, a maiuranza (87%) di l'incidentu di sicurità di l'informazioni accade in una materia di minuti, è per u 68% di l'imprese ci vole mesi à detect. Questu hè cunfirmatu da , secondu chì a maiò parte di l'urganisazioni piglia una media di 206 ghjorni per detectà un incidente. Basatu nantu à l'esperienza di e nostre investigazioni, i pirate pò cuntrullà l'infrastruttura di una cumpagnia per anni senza esse rilevati. Cusì, in una di l'urganisazioni induve i nostri sperti anu investigatu un incidente di sicurità di l'infurmazioni, hè statu revelatu chì i pirate anu cuntrullatu cumpletamente tutta l'infrastruttura di l'urganizazione è arrubbanu regularmente informazioni impurtanti. .
Diciamu chì avete digià un SIEM in esecuzione chì raccoglie logs è analizà l'avvenimenti, è u software antivirus hè stallatu nantu à i nodi finali. Tuttavia, , cum'è hè impussibile di implementà sistemi EDR in tutta a reta, chì significa chì i punti "cecu" ùn ponu esse evitati. I sistemi di analisi di trafficu di rete (NTA) aiutanu à trattà cun elli. Queste soluzioni rilevanu l'attività di l'attaccante in i primi stadi di penetrazione di a rete, è ancu durante i tentativi di guadagnà un postu è di sviluppà un attaccu in a reta.
Ci hè dui tipi di NTA: alcuni travaglianu cù NetFlow, altri analizanu u trafficu crudu. U vantaghju di i secondi sistemi hè chì ponu almacenà registri di trafficu crudu. Grazie à questu, un specialista in securità di l'infurmazioni pò verificà u successu di l'attaccu, localizà a minaccia, capisce cumu l'attaccu hè accadutu è cumu impedisce un simile in u futuru.
Mostreremu cumu utilizendu NTA pudete aduprà evidenza diretta o indiretta per identificà tutte e tattiche d'attaccu cunnisciute descritte in a basa di cunniscenza . Parleremu di ognuna di e tattiche 12, analizà e tecniche chì sò rilevati da u trafficu, è dimustrà a so deteczione cù u nostru sistema NTA.
Circa a basa di cunniscenza ATT&CK
MITRE ATT&CK hè una basa di cunniscenza publica sviluppata è mantenuta da a MITRE Corporation basata nantu à l'analisi di APT reali. Hè un inseme strutturatu di tattiche è tecniche aduprate da l'attaccanti. Questu permette à i prufessiunali di a sicurità di l'infurmazioni di tuttu u mondu di parlà a stessa lingua. A basa di dati hè in espansione constantemente è cumplementata cù novi cunniscenze.
A basa di dati identifica 12 tattiche, chì sò divisi per fasi di un attaccu ciberneticu:
- accessu iniziale;
- esicuzzioni;
- consolidazione (persistenza);
- escalazione di privilegiu;
- prevenzione di deteczione (evasione di difesa);
- ottene credenziali (accessu à credenziali);
- esplorazione;
- muvimentu in u perimetru (movimentu laterale);
- raccolta di dati (raccolta);
- cumandamentu è cuntrollu;
- esfiltrazione di dati;
- impattu.
Per ogni tattica, a basa di cunniscenza ATT & CK lista una lista di tecniche chì aiutanu à l'attaccanti à ottene u so scopu in u stadiu attuale di l'attaccu. Siccomu a listessa tecnica pò esse usata in diverse tappe, pò riferisce à parechje tattiche.
A descrizzione di ogni tecnica include:
- identificatore;
- una lista di tattiche in quale hè utilizatu;
- esempi di usu da i gruppi APT;
- misure per riduce i danni da u so usu;
- cunsiglii di rilevazione.
