, størstedelen (87 %) af informationssikkerhedshændelser sker i løbet af få minutter, og for 68 % af virksomhederne tager det måneder at opdage dem. Dette bekræftes af , ifølge hvilken det tager de fleste organisationer i gennemsnit 206 dage at opdage en hændelse. Baseret på erfaringerne fra vores undersøgelser kan hackere kontrollere en virksomheds infrastruktur i årevis uden at blive opdaget. I en af de organisationer, hvor vores eksperter undersøgte en informationssikkerhedshændelse, blev det således afsløret, at hackere fuldstændig kontrollerede hele organisationens infrastruktur og regelmæssigt stjal vigtig information .
Lad os sige, at du allerede har en SIEM kørende, der indsamler logfiler og analyserer hændelser, og antivirussoftware er installeret på slutknuderne. Alligevel, , ligesom det er umuligt at implementere EDR-systemer i hele netværket, hvilket betyder, at ”blinde” vinkler ikke kan undgås. Systemer til netværkstrafikanalyse (NTA) hjælper med at håndtere dem. Disse løsninger registrerer angriberaktivitet på de tidligste stadier af netværkspenetration, såvel som under forsøg på at få fodfæste og udvikle et angreb på netværket.
Der er to typer NTA'er: nogle arbejder med NetFlow, andre analyserer rå trafik. Fordelen ved det andet systemer er, at de kan gemme rå trafikregistreringer. Takket være dette kan en informationssikkerhedsspecialist verificere angrebets succes, lokalisere truslen, forstå, hvordan angrebet opstod, og hvordan man forhindrer et lignende i fremtiden.
Vi vil vise, hvordan NTA kan bruges til at identificere, ved direkte eller indirekte tegn, alle kendte angrebstaktikker beskrevet i videnbasen. . Vi vil tale om hver af de 12 taktikker, analysere de teknikker, der detekteres af trafik, og demonstrere deres detektion ved hjælp af vores NTA-system.
Om ATT&CK vidensbase
MITER ATT&CK er en offentlig videnbase udviklet og vedligeholdt af MITER Corporation baseret på analyser af virkelige APT'er. Det er et struktureret sæt af taktikker og teknikker, der bruges af angribere. Dette giver informationssikkerhedsprofessionelle fra hele verden mulighed for at tale det samme sprog. Databasen udvides løbende og suppleres med ny viden.
Databasen identificerer 12 taktikker, som er opdelt efter stadier af et cyberangreb:
- indledende adgang;
- udførelse;
- konsolidering (vedholdenhed);
- eskalering af privilegier;
- forebyggelse af detektion (forsvarsunddragelse);
- opnåelse af legitimationsoplysninger (legitimationsadgang);
- udforskning;
- bevægelse inden for omkredsen (lateral bevægelse);
- dataindsamling (indsamling);
- kommando og kontrol;
- dataeksfiltrering;
- indvirkning.
For hver taktik viser ATT&CK-vidensbasen en liste over teknikker, der hjælper angribere med at nå deres mål på det aktuelle stadium af angrebet. Da den samme teknik kan bruges på forskellige stadier, kan den referere til flere taktikker.
Beskrivelsen af hver teknik inkluderer:
- identifikator;
- en liste over taktikker, hvori det bruges;
- eksempler på brug af APT-grupper;
- foranstaltninger til at reducere skader fra brugen heraf;
- detektionsanbefalinger.
Informationssikkerhedsspecialister kan bruge viden fra databasen til at strukturere information om aktuelle angrebsmetoder og under hensyntagen til dette opbygge et effektivt sikkerhedssystem. At forstå, hvordan rigtige APT-grupper fungerer, kan også blive en kilde til hypoteser for proaktivt at søge efter trusler inden for .
Om PT Network Attack Discovery
Vi vil identificere brugen af teknikker fra ATT & CK-matricen ved hjælp af systemet — Positive Technologies NTA-system, designet til at detektere angreb på perimeteren og inde i netværket. PT NAD dækker i varierende grad alle 12 taktikker i MITER ATT&CK-matricen. Han er mest magtfuld til at identificere teknikker til indledende adgang, lateral bevægelse og kommando og kontrol. I dem dækker PT NAD mere end halvdelen af de kendte teknikker og detekterer deres anvendelse ved direkte eller indirekte tegn.
