, ang kadaghanan (87%) sa mga insidente sa seguridad sa impormasyon mahitabo sulod sa pipila ka minuto, ug alang sa 68% sa mga kompanya nagkinahanglan og mga bulan aron mahibal-an kini. Kini gikumpirma ni , sumala sa diin gikinahanglan ang kadaghanan sa mga organisasyon ug aberids nga 206 ka adlaw aron makamatikod sa usa ka insidente. Pinasukad sa kasinatian sa among mga imbestigasyon, ang mga hacker makakontrol sa imprastraktura sa usa ka kompanya sa daghang mga tuig nga wala mahibal-an. Mao nga, sa usa sa mga organisasyon diin giimbestigahan sa among mga eksperto ang usa ka insidente sa seguridad sa kasayuran, gipadayag nga ang mga hacker hingpit nga nagkontrol sa tibuuk nga imprastraktura sa organisasyon ug kanunay nga gikawat ang hinungdanon nga kasayuran. .
Ingnon ta nga aduna ka'y ββββSIEM nga nagdagan nga nagkolekta sa mga troso ug nag-analisar sa mga panghitabo, ug ang antivirus software gi-install sa mga end node. Bisan pa niana, , sama nga imposible nga ipatuman ang mga sistema sa EDR sa tibuok network, nga nagpasabot nga ang mga "buta" nga mga lugar dili malikayan. Ang network traffic analysis (NTA) nga mga sistema makatabang sa pag-atubang niini. Kini nga mga solusyon nakamatikod sa kalihokan sa tig-atake sa pinakauna nga mga yugto sa pagsulod sa network, ingon man sa panahon sa mga pagsulay nga makaangkon og usa ka baroganan ug makapalambo og usa ka pag-atake sulod sa network.
Adunay duha ka matang sa NTA: ang uban nagtrabaho sa NetFlow, ang uban nag-analisar sa hilaw nga trapiko. Ang bentaha sa ikaduha nga mga sistema mao nga sila makatipig hilaw nga mga rekord sa trapiko. Salamat niini, ang usa ka espesyalista sa seguridad sa impormasyon mahimong mapamatud-an ang kalampusan sa pag-atake, i-localize ang hulga, masabtan kung giunsa nahitabo ang pag-atake ug kung giunsa mapugngan ang usa ka susama sa umaabot.
Ipakita namon kung giunsa nimo paggamit ang NTA nga magamit nimo direkta o dili direkta nga ebidensya aron mahibal-an ang tanan nga nahibal-an nga taktika sa pag-atake nga gihulagway sa base sa kahibalo. . Maghisgot kami bahin sa matag usa sa 12 nga mga taktika, analisahon ang mga teknik nga nakit-an sa trapiko, ug ipakita ang ilang pagkakita gamit ang among sistema sa NTA.
Mahitungod sa base sa kahibalo sa ATT&CK
Ang MITER ATT&CK usa ka base sa kahibalo sa publiko nga gipalambo ug gipadayon sa MITER Corporation base sa pagtuki sa mga APT nga tinuod nga kinabuhi. Kini usa ka istruktura nga hugpong sa mga taktika ug pamaagi nga gigamit sa mga tig-atake. Gitugotan niini ang mga propesyonal sa seguridad sa kasayuran gikan sa tibuuk kalibutan nga makasulti sa parehas nga sinultian. Ang database kanunay nga nagpalapad ug gidugangan sa bag-ong kahibalo.
Ang database nagpaila sa 12 nga mga taktika, nga gibahin sa mga yugto sa usa ka cyber attack:
- inisyal nga pag-access;
- pagpatay;
- pagkonsolida (paglahutay);
- pag-uswag sa pribilehiyo;
- paglikay sa detection (paglikay sa depensa);
- pagkuha og mga kredensyal (credential access);
- eksplorasyon;
- paglihok sulod sa perimeter (lateral nga paglihok);
- pagkolekta sa datos (pagkolekta);
- pagmando ug pagkontrol;
- data exfiltration;
- epekto.
