, η πλειοψηφία (87%) των περιστατικών ασφάλειας πληροφοριών συμβαίνουν μέσα σε λίγα λεπτά, ενώ το 68% των εταιρειών χρειάζονται μήνες για να τα εντοπίσουν. Αυτό επιβεβαιώνεται και , σύμφωνα με το οποίο οι περισσότεροι οργανισμοί χρειάζονται κατά μέσο όρο 206 ημέρες για να ανακαλύψουν ένα περιστατικό. Με βάση τις έρευνές μας, οι χάκερ μπορούν να ελέγχουν την υποδομή μιας εταιρείας για χρόνια χωρίς να εντοπιστούν. Έτσι, σε έναν από τους οργανισμούς όπου οι ειδικοί μας διεξήγαγαν έρευνα για ένα περιστατικό ασφάλειας πληροφοριών, αποκαλύφθηκε ότι οι χάκερ έλεγχαν πλήρως ολόκληρη την υποδομή του οργανισμού και έκλεβαν τακτικά σημαντικές πληροφορίες .
Ας υποθέσουμε ότι εκτελείτε ήδη το SIEM, το οποίο συλλέγει αρχεία καταγραφής και αναλύει συμβάντα, ενώ τα προγράμματα προστασίας από ιούς εγκαθίστανται στους τελικούς κόμβους. Παρ 'όλα αυτά, , όπως είναι αδύνατο να εφαρμοστούν συστήματα EDR για ολόκληρο το δίκτυο, πράγμα που σημαίνει ότι οι «τυφλές» ζώνες δεν μπορούν να αποφευχθούν. Τα συστήματα ανάλυσης κίνησης δικτύου (NTA) βοηθούν στην αντιμετώπισή τους. Αυτές οι λύσεις εντοπίζουν τη δραστηριότητα των εισβολέων στα πρώτα στάδια διείσδυσης στο δίκτυο, καθώς και κατά τη διάρκεια προσπαθειών να αποκτήσουν ερείσματα και να αναπτύξουν μια επίθεση μέσα στο δίκτυο.
Υπάρχουν δύο τύποι NTA: το ένα λειτουργεί με το NetFlow, το άλλο αναλύει την πρωτογενή κίνηση. Το πλεονέκτημα των δεύτερων συστημάτων είναι ότι μπορούν να αποθηκεύσουν ακατέργαστα αρχεία κυκλοφορίας. Χάρη σε αυτό, ένας ειδικός ασφάλειας πληροφοριών μπορεί να ελέγξει την επιτυχία της επίθεσης, να εντοπίσει την απειλή, να κατανοήσει πώς συνέβη η επίθεση και πώς να αποτρέψει μια παρόμοια στο μέλλον.
Θα δείξουμε πώς το NTA μπορεί να χρησιμοποιηθεί για τον εντοπισμό, με άμεσες ή έμμεσες ενδείξεις, όλες τις γνωστές τακτικές επίθεσης που περιγράφονται στη βάση γνώσεων. . Θα μιλήσουμε για καθεμία από τις 12 τακτικές, θα αναλύσουμε τις τεχνικές που εντοπίζονται από την κυκλοφορία και θα δείξουμε τον εντοπισμό τους χρησιμοποιώντας το σύστημα NTA μας.
Σχετικά με τη Γνωσιακή Βάση ATT&CK
Το MITER ATT&CK είναι μια δημόσια βάση γνώσεων που αναπτύχθηκε και διατηρείται από την MITER Corporation με βάση την ανάλυση πραγματικών APT. Είναι ένα δομημένο σύνολο τακτικών και τεχνικών που χρησιμοποιούνται από τους επιτιθέμενους. Αυτό επιτρέπει σε επαγγελματίες ασφάλειας πληροφοριών από όλο τον κόσμο να μιλούν την ίδια γλώσσα. Η βάση δεδομένων επεκτείνεται συνεχώς και συμπληρώνεται με νέες γνώσεις.
Η βάση δεδομένων προσδιορίζει 12 τακτικές, οι οποίες χωρίζονται σε στάδια μιας κυβερνοεπίθεσης:
- αρχική πρόσβαση (αρχική πρόσβαση).
- εκτέλεση (εκτέλεση)
- ενοποίηση (επιμονή)·
- κλιμάκωση προνομίων?
