Většina (87 %) incidentů v oblasti bezpečnosti informací nastane během několika minut, zatímco 68 % společností trvá jejich odhalení měsíce. To se potvrzuje a , podle kterého většině organizací trvá odhalení incidentu v průměru 206 dní. Na základě našich šetření mohou hackeři ovládat firemní infrastrukturu roky, aniž by byli odhaleni. Takže v jedné z organizací, kde naši experti prováděli vyšetřování incidentu v oblasti informační bezpečnosti, bylo odhaleno, že hackeři kompletně ovládali celou infrastrukturu organizace a pravidelně kradli důležité informace. .
Řekněme, že již máte spuštěný SIEM, který shromažďuje protokoly a analyzuje události, a na koncových uzlech jsou nainstalovány antiviry. Nicméně, , stejně jako není možné implementovat EDR systémy pro celou síť, nelze se tedy vyhnout „slepým“ zónám. Vyrovnat se s nimi pomáhají systémy analýzy síťového provozu (NTA). Tato řešení detekují aktivitu útočníků v nejranějších fázích průniku do sítě, stejně jako při pokusech získat oporu a rozvinout útok uvnitř sítě.
Existují dva typy NTA: jeden pracuje s NetFlow, druhý analyzuje nezpracovaný provoz. Výhodou druhých systémů je, že mohou ukládat surové záznamy o provozu. Díky tomu může specialista na informační bezpečnost zkontrolovat úspěšnost útoku, lokalizovat hrozbu, pochopit, jak k útoku došlo a jak podobnému v budoucnu předejít.
Ukážeme si, jak lze NTA použít k identifikaci, přímými nebo nepřímými znaky, všech známých útočných taktik popsaných ve znalostní bázi. . Budeme mluvit o každé z 12 taktik, analyzovat techniky, které jsou detekovány provozem, a demonstrovat jejich detekci pomocí našeho systému NTA.
O znalostní bázi ATT&CK
MITER ATT&CK je veřejná znalostní báze vyvinutá a udržovaná společností MITER Corporation na základě analýzy skutečných APT. Jedná se o strukturovaný soubor taktik a technik používaných útočníky. To umožňuje odborníkům na informační bezpečnost z celého světa mluvit stejným jazykem. Databáze se neustále rozšiřuje a doplňuje o nové poznatky.
Databáze identifikuje 12 taktik, které jsou rozděleny do fází kybernetického útoku:
- počáteční přístup (počáteční přístup);
- exekuce (exekuce);
- konsolidace (perzistence);
- eskalace privilegií;
- prevence detekce (obranný únik);
- získání pověření (přístup k pověření);
- inteligence (objevování);
- pohyb v obvodu (boční pohyb);
- sběr dat (sběr);
- velení a řízení;
- exfiltrace dat;
- dopad.
Pro každou taktiku je v ATT&CK Knowledge Base uveden seznam technik, které pomáhají útočníkům dosáhnout jejich cíle v aktuální fázi útoku. Vzhledem k tomu, že stejná technika může být použita v různých fázích, může odkazovat na několik taktik.
Popis každé techniky zahrnuje:
- identifikátor;
- seznam taktiky, ve které se používá;
- příklady použití skupinami APT;
- opatření ke snížení škod z jeho používání;
- doporučení k detekci.
Specialisté na informační bezpečnost mohou využít znalosti z databáze ke strukturování informací o současných metodách útoku a s ohledem na to vybudovat účinný bezpečnostní systém. Pochopení toho, jak fungují skutečné skupiny APT, se také může stát zdrojem hypotéz pro proaktivní hledání hrozeb uvnitř .
O PT Network Attack Discovery
Pomocí systému identifikujeme použití technik z matice ATT & CK - Positive Technologies NTA systém určený k detekci útoků na perimetr a uvnitř sítě. PT NAD pokrývá v různé míře všech 12 taktik matice MITER ATT&CK. Je nejsilnější v identifikaci počátečního přístupu, bočního pohybu a technik velení a ovládání. V nich PT NAD pokrývá více než polovinu známých technik, přičemž jejich použití zjišťuje přímými nebo nepřímými znaky.
Systém detekuje útoky pomocí technik ATT&CK pomocí pravidel detekce vytvořených příkazem (PT ESC), strojové učení, indikátory kompromisu, hloubková analytika a retrospektivní analýza. Analýza provozu v reálném čase, kombinovaná s retrospektivní, vám umožňuje identifikovat aktuální skryté škodlivé aktivity a sledovat vývojové vektory a chronologii útoků.