Alang sa matag taktika, ang base sa kahibalo sa ATT&CK naglista sa usa ka lista sa mga teknik nga makatabang sa mga tig-atake nga makab-ot ang ilang katuyoan sa karon nga yugto sa pag-atake. Tungod kay ang parehas nga teknik magamit sa lainlaing mga yugto, mahimoβg magtumong kini sa daghang mga taktika.
Ang paghulagway sa matag teknik naglakip sa:
- identifier;
- usa ka lista sa mga taktika diin kini gigamit;
- mga pananglitan sa paggamit sa mga grupo sa APT;
- mga lakang sa pagpakunhod sa kadaot gikan sa paggamit niini;
- rekomendasyon sa detection.
Ang mga espesyalista sa seguridad sa impormasyon mahimong mogamit sa kahibalo gikan sa database aron maporma ang kasayuran bahin sa karon nga mga pamaagi sa pag-atake ug, nga gikonsiderar kini, magtukod usa ka epektibo nga sistema sa seguridad. Ang pagsabut kung giunsa ang paglihok sa tinuud nga mga grupo sa APT mahimo usab nga gigikanan sa mga pangagpas alang sa aktibo nga pagpangita sa mga hulga sa sulod. .
Mahitungod sa PT Network Attack Discovery
Atong mailhan ang paggamit sa mga teknik gikan sa ATT&CK matrix gamit ang sistema - Positive Technologies NTA nga sistema, gidisenyo aron mahibal-an ang mga pag-atake sa perimeter ug sa sulod sa network. Ang PT NAD naglangkob, sa lain-laing ang-ang, ang tanang 12 ka taktika sa MITRE ATT&CK matrix. Siya ang labing gamhanan sa pag-ila sa mga teknik para sa inisyal nga pag-access, lateral nga paglihok, ug pagmando ug pagkontrol. Diha kanila, ang PT NAD naglangkob sa labaw sa katunga sa nahibal-an nga mga teknik, nga nakamatikod sa ilang aplikasyon pinaagi sa direkta o dili direkta nga mga timailhan.
Namatikdan sa sistema ang mga pag-atake gamit ang mga teknik sa ATT&CK gamit ang mga lagda sa pag-ila nga gihimo sa team (PT ESC), pagkat-on sa makina, mga indikasyon sa pagkompromiso, lawom nga pagtuki ug pagtuki sa retrospective. Ang real-time nga pag-analisa sa trapiko inubanan sa retrospective nagtugot kanimo sa pag-ila sa kasamtangan nga tinago nga malisyoso nga kalihokan ug pagsubay sa mga vector sa pag-uswag ug ang kronolohiya sa mga pag-atake.
bug-os nga pagmapa sa PT NAD ngadto sa MITER ATT&CK matrix. Dako ang hulagway, mao nga among gisugyot nga imong tan-awon kini sa lain nga bintana.
Inisyal nga pag-access
Ang mga taktika sa inisyal nga pag-access naglakip sa mga teknik aron makasulod sa network sa usa ka kompanya. Ang tumong sa mga tig-atake niining yugtoa mao ang paghatud sa malisyoso nga code ngadto sa giatake nga sistema ug pagsiguro sa posibilidad sa dugang nga pagpatuman niini.
Ang pag-analisa sa trapiko gikan sa PT NAD nagpadayag sa pito ka mga pamaagi sa pag-angkon sa inisyal nga pag-access:
1. : drive-by compromise
Usa ka teknik diin ang biktima nagbukas sa usa ka website nga gigamit sa mga tig-atake aron pahimuslan ang web browser ug makakuha og mga token sa pag-access sa aplikasyon.
Unsa ang gibuhat sa PT NAD?: Kung ang trapiko sa web dili ma-encrypt, gisusi sa PT NAD ang sulud sa mga tubag sa HTTP server. Kini nga mga tubag adunay mga pagpahimulos nga nagtugot sa mga tig-atake sa pagpatuman sa arbitraryong code sa sulod sa browser. Awtomatiko nga nakit-an sa PT NAD ang ingon nga mga pagpahimulos gamit ang mga lagda sa pag-detect.
