshta se takođe prenose preko mreže - to se vidi u saobraćaju. PT NAD automatski otkriva prijenos takvih zlonamjernih datoteka. Snima datoteke, a informacije o njima mogu se vidjeti na kartici sesije.
6. : PowerShell
Korištenje PowerShell-a za pronalaženje informacija i izvršavanje zlonamjernog koda.
Šta radi PT NAD?: Kada PowerShell koriste udaljeni napadači, PT NAD to otkriva pomoću pravila. Otkriva ključne riječi PowerShell jezika koje se najčešće koriste u zlonamjernim skriptama i prijenosu PowerShell skripti preko SMB protokola.
7. : zakazani zadatak
Korišćenje Windows Planera zadataka i drugih uslužnih programa za automatsko pokretanje programa ili skripti u određeno vreme.
Šta radi PT NAD?: napadači kreiraju takve zadatke, obično na daljinu, što znači da su takve sesije vidljive u prometu. PT NAD automatski otkriva sumnjive operacije kreiranja i modifikacije zadataka koristeći ATSVC i ITaskSchedulerService RPC interfejse.
8. : skriptiranje
Izvršavanje skripti za automatizaciju raznih akcija napadača.
Šta radi PT NAD?: otkriva prijenos skripti preko mreže, odnosno čak i prije nego što se pokrenu. On detektuje sadržaj skripte u sirovom saobraćaju i detektuje mrežni prenos datoteka sa ekstenzijama koje odgovaraju popularnim skript jezicima.
9. : izvršenje usluge
Pokrenite izvršnu datoteku, uputstva za interfejs komandne linije ili skriptu u interakciji sa Windows uslugama, kao što je Service Control Manager (SCM).
Šta radi PT NAD?: provjerava SMB promet i otkriva pristup SCM-u s pravilima za kreiranje, promjenu i pokretanje usluge.
Tehnika pokretanja usluge može se implementirati pomoću uslužnog programa za daljinsko izvršavanje naredbi PSExec. PT NAD analizira SMB protokol i detektuje upotrebu PSExec-a kada koristi datoteku PSEXESVC.exe ili standardno ime usluge PSEXECSVC za izvršavanje koda na udaljenom računaru. Korisnik treba provjeriti listu izvršenih komandi i legitimnost daljinskog izvršavanja naredbi sa hosta.
Kartica napada u PT NAD prikazuje podatke o taktikama i tehnikama koje se koriste prema ATT&CK matrici kako bi korisnik mogao razumjeti u kojoj se fazi napada nalaze napadači, koje ciljeve slijede i koje mjere kompenzacije treba poduzeti.
Aktivira se pravilo o korištenju uslužnog programa PSExec, što može ukazivati na pokušaj izvršavanja naredbi na udaljenom računalu
10. : softver treće strane
Tehnika u kojoj napadači dobijaju pristup softveru za udaljenu administraciju ili sistemu za implementaciju korporativnog softvera i koriste ga za pokretanje zlonamernog koda. Primjeri takvog softvera: SCCM, VNC, TeamViewer, HBSS, Altiris.
Inače, tehnika je posebno relevantna u vezi s masovnim prelaskom na daljinski rad i, kao rezultat, povezivanjem brojnih nezaštićenih kućnih uređaja putem sumnjivih kanala daljinskog pristupa
Šta radi PT NAD?: automatski otkriva rad takvog softvera na mreži. Na primjer, pravila se pokreću vezama putem VNC protokola i aktivnostima EvilVNC Trojanca, koji tajno instalira VNC server na žrtvin host i automatski ga pokreće. Takođe, PT NAD automatski detektuje TeamViewer protokol, što pomaže analitičaru da pomoću filtera pronađe sve takve sesije i proveri njihovu legitimnost.
11. : izvršenje korisnika
Tehnika u kojoj korisnik pokreće datoteke koje mogu dovesti do izvršenja koda. To bi moglo biti, na primjer, ako otvori izvršnu datoteku ili pokrene uredski dokument s makroom.
Šta radi PT NAD?: vidi takve datoteke u fazi prijenosa, prije nego što se pokrenu. Informacije o njima mogu se proučiti u kartici sesija u kojima su prenošene.
12. :Windows Management Instrumentation
Upotreba WMI alata, koji omogućava lokalni i udaljeni pristup komponentama Windows sistema. Koristeći WMI, napadači mogu komunicirati sa lokalnim i udaljenim sistemima i obavljati različite zadatke, kao što su prikupljanje informacija za potrebe izviđanja i pokretanje procesa na daljinu dok se kreću bočno.
Šta radi PT NAD?: Pošto su interakcije sa udaljenim sistemima preko WMI-ja vidljive u prometu, PT NAD automatski otkriva mrežne zahtjeve za uspostavljanje WMI sesija i provjerava promet za skripte koje koriste WMI.
13. : Windows daljinsko upravljanje
Korištenje Windows servisa i protokola koji omogućavaju korisniku interakciju sa udaljenim sistemima.
Šta radi PT NAD?: Vidi mrežne veze uspostavljene pomoću Windows daljinskog upravljanja. Pravila automatski otkrivaju takve sesije.
14. : XSL (Extensible Stylesheet Language) obrada skripte
Jezik za označavanje stila XSL se koristi za opisivanje obrade i vizualizacije podataka u XML datotekama. Za podršku složenih operacija, XSL standard uključuje podršku za ugrađene skripte na različitim jezicima. Ovi jezici dozvoljavaju izvršavanje proizvoljnog koda, što dovodi do zaobilaženja sigurnosnih politika zasnovanih na bijelim listama.
Šta radi PT NAD?: otkriva prijenos takvih datoteka preko mreže, odnosno čak i prije nego što se pokrenu. Automatski otkriva XSL datoteke koje se prenose preko mreže i datoteke sa anomalnom XSL oznakom.
U sljedećim materijalima ćemo pogledati kako PT Network Attack Discovery NTA sistem pronalazi druge taktike i tehnike napadača u skladu sa MITER ATT&CK. Stay tuned!
Autori:
- Anton Kutepov, specijalista u PT Expert Security Center, Positive Technologies
- Natalia Kazankova, prodavač proizvoda u Positive Technologies
izvor: www.habr.com