Systemet registrerer angreb ved hjælp af ATT&CK-teknikker ved hjælp af detektionsregler, der er oprettet af teamet (PT ESC), maskinlæring, kompromisindikatorer, dyb analyse og retrospektiv analyse. Trafikanalyse i realtid kombineret med et retrospektiv giver dig mulighed for at identificere aktuelle skjulte ondsindede aktiviteter og spore udviklingsvektorer og kronologien af angreb.
fuld kortlægning af PT NAD til MITER ATT&CK matrix. Billedet er stort, så vi foreslår, at du ser det i et separat vindue.
Indledende adgang
Indledende adgangstaktik omfatter teknikker til at trænge ind i en virksomheds netværk. Målet for angribere på dette stadium er at levere ondsindet kode til det angrebne system og sikre muligheden for dens videre eksekvering.
Trafikanalyse fra PT NAD afslører syv teknikker til at få indledende adgang:
1. : drive-by-kompromis
En teknik, hvor offeret åbner et websted, der bruges af angribere til at udnytte webbrowseren og få applikationsadgangstokens.
Hvad gør PT NAD?: Hvis webtrafik ikke er krypteret, inspicerer PT NAD indholdet af HTTP-serversvar. Disse svar indeholder udnyttelser, der tillader angribere at udføre vilkårlig kode inde i browseren. PT NAD registrerer automatisk sådanne udnyttelser ved hjælp af registreringsregler.
Derudover registrerer PT NAD truslen i det foregående trin. Regler og indikatorer for kompromis udløses, hvis brugeren besøgte et websted, der omdirigerede ham til et websted med en masse udnyttelser.
2. : udnytte offentligt vendt applikation
Udnyttelse af sårbarheder i tjenester, der er tilgængelige fra internettet.
Hvad gør PT NAD?: Udfører en dyb inspektion af indholdet af netværkspakker og identificerer tegn på unormal aktivitet. Der er især regler, der giver dig mulighed for at opdage angreb på større indholdsstyringssystemer (CMS), webgrænseflader på netværksudstyr og angreb på mail- og FTP-servere.
3. : eksterne fjerntjenester
Angribere bruger fjernadgangstjenester til at oprette forbindelse til interne netværksressourcer udefra.
Hvad gør PT NAD?: Da systemet genkender protokoller ikke efter portnumre, men efter indholdet af pakker, kan systembrugere filtrere trafik for at finde alle sessioner af fjernadgangsprotokoller og kontrollere deres legitimitet.
4. : spearphishing vedhæftning
Vi taler om den berygtede afsendelse af phishing-vedhæftede filer.
Hvad gør PT NAD?: Udtrækker automatisk filer fra trafik og kontrollerer dem mod indikatorer på kompromittering. Eksekverbare filer i vedhæftede filer registreres af regler, der analyserer indholdet af mailtrafik. I et virksomhedsmiljø anses en sådan investering for at være unormal.
5. : spearphishing link
Brug af phishing-links. Teknikken går ud på, at angribere sender en phishing-e-mail med et link, der, når der klikkes på dem, downloader et ondsindet program. Som regel er linket ledsaget af en tekst, der er udarbejdet i overensstemmelse med alle regler for social engineering.
Hvad gør PT NAD?: Registrerer phishing-links ved hjælp af indikatorer for kompromis. For eksempel ser vi i PT NAD-grænsefladen en session, hvor der var en HTTP-forbindelse via et link inkluderet i listen over phishing-adresser (phishing-urls).
Forbindelse via et link fra listen over indikatorer for kompromitterede phishing-webadresser
6. : tillidsforhold
Adgang til ofrets netværk gennem tredjeparter, som offeret har etableret et betroet forhold til. Angribere kan hacke en betroet organisation og oprette forbindelse til målnetværket gennem det. For at gøre dette bruger de VPN-forbindelser eller domæne-trusts, som kan identificeres gennem trafikanalyse.
Hvad gør PT NAD?: parser applikationsprotokoller og gemmer de parsede felter i databasen, så en informationssikkerhedsanalytiker kan bruge filtre til at finde alle mistænkelige VPN-forbindelser eller forbindelser på tværs af domæner i databasen.
7. : gyldige konti
Brug af standard-, lokal- eller domænelegitimationsoplysninger til autorisation på eksterne og interne tjenester.
Hvad gør PT NAD?: henter automatisk legitimationsoplysninger fra HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos-protokoller. I det generelle tilfælde er dette et login, en adgangskode og et tegn på vellykket godkendelse. Hvis de er blevet brugt, vises de på det tilsvarende sessionskort.