Dugang pa, nakita sa PT NAD ang hulga sa miaging lakang. Ang mga lagda ug mga timailhan sa pagkompromiso ma-trigger kung ang user mibisita sa usa ka site nga nag-redirect kaniya sa usa ka site nga adunay daghang mga pagpahimulos.
2. : pahimuslan ang aplikasyon nga giatubang sa publiko
Ang pagpahimulos sa mga kahuyangan sa mga serbisyo nga ma-access gikan sa Internet.
Unsa ang gibuhat sa PT NAD?: Naghimo ug lawom nga pagsusi sa sulod sa mga pakete sa network, pag-ila sa mga timailhan sa anomalosong kalihokan. Sa partikular, adunay mga lagda nga nagtugot kanimo sa pag-ila sa mga pag-atake sa mga mayor nga sistema sa pagdumala sa sulud (CMS), mga interface sa web sa kagamitan sa network, ug mga pag-atake sa mga mail ug FTP server.
3. : gawas nga layo nga mga serbisyo
Gigamit sa mga tig-atake ang mga serbisyo sa layo nga pag-access aron makonektar sa mga kapanguhaan sa internal nga network gikan sa gawas.
Unsa ang gibuhat sa PT NAD?: tungod kay giila sa sistema ang mga protocol dili pinaagi sa mga numero sa pantalan, apan pinaagi sa mga sulod sa mga pakete, ang mga tiggamit sa sistema makasala sa trapiko aron makit-an ang tanang sesyon sa mga remote access protocol ug susihon ang ilang pagkalehitimo.
4. : spearphishing attachment
Naghisgot kami bahin sa bantog nga pagpadala sa mga attachment sa phishing.
Unsa ang gibuhat sa PT NAD?: Awtomatikong gikuha ang mga file gikan sa trapiko ug gisusi kini batok sa mga timailhan sa pagkompromiso. Ang mga executable nga file sa mga attachment nakit-an sa mga lagda nga nag-analisar sa sulud sa trapiko sa mail. Sa usa ka palibot sa korporasyon, ang ingon nga pagpamuhunan giisip nga anomaloso.
5. : link sa spearphishing
Paggamit sa mga link sa phishing. Ang teknik naglakip sa mga tig-atake nga nagpadala sa usa ka phishing email nga adunay usa ka link nga, kung gi-klik, nag-download sa usa ka malisyosong programa. Ingon sa usa ka lagda, ang link giubanan sa usa ka teksto nga gihugpong sumala sa tanan nga mga lagda sa social engineering.
Unsa ang gibuhat sa PT NAD?: Nakamatikod sa mga link sa phishing gamit ang mga timailhan sa pagkompromiso. Pananglitan, sa PT NAD interface atong makita ang usa ka sesyon diin adunay koneksyon sa HTTP pinaagi sa usa ka link nga gilakip sa listahan sa mga adres sa phishing (phishing-url).
Koneksyon pinaagi sa usa ka link gikan sa listahan sa mga timailhan sa pagkompromiso sa phishing-url
6. : kasaligan nga relasyon
Pag-access sa network sa biktima pinaagi sa mga ikatulo nga partido diin ang biktima nakatukod usa ka kasaligan nga relasyon. Ang mga tig-atake mahimong mag-hack sa usa ka kasaligan nga organisasyon ug magkonektar sa target nga network pinaagi niini. Aron mahimo kini, gigamit nila ang mga koneksyon sa VPN o pagsalig sa domain, nga mailhan pinaagi sa pag-analisar sa trapiko.
Unsa ang gibuhat sa PT NAD?: nag-parse sa mga protocol sa aplikasyon ug nagtipig sa mga na-parse nga field ngadto sa database, aron ang usa ka information security analyst makagamit ug mga filter aron makit-an ang tanang kadudahang koneksyon sa VPN o cross-domain nga koneksyon sa database.
7. : balido nga mga account
Paggamit sa standard, lokal o domain nga mga kredensyal alang sa pagtugot sa gawas ug internal nga mga serbisyo.
