, die Mehrheit (87 %) der Informationssicherheitsvorfälle ereignen sich innerhalb von Minuten, während 68 % der Unternehmen Monate brauchen, um sie zu erkennen. Dies wird bestätigt und Demnach dauert es bei den meisten Organisationen durchschnittlich 206 Tage, bis ein Vorfall erkannt wird. Basierend auf den Erfahrungen unserer Untersuchungen können Hacker die Infrastruktur eines Unternehmens über Jahre hinweg kontrollieren, ohne entdeckt zu werden. So wurde in einer der Organisationen, in denen unsere Experten einen Informationssicherheitsvorfall untersuchten, festgestellt, dass Hacker die gesamte Infrastruktur der Organisation vollständig kontrollierten und regelmäßig wichtige Informationen stahlen .
Nehmen wir an, Sie haben bereits ein SIEM im Einsatz, das Protokolle sammelt und Ereignisse analysiert, und auf den Endknoten ist Antivirensoftware installiert. Dennoch, , ebenso wie es unmöglich ist, EDR-Systeme für das gesamte Netzwerk zu implementieren, was bedeutet, dass „blinde“ Zonen nicht vermieden werden können. Systeme zur Netzwerkverkehrsanalyse (NTA) helfen bei der Bewältigung dieser Probleme. Diese Lösungen erkennen die Aktivität von Angreifern in den frühesten Phasen des Eindringens in das Netzwerk sowie bei Versuchen, Fuß zu fassen und einen Angriff innerhalb des Netzwerks zu entwickeln.
Es gibt zwei Arten von NTAs: Einige arbeiten mit NetFlow, andere analysieren den Rohdatenverkehr. Der Vorteil der zweiten Systeme besteht darin, dass sie rohe Verkehrsaufzeichnungen speichern können. Dadurch kann ein Informationssicherheitsspezialist den Erfolg des Angriffs überprüfen, die Bedrohung lokalisieren, verstehen, wie der Angriff stattgefunden hat und wie er einen ähnlichen Angriff in Zukunft verhindern kann.
Wir zeigen, wie Sie mithilfe von NTA direkte oder indirekte Beweise nutzen können, um alle in der Wissensdatenbank beschriebenen bekannten Angriffstaktiken zu identifizieren . Wir werden über jede der 12 Taktiken sprechen, die vom Verkehr erkannten Techniken analysieren und ihre Erkennung mithilfe unseres NTA-Systems demonstrieren.
Über die ATT&CK-Wissensdatenbank
MITRE ATT&CK ist eine öffentliche Wissensdatenbank, die von der MITRE Corporation basierend auf der Analyse realer APTs entwickelt und gepflegt wird. Dabei handelt es sich um eine strukturierte Reihe von Taktiken und Techniken, die von Angreifern eingesetzt werden. Dadurch können Informationssicherheitsexperten aus aller Welt die gleiche Sprache sprechen. Die Datenbank wird ständig erweitert und mit neuem Wissen ergänzt.
Die Datenbank identifiziert 12 Taktiken, die nach Phasen eines Cyberangriffs unterteilt sind:
- Erstzugang;
- Ausführung (Ausführung);
- Konsolidierung (Beharrlichkeit);
- Eskalation von Privilegien;
- Erkennungsprävention (Verteidigungsumgehung);
- Einholen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen);
- Intelligenz (Entdeckung);
- Bewegung innerhalb des Umfangs (seitliche Bewegung);
- Datenerfassung (Sammlung);
- Steuerung und Kontrolle;
- Datenexfiltration;
- Auswirkungen.
Für jede Taktik listet die ATT&CK-Wissensdatenbank eine Liste von Techniken auf, die Angreifern dabei helfen, ihr Ziel in der aktuellen Angriffsphase zu erreichen. Da dieselbe Technik in verschiedenen Phasen angewendet werden kann, kann sie sich auf mehrere Taktiken beziehen.
Die Beschreibung jeder Technik umfasst:
- Kennung;
- eine Liste der Taktiken, in denen es verwendet wird;
- Anwendungsbeispiele durch APT-Gruppen;
- Maßnahmen zur Schadensminderung durch seine Nutzung;
- Erkennungsempfehlungen.