- πρόληψη ανίχνευσης (αμυντική αποφυγή).
- απόκτηση διαπιστευτηρίων (πρόσβαση διαπιστευτηρίων).
- ευφυΐα (ανακάλυψη).
- κίνηση εντός της περιμέτρου (πλευρική κίνηση).
- συλλογή δεδομένων (συλλογή)·
- εντολή και έλεγχος;
- Διήθηση δεδομένων·
- επίπτωση.
Για κάθε τακτική, η Γνωσιακή Βάση ATT&CK παραθέτει μια λίστα τεχνικών που βοηθούν τους επιτιθέμενους να επιτύχουν τον στόχο τους στο τρέχον στάδιο της επίθεσης. Δεδομένου ότι η ίδια τεχνική μπορεί να χρησιμοποιηθεί σε διαφορετικά στάδια, μπορεί να αναφέρεται σε πολλές τακτικές.
Η περιγραφή κάθε τεχνικής περιλαμβάνει:
- αναγνωριστικό;
- κατάλογο των τακτικών στις οποίες εφαρμόζεται·
- Παραδείγματα χρήσης από ομάδες APT·
- μέτρα για τη μείωση των ζημιών από τη χρήση του·
- συστάσεις ανίχνευσης.
Οι ειδικοί στην ασφάλεια πληροφοριών μπορούν να χρησιμοποιήσουν τη γνώση από τη βάση δεδομένων για να δομήσουν πληροφορίες σχετικά με τις τρέχουσες μεθόδους επίθεσης και, έχοντας αυτό κατά νου, να δημιουργήσουν ένα αποτελεσματικό σύστημα ασφαλείας. Η κατανόηση του τρόπου λειτουργίας των πραγματικών ομάδων APT μπορεί επίσης να γίνει πηγή υποθέσεων για την προληπτική αναζήτηση απειλών εντός .
Σχετικά με το PT Network Attack Discovery
Θα αναγνωρίσουμε τη χρήση τεχνικών από τον πίνακα ATT & CK χρησιμοποιώντας το σύστημα - Σύστημα NTA Positive Technologies σχεδιασμένο να ανιχνεύει επιθέσεις στην περίμετρο και στο εσωτερικό του δικτύου. Το PT NAD καλύπτει και τις 12 τακτικές του πίνακα MITER ATT&CK σε διάφορους βαθμούς. Είναι πιο ισχυρό στον εντοπισμό της αρχικής πρόσβασης, της πλευρικής κίνησης και των τεχνικών διοίκησης και ελέγχου. Σε αυτά, το PT NAD καλύπτει περισσότερες από τις μισές γνωστές τεχνικές, ανιχνεύοντας τη χρήση τους με άμεσες ή έμμεσες ενδείξεις.
Το σύστημα εντοπίζει επιθέσεις χρησιμοποιώντας τεχνικές ATT&CK χρησιμοποιώντας κανόνες ανίχνευσης που δημιουργούνται από την εντολή (PT ESC), μηχανική μάθηση, δείκτες συμβιβασμού, βαθιά ανάλυση και αναδρομική ανάλυση. Η ανάλυση της κυκλοφορίας σε πραγματικό χρόνο, σε συνδυασμό με την αναδρομική, σας επιτρέπει να προσδιορίσετε την τρέχουσα κρυφή κακόβουλη δραστηριότητα και να παρακολουθείτε διανύσματα ανάπτυξης και χρονολογία επιθέσεων.
πλήρης αντιστοίχιση του PT NAD στον πίνακα MITER ATT&CK. Η εικόνα είναι μεγάλη, γι' αυτό σας προτείνουμε να την εξετάσετε σε ξεχωριστό παράθυρο.
Αρχική πρόσβαση
Οι τακτικές αρχικής πρόσβασης περιλαμβάνουν τεχνικές διείσδυσης στο δίκτυο μιας εταιρείας. Ο στόχος των εισβολέων σε αυτό το στάδιο είναι να παραδώσουν κακόβουλο κώδικα στο σύστημα που δέχεται επίθεση και να εξασφαλίσουν την περαιτέρω εκτέλεσή του.