Udførelse
Eksekveringstaktik omfatter teknikker, som angribere bruger til at udføre kode på kompromitterede systemer. Kørsel af ondsindet kode hjælper angribere med at etablere en tilstedeværelse (vedholdenhedstaktik) og udvide adgangen til fjernsystemer på netværket ved at bevæge sig indenfor perimeteren.
PT NAD giver dig mulighed for at opdage brugen af 14 teknikker, der bruges af angribere til at udføre ondsindet kode.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
En taktik, hvor angribere forbereder en speciel ondsindet INF-installationsfil til det indbyggede Windows-værktøj CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe tager filen som en parameter og installerer serviceprofilen for fjernforbindelsen. Som et resultat kan CMSTP.exe bruges til at indlæse og udføre dynamiske linkbiblioteker (*.dll) eller scriptlets (*.sct) fra fjernservere.
Hvad gør PT NAD?: Registrerer automatisk overførsel af specielle typer INF-filer i HTTP-trafik. Derudover detekterer den HTTP-transmission af ondsindede scriptlets og dynamiske linkbiblioteker fra en fjernserver.
2. : kommandolinjegrænseflade
Interaktion med kommandolinjegrænsefladen. Kommandolinjegrænsefladen kan interageres med lokalt eller eksternt, såsom gennem fjernadgangsværktøjer.
Hvad gør PT NAD?: registrerer automatisk tilstedeværelsen af skaller baseret på svar på kommandoer for at starte forskellige kommandolinjeværktøjer, såsom ping, ifconfig.
3. : komponentobjektmodel og distribueret COM
Brug af COM- eller DCOM-teknologier til at udføre kode på lokale eller eksterne systemer, mens du bevæger dig over et netværk.
Hvad gør PT NAD?: Registrerer mistænkelige DCOM-opkald, som angribere typisk bruger til at starte programmer.
4. : udnyttelse til klientudførelse
Udnyttelse af sårbarheder til at udføre vilkårlig kode på en arbejdsstation. De mest nyttige udnyttelser for angribere er dem, der tillader, at kode udføres på et eksternt system, da de kan tillade angribere at få adgang til dette system. Teknikken kan implementeres ved hjælp af følgende metoder: ondsindet mailing, et websted med browserudnyttelse og fjernudnyttelse af applikationssårbarheder.
Hvad gør PT NAD?: Ved parsing af mailtrafik kontrollerer PT NAD den for tilstedeværelsen af eksekverbare filer i vedhæftede filer. Udtrækker automatisk kontordokumenter fra e-mails, der kan indeholde udnyttelser. Forsøg på at udnytte sårbarheder er synlige i trafikken, som PT NAD registrerer automatisk.
5. : mshta
Brug mshta.exe-værktøjet, som kører Microsoft HTML-applikationer (HTA) med .hta-udvidelsen. Fordi mshta behandler filer, der omgår browserens sikkerhedsindstillinger, kan angribere bruge mshta.exe til at udføre ondsindede HTA-, JavaScript- eller VBScript-filer.
Hvad gør PT NAD?: .hta filer til eksekvering gennem mshta transmitteres også over netværket - dette kan ses i trafikken. PT NAD registrerer automatisk transmissionen af sådanne ondsindede filer. Det fanger filer, og information om dem kan ses på sessionskortet.
6. : PowerShell
Brug af PowerShell til at finde information og udføre skadelig kode.
Hvad gør PT NAD?: Når PowerShell bruges af fjernangribere, registrerer PT NAD dette ved hjælp af regler. Det registrerer PowerShell-sprognøgleord, der oftest bruges i ondsindede scripts og transmission af PowerShell-scripts over SMB-protokollen.
7. : planlagt opgave
Brug Windows Task Scheduler og andre hjælpeprogrammer til automatisk at køre programmer eller scripts på bestemte tidspunkter.
Hvad gør PT NAD?: Angribere opretter sådanne opgaver, normalt eksternt, hvilket betyder, at sådanne sessioner er synlige i trafikken. PT NAD registrerer automatisk mistænkelige opgaveoprettelse og ændringsoperationer ved hjælp af ATSVC- og ITaskSchedulerService RPC-grænseflader.
8. : scripting
Udførelse af scripts for at automatisere forskellige handlinger fra angribere.
Hvad gør PT NAD?: registrerer transmission af scripts over netværket, det vil sige selv før de startes. Det registrerer scriptindhold i rå trafik og registrerer netværkstransmission af filer med udvidelser svarende til populære scriptsprog.