Informationssicherheitsspezialisten können das Wissen aus der Datenbank nutzen, um Informationen über aktuelle Angriffsmethoden zu strukturieren und unter Berücksichtigung dieser ein effektives Sicherheitssystem aufzubauen. Das Verständnis, wie echte APT-Gruppen funktionieren, kann auch eine Quelle von Hypothesen für die proaktive Suche nach Bedrohungen in ihnen sein .
Über PT Network Attack Discovery
Wir werden anhand des Systems den Einsatz von Techniken aus der ATT&CK-Matrix identifizieren — NTA-System von Positive Technologies, das darauf ausgelegt ist, Angriffe am Perimeter und innerhalb des Netzwerks zu erkennen. PT NAD deckt in unterschiedlichem Maße alle 12 Taktiken der MITRE ATT&CK-Matrix ab. Er ist am wirkungsvollsten darin, Techniken für den ersten Zugang, die seitliche Bewegung sowie die Befehls- und Kontrolltechnik zu identifizieren. Darin deckt PT NAD mehr als die Hälfte der bekannten Techniken ab und erkennt deren Anwendung durch direkte oder indirekte Zeichen.
Das System erkennt Angriffe mithilfe von ATT&CK-Techniken anhand der vom Team erstellten Erkennungsregeln (PT ESC), maschinelles Lernen, Kompromissindikatoren, Tiefenanalyse und retrospektive Analyse. Die Echtzeit-Verkehrsanalyse in Kombination mit einer Retrospektive ermöglicht es Ihnen, aktuelle versteckte bösartige Aktivitäten zu identifizieren und Entwicklungsvektoren sowie die Chronologie von Angriffen zu verfolgen.
Vollständige Zuordnung von PT NAD zur MITRE ATT&CK-Matrix. Da das Bild groß ist, empfehlen wir Ihnen, es in einem separaten Fenster zu betrachten.
Erster Zugriff
Zu den Erstzugriffstaktiken gehören Techniken, um in das Netzwerk eines Unternehmens einzudringen. Das Ziel der Angreifer besteht in dieser Phase darin, Schadcode auf das angegriffene System zu übertragen und die Möglichkeit seiner weiteren Ausführung sicherzustellen.
Die Verkehrsanalyse von PT NAD zeigt sieben Techniken für den Erstzugang:
1. : Drive-by-Kompromiss
Eine Technik, bei der das Opfer eine Website öffnet, die von Angreifern verwendet wird, um den Webbrowser auszunutzen und Anwendungszugriffstokens zu erhalten.
Was macht PT NAD?: Wenn der Webverkehr nicht verschlüsselt ist, prüft PT NAD den Inhalt der HTTP-Serverantworten. Diese Antworten enthalten Exploits, die es Angreifern ermöglichen, beliebigen Code im Browser auszuführen. PT NAD erkennt solche Exploits automatisch mithilfe von Erkennungsregeln.
Darüber hinaus erkennt PT NAD die Bedrohung im vorherigen Schritt. Regeln und Kompromittierungsindikatoren werden ausgelöst, wenn der Benutzer eine Website besucht, die ihn auf eine Website mit einer Reihe von Exploits weitergeleitet hat.
2. : öffentlich zugängliche Anwendung ausnutzen
Ausnutzung von Schwachstellen in Diensten, die über das Internet zugänglich sind.
Was macht PT NAD?: Führt eine gründliche Untersuchung des Inhalts von Netzwerkpaketen durch und deckt darin Anzeichen anomaler Aktivität auf. Insbesondere gibt es Regeln, mit denen Sie Angriffe auf die wichtigsten Content-Management-Systeme (CMS), Webschnittstellen von Netzwerkgeräten sowie Angriffe auf Mail- und FTP-Server erkennen können.
3. : externe Remote-Dienste
Angreifer nutzen Fernzugriffsdienste, um von außen eine Verbindung zu internen Netzwerkressourcen herzustellen.
Was macht PT NAD?: Da das System Protokolle nicht anhand der Portnummern, sondern anhand des Inhalts von Paketen erkennt, können Systembenutzer den Datenverkehr filtern, um alle Sitzungen von RAS-Protokollen zu finden und deren Legitimität zu überprüfen.
4. : Spearphishing-Anhang
Die Rede ist vom berüchtigten Versand von Phishing-Anhängen.