Η ανάλυση κυκλοφορίας PT NAD αποκαλύπτει επτά τεχνικές για την απόκτηση αρχικής πρόσβασης:
1. : συμβιβασμός με κίνηση
Μια τεχνική κατά την οποία το θύμα ανοίγει έναν ιστότοπο που χρησιμοποιείται από εισβολείς για να εκμεταλλευτεί ένα πρόγραμμα περιήγησης ιστού για να αποκτήσει διακριτικά πρόσβασης εφαρμογής.
Τι κάνει το PT NAD;: Εάν η κίνηση ιστού δεν είναι κρυπτογραφημένη, το PT NAD επιθεωρεί το περιεχόμενο των αποκρίσεων διακομιστή HTTP. Σε αυτές τις απαντήσεις εντοπίζονται εκμεταλλεύσεις που επιτρέπουν στους εισβολείς να εκτελούν αυθαίρετο κώδικα μέσα στο πρόγραμμα περιήγησης. Το PT NAD εντοπίζει αυτόματα τέτοιου είδους εκμεταλλεύσεις χρησιμοποιώντας κανόνες ανίχνευσης.
Επιπλέον, το PT NAD ανιχνεύει την απειλή στο προηγούμενο βήμα. Κανόνες και δείκτες συμβιβασμού ενεργοποιούνται εάν ο χρήστης επισκέφτηκε έναν ιστότοπο που τον ανακατεύθυνε σε έναν ιστότοπο με μια δέσμη εκμεταλλεύσεων.
2. : αξιοποίηση της δημόσιας εφαρμογής
Εκμετάλλευση τρωτών σημείων σε υπηρεσίες που είναι προσβάσιμες από το Διαδίκτυο.
Τι κάνει το PT NAD;: πραγματοποιεί μια βαθιά επιθεώρηση του περιεχομένου των πακέτων δικτύου, αποκαλύπτοντας σημάδια ανώμαλης δραστηριότητας σε αυτό. Συγκεκριμένα, υπάρχουν κανόνες που σας επιτρέπουν να ανιχνεύετε επιθέσεις στα κύρια συστήματα διαχείρισης περιεχομένου (CMS), τις διεπαφές ιστού του εξοπλισμού δικτύου, τις επιθέσεις σε διακομιστές αλληλογραφίας και FTP.
3. : εξωτερικές απομακρυσμένες υπηρεσίες
Οι εισβολείς χρησιμοποιούν υπηρεσίες απομακρυσμένης πρόσβασης για να συνδεθούν με εσωτερικούς πόρους δικτύου από έξω.
Τι κάνει το PT NAD;: δεδομένου ότι το σύστημα αναγνωρίζει πρωτόκολλα όχι με αριθμούς θύρας, αλλά από το περιεχόμενο των πακέτων, οι χρήστες του συστήματος μπορούν να φιλτράρουν την κυκλοφορία με τέτοιο τρόπο ώστε να βρίσκουν όλες τις περιόδους λειτουργίας πρωτοκόλλων απομακρυσμένης πρόσβασης και να ελέγχουν τη νομιμότητά τους.
4. : προσάρτημα ψαρέματος
Μιλάμε για την περιβόητη αποστολή συνημμένων phishing.
Τι κάνει το PT NAD;: εξάγει αυτόματα αρχεία από την κυκλοφορία και τα ελέγχει σε σχέση με δείκτες συμβιβασμού. Τα εκτελέσιμα αρχεία στα συνημμένα εντοπίζονται από κανόνες που αναλύουν το περιεχόμενο της επισκεψιμότητας αλληλογραφίας. Σε ένα εταιρικό περιβάλλον, μια τέτοια επένδυση θεωρείται ανώμαλη.
5. : σύνδεσμος ψαρέματος
Χρήση συνδέσμων phishing. Η τεχνική περιλαμβάνει τους εισβολείς να στέλνουν ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος με έναν σύνδεσμο στον οποίο, όταν κάνετε κλικ, κατεβάζει ένα κακόβουλο πρόγραμμα. Κατά κανόνα, ο σύνδεσμος συνοδεύεται από ένα κείμενο που συντάσσεται σύμφωνα με όλους τους κανόνες της κοινωνικής μηχανικής.
Τι κάνει το PT NAD;: Εντοπίζει συνδέσμους phishing χρησιμοποιώντας δείκτες συμβιβασμού. Για παράδειγμα, στη διεπαφή PT NAD, βλέπουμε μια συνεδρία στην οποία υπήρχε σύνδεση HTTP μέσω ενός συνδέσμου που περιλαμβάνεται στη λίστα διευθύνσεων phishing (phishing-urls).