úplné mapování PT NAD na matici MITER ATT&CK. Obrázek je velký, proto doporučujeme zvážit jej v samostatném okně.
Počáteční přístup
Počáteční přístupové taktiky zahrnují techniky infiltrace do firemní sítě. Cílem útočníků je v této fázi doručit do napadeného systému škodlivý kód a zajistit jeho další spuštění.
Analýza provozu PT NAD odhaluje sedm technik pro získání počátečního přístupu:
1. : kompromis při jízdě
Technika, při které oběť otevře webovou stránku, kterou útočníci využívají ke zneužití webového prohlížeče k získání přístupových tokenů aplikace.
Co dělá PT NAD?: Pokud webový provoz není šifrovaný, PT NAD zkontroluje obsah odpovědí HTTP serveru. Právě v těchto odpovědích se nacházejí exploity, které umožňují útočníkům spouštět libovolný kód uvnitř prohlížeče. PT NAD automaticky detekuje takové zneužití pomocí pravidel detekce.
Navíc PT NAD detekuje hrozbu v předchozím kroku. Pravidla a indikátory kompromitace se spouštějí, pokud uživatel navštívil web, který ho přesměroval na web se spoustou exploitů.
2. : využívat veřejně přístupnou aplikaci
Využití zranitelných míst ve službách, které jsou dostupné z internetu.
Co dělá PT NAD?: provádí hloubkovou kontrolu obsahu síťových paketů a odhaluje v nich známky anomální aktivity. Jedná se zejména o pravidla, která umožňují odhalit útoky na hlavní redakční systémy (CMS), webová rozhraní síťových zařízení, útoky na poštovní a FTP servery.
3. : externí vzdálené služby
Útočníci využívají služby vzdáleného přístupu k připojení k interním síťovým zdrojům zvenčí.
Co dělá PT NAD?: protože systém rozpoznává protokoly nikoli podle čísel portů, ale podle obsahu paketů, mohou uživatelé systému filtrovat provoz takovým způsobem, aby našli všechny relace protokolů vzdáleného přístupu a ověřili jejich legitimitu.
4. : spearphishingová příloha
Mluvíme o notoricky známém odesílání phishingových příloh.
Co dělá PT NAD?: automaticky extrahuje soubory z provozu a porovná je s indikátory kompromitace. Spustitelné soubory v přílohách jsou detekovány pravidly, která analyzují obsah poštovního provozu. Ve firemním prostředí je taková investice považována za anomální.
5. : spearphishingový odkaz
Použití phishingových odkazů. Technika spočívá v tom, že útočníci pošlou phishingový e-mail s odkazem, na který po kliknutí stáhne škodlivý program. K odkazu je zpravidla připojen text sestavený podle všech pravidel sociálního inženýrství.
Co dělá PT NAD?: Detekuje phishingové odkazy pomocí indikátorů kompromisu. Například v rozhraní PT NAD vidíme relaci, ve které došlo k připojení HTTP přes odkaz uvedený v seznamu phishingových adres (phishing-url).
Připojení přes odkaz ze seznamu indikátorů kompromitovaných phishingových adres
6. : vztah důvěry
Přístup k síti oběti prostřednictvím třetích stran, se kterými má oběť důvěryhodný vztah. Útočníci mohou proniknout do důvěryhodné organizace a připojit se přes ni k cílové síti. K tomu využívají připojení VPN nebo vztahy důvěryhodnosti domény, které lze odhalit analýzou provozu.
Co dělá PT NAD?: analyzuje aplikační protokoly a ukládá analyzovaná pole do databáze, takže analytik informační bezpečnosti může pomocí filtrů najít všechna podezřelá připojení VPN nebo připojení mezi doménami v databázi.
7. : platné účty
Použití standardních, místních nebo doménových pověření pro autorizaci externích a interních služeb.
Co dělá PT NAD?: automaticky získává přihlašovací údaje z protokolů HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. V obecném případě se jedná o přihlašovací jméno, heslo a známku úspěšného ověření. Pokud byly použity, zobrazí se na příslušné kartě relace.
Provedení
Spouštěcí taktiky zahrnují techniky, které útočníci používají ke spouštění kódu na kompromitovaných systémech. Spuštění škodlivého kódu pomáhá útočníkům vytvořit přítomnost (taktika persistence) a rozšířit přístup ke vzdáleným systémům v síti přesunem do perimetru.