I specialisti di sicurezza di l'infurmazioni ponu utilizà a cunniscenza da a basa di dati per struttura l'infurmazioni nantu à i metudi di attaccu attuale è, tenendu questu in contu, custruiscenu un sistema di sicurezza efficace. Capisce cumu operanu i veri gruppi APT pò ancu diventà una fonte di ipotesi per a ricerca proattiva di minacce in .
À propositu di PT Network Attack Discovery
Identificheremu l'usu di tecniche da a matrice ATT & CK utilizendu u sistema - Sistema NTA di Tecnologie Positive, cuncepitu per detectà attacchi in u perimetru è in a reta. PT NAD copre, à varii gradi, tutte e 12 tattiche di a matrice MITRE ATT&CK. Hè u più putente à identificà e tecniche per l'accessu iniziale, u muvimentu laterale è u cumandamentu è u cuntrollu. In elli, PT NAD copre più di a mità di e tecniche cunnisciute, detectendu a so applicazione per segni diretti o indiretti.
U sistema detecta attacchi utilizendu tecniche ATT & CK usendu regule di rilevazione create da a squadra (PT ESC), machine learning, indicatori di cumprumissu, analisi profonda è analisi retrospettiva. L'analisi di u trafficu in tempu reale cumminata cù una retrospettiva permette di identificà l'attività maliciosa oculata attuale è traccia i vettori di sviluppu è a cronologia di l'attacchi.
mappatura completa di a matrice PT NAD à MITRE ATT&CK. A stampa hè grande, cusì vi cunsigliu di vede in una finestra separata.
Accessu iniziale
E tattiche d'accessu iniziale includenu tecniche per penetrà a reta di a cumpagnia. L'ughjettu di l'attaccanti in questa tappa hè di furnisce codice maliziusu à u sistema attaccatu è assicurà a pussibilità di a so esecuzione ulteriore.
L'analisi di u trafficu da PT NAD revela sette tecniche per acquistà l'accessu iniziale:
1. : cumprumissu drive-by
Una tecnica in quale a vittima apre un situ web chì hè utilizatu da l'attaccanti per sfruttà u navigatore web è uttene tokens d'accessu à l'applicazione.
Chì faci PT NAD?: Se u trafficu web ùn hè micca criptatu, PT NAD inspecciona u cuntenutu di e risposte di u servitore HTTP. Queste risposte cuntenenu sfruttamenti chì permettenu à l'attaccanti di eseguisce codice arbitrariu in u navigatore. PT NAD rileva automaticamente tali sfruttamenti utilizendu regule di rilevazione.
Inoltre, PT NAD detecta a minaccia in u passu precedente. E regule è l'indicatori di cumprumissu sò attivati se l'utilizatore hà visitatu un situ chì u reindirizzatu à un situ cù una mansa di sfruttamenti.
2. : sfruttà l'applicazioni di u publicu
Sfruttamentu di e vulnerabilità in i servizii chì sò accessibili da Internet.
Chì faci PT NAD?: Esegue una inspeczione prufonda di u cuntenutu di i pacchetti di rete, identificendu segni di attività anomala. In particulare, ci sò regule chì permettenu di detectà attacchi à i principali sistemi di gestione di cuntenutu (CMS), interfacce web di l'equipaggiu di rete, è attacchi à i servitori di mail è FTP.
3. : servizii remoti esterni
L'attaccanti utilizanu servizii d'accessu remotu per cunnette cù e risorse di a rete interna da l'esternu.
Chì faci PT NAD?: postu chì u sistema ricunnosce i protokolli micca da i numeri di portu, ma da u cuntenutu di i pacchetti, l'utilizatori di u sistema ponu filtrà u trafficu per truvà tutte e sessioni di protokolli d'accessu remotu è verificate a so legittimità.
4. : attache di spearphishing
Parlemu di u famusu inviu di attache di phishing.
Chì faci PT NAD?: Estrae automaticamente i fugliali da u trafficu è li verifica cù l'indicatori di cumprumissu. I fugliali eseguibili in annessi sò rilevati da e regule chì analizanu u cuntenutu di u trafficu di mail. In un ambiente corporativu, un tali investimentu hè cunsideratu anomalu.