Unsa ang gibuhat sa PT NAD?: Awtomatikong makuha ang mga kredensyal gikan sa HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos nga mga protocol. Sa kinatibuk-an, kini usa ka login, password ug usa ka timaan sa malampuson nga pag-authenticate. Kung gigamit na kini, gipakita kini sa katugbang nga session card.
Pagpatay
Ang mga taktika sa pagpatay naglakip sa mga teknik nga gigamit sa mga tig-atake aron ipatuman ang code sa mga nakompromiso nga sistema. Ang pagpadagan sa malisyoso nga code makatabang sa mga tig-atake sa pag-establisar og presensya (persistence tactic) ug pagpalapad sa access sa mga remote system sa network pinaagi sa paglihok sulod sa perimeter.
Gitugotan ka sa PT NAD nga makit-an ang paggamit sa 14 nga mga teknik nga gigamit sa mga tig-atake aron ipatuman ang malisyoso nga code.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Usa ka taktika diin ang mga tig-atake nag-andam usa ka espesyal nga malisyoso nga pag-install nga INF file alang sa built-in nga Windows utility CMSTP.exe (Connection Manager Profile Installer). Gikuha sa CMSTP.exe ang file ingon usa ka parameter ug gi-install ang profile sa serbisyo alang sa hilit nga koneksyon. Ingon usa ka sangputanan, ang CMSTP.exe mahimong magamit sa pagkarga ug pag-execute sa dinamikong link nga mga librarya (*.dll) o mga scriptlet (*.sct) gikan sa layo nga mga server.
Unsa ang gibuhat sa PT NAD?: Awtomatikong nakit-an ang pagbalhin sa mga espesyal nga tipo sa mga file sa INF sa trapiko sa HTTP. Dugang pa niini, kini nakamatikod sa HTTP transmission sa malisyoso nga mga scriptlet ug dinamikong link nga mga librarya gikan sa usa ka hilit nga server.
2. : interface sa command-line
Interaksyon sa interface sa command line. Ang interface sa command line mahimong ma-interact sa lokal o layo, pananglitan gamit ang remote access utilities.
Unsa ang gibuhat sa PT NAD?: Awtomatikong nakamatikod sa presensya sa mga kabhang base sa mga tubag sa mga sugo sa paglunsad sa nagkalain-laing command line utilities, sama sa ping, ifconfig.
3. : component object model ug gipang-apod-apod nga COM
Paggamit sa mga teknolohiya sa COM o DCOM aron ipatuman ang code sa lokal o hilit nga mga sistema samtang naglihok sa usa ka network.
Unsa ang gibuhat sa PT NAD?: Nakamatikod sa mga kadudahang tawag sa DCOM nga kasagarang gigamit sa mga tig-atake aron maglunsad og mga programa.
4. : pagpahimulos alang sa pagpatay sa kliyente
Pagpahimulos sa mga kahuyangan aron ipatuman ang arbitraryong code sa usa ka workstation. Ang labing mapuslanon nga mga pagpahimulos alang sa mga tig-atake mao kadtong nagtugot sa code nga ipatuman sa usa ka hilit nga sistema, tungod kay mahimo nilang tugotan ang mga tig-atake nga maka-access sa kana nga sistema. Ang teknik mahimong ipatuman gamit ang mosunod nga mga pamaagi: malisyoso nga pag-mail, usa ka website nga adunay mga pagpahimulos sa browser, ug hilit nga pagpahimulos sa mga kahuyangan sa aplikasyon.
Unsa ang gibuhat sa PT NAD?: Kung nag-parse sa trapiko sa mail, gisusi kini sa PT NAD alang sa presensya sa mga executable file sa mga attachment. Awtomatikong gikuha ang mga dokumento sa opisina gikan sa mga email nga mahimong adunay mga pagpahimulos. Ang mga pagsulay sa pagpahimulos sa mga kahuyangan makita sa trapiko, nga awtomatik nga nakita sa PT NAD.
5. : mshta
Gamita ang mshta.exe utility, nga nagpadagan sa Microsoft HTML applications (HTA) gamit ang .hta extension. Tungod kay ang mshta nagproseso sa mga file nga nag-bypass sa mga setting sa seguridad sa browser, ang mga tig-atake mahimong mogamit sa mshta.exe aron ipatuman ang makadaot nga HTA, JavaScript, o VBScript nga mga file.