Was macht PT NAD?: Extrahiert Dateien automatisch aus dem Datenverkehr und prüft sie anhand von Kompromittierungsindikatoren. Ausführbare Dateien in Anhängen werden durch Regeln erkannt, die den Inhalt des E-Mail-Verkehrs analysieren. In einem Unternehmensumfeld gilt eine solche Investition als ungewöhnlich.
5. : Spearphishing-Link
Verwendung von Phishing-Links. Bei dieser Technik versenden Angreifer eine Phishing-E-Mail mit einem Link, der beim Anklicken ein Schadprogramm herunterlädt. In der Regel wird dem Link ein Text beigefügt, der nach allen Regeln des Social Engineering erstellt wurde.
Was macht PT NAD?: Erkennt Phishing-Links anhand von Kompromittierungsindikatoren. Beispielsweise sehen wir in der PT NAD-Schnittstelle eine Sitzung, in der eine HTTP-Verbindung über einen Link bestand, der in der Liste der Phishing-Adressen (Phishing-URLs) enthalten ist.
Verbindung über einen Link aus der Liste der Indikatoren für kompromittierte Phishing-URLs
6. : Vertrauensverhältnis
Zugriff auf das Netzwerk des Opfers durch Dritte, zu denen das Opfer ein Vertrauensverhältnis hat. Angreifer können in eine vertrauenswürdige Organisation eindringen und sich über diese mit dem Zielnetzwerk verbinden. Dazu nutzen sie VPN-Verbindungen oder Domänen-Vertrauensbeziehungen, die durch Verkehrsanalysen aufgedeckt werden können.
Was macht PT NAD?: Analysiert Anwendungsprotokolle und speichert die analysierten Felder in der Datenbank, sodass ein Informationssicherheitsanalyst mithilfe von Filtern alle verdächtigen VPN-Verbindungen oder domänenübergreifenden Verbindungen in der Datenbank finden kann.
7. : gültige Konten
Verwendung von Standard-, lokalen oder Domänen-Anmeldeinformationen zur Autorisierung für externe und interne Dienste.
Was macht PT NAD?: Ruft automatisch Anmeldeinformationen von den Protokollen HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP und Kerberos ab. Im Allgemeinen handelt es sich hierbei um einen Benutzernamen, ein Passwort und ein Zeichen für eine erfolgreiche Authentifizierung. Sofern sie genutzt wurden, werden sie in der entsprechenden Sitzungskarte angezeigt.
Ausführung
Zu den Ausführungstaktiken gehören Techniken, mit denen Angreifer Code auf kompromittierten Systemen ausführen. Durch das Ausführen von bösartigem Code können Angreifer eine Präsenz aufbauen (Persistenztaktik) und den Zugriff auf Remote-Systeme im Netzwerk erweitern, indem sie sich innerhalb des Perimeters bewegen.
Mit PT NAD können Sie die Verwendung von 14 Techniken identifizieren, mit denen Angreifer Schadcode ausführen.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Eine Taktik, bei der Angreifer eine speziell gestaltete schädliche INF-Installationsdatei für das integrierte Windows-Dienstprogramm CMSTP.exe (Connection Manager Profile Installer) vorbereiten. CMSTP.exe verwendet eine Datei als Parameter und installiert ein Dienstprofil für die Remoteverbindung. Daher kann CMSTP.exe zum Herunterladen und Ausführen von Dynamic Link Libraries (*.dll) oder Scriptlets (*.sct) von Remote-Servern verwendet werden.
Was macht PT NAD?: Erkennt automatisch die Übertragung spezieller INF-Dateitypen im HTTP-Verkehr. Darüber hinaus erkennt es die HTTP-Übertragung schädlicher Scriptlets und dynamischer Linkbibliotheken von einem Remote-Server.
2. : Befehlszeilenschnittstelle
Interaktion mit der Befehlszeilenschnittstelle. Mit der Befehlszeilenschnittstelle kann lokal oder aus der Ferne interagiert werden, beispielsweise über Fernzugriffsdienstprogramme.
Was macht PT NAD?: Erkennt automatisch das Vorhandensein von Shells basierend auf Antworten auf Befehle zum Starten verschiedener Befehlszeilen-Dienstprogramme, wie z. B. Ping, ifconfig.
3. : Komponentenobjektmodell und verteiltes COM
Verwendung von COM- oder DCOM-Technologien zur Ausführung von Code auf lokalen oder Remote-Systemen, während er das Netzwerk durchquert.