Σύνδεση μέσω συνδέσμου από τη λίστα των δεικτών συμβιβασμού phishing-url
6. : σχέση εμπιστοσύνης
Πρόσβαση στο δίκτυο του θύματος μέσω τρίτων με τα οποία το θύμα έχει σχέση εμπιστοσύνης. Οι εισβολείς μπορούν να εισβάλουν σε έναν αξιόπιστο οργανισμό και να συνδεθούν μέσω αυτού στο δίκτυο-στόχο. Για να γίνει αυτό, χρησιμοποιούν συνδέσεις VPN ή σχέσεις εμπιστοσύνης τομέα, οι οποίες μπορούν να αποκαλυφθούν μέσω ανάλυσης επισκεψιμότητας.
Τι κάνει το PT NAD;: αναλύει τα πρωτόκολλα εφαρμογών και αποθηκεύει τα αναλυμένα πεδία στη βάση δεδομένων, έτσι ώστε ο αναλυτής ασφάλειας πληροφοριών να μπορεί να χρησιμοποιήσει φίλτρα για να βρει όλες τις ύποπτες συνδέσεις VPN ή συνδέσεις μεταξύ τομέων στη βάση δεδομένων.
7. : έγκυροι λογαριασμοί
Χρήση τυπικών, τοπικών ή διαπιστευτηρίων τομέα για εξουσιοδότηση σε εξωτερικές και εσωτερικές υπηρεσίες.
Τι κάνει το PT NAD;: ανακτά αυτόματα διαπιστευτήρια από πρωτόκολλα HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Στη γενική περίπτωση, αυτό είναι ένα login, ένας κωδικός πρόσβασης και ένα σημάδι επιτυχούς ελέγχου ταυτότητας. Εάν έχουν χρησιμοποιηθεί, εμφανίζονται στην αντίστοιχη κάρτα συνεδρίας.
Εκτέλεση
Οι τακτικές εκτέλεσης περιλαμβάνουν τεχνικές που χρησιμοποιούν οι εισβολείς για την εκτέλεση κώδικα σε παραβιασμένα συστήματα. Η εκτέλεση κακόβουλου κώδικα βοηθά τους εισβολείς να δημιουργήσουν παρουσία (τακτική επιμονής) και να επεκτείνουν την πρόσβαση σε απομακρυσμένα συστήματα στο δίκτυο μετακινούμενοι εντός της περιμέτρου.
Το PT NAD σάς επιτρέπει να προσδιορίσετε τη χρήση 14 τεχνικών που χρησιμοποιούνται από τους εισβολείς για την εκτέλεση κακόβουλου κώδικα.
1. : CMSTP (Εγκατάσταση προφίλ Microsoft Connection Manager)
Μια τακτική στην οποία οι εισβολείς προετοιμάζουν ένα ειδικά δημιουργημένο κακόβουλο αρχείο εγκατάστασης .inf για το ενσωματωμένο βοηθητικό πρόγραμμα Windows CMSTP.exe (Connection Manager Profile Installer). Το CMSTP.exe παίρνει ένα αρχείο ως παράμετρο και εγκαθιστά ένα προφίλ υπηρεσίας για την απομακρυσμένη σύνδεση. Ως αποτέλεσμα, το CMSTP.exe μπορεί να χρησιμοποιηθεί για λήψη και εκτέλεση βιβλιοθηκών δυναμικών συνδέσμων (*.dll) ή scriptlet (*.sct) από απομακρυσμένους διακομιστές.
Τι κάνει το PT NAD;: Ανιχνεύει αυτόματα τη μετάδοση αρχείων ειδικής μορφής .inf σε κίνηση HTTP. Επιπλέον, ανιχνεύει μεταφορές HTTP κακόβουλων scriptlet και βιβλιοθήκες δυναμικών συνδέσμων από έναν απομακρυσμένο διακομιστή.
2. : διεπαφή γραμμής εντολών
Αλληλεπίδραση με τη διεπαφή γραμμής εντολών. Η διεπαφή της γραμμής εντολών μπορεί να αλληλεπιδράσει τοπικά ή απομακρυσμένα, όπως μέσω βοηθητικών προγραμμάτων απομακρυσμένης πρόσβασης.