5. : ligame di spearphishing
Utilizà ligami di phishing. A tecnica implica l'attaccanti chì mandanu un email di phishing cù un ligame chì, quandu cliccà, scarica un prugramma maliziusu. Comu regula, u ligame hè accumpagnatu da un testu compilatu in cunfurmità cù tutte e regule di l'ingenieria suciale.
Chì faci PT NAD?: Detecta ligami di phishing utilizendu indicatori di cumprumissu. Per esempiu, in l'interfaccia PT NAD vedemu una sessione in quale ci era una cunnessione HTTP via un ligame inclusu in a lista di l'indirizzi di phishing (phishing-urls).
Cunnessione via un ligame da a lista di indicatori di cumprumissu phishing-urls
6. : relazione di fiducia
Accessu à a reta di a vittima per mezu di terze parti cù quale a vittima hà stabilitu una relazione di fiducia. L'attaccanti ponu pirate una urganizazione di fiducia è cunnette à a reta di destinazione attraversu. Per fà questu, utilizanu cunnessione VPN o fiducia di duminiu, chì ponu esse identificati per l'analisi di u trafficu.
Chì faci PT NAD?: analizà i protokolli di l'applicazioni è salva i campi analizati in a basa di dati, perchè un analista di sicurezza di l'infurmazioni pò utilizà filtri per truvà tutte e cunnessione VPN sospette o cunnessione cross-domain in a basa di dati.
7. : cunti validi
Utilizà e credenziali standard, lucali o di duminiu per l'autorizazione nantu à i servizii esterni è interni.
Chì faci PT NAD?: Recupera automaticamente e credenziali da HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, protokolli Kerberos. In generale, questu hè un login, password è un signu di autentificazione successu. Se sò stati utilizati, sò affissati in a carta di sessione currispundente.
Esecuzione
E tattiche di esecuzione includenu tecniche chì l'attaccanti utilizanu per eseguisce codice nantu à sistemi cumprumessi. L'esecuzione di codice maliziusu aiuta l'attaccanti à stabilisce una presenza (tattica di persistenza) è espansione l'accessu à i sistemi remoti in a reta movendu in u perimetru.
PT NAD permette di detectà l'usu di 14 tecniche aduprate da l'attaccanti per eseguisce codice maliziusu.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Una tattica in quale l'attaccanti preparanu un schedariu INF di installazione maliciosa speciale per l'utilità integrata di Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe piglia u schedariu cum'è paràmetru è stalla u prufilu di serviziu per a cunnessione remota. In u risultatu, CMSTP.exe pò esse usatu per carricà è eseguisce biblioteche di ligami dinamichi (*.dll) o scriptlets (*.sct) da i servitori remoti.
Chì faci PT NAD?: Detecta automaticamente u trasferimentu di tipi speciali di schedari INF in u trafficu HTTP. In più di questu, detecta a trasmissione HTTP di scriptlets maliziusi è biblioteche di ligami dinamichi da un servitore remoto.
2. : interfaccia di linea di cumanda
Interazzione cù l'interfaccia di linea di cumanda. L'interfaccia di a linea di cumanda pò esse interazzione cù u locu o remotamente, per esempiu utilizendu utilità d'accessu remoto.
Chì faci PT NAD?: rileva automaticamente a presenza di cunchiglia basatu nantu à risposti à i cumandamenti per lancià diverse utilità di linea di cumanda, cum'è ping, ifconfig.
3. : mudellu d'ughjettu di cumpunenti è COM distribuitu
Utilizà di e tecnulugia COM o DCOM per eseguisce codice in sistemi lucali o remoti mentre si move in una reta.
Chì faci PT NAD?: Detecta chjamate DCOM sospette chì l'attaccanti tipicamente utilizanu per lancià prugrammi.