Was macht PT NAD?: Erkennt verdächtige DCOM-Aufrufe, die Angreifer häufig zum Starten von Programmen verwenden.
4. : Ausnutzung zur Client-Ausführung
Ausnutzung von Schwachstellen, um beliebigen Code auf einer Workstation auszuführen. Die nützlichsten Exploits für Angreifer sind solche, die die Ausführung von Code auf einem Remote-System ermöglichen, da sie Angreifern den Zugriff auf dieses System ermöglichen können. Die Technik kann mit den folgenden Methoden implementiert werden: bösartiges Mailing, eine Website mit Browser-Exploits und Remote-Ausnutzung von Anwendungsschwachstellen.
Was macht PT NAD?: Beim Parsen des E-Mail-Verkehrs prüft PT NAD, ob im Anhang ausführbare Dateien vorhanden sind. Extrahiert automatisch Office-Dokumente aus E-Mails, die möglicherweise Exploits enthalten. Versuche, Schwachstellen auszunutzen, sind im Datenverkehr sichtbar, was PT NAD automatisch erkennt.
5. : mshta
Verwendung des Dienstprogramms mshta.exe, das Microsoft HTML-Anwendungen (HTA) mit der Erweiterung .hta ausführt. Da mshta Dateien unter Umgehung der Browser-Sicherheitseinstellungen verarbeitet, können Angreifer mshta.exe verwenden, um schädliche HTA-, JavaScript- oder VBScript-Dateien auszuführen.
Was macht PT NAD?: .hta-Dateien zur Ausführung durch mshta werden ebenfalls über das Netzwerk übertragen – dies ist am Datenverkehr zu erkennen. PT NAD erkennt die Übertragung solcher Schaddateien automatisch. Es erfasst Dateien und Informationen darüber können auf der Sitzungskarte angezeigt werden.
6. : Power Shell
Mit PowerShell Informationen finden und Schadcode ausführen.
Was macht PT NAD?: Wenn PowerShell von Remote-Angreifern verwendet wird, erkennt PT NAD dies mithilfe von Regeln. Es erkennt PowerShell-Sprachschlüsselwörter, die am häufigsten in bösartigen Skripten und der Übertragung von PowerShell-Skripten über das SMB-Protokoll verwendet werden.
7. : geplante Aufgabe
Verwenden des Windows-Taskplaners und anderer Dienstprogramme, um Programme oder Skripts zu bestimmten Zeiten automatisch auszuführen.
Was macht PT NAD?: Angreifer erstellen solche Aufgaben meist aus der Ferne, was bedeutet, dass solche Sitzungen im Datenverkehr sichtbar sind. PT NAD erkennt mithilfe der RPC-Schnittstellen ATSVC und ITaskSchedulerService automatisch verdächtige Aufgabenerstellungs- und Änderungsvorgänge.
8. : Skripterstellung
Ausführung von Skripten zur Automatisierung verschiedener Aktionen von Angreifern.
Was macht PT NAD?: Erkennt die Übertragung von Skripten über das Netzwerk, also noch bevor sie gestartet werden. Es erkennt Skriptinhalte im Rohdatenverkehr und erkennt die Netzwerkübertragung von Dateien mit Erweiterungen, die gängigen Skriptsprachen entsprechen.
9. : Serviceausführung
Führen Sie eine ausführbare Datei, CLI-Anweisungen oder ein Skript aus, indem Sie mit Windows-Diensten wie dem Service Control Manager (SCM) interagieren.
Was macht PT NAD?: Untersucht den SMB-Verkehr und erkennt den Zugriff auf SCM mit Regeln zum Erstellen, Ändern und Starten eines Dienstes.
Die Dienststarttechnik kann mit dem Remote-Befehlsausführungsdienstprogramm PSExec implementiert werden. PT NAD analysiert das SMB-Protokoll und erkennt die Verwendung von PSExec, wenn es die Datei PSEXESVC.exe oder den Standarddienstnamen PSEXECSVC verwendet, um Code auf einem Remotecomputer auszuführen. Der Benutzer muss die Liste der ausgeführten Befehle und die Legitimität der Remote-Befehlsausführung vom Host aus überprüfen.