Τι κάνει το PT NAD;: ανιχνεύει αυτόματα την παρουσία κελύφους μέσω απαντήσεων σε εντολές για την εκκίνηση διαφόρων βοηθητικών προγραμμάτων της γραμμής εντολών, όπως ping, ifconfig.
3. : μοντέλο αντικειμένου συστατικού και κατανεμημένο COM
Χρήση τεχνολογιών COM ή DCOM για την εκτέλεση κώδικα σε τοπικά ή απομακρυσμένα συστήματα καθώς διασχίζει το δίκτυο.
Τι κάνει το PT NAD;: Εντοπίζει ύποπτες κλήσεις DCOM που χρησιμοποιούν συνήθως οι εισβολείς για την εκκίνηση προγραμμάτων.
4. : εκμετάλλευση για εκτέλεση πελάτη
Εκμετάλλευση τρωτών σημείων για την εκτέλεση αυθαίρετου κώδικα σε έναν σταθμό εργασίας. Τα πιο χρήσιμα exploit για τους εισβολείς είναι αυτά που επιτρέπουν την εκτέλεση κώδικα σε ένα απομακρυσμένο σύστημα, καθώς μπορούν να χρησιμοποιηθούν από τους εισβολείς για να αποκτήσουν πρόσβαση σε ένα τέτοιο σύστημα. Η τεχνική μπορεί να υλοποιηθεί με τις ακόλουθες μεθόδους: κακόβουλη λίστα αλληλογραφίας, ιστότοπος με εκμεταλλεύσεις για προγράμματα περιήγησης και απομακρυσμένη εκμετάλλευση ευπαθειών εφαρμογών.
Τι κάνει το PT NAD;: κατά την ανάλυση της κυκλοφορίας αλληλογραφίας, το PT NAD το ελέγχει για την παρουσία εκτελέσιμων αρχείων στο συνημμένο. Εξάγει αυτόματα έγγραφα γραφείου από μηνύματα ηλεκτρονικού ταχυδρομείου που ενδέχεται να περιέχουν εκμεταλλεύσεις. Οι προσπάθειες εκμετάλλευσης τρωτών σημείων είναι ορατές στην κυκλοφορία, τις οποίες το PT NAD εντοπίζει αυτόματα.
5. : mshta
Χρησιμοποιώντας το βοηθητικό πρόγραμμα mshta.exe, το οποίο εκτελεί Microsoft HTML Applications (HTA) με επέκταση .hta. Επειδή το mshta επεξεργάζεται αρχεία παρακάμπτοντας τις ρυθμίσεις ασφαλείας του προγράμματος περιήγησης, οι εισβολείς μπορούν να χρησιμοποιήσουν το mshta.exe για να εκτελέσουν κακόβουλα αρχεία HTA, JavaScript ή VBScript.
Τι κάνει το PT NAD;: Τα αρχεία .hta για εκτέλεση μέσω mshta μεταδίδονται επίσης μέσω του δικτύου - αυτό φαίνεται στην κίνηση. Το PT NAD ανιχνεύει αυτόματα τη μετάδοση τέτοιων κακόβουλων αρχείων. Καταγράφει αρχεία και οι πληροφορίες σχετικά με αυτά μπορούν να προβληθούν στην κάρτα συνεδρίας.
6. : powershell
Χρήση του PowerShell για αναζήτηση πληροφοριών και εκτέλεση κακόβουλου κώδικα.
Τι κάνει το PT NAD;: Όταν το PowerShell χρησιμοποιείται από εισβολείς εξ αποστάσεως, το PT NAD το εντοπίζει χρησιμοποιώντας κανόνες. Εντοπίζει τις λέξεις-κλειδιά της γλώσσας PowerShell που χρησιμοποιούνται πιο συχνά σε κακόβουλα σενάρια και στη μετάδοση σεναρίων PowerShell μέσω SMB.
7. : προγραμματισμένη εργασία
Χρησιμοποιήστε τον Προγραμματιστή εργασιών των Windows και άλλα βοηθητικά προγράμματα για αυτόματη εκτέλεση προγραμμάτων ή σεναρίων σε συγκεκριμένες ώρες.