PT NAD umožňuje identifikovat použití 14 technik používaných útočníky ke spuštění škodlivého kódu.
1. : CMSTP (Instalátor profilu správce připojení Microsoft)
Taktika, při které útočníci připraví speciálně vytvořený škodlivý instalační soubor .inf pro vestavěný nástroj Windows CMSTP.exe (Instalátor profilu správce připojení). CMSTP.exe vezme soubor jako parametr a nainstaluje profil služby pro vzdálené připojení. V důsledku toho lze CMSTP.exe použít ke stažení a spouštění dynamických knihoven (*.dll) nebo skriptletů (*.sct) ze vzdálených serverů.
Co dělá PT NAD?: Automaticky detekuje přenos souborů .inf speciálního tvaru v provozu HTTP. Kromě toho detekuje HTTP přenosy škodlivých skriptletů a dynamických knihoven ze vzdáleného serveru.
2. : rozhraní příkazového řádku
Interakce s rozhraním příkazového řádku. Rozhraní příkazového řádku lze ovládat lokálně nebo vzdáleně, například pomocí obslužných programů pro vzdálený přístup.
Co dělá PT NAD?: automaticky detekuje přítomnost shellů podle odpovědí na příkazy ke spuštění různých nástrojů příkazového řádku, jako je ping, ifconfig.
3. : komponentní objektový model a distribuovaný COM
Použití technologií COM nebo DCOM ke spouštění kódu na místních nebo vzdálených systémech při průchodu sítí.
Co dělá PT NAD?: Detekuje podezřelá volání DCOM, která útočníci běžně používají ke spouštění programů.
4. : využití pro provádění klientů
Využití zranitelností ke spuštění libovolného kódu na pracovní stanici. Nejužitečnější exploity pro útočníky jsou ty, které umožňují spuštění kódu na vzdáleném systému, protože je mohou útočníci použít k získání přístupu do takového systému. Technika může být implementována následujícími metodami: škodlivý mailing list, webová stránka s exploity pro prohlížeče a vzdálené zneužití zranitelností aplikace.
Co dělá PT NAD?: při analýze poštovního provozu PT NAD kontroluje přítomnost spustitelných souborů v příloze. Automaticky extrahuje kancelářské dokumenty z e-mailů, které mohou obsahovat exploity. V provozu jsou viditelné pokusy o zneužití zranitelností, které PT NAD detekuje automaticky.
5. : mshta
Pomocí nástroje mshta.exe, který spouští Microsoft HTML Applications (HTA) s příponou .hta. Protože mshta zpracovává soubory a obchází nastavení zabezpečení prohlížeče, útočníci mohou použít mshta.exe ke spuštění škodlivých souborů HTA, JavaScript nebo VBScript.
Co dělá PT NAD?: Soubory .hta pro spuštění přes mshta jsou přenášeny také po síti - je to vidět na provozu. PT NAD detekuje přenos těchto škodlivých souborů automaticky. Zachycuje soubory a informace o nich lze zobrazit na kartě relace.
6. : powershell
Použití PowerShellu k vyhledávání informací a spouštění škodlivého kódu.
Co dělá PT NAD?: Když PowerShell používají útočníci vzdáleně, PT NAD to zjistí pomocí pravidel. Detekuje klíčová slova jazyka PowerShell, která se nejčastěji používají ve škodlivých skriptech a při přenosu skriptů PowerShell přes SMB.
7. : naplánovaný úkol
Pomocí Plánovače úloh systému Windows a dalších nástrojů můžete automaticky spouštět programy nebo skripty v určitých časech.
Co dělá PT NAD?: útočníci vytvářejí takové úlohy, obvykle vzdáleně, což znamená, že takové relace jsou viditelné v provozu. PT NAD automaticky detekuje operace vytváření a úprav podezřelých úloh pomocí rozhraní ATSVC a ITaskSchedulerService RPC.
8. : skriptování
Spouštění skriptů pro automatizaci různých akcí útočníků.
Co dělá PT NAD?: detekuje přenos skriptů po síti, tedy ještě před jejich spuštěním. Detekuje obsah skriptů v surovém provozu a detekuje síťový přenos souborů s příponami odpovídajícími populárním skriptovacím jazykům.