9. : serviceudførelse
Kør en eksekverbar fil, kommandolinjegrænsefladeinstruktioner eller script ved at interagere med Windows-tjenester, såsom Service Control Manager (SCM).
Hvad gør PT NAD?: inspicerer SMB-trafik og registrerer adgang til SCM med regler for oprettelse, ændring og start af en tjeneste.
Tjenestestartteknikken kan implementeres ved hjælp af fjernkommandoudførelsesværktøjet PSExec. PT NAD analyserer SMB-protokollen og registrerer brugen af PSExec, når den bruger PSEXESVC.exe-filen eller standard PSEXECSVC-tjenestenavnet til at udføre kode på en ekstern maskine. Brugeren skal kontrollere listen over udførte kommandoer og legitimiteten af ekstern kommandoudførelse fra værten.
Angrebskortet i PT NAD viser data om de taktikker og teknikker, der anvendes i henhold til ATT&CK-matricen, så brugeren kan forstå, hvilket stadium af angrebet angriberne befinder sig på, hvilke mål de forfølger, og hvilke kompenserende foranstaltninger der skal tages.
Reglen om brug af PSExec-værktøjet udløses, hvilket kan indikere et forsøg på at udføre kommandoer på en ekstern maskine
10. : tredjepartssoftware
En teknik, hvor angribere får adgang til fjernadministrationssoftware eller et virksomhedssoftwareimplementeringssystem og bruger det til at køre skadelig kode. Eksempler på sådan software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Teknikken er i øvrigt især relevant i forbindelse med den massive overgang til fjernarbejde og som følge heraf forbindelsen af adskillige ubeskyttede hjemmeenheder gennem tvivlsomme fjernadgangskanaler
Hvad gør PT NAD?: registrerer automatisk driften af sådan software på netværket. For eksempel udløses reglerne af forbindelser via VNC-protokollen og aktiviteten af EvilVNC-trojaneren, som hemmeligt installerer en VNC-server på offerets vært og automatisk starter den. PT NAD detekterer også automatisk TeamViewer-protokollen, dette hjælper analytikeren ved at bruge et filter til at finde alle sådanne sessioner og kontrollere deres legitimitet.
11. : brugerudførelse
En teknik, hvor brugeren kører filer, der kan føre til kodekørsel. Det kan for eksempel være, hvis han åbner en eksekverbar fil eller kører et kontordokument med en makro.
Hvad gør PT NAD?: ser sådanne filer på overførselsstadiet, før de lanceres. Information om dem kan studeres på kortet for de sessioner, hvor de blev overført.
12. :Windows Management Instrumentation
Brug af WMI-værktøjet, som giver lokal og fjernadgang til Windows-systemkomponenter. Ved hjælp af WMI kan angribere interagere med lokale og eksterne systemer og udføre en række opgaver, såsom at indsamle information til rekognosceringsformål og fjernstarte processer, mens de bevæger sig sideværts.
Hvad gør PT NAD?: Da interaktioner med fjernsystemer via WMI er synlige i trafikken, registrerer PT NAD automatisk netværksanmodninger om at etablere WMI-sessioner og tjekker trafikken for scripts, der bruger WMI.
13. : Windows Fjernstyring
Brug af en Windows-tjeneste og -protokol, der giver brugeren mulighed for at interagere med fjernsystemer.
Hvad gør PT NAD?: Ser netværksforbindelser etableret ved hjælp af Windows Fjernstyring. Sådanne sessioner registreres automatisk af reglerne.
14. : XSL (Extensible Stylesheet Language) scriptbehandling
XSL-stil markup-sprog bruges til at beskrive behandlingen og visualiseringen af data i XML-filer. For at understøtte komplekse operationer inkluderer XSL-standarden understøttelse af indlejrede scripts på forskellige sprog. Disse sprog tillader udførelse af vilkårlig kode, hvilket fører til omgåelse af sikkerhedspolitikker baseret på hvide lister.
Hvad gør PT NAD?: registrerer overførslen af sådanne filer over netværket, det vil sige selv før de startes. Den registrerer automatisk XSL-filer, der overføres over netværket, og filer med unormal XSL-markering.
I de følgende materialer vil vi se på, hvordan PT Network Attack Discovery NTA-systemet finder andre angribertaktikker og -teknikker i overensstemmelse med MITER ATT&CK. Bliv hængende!
Forfattere:
- Anton Kutepov, specialist ved PT Expert Security Center, Positive Technologies
- Natalia Kazankova, produktmarketing hos Positive Technologies
Kilde: www.habr.com