Τι κάνει το PT NAD;: οι εισβολείς δημιουργούν τέτοιες εργασίες, συνήθως εξ αποστάσεως, πράγμα που σημαίνει ότι τέτοιες συνεδρίες είναι ορατές στην κυκλοφορία. Το PT NAD εντοπίζει αυτόματα ύποπτες λειτουργίες δημιουργίας και τροποποίησης εργασιών χρησιμοποιώντας τις διεπαφές ATSVC και ITaskSchedulerService RPC.
8. : σενάριο
Εκτέλεση σεναρίων για την αυτοματοποίηση διαφόρων ενεργειών των επιτιθέμενων.
Τι κάνει το PT NAD;: ανιχνεύει τη μετάδοση σεναρίων μέσω του δικτύου, δηλαδή ακόμη και πριν από την εκκίνησή τους. Ανιχνεύει περιεχόμενο σεναρίου σε ακατέργαστη κίνηση και ανιχνεύει τη μετάδοση μέσω δικτύου αρχείων με επεκτάσεις που αντιστοιχούν σε δημοφιλείς γλώσσες δέσμης ενεργειών.
9. : εκτέλεση υπηρεσίας
Εκτελέστε ένα εκτελέσιμο αρχείο, οδηγίες CLI ή σενάριο αλληλεπιδρώντας με υπηρεσίες των Windows, όπως το Service Control Manager (SCM).
Τι κάνει το PT NAD;: επιθεωρεί την κίνηση SMB και εντοπίζει αιτήματα προς SCM με κανόνες για τη δημιουργία, την τροποποίηση και την εκκίνηση μιας υπηρεσίας.
Η τεχνική για την εκκίνηση υπηρεσιών μπορεί να υλοποιηθεί χρησιμοποιώντας το βοηθητικό πρόγραμμα εκτέλεσης απομακρυσμένων εντολών PSExec. Το PT NAD αναλύει το πρωτόκολλο SMB και εντοπίζει τη χρήση του PSExec όταν χρησιμοποιεί το αρχείο PSEXESVC.exe ή το τυπικό όνομα υπηρεσίας PSEXECSVC για την εκτέλεση κώδικα σε απομακρυσμένο μηχάνημα. Ο χρήστης πρέπει να ελέγξει τη λίστα των εκτελεσμένων εντολών και τη νομιμότητα της απομακρυσμένης εκτέλεσης εντολών από τον κεντρικό υπολογιστή.
Η κάρτα επίθεσης στο PT NAD εμφανίζει δεδομένα σχετικά με τις τακτικές και τις τεχνικές που χρησιμοποιούνται από τη μήτρα ATT&CK, ώστε ο χρήστης να μπορεί να καταλάβει σε ποιο στάδιο της επίθεσης βρίσκονται οι επιτιθέμενοι, ποιους στόχους επιδιώκουν και ποια αντισταθμιστικά μέτρα πρέπει να λάβουν.
Ενεργοποίηση του κανόνα σχετικά με τη χρήση του βοηθητικού προγράμματος PSExec, το οποίο μπορεί να υποδεικνύει μια προσπάθεια εκτέλεσης εντολών σε απομακρυσμένο μηχάνημα
10. : λογισμικό τρίτων κατασκευαστών
Μια τεχνική κατά την οποία οι εισβολείς αποκτούν πρόσβαση σε λογισμικό απομακρυσμένης διαχείρισης ή σε ένα εταιρικό σύστημα ανάπτυξης λογισμικού και τα χρησιμοποιούν για την εκτέλεση κακόβουλου κώδικα. Παραδείγματα τέτοιου λογισμικού: SCCM, VNC, TeamViewer, HBSS, Altiris.
Παρεμπιπτόντως, η τεχνική είναι ιδιαίτερα σημαντική σε σχέση με τη μαζική μετάβαση στην απομακρυσμένη εργασία και, ως εκ τούτου, τη σύνδεση πολυάριθμων οικιακών μη προστατευμένων συσκευών μέσω αμφίβολων καναλιών απομακρυσμένης πρόσβασης.
