, la majoria (87%) dels incidents de seguretat de la informació es produeixen en qüestió de minuts, i per al 68% de les empreses triguen mesos a detectar-los. Això ho confirma , segons el qual la majoria de les organitzacions triguen una mitjana de 206 dies a detectar una incidència. A partir de l'experiència de les nostres investigacions, els pirates informàtics poden controlar la infraestructura d'una empresa durant anys sense ser detectats. Així, en una de les organitzacions on els nostres experts van investigar un incident de seguretat de la informació, es va revelar que els pirates informàtics controlaven completament tota la infraestructura de l'organització i robaven regularment informació important. .
Suposem que ja teniu un SIEM en execució que recull registres i analitza els esdeveniments i que el programari antivirus està instal·lat als nodes finals. No obstant, , de la mateixa manera que és impossible implementar sistemes EDR a tota la xarxa, la qual cosa significa que no es poden evitar els punts "cecs". Els sistemes d'anàlisi de trànsit de xarxa (NTA) ajuden a tractar-los. Aquestes solucions detecten l'activitat de l'atacant en les primeres etapes de penetració de la xarxa, així com durant els intents d'assentar-se i desenvolupar un atac dins de la xarxa.
Hi ha dos tipus de NTA: alguns treballen amb NetFlow, altres analitzen el trànsit brut. L'avantatge dels segons sistemes és que poden emmagatzemar registres de trànsit en brut. Gràcies a això, un especialista en seguretat de la informació pot verificar l'èxit de l'atac, localitzar l'amenaça, entendre com s'ha produït l'atac i com prevenir-ne un de semblant en el futur.
Mostrarem com amb NTA podeu utilitzar proves directes o indirectes per identificar totes les tàctiques d'atac conegudes descrites a la base de coneixement . Parlarem de cadascuna de les 12 tàctiques, analitzarem les tècniques que es detecten pel trànsit i demostrarem la seva detecció mitjançant el nostre sistema NTA.
Sobre la base de coneixements ATT&CK
MITRE ATT&CK és una base de coneixement pública desenvolupada i mantinguda per MITRE Corporation basada en l'anàlisi d'APT del món real. És un conjunt estructurat de tàctiques i tècniques utilitzades pels atacants. Això permet als professionals de la seguretat de la informació de tot el món parlar el mateix idioma. La base de dades s'amplia constantment i es complementa amb nous coneixements.
La base de dades identifica 12 tàctiques, que es divideixen per etapes d'un ciberatac:
- accés inicial;
- execució;
- consolidació (persistència);
- escalada de privilegis;
- prevenció de la detecció (evasió de la defensa);
- obtenció de credencials (accés a credencials);
- exploració;
- moviment dins del perímetre (moviment lateral);
- recollida de dades (recollida);
- comandament i control;
- exfiltració de dades;
- impacte.
Per a cada tàctica, la base de coneixement ATT&CK enumera una llista de tècniques que ajuden els atacants a assolir el seu objectiu en l'etapa actual de l'atac. Com que la mateixa tècnica es pot utilitzar en diferents etapes, pot referir-se a diverses tàctiques.
La descripció de cada tècnica inclou:
- identificador;
- una llista de tàctiques en què s'utilitza;
- exemples d'ús per part dels grups APT;
- mesures per reduir els danys del seu ús;
- recomanacions de detecció.
Els especialistes en seguretat de la informació poden utilitzar el coneixement de la base de dades per estructurar la informació sobre els mètodes d'atac actuals i, tenint-ho en compte, construir un sistema de seguretat eficaç. Comprendre com funcionen els grups reals d'APT també pot esdevenir una font d'hipòtesis per a la recerca proactiva d'amenaces dins .
Sobre PT Network Attack Discovery
Identificarem l'ús de tècniques de la matriu ATT&CK utilitzant el sistema — Sistema NTA de Tecnologies Positives, dissenyat per detectar atacs en el perímetre i dins de la xarxa. PT NAD cobreix, en diferents graus, les 12 tàctiques de la matriu MITRE ATT&CK. És el més poderós a l'hora d'identificar tècniques d'accés inicial, moviment lateral i comandament i control. En elles, PT NAD cobreix més de la meitat de les tècniques conegudes, detectant-ne l'aplicació per senyals directes o indirectes.