Unsa ang gibuhat sa PT NAD?: .hta nga mga file alang sa pagpatay pinaagi sa mshta gipasa usab sa network - kini makita sa trapiko. Awtomatiko nga nakit-an sa PT NAD ang pagbalhin sa ingon nga makadaot nga mga file. Gikuha niini ang mga file, ug ang impormasyon bahin niini mahimong makita sa session card.
6. : PowerShell
Gamit ang PowerShell para mangita ug impormasyon ug magbuhat ug malisyoso nga code.
Unsa ang gibuhat sa PT NAD?: Kung gigamit ang PowerShell sa layo nga mga tig-atake, ang PT NAD nakamatikod niini gamit ang mga lagda. Namatikdan niini ang mga keyword sa pinulongang PowerShell nga kasagarang gigamit sa malisyosong mga script ug ang pagpasa sa mga script sa PowerShell sa SMB protocol.
7. : gikatakda nga buluhaton
Paggamit sa Windows Task Scheduler ug uban pang mga utilities aron awtomatiko nga modagan ang mga programa o mga script sa piho nga mga oras.
Unsa ang gibuhat sa PT NAD?: Ang mga tig-atake naghimo sa ingon nga mga buluhaton, kasagaran sa layo, nga nagpasabut nga ang ingon nga mga sesyon makita sa trapiko. Awtomatikong nakamatikod ang PT NAD sa mga kadudahang buluhaton sa paghimo ug mga operasyon sa pagbag-o gamit ang mga interface sa ATSVC ug ITaskSchedulerService RPC.
8. : pagsulat
Pagpatuman sa mga script aron ma-automate ang lainlaing mga aksyon sa mga tig-atake.
Unsa ang gibuhat sa PT NAD?: nakamatikod sa pagpasa sa mga script sa network, nga mao, bisan sa wala pa kini gilansad. Namatikdan niini ang sulud sa script sa hilaw nga trapiko ug nakit-an ang transmission sa network sa mga file nga adunay mga extension nga katumbas sa sikat nga mga lengguwahe sa script.
9. : pagpatuman sa serbisyo
Pagdalag executable file, command line interface instructions, o script pinaagi sa pagpakig-uban sa mga serbisyo sa Windows, sama sa Service Control Manager (SCM).
Unsa ang gibuhat sa PT NAD?: nag-inspeksyon sa trapiko sa SMB ug nakamatikod sa pag-access sa SCM nga adunay mga lagda alang sa paghimo, pagbag-o ug pagsugod sa usa ka serbisyo.
Ang teknik sa pagsugod sa serbisyo mahimong ipatuman gamit ang remote command execution utility PSExec. Gi-analisar sa PT NAD ang SMB protocol ug namatikdan ang paggamit sa PSExec kung gigamit niini ang PSEXESVC.exe file o ang sagad nga ngalan sa serbisyo sa PSEXECSVC aron ipatuman ang code sa usa ka hilit nga makina. Kinahanglang susihon sa user ang lista sa gipatuman nga mga sugo ug ang pagkalehitimo sa remote command execution gikan sa host.
Ang kard sa pag-atake sa PT NAD nagpakita sa datos sa mga taktika ug mga teknik nga gigamit sumala sa ATT&CK matrix aron masabtan sa user kung unsa nga yugto sa pag-atake ang naa sa mga tig-atake, unsa nga mga tumong ang ilang gipangita, ug unsa nga mga lakang sa pagbayad ang buhaton.