9. : provedení služby
Spusťte spustitelný soubor, instrukce CLI nebo skript interakcí se službami Windows, jako je Správce řízení služeb (SCM).
Co dělá PT NAD?: kontroluje provoz SMB a zjišťuje požadavky na SCM podle pravidel pro vytváření, úpravu a spouštění služby.
Techniku spouštění služeb lze implementovat pomocí nástroje pro vzdálené provádění příkazů PSExec. PT NAD analyzuje protokol SMB a zjistí použití PSExec, když ke spuštění kódu na vzdáleném počítači použije soubor PSEXESVC.exe nebo standardní název služby PSEXECSVC. Uživatel musí zkontrolovat seznam provedených příkazů a oprávněnost vzdáleného provádění příkazů z hostitele.
Karta útoku v PT NAD zobrazuje údaje o taktice a technikách používaných maticí ATT&CK, aby uživatel mohl pochopit, v jaké fázi útoku se útočníci nacházejí, jaké cíle sledují a jaká kompenzační opatření přijmout.
Aktivace pravidla o použití nástroje PSExec, které může indikovat pokus o provádění příkazů na vzdáleném počítači
10. : software třetí strany
Technika, při které útočníci získají přístup k softwaru pro vzdálenou správu nebo k systému podnikového nasazení softwaru a použijí je ke spuštění škodlivého kódu. Příklady takového softwaru: SCCM, VNC, TeamViewer, HBSS, Altiris.
Mimochodem, tato technika je zvláště důležitá v souvislosti s masivním přechodem na práci na dálku a v důsledku toho s připojením mnoha domácích nechráněných zařízení prostřednictvím pochybných kanálů vzdáleného přístupu.
Co dělá PT NAD?: Automaticky detekuje provoz takového softwaru v síti. Pravidla jsou například spouštěna skutečností připojení přes protokol VNC a aktivitou trojského koně EvilVNC, který tajně nainstaluje server VNC na hostitele oběti a automaticky jej spustí. PT NAD také automaticky detekuje protokol TeamViewer, který pomáhá analytikovi najít všechny takové relace pomocí filtru a zkontrolovat jejich legitimitu.
11. : provedení uživatele
Technika, při které uživatel spouští soubory, které mohou způsobit spuštění kódu. To může být například, pokud otevře spustitelný soubor nebo spustí dokument Office s makrem.
Co dělá PT NAD?: vidí takové soubory ve fázi přenosu před jejich spuštěním. Informace o nich lze studovat na kartě relací, ve kterých byly předány.
12. : Windows Management Instrumentation
Pomocí nástroje WMI, který poskytuje místní a vzdálený přístup ke komponentám systému Windows. Pomocí WMI mohou útočníci interagovat s místními i vzdálenými systémy a provádět různé úkoly, jako je shromažďování informací pro zpravodajské účely a vzdálené spouštění procesů během bočního pohybu.
Co dělá PT NAD?: Vzhledem k tomu, že interakce se vzdálenými systémy prostřednictvím WMI jsou viditelné v provozu, PT NAD automaticky detekuje síťové požadavky na vytvoření relací WMI a kontroluje provoz na skutečnost, že jsou přenášeny skripty, které používají WMI.
13. : Vzdálená správa systému Windows
Použití služby a protokolu Windows, které uživateli umožňují interakci se vzdálenými systémy.
Co dělá PT NAD?: Zobrazuje síťová připojení vytvořená pomocí vzdálené správy systému Windows. Takové relace jsou detekovány pravidly automaticky.
14. : Zpracování skriptů XSL (Extensible Stylesheet Language).
Značkovací jazyk stylu XSL se používá k popisu zpracování a vykreslování dat v souborech XML. Pro podporu složitých operací zahrnuje standard XSL podporu pro inline skripty ve více jazycích. Tyto jazyky umožňují spouštění libovolného kódu, který obchází zásady zabezpečení na seznamu povolených.
Co dělá PT NAD?: detekuje přenos takových souborů po síti, tedy ještě před jejich spuštěním. Automaticky detekuje přenos souborů XSL po síti a souborů s anomálním označením XSL.
V následujících materiálech se podíváme na to, jak systém PT Network Attack Discovery NTA nalézá další taktiky a techniky útočníků v souladu s MITER ATT & CK. Zůstaňte naladěni!
Autoři:
- Anton Kutepov, specialista expertního bezpečnostního centra (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, produktová marketérka společnosti Positive Technologies
Zdroj: www.habr.com