4. : sfruttamentu per l'esekzione di u cliente
Sfruttamentu di vulnerabili per eseguisce codice arbitrariu in una stazione di travagliu. I sfruttamenti più utili per l'attaccanti sò quelli chì permettenu u codice per esse eseguitu in un sistema remotu, postu chì ponu permette à l'attaccanti di accede à quellu sistema. A tecnica pò esse implementata cù i seguenti metudi: mailing malicious, un situ web cù sfruttamenti di navigatore, è sfruttamentu remotu di vulnerabili di l'applicazioni.
Chì faci PT NAD?: Quandu analizà u trafficu di mail, PT NAD verifica per a presenza di fugliali eseguibili in annessi. Estrae automaticamente i documenti di l'uffiziu da e-mail chì ponu cuntene sfruttamenti. I tentativi di sfruttà e vulnerabilità sò visibili in u trafficu, chì PT NAD detecta automaticamente.
5. : mshta
Aduprate l'utilità mshta.exe, chì eseguisce l'applicazioni Microsoft HTML (HTA) cù l'estensione .hta. Perchè mshta processa i fugliali sguassendu i paràmetri di sicurezza di u navigatore, l'attaccanti ponu utilizà mshta.exe per eseguisce file HTA, JavaScript o VBScript maliziusi.
Chì faci PT NAD?: .hta files for execution via mshta sò ancu trasmessi nantu à a reta - questu pò esse vistu in u trafficu. PT NAD detecta automaticamente u trasferimentu di tali fugliali maliziusi. Captura i schedari, è l'infurmazioni nantu à elli ponu esse vistu in a carta di sessione.
6. : PowerShell
Utilizà PowerShell per truvà infurmazione è eseguisce codice maliziusu.
Chì faci PT NAD?: Quandu PowerShell hè utilizatu da l'attaccanti remoti, PT NAD detecta questu utilizendu regule. Detecta e parolle chjave di lingua PowerShell chì sò più spessu usate in scripts maliziusi è a trasmissione di script PowerShell nantu à u protocolu SMB.
7. : compitu pianificatu
Utilizà Windows Task Scheduler è altre utilità per eseguisce automaticamente prugrammi o scripts in tempi specifichi.
Chì faci PT NAD?: l'attaccanti creanu tali compiti, di solitu remotamente, chì significa chì tali sessioni sò visibili in u trafficu. PT NAD rileva automaticamente operazioni sospette di creazione è mudificazione di attività utilizendu l'interfaccia ATSVC è ITaskSchedulerService RPC.
8. : scrittura
Esecuzione di script per automatizà diverse azzioni di l'attaccanti.
Chì faci PT NAD?: rileva a trasmissione di script nantu à a reta, vale à dì, ancu prima ch'elli sò lanciati. Detecta u cuntenutu di script in u trafficu crudu è detecta a trasmissione in rete di schedari cù estensioni chì currispondenu à e lingue di scrittura populari.
9. : esecuzione di serviziu
Eseguite un schedariu eseguibile, struzzioni di l'interfaccia di linea di cumanda, o script interagendu cù servizii Windows, cum'è Service Control Manager (SCM).
Chì faci PT NAD?: inspecciona u trafficu SMB è detecta l'accessu à SCM cù e regule per creà, cambià è inizià un serviziu.
A tecnica di l'iniziu di u serviziu pò esse implementata cù l'utilità di esecuzione di cumandamenti remoti PSExec. PT NAD analizà u protocolu SMB è detecta l'usu di PSExec quandu usa u schedariu PSEXESVC.exe o u nome di serviziu standard PSEXECSVC per eseguisce codice in una macchina remota. L'utilizatore hà bisognu di verificà a lista di cumandamenti eseguiti è a legittimità di l'esekzione di cumandamenti remoti da l'ospite.
A carta d'attaccu in PT NAD mostra dati nantu à e tattiche è tecniche utilizzate secondu a matrice ATT & CK in modu chì l'utilizatore pò capisce in quale stadiu di l'attaccu sò l'attaccanti, quali scopi perseguenu, è quali misure compensatori à piglià.
A regula di utilizà l'utilità PSExec hè attivata, chì pò indicà un tentativu di eseguisce cumandamenti in una macchina remota.
10. : software di terzu partitu
Una tecnica in quale l'attaccanti accede à un software di amministrazione remota o un sistema di implementazione di software corporativu è l'utilizanu per eseguisce codice maliziusu. Esempii di tali software: SCCM, VNC, TeamViewer, HBSS, Altiris.
In modu, a tecnica hè particularmente pertinente in cunnessione cù a transizione massiva à u travagliu remotu è, in u risultatu, a cunnessione di numerosi apparecchi di casa senza prutezzione attraversu canali di accessu remoti dubbiosi.
Chì faci PT NAD?: detecta automaticamente u funziunamentu di tali software in a reta. Per esempiu, e regule sò attivate da cunnessione via u protokollu VNC è l'attività di u Trojan EvilVNC, chì stalla in secretu un servitore VNC in l'ospitu di a vittima è u lancia automaticamente. Inoltre, PT NAD detecta automaticamente u protokollu TeamViewer, questu aiuta l'analista, utilizendu un filtru, truvà tutte e sessioni è verificate a so legittimità.
11. : esecuzione di l'utilizatori
Una tecnica in quale l'utilizatore corre i schedari chì ponu purtà à l'esekzione di codice. Questu puderia esse, per esempiu, s'ellu apre un schedariu eseguibile o corre un documentu di l'uffiziu cù una macro.
Chì faci PT NAD?: vede tali schedari in u stadiu di trasferimentu, prima ch'elli sò lanciati. L'infurmazioni nantu à elli ponu esse studiati in a carta di e sessioni in quale sò stati trasmessi.
12. : Strumentazione di gestione Windows
Utilizazione di l'uttellu WMI, chì furnisce l'accessu lucale è remoto à i cumpunenti di u sistema Windows. Aduprendu WMI, l'attaccanti ponu interagisce cù sistemi lucali è remoti è eseguisce una varietà di attività, cum'è a cugliera d'infurmazioni per scopi di ricunniscenza è lanciari prucessi remotamente mentre si move lateralmente.
Chì faci PT NAD?: Siccomu l'interazzione cù i sistemi remoti via WMI sò visibili in u trafficu, PT NAD detecta automaticamente e dumande di rete per stabilisce sessioni WMI è verifica u trafficu per scripts chì utilizanu WMI.
13. : Gestione remota di Windows
Utilizà un serviziu di Windows è un protokollu chì permette à l'utilizatore per interagisce cù sistemi remoti.
Chì faci PT NAD?: Vede e cunnessione di rete stabilite cù Windows Remote Management. Tali sessioni sò rilevati automaticamente da e regule.
14. : Trattamentu di script XSL (Extensible Stylesheet Language).
A lingua di marcatura in stile XSL hè aduprata per descriverà u processu è a visualizazione di dati in i schedari XML. Per sustene l'operazioni cumplessi, u standard XSL include supportu per script incrustati in diverse lingue. Queste lingue permettenu l'esekzione di codice arbitrariu, chì porta à l'annullamentu di e pulitiche di sicurezza basate nantu à liste bianche.
Chì faci PT NAD?: detecta u trasferimentu di tali schedari nantu à a reta, vale à dì, ancu prima ch'elli sò lanciati. Detecta automaticamente i fugliali XSL chì sò trasmessi nantu à a reta è i fugliali cun marcatura XSL anomala.
In i seguenti materiali, avemu da vede cumu u sistema PT Network Attack Discovery NTA trova altre tattiche è tecniche di attaccu in cunfurmità cù MITRE ATT & CK. Restate à sente !
L'autori:
- Anton Kutepov, specialista in u Centru di Sicurezza PT Expert, Tecnulugie Positive
- Natalia Kazankova, cummercializatore di produttu in Positive Technologies
Source: www.habr.com