Τι κάνει το PT NAD;: Ανιχνεύει αυτόματα τη λειτουργία τέτοιου λογισμικού στο δίκτυο. Για παράδειγμα, οι κανόνες ενεργοποιούνται από τα γεγονότα της σύνδεσης μέσω του πρωτοκόλλου VNC και τη δραστηριότητα του Trojan EvilVNC, ο οποίος εγκαθιστά κρυφά έναν διακομιστή VNC στον κεντρικό υπολογιστή του θύματος και τον εκκινεί αυτόματα. Επίσης, το PT NAD εντοπίζει αυτόματα το πρωτόκολλο TeamViewer, το οποίο βοηθά τον αναλυτή να βρει όλες αυτές τις συνεδρίες χρησιμοποιώντας ένα φίλτρο και να ελέγξει τη νομιμότητά τους.
11. : εκτέλεση χρήστη
Μια τεχνική στην οποία ο χρήστης εκτελεί αρχεία που μπορούν να προκαλέσουν την εκτέλεση κώδικα. Αυτό θα μπορούσε, για παράδειγμα, να είναι εάν ανοίγει ένα εκτελέσιμο αρχείο ή εκτελεί ένα έγγραφο γραφείου με μια μακροεντολή.
Τι κάνει το PT NAD;: βλέπει τέτοια αρχεία στο στάδιο μεταφοράς, πριν από την εκκίνησή τους. Πληροφορίες σχετικά με αυτές μπορούν να μελετηθούν στην κάρτα των συνεδριών στις οποίες μεταδόθηκαν.
12. : Όργανα διαχείρισης των Windows
Χρησιμοποιώντας το εργαλείο WMI, το οποίο παρέχει τοπική και απομακρυσμένη πρόσβαση στα στοιχεία του συστήματος των Windows. Χρησιμοποιώντας το WMI, οι εισβολείς μπορούν να αλληλεπιδράσουν με τοπικά και απομακρυσμένα συστήματα και να εκτελέσουν μια ποικιλία εργασιών, όπως η συλλογή πληροφοριών για σκοπούς πληροφοριών και η εξ αποστάσεως εκκίνηση διεργασιών κατά την πλευρική κίνηση.
Τι κάνει το PT NAD;: Εφόσον οι αλληλεπιδράσεις με απομακρυσμένα συστήματα μέσω WMI είναι ορατές στην κυκλοφορία, το PT NAD εντοπίζει αυτόματα αιτήματα δικτύου για τη δημιουργία συνεδριών WMI και ελέγχει την κίνηση για το γεγονός ότι μεταδίδονται σενάρια που χρησιμοποιούν WMI.
13. : Απομακρυσμένη διαχείριση των Windows
Χρήση υπηρεσίας και πρωτοκόλλου Windows που επιτρέπει στον χρήστη να αλληλεπιδρά με απομακρυσμένα συστήματα.
Τι κάνει το PT NAD;: Βλέπει τις συνδέσεις δικτύου που δημιουργούνται χρησιμοποιώντας την Απομακρυσμένη διαχείριση των Windows. Τέτοιες συνεδρίες εντοπίζονται αυτόματα από τους κανόνες.
14. : Επεξεργασία σεναρίου XSL (Extensible Stylesheet Language).
Η γλώσσα σήμανσης στυλ XSL χρησιμοποιείται για να περιγράψει την επεξεργασία και την απόδοση δεδομένων σε αρχεία XML. Για την υποστήριξη πολύπλοκων λειτουργιών, το πρότυπο XSL περιλαμβάνει υποστήριξη για ενσωματωμένα σενάρια σε πολλές γλώσσες. Αυτές οι γλώσσες επιτρέπουν την εκτέλεση αυθαίρετου κώδικα, ο οποίος παρακάμπτει τις πολιτικές ασφαλείας της λίστας επιτρεπόμενων.
Τι κάνει το PT NAD;: ανιχνεύει τη μετάδοση τέτοιων αρχείων μέσω του δικτύου, δηλαδή ακόμη και πριν από την εκκίνησή τους. Ανιχνεύει αυτόματα τη μετάδοση αρχείων XSL μέσω του δικτύου και αρχείων με ανώμαλη σήμανση XSL.
Στα ακόλουθα υλικά, θα δούμε πώς το σύστημα PT Network Attack Discovery NTA βρίσκει άλλες τακτικές και τεχνικές επιτιθέμενων σύμφωνα με το MITER ATT & CK. Μείνετε συντονισμένοι!
Συγγραφείς:
- Anton Kutepov, ειδικός του ειδικού κέντρου ασφάλειας (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, έμπορος προϊόντων στην Positive Technologies
Πηγή: www.habr.com