Ang lagda bahin sa paggamit sa PSExec utility na-trigger, nga mahimong magpakita sa usa ka pagsulay sa pagpatuman sa mga sugo sa usa ka hilit nga makina
10. : third-party nga software
Usa ka teknik diin ang mga tig-atake makakuha og access sa remote administration software o usa ka corporate software deployment system ug gamiton kini sa pagpadagan sa malisyoso nga code. Mga pananglitan sa maong software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Pinaagi sa dalan, ang teknik labi nga may kalabutan sa kalambigitan sa kaylap nga pagbalhin sa hilit nga trabaho ug, ingon usa ka sangputanan, ang koneksyon sa daghang walaβy panalipod nga mga aparato sa balay pinaagi sa mga dubious nga hilit nga mga agianan sa pag-access
Unsa ang gibuhat sa PT NAD?: awtomatik nga nakamatikod sa operasyon sa maong software sa network. Pananglitan, ang mga lagda na-trigger sa mga koneksyon pinaagi sa VNC protocol ug sa kalihokan sa EvilVNC Trojan, nga sekretong nag-install sa usa ka VNC server sa host sa biktima ug awtomatik nga gilunsad kini. Usab, ang PT NAD awtomatik nga nakamatikod sa protocol sa TeamViewer, kini makatabang sa analista, gamit ang usa ka filter, pagpangita sa tanan nga mga sesyon ug pagsusi sa ilang pagkalehitimo.
11. : pagpatuman sa user
Usa ka teknik diin ang user nagpadagan sa mga file nga mahimong mosangpot sa code execution. Mahimo kini, pananglitan, kung magbukas siya og executable file o magpadagan sa usa ka dokumento sa opisina nga adunay macro.
Unsa ang gibuhat sa PT NAD?: nakakita sa ingon nga mga file sa yugto sa pagbalhin, sa wala pa kini gilansad. Ang impormasyon bahin kanila mahimong tun-an sa kard sa mga sesyon diin sila gipasa.
12. : Instrumentasyon sa Pagdumala sa Windows
Paggamit sa tool sa WMI, nga naghatag sa lokal ug layo nga pag-access sa mga sangkap sa sistema sa Windows. Gamit ang WMI, ang mga tig-atake mahimong makig-interact sa lokal ug hilit nga mga sistema ug makahimo og lain-laing mga buluhaton, sama sa pagtigom og impormasyon para sa mga katuyoan sa reconnaissance ug paglansad sa mga proseso sa layo samtang naglihok sa unahan.
Unsa ang gibuhat sa PT NAD?: Tungod kay ang mga interaksyon sa mga hilit nga sistema pinaagi sa WMI makita sa trapiko, ang PT NAD awtomatik nga nakamatikod sa mga hangyo sa network aron sa pagtukod sa mga sesyon sa WMI ug pagsusi sa trapiko alang sa mga script nga naggamit sa WMI.
13. : Windows Remote Management
Paggamit sa serbisyo ug protocol sa Windows nga nagtugot sa user nga makig-uban sa mga hilit nga sistema.
Unsa ang gibuhat sa PT NAD?: Makita ang mga koneksyon sa network nga natukod gamit ang Windows Remote Management. Ang ingon nga mga sesyon awtomatik nga makit-an sa mga lagda.
14. : XSL (Extensible Stylesheet Language) nga pagproseso sa script
Ang XSL style markup language kay gigamit sa paghulagway sa pagproseso ug visualization sa data sa XML files. Aron suportahan ang mga komplikadong operasyon, ang XSL nga sumbanan naglakip sa suporta alang sa mga naka-embed nga script sa lain-laing mga pinulongan. Gitugotan niini nga mga pinulongan ang pagpatuman sa arbitraryong kodigo, nga mosangpot sa paglaktaw sa mga polisiya sa seguridad base sa puti nga mga lista.
Unsa ang gibuhat sa PT NAD?: nakit-an ang pagbalhin sa ingon nga mga file sa network, nga mao, bisan sa wala pa kini gilansad. Awtomatiko kini nga nakamatikod sa mga XSL nga mga file nga gipasa sa network ug mga file nga adunay anomalous nga marka sa XSL.
Sa mosunod nga mga materyales, atong tan-awon kung giunsa sa PT Network Attack Discovery NTA nga sistema ang pagpangita sa ubang mga taktika ug teknik sa pag-atake subay sa MITER ATT&CK. Pagbantay!
tigsulat:
- Anton Kutepov, espesyalista sa PT Expert Security Center, Positive Technologies
- Natalia Kazankova, tigpamaligya sa produkto sa Positive Technologies
Source: www.habr.com