, la plimulto (87%) de informsekurecaj okazaĵoj okazas en demando de minutoj, kaj por 68% de kompanioj necesas monatoj por detekti ilin. Ĉi tio estas konfirmita de , laŭ kiu plej multaj organizoj bezonas averaĝe 206 tagojn por detekti okazaĵon. Surbaze de la sperto de niaj esploroj, piratoj povas kontroli la infrastrukturon de kompanio dum jaroj sen esti detektitaj. Tiel, en unu el la organizoj, kie niaj spertuloj esploris incidenton pri informa sekureco, estis rivelita, ke piratoj tute kontrolis la tutan infrastrukturon de la organizo kaj regule ŝtelis gravajn informojn. .
Ni diru, ke vi jam havas SIEM funkciantan, kiu kolektas protokolojn kaj analizas eventojn, kaj kontraŭvirusa programaro estas instalita sur la finnodoj. Tamen, , same kiel estas neeble efektivigi EDR-sistemojn tra la tuta reto, kio signifas, ke "blindaj" punktoj ne povas esti evititaj. Reta trafika analizo (NTA) sistemoj helpas trakti ilin. Ĉi tiuj solvoj detektas atakan agadon en la plej fruaj stadioj de reto-penetro, same kiel dum provoj akiri piedtenejon kaj disvolvi atakon ene de la reto.
Estas du specoj de NTAoj: iuj funkcias kun NetFlow, aliaj analizas krudan trafikon. La avantaĝo de la duaj sistemoj estas, ke ili povas stoki krudajn trafikajn rekordojn. Danke al tio, specialisto pri informa sekureco povas kontroli la sukceson de la atako, lokalizi la minacon, kompreni kiel la atako okazis kaj kiel malhelpi similan estonte.
Ni montros kiel uzante NTA vi povas uzi rektan aŭ nerektan indicon por identigi ĉiujn konatajn ataktaktikojn priskribitajn en la sciobazo . Ni parolos pri ĉiu el la 12 taktikoj, analizos la teknikojn detektitaj de trafiko kaj pruvos ilian detekton per nia NTA-sistemo.
Pri la sciobazo ATT&CK
MITRE ATT&CK estas publika sciobazo evoluigita kaj konservita fare de la MITRE Corporation bazita sur analizo de real-mondaj APToj. Ĝi estas strukturita aro de taktikoj kaj teknikoj uzataj de atakantoj. Ĉi tio permesas informsekurecprofesiulojn de la tuta mondo paroli la saman lingvon. La datumbazo konstante plivastiĝas kaj kompletiĝas per novaj scioj.
La datumbazo identigas 12 taktikojn, kiuj estas dividitaj per stadioj de ciberatako:
- komenca aliro;
- ekzekuto;
- firmiĝo (persisto);
- privilegia eskalado;
- antaŭzorgo de detekto (defenda evasión);
- akiro de akreditaĵoj (akreditaĵo-aliro);
- esplorado;
- movado ene de la perimetro (flanka movado);
- datumkolekto (kolekto);
- komando kaj kontrolo;
- eksfiltrado de datumoj;
- efiko.
Por ĉiu taktiko, la sciobazo de ATT&CK listigas liston de teknikoj, kiuj helpas atakantojn atingi sian celon en la nuna stadio de la atako. Ĉar la sama tekniko povas esti uzata en malsamaj stadioj, ĝi povas rilati al pluraj taktikoj.
Priskribo de ĉiu tekniko inkluzivas:
- identigilo;
- listo de taktikoj en kiuj ĝi estas uzata;
- ekzemploj de uzo de APT-grupoj;
- mezuroj por redukti damaĝon de ĝia uzo;
- detektaj rekomendoj.
Specialistoj pri informa sekureco povas uzi scion de la datumbazo por strukturi informojn pri aktualaj atakmetodoj kaj, konsiderante tion, konstrui efikan sekurecan sistemon. Kompreni kiel realaj APT-grupoj funkcias ankaŭ povas fariĝi fonto de hipotezoj por iniciateme serĉi minacojn ene de .
Pri PT Network Attack Discovery
Ni identigos la uzon de teknikoj de la ATT&CK-matrico uzante la sistemon — Positive Technologies NTA-sistemo, dizajnita por detekti atakojn sur la perimetro kaj ene de la reto. PT NAD kovras, je diversaj gradoj, ĉiujn 12 taktikojn de la MITRE ATT&CK-matrico. Li estas plej potenca en identigado de teknikoj por komenca aliro, laterala movado, kaj komando kaj kontrolo. En ili, PT NAD kovras pli ol duonon de la konataj teknikoj, detektante ilian aplikon per rektaj aŭ nerektaj signoj.