El sistema detecta atacs mitjançant tècniques ATT&CK utilitzant regles de detecció creades per l'equip (PT ESC), aprenentatge automàtic, indicadors de compromís, anàlisi profunda i anàlisi retrospectiva. L'anàlisi del trànsit en temps real combinada amb una retrospectiva us permet identificar l'activitat maliciosa oculta actual i fer un seguiment dels vectors de desenvolupament i la cronologia dels atacs.
mapeig complet de la matriu PT NAD a MITRE ATT&CK. La imatge és gran, així que us recomanem que la visualitzeu en una finestra independent.
Accés inicial
Les tàctiques d'accés inicial inclouen tècniques per penetrar a la xarxa d'una empresa. L'objectiu dels atacants en aquesta etapa és lliurar codi maliciós al sistema atacat i garantir la possibilitat de la seva execució posterior.
L'anàlisi del trànsit de PT NAD revela set tècniques per obtenir l'accés inicial:
1. : compromís de drive-by
Tècnica en la qual la víctima obre un lloc web que és utilitzat pels atacants per explotar el navegador web i obtenir fitxes d'accés a l'aplicació.
Què fa PT NAD?: si el trànsit web no està xifrat, PT NAD inspecciona el contingut de les respostes del servidor HTTP. Aquestes respostes contenen exploits que permeten als atacants executar codi arbitrari dins del navegador. PT NAD detecta automàticament aquests exploits mitjançant regles de detecció.
A més, PT NAD detecta l'amenaça al pas anterior. Les regles i els indicadors de compromís es desencadenen si l'usuari va visitar un lloc que el va redirigir a un lloc amb un munt d'explotacions.
2. : explotar l'aplicació pública
Explotació de vulnerabilitats en serveis accessibles des d'Internet.
Què fa PT NAD?: Realitza una inspecció profunda del contingut dels paquets de xarxa, identificant signes d'activitat anòmala. En particular, hi ha regles que permeten detectar atacs als principals sistemes de gestió de continguts (CMS), interfícies web d'equips de xarxa i atacs a servidors de correu i FTP.
3. : serveis remots externs
Els atacants utilitzen serveis d'accés remot per connectar-se als recursos interns de la xarxa des de l'exterior.
Què fa PT NAD?: com que el sistema reconeix els protocols no pels números de port, sinó pel contingut dels paquets, els usuaris del sistema poden filtrar el trànsit per trobar totes les sessions dels protocols d'accés remot i comprovar-ne la legitimitat.
4. : arxiu adjunt de pesca submarina
Estem parlant del famós enviament de fitxers adjunts de pesca.
Què fa PT NAD?: extreu fitxers automàticament del trànsit i els compara amb indicadors de compromís. Els fitxers executables dels fitxers adjunts es detecten mitjançant regles que analitzen el contingut del trànsit de correu. En un entorn corporatiu, aquesta inversió es considera anòmala.
5. : enllaç de spearphishing
Ús d'enllaços de pesca. La tècnica consisteix a que els atacants enviïn un correu electrònic de pesca amb un enllaç que, quan es fa clic, descarrega un programa maliciós. Per regla general, l'enllaç va acompanyat d'un text compilat d'acord amb totes les normes de l'enginyeria social.
Què fa PT NAD?: detecta enllaços de pesca mitjançant indicadors de compromís. Per exemple, a la interfície PT NAD veiem una sessió en què hi havia una connexió HTTP mitjançant un enllaç inclòs a la llista d'adreces de phishing (phishing-urls).
Connexió mitjançant un enllaç de la llista d'indicadors d'urls de phishing compromesos
6. : relació de confiança
Accés a la xarxa de la víctima a través de tercers amb els quals la víctima hagi establert una relació de confiança. Els atacants poden piratejar una organització de confiança i connectar-se a la xarxa objectiu a través d'ella. Per fer-ho, utilitzen connexions VPN o confiança de domini, que es poden identificar mitjançant l'anàlisi del trànsit.
Què fa PT NAD?: analitza els protocols d'aplicació i desa els camps analitzats a la base de dades, de manera que un analista de seguretat de la informació pot utilitzar filtres per trobar totes les connexions VPN sospitoses o connexions entre dominis a la base de dades.
7. : comptes vàlids
Ús de credencials estàndard, locals o de domini per a l'autorització de serveis externs i interns.
Què fa PT NAD?: recupera automàticament les credencials dels protocols HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP i Kerberos. En general, aquest és un inici de sessió, una contrasenya i un signe d'autenticació correcta. Si s'han utilitzat, es mostren a la targeta de sessió corresponent.
Execució
Les tàctiques d'execució inclouen tècniques que els atacants utilitzen per executar codi en sistemes compromesos. L'execució de codi maliciós ajuda els atacants a establir una presència (tàctica de persistència) i ampliar l'accés als sistemes remots de la xarxa movent-se dins del perímetre.
PT NAD us permet detectar l'ús de 14 tècniques utilitzades pels atacants per executar codi maliciós.
1. : CMSTP (instal·lador de perfils de Microsoft Connection Manager)
Una tàctica en què els atacants preparen un fitxer INF d'instal·lació maliciós especial per a la utilitat integrada de Windows CMSTP.exe (instal·lador de perfils del gestor de connexions). CMSTP.exe pren el fitxer com a paràmetre i instal·la el perfil de servei per a la connexió remota. Com a resultat, CMSTP.exe es pot utilitzar per carregar i executar biblioteques d'enllaços dinàmics (*.dll) o scriptlets (*.sct) des de servidors remots.
Què fa PT NAD?: detecta automàticament la transferència de tipus especials de fitxers INF al trànsit HTTP. A més d'això, detecta la transmissió HTTP de scriptlets maliciosos i biblioteques d'enllaços dinàmics des d'un servidor remot.
2. : interfície de línia d'ordres
Interacció amb la interfície de la línia d'ordres. Es pot interactuar amb la interfície de la línia d'ordres de manera local o remota, per exemple mitjançant utilitats d'accés remot.
Què fa PT NAD?: detecta automàticament la presència d'intèrprets d'ordres en funció de les respostes a les ordres per llançar diverses utilitats de línia d'ordres, com ara ping, ifconfig.
3. : model d'objectes de components i COM distribuït
Ús de tecnologies COM o DCOM per executar codi en sistemes locals o remots mentre es mou per una xarxa.
Què fa PT NAD?: detecta trucades DCOM sospitoses que els atacants solen utilitzar per llançar programes.
4. : explotació per a l'execució del client
Explotació de vulnerabilitats per executar codi arbitrari en una estació de treball. Les explotacions més útils per als atacants són les que permeten executar codi en un sistema remot, ja que poden permetre als atacants accedir a aquest sistema. La tècnica es pot implementar mitjançant els mètodes següents: correu maliciós, un lloc web amb exploits del navegador i explotació remota de vulnerabilitats d'aplicacions.
Què fa PT NAD?: Quan analitza el trànsit de correu, PT NAD comprova la presència de fitxers executables als fitxers adjunts. Extreu automàticament els documents d'oficina dels correus electrònics que poden contenir exploits. Els intents d'explotar vulnerabilitats són visibles al trànsit, que PT NAD detecta automàticament.
5. : mshta
Utilitzeu la utilitat mshta.exe, que executa aplicacions HTML de Microsoft (HTA) amb l'extensió .hta. Com que mshta processa fitxers sense passar per alt la configuració de seguretat del navegador, els atacants poden utilitzar mshta.exe per executar fitxers HTA, JavaScript o VBScript maliciosos.
Què fa PT NAD?: Els fitxers .hta per a l'execució mitjançant mshta també es transmeten per la xarxa; això es pot veure al trànsit. PT NAD detecta automàticament la transferència d'aquests fitxers maliciosos. Captura fitxers i la informació sobre ells es pot veure a la targeta de sessió.
6. : PowerShell
Ús de PowerShell per trobar informació i executar codi maliciós.
Què fa PT NAD?: quan atacants remots utilitzen PowerShell, PT NAD ho detecta mitjançant regles. Detecta les paraules clau del llenguatge PowerShell que s'utilitzen amb més freqüència en scripts maliciosos i la transmissió d'scripts PowerShell mitjançant el protocol SMB.
7. : tasca programada
Ús del Programador de tasques de Windows i altres utilitats per executar automàticament programes o scripts en moments concrets.
Què fa PT NAD?: els atacants creen aquestes tasques, normalment de manera remota, la qual cosa significa que aquestes sessions són visibles al trànsit. PT NAD detecta automàticament les operacions de creació i modificació de tasques sospitoses mitjançant les interfícies RPC ATSVC i ITaskSchedulerService.
8. : guió
Execució de scripts per automatitzar diverses accions dels atacants.
Què fa PT NAD?: detecta la transmissió d'scripts per la xarxa, és a dir, fins i tot abans que s'iniciïn. Detecta contingut d'script en el trànsit brut i detecta la transmissió de la xarxa de fitxers amb extensions corresponents als llenguatges de script populars.
9. : execució del servei
Executeu un fitxer executable, instruccions d'interfície de línia d'ordres o script mitjançant la interacció amb serveis de Windows, com ara el Gestor de control de serveis (SCM).
Què fa PT NAD?: inspecciona el trànsit SMB i detecta l'accés a SCM amb regles per crear, canviar i iniciar un servei.
La tècnica d'inici del servei es pot implementar mitjançant la utilitat d'execució de comandaments remots PSExec. PT NAD analitza el protocol SMB i detecta l'ús de PSExec quan utilitza el fitxer PSEXESVC.exe o el nom de servei estàndard PSEXECSVC per executar codi en una màquina remota. L'usuari ha de comprovar la llista d'ordres executades i la legitimitat de l'execució remota d'ordres des de l'amfitrió.
La targeta d'atac a PT NAD mostra dades sobre les tàctiques i tècniques utilitzades segons la matriu ATT&CK perquè l'usuari pugui entendre en quina fase de l'atac es troben els atacants, quins objectius persegueixen i quines mesures compensatòries cal prendre.
S'activa la regla sobre l'ús de la utilitat PSExec, que pot indicar un intent d'executar ordres en una màquina remota
10. : programari de tercers
Una tècnica en la qual els atacants accedeixen a programari d'administració remota o a un sistema de desplegament de programari corporatiu i l'utilitzen per executar codi maliciós. Exemples d'aquest programari: SCCM, VNC, TeamViewer, HBSS, Altiris.
Per cert, la tècnica és especialment rellevant en relació amb la transició massiva al treball remot i, com a resultat, la connexió de nombrosos dispositius domèstics sense protecció a través de canals d'accés remot dubtosos.
Què fa PT NAD?: detecta automàticament el funcionament d'aquest programari a la xarxa. Per exemple, les regles es desencadenen mitjançant connexions mitjançant el protocol VNC i l'activitat del troià EvilVNC, que instal·la en secret un servidor VNC a l'amfitrió de la víctima i el llança automàticament. A més, PT NAD detecta automàticament el protocol TeamViewer, això ajuda l'analista, mitjançant un filtre, a trobar totes aquestes sessions i comprovar-ne la legitimitat.
11. : execució de l'usuari
Una tècnica en la qual l'usuari executa fitxers que poden conduir a l'execució de codi. Això podria ser, per exemple, si obre un fitxer executable o executa un document ofimàtic amb una macro.
Què fa PT NAD?: veu aquests fitxers en l'etapa de transferència, abans de llançar-los. La informació sobre elles es pot estudiar a la fitxa de les sessions en què es van transmetre.
12. : Instrumentació de gestió de Windows
Ús de l'eina WMI, que proporciona accés local i remot als components del sistema Windows. Mitjançant WMI, els atacants poden interactuar amb sistemes locals i remots i realitzar una varietat de tasques, com ara recopilar informació amb finalitats de reconeixement i llançar processos de forma remota mentre es mouen lateralment.
Què fa PT NAD?: Com que les interaccions amb sistemes remots mitjançant WMI són visibles al trànsit, PT NAD detecta automàticament les sol·licituds de xarxa per establir sessions WMI i comprova el trànsit per als scripts que utilitzen WMI.
13. : Gestió remota de Windows
Ús d'un servei i protocol de Windows que permeti a l'usuari interactuar amb sistemes remots.
Què fa PT NAD?: veu les connexions de xarxa establertes mitjançant la gestió remota de Windows. Aquestes sessions es detecten automàticament per les normes.
14. : Processament d'scripts XSL (Extensible Stylesheet Language).
El llenguatge de marques d'estil XSL s'utilitza per descriure el processament i la visualització de dades en fitxers XML. Per donar suport a operacions complexes, l'estàndard XSL inclou suport per a scripts incrustats en diversos idiomes. Aquests llenguatges permeten l'execució de codi arbitrari, la qual cosa comporta eludir les polítiques de seguretat basades en llistes blanques.
Què fa PT NAD?: detecta la transferència d'aquests fitxers a la xarxa, és a dir, fins i tot abans que s'iniciïn. Detecta automàticament els fitxers XSL que es transmeten a la xarxa i els fitxers amb un marcatge XSL anòmal.
En els materials següents, veurem com el sistema PT Network Attack Discovery NTA troba altres tàctiques i tècniques d'atacant d'acord amb MITRE ATT&CK. Estigueu atents!
Autors:
- Anton Kutepov, especialista al Centre de seguretat PT Expert, Tecnologies positives
- Natalia Kazankova, comercialitzadora de productes de Positive Technologies
Font: www.habr.com