Die Angriffskarte in PT NAD zeigt Daten zu den von der ATT&CK-Matrix verwendeten Taktiken und Techniken an, sodass der Benutzer verstehen kann, in welcher Phase des Angriffs sich die Angreifer befinden, welche Ziele sie verfolgen und welche Ausgleichsmaßnahmen zu ergreifen sind.
Die Regel zur Verwendung des PSExec-Dienstprogramms wird ausgelöst, was auf einen Versuch hinweisen kann, Befehle auf einem Remote-Computer auszuführen
10 : Drittanbietersoftware
Eine Technik, bei der Angreifer Zugriff auf Remote-Verwaltungssoftware oder ein Software-Bereitstellungssystem eines Unternehmens erhalten und diese nutzen, um Schadcode auszuführen. Beispiele für solche Software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Besonders relevant ist die Technik übrigens im Zusammenhang mit der massiven Umstellung auf Fernarbeit und der damit einhergehenden Anbindung zahlreicher ungeschützter Heimgeräte über zweifelhafte Fernzugriffskanäle
Was macht PT NAD?: Erkennt automatisch den Betrieb einer solchen Software im Netzwerk. Die Regeln werden beispielsweise durch Verbindungen über das VNC-Protokoll und die Aktivität des Trojaners EvilVNC ausgelöst, der heimlich einen VNC-Server auf dem Host des Opfers installiert und diesen automatisch startet. Außerdem erkennt PT NAD automatisch das TeamViewer-Protokoll, was dem Analysten hilft, mithilfe eines Filters alle solchen Sitzungen zu finden und ihre Legitimität zu überprüfen.
11 : Benutzerausführung
Eine Technik, bei der der Benutzer Dateien ausführt, die zur Ausführung von Code führen können. Dies kann beispielsweise der Fall sein, wenn eine ausführbare Datei geöffnet oder ein Office-Dokument mit einem Makro ausgeführt wird.
Was macht PT NAD?: sieht solche Dateien in der Übertragungsphase, bevor sie gestartet werden. Informationen über sie können in der Karte der Sitzungen eingesehen werden, in denen sie übermittelt wurden.
12 : Windows-Verwaltungsinstrumentierung
Verwendung des WMI-Tools, das lokalen und Remote-Zugriff auf Windows-Systemkomponenten ermöglicht. Mithilfe von WMI können Angreifer mit lokalen und entfernten Systemen interagieren und eine Vielzahl von Aufgaben ausführen, beispielsweise das Sammeln von Informationen zu Aufklärungszwecken und das Starten von Prozessen aus der Ferne, während sie sich seitlich bewegen.
Was macht PT NAD?: Da Interaktionen mit Remote-Systemen über WMI im Datenverkehr sichtbar sind, erkennt PT NAD automatisch Netzwerkanfragen zum Aufbau von WMI-Sitzungen und überprüft den Datenverkehr darauf, dass Skripte übertragen werden, die WMI verwenden.
13 : Windows-Remoteverwaltung
Verwendung eines Windows-Dienstes und -Protokolls, das dem Benutzer die Interaktion mit Remote-Systemen ermöglicht.
Was macht PT NAD?: Sieht Netzwerkverbindungen, die über die Windows-Remoteverwaltung hergestellt wurden. Solche Sitzungen werden von den Regeln automatisch erkannt.
14 : XSL-Skriptverarbeitung (Extensible Stylesheet Language).
Die Auszeichnungssprache im XSL-Stil wird verwendet, um die Verarbeitung und Darstellung von Daten in XML-Dateien zu beschreiben. Um komplexe Vorgänge zu unterstützen, unterstützt der XSL-Standard Inline-Skripte in mehreren Sprachen. Diese Sprachen ermöglichen die Ausführung beliebigen Codes, der Whitelist-Sicherheitsrichtlinien umgeht.
Was macht PT NAD?: erkennt die Übertragung solcher Dateien über das Netzwerk, also noch bevor sie gestartet werden. Es erkennt automatisch XSL-Dateien, die über das Netzwerk übertragen werden, sowie Dateien mit anomalem XSL-Markup.
In den folgenden Materialien werden wir untersuchen, wie das PT Network Attack Discovery NTA-System andere Angreifertaktiken und -techniken gemäß MITRE ATT&CK findet. Bleiben Sie dran!
Autoren:
- Anton Kutepov, Spezialist am PT Expert Security Center, Positive Technologies
- Natalia Kazankova, Produktvermarkterin bei Positive Technologies
Source: habr.com