La sistemo detektas atakojn uzante ATT&CK-teknikojn uzantajn detektajn regulojn kreitajn de la teamo (PT ESC), maŝinlernado, indikiloj de kompromiso, profunda analizo kaj retrospektiva analizo. Realtempa trafika analizo kombinita kun retrospektivo permesas identigi aktualan kaŝitan malican agadon kaj spuri evoluajn vektorojn kaj la kronologion de atakoj.
plena mapado de PT NAD al MITRE ATT&CK-matrico. La bildo estas granda, do ni sugestas ke vi rigardu ĝin en aparta fenestro.
Komenca aliro
Komencaj alirtaktikoj inkludas teknikojn por penetri la reton de firmao. La celo de atakantoj en ĉi tiu etapo estas liveri malican kodon al la atakita sistemo kaj certigi la eblecon de ĝia plua ekzekuto.
Trafikanalizo de PT NAD rivelas sep teknikojn por akiri komencan aliron:
1. : pretervetura kompromiso
Tekniko en kiu la viktimo malfermas retejon, kiu estas uzata de atakantoj por ekspluati la retumilon kaj akiri aplikaĵajn alirĵetonojn.
Kion faras PT NAD?: Se interreta trafiko ne estas ĉifrita, PT NAD inspektas la enhavon de HTTP-servilaj respondoj. Ĉi tiuj respondoj enhavas atingojn, kiuj permesas al atakantoj efektivigi arbitran kodon en la retumilo. PT NAD aŭtomate detektas tiajn ekspluatojn uzante detektajn regulojn.
Aldone, PT NAD detektas la minacon en la antaŭa paŝo. Reguloj kaj indikiloj de kompromiso estas ekigitaj se la uzanto vizitis retejon, kiu redirektis lin al retejo kun amaso da ekspluatoj.
2. : ekspluati publikecan aplikaĵon
Ekspluato de vundeblecoj en servoj alireblaj de la Interreto.
Kion faras PT NAD?: Elfaras profundan inspektadon de la enhavo de retaj pakoj, identigante signojn de anomalia agado. Precipe, ekzistas reguloj, kiuj permesas vin detekti atakojn kontraŭ ĉefaj enhavaj administradsistemoj (CMS), retaj interfacoj de retaj ekipaĵoj kaj atakoj kontraŭ poŝto kaj FTP-serviloj.
3. : eksteraj foraj servoj
Atakantoj uzas forajn alirservojn por konekti al internaj retaj rimedoj de ekstere.
Kion faras PT NAD?: ĉar la sistemo rekonas protokolojn ne laŭ havenaj nombroj, sed laŭ la enhavo de pakoj, sistemuzantoj povas filtri trafikon por trovi ĉiujn sesiojn de fora alirprotokoloj kaj kontroli ilian legitimecon.
4. : spearphishing aldonaĵo
Ni parolas pri la fifama sendo de phishing-aldonaĵoj.
Kion faras PT NAD?: Aŭtomate ĉerpas dosierojn el trafiko kaj kontrolas ilin kontraŭ indikiloj de kompromiso. Efektiveblaj dosieroj en aldonaĵoj estas detektitaj per reguloj, kiuj analizas la enhavon de poŝta trafiko. En kompania medio, tia investo estas konsiderata nenormala.
5. : spearphishing ligilo
Uzante phishing-ligilojn. La tekniko implikas atakantojn sendi phishing retpoŝton kun ligilo kiu, kiam klakita, elŝutas malican programon. Kiel regulo, la ligilo estas akompanata de teksto kompilita laŭ ĉiuj reguloj de socia inĝenierado.
Kion faras PT NAD?: Detektas phishing-ligilojn uzante indikilojn de kompromiso. Ekzemple, en la PT NAD-interfaco ni vidas seancon en kiu estis HTTP-konekto per ligilo inkluzivita en la listo de phishing-adresoj (phishing-urls).
Konekto per ligilo de la listo de indikiloj de kompromisaj phishing-urls
6. : fidinda rilato
Aliro al la reto de la viktimo per triaj partioj kun kiuj la viktimo establis fidindan rilaton. Atakantoj povas haki fidindan organizon kaj konektiĝi al la cela reto per ĝi. Por fari tion, ili uzas VPN-konektoj aŭ domajnaj fidoj, kiuj povas esti identigitaj per trafika analizo.
Kion faras PT NAD?: analizas aplikajn protokolojn kaj konservas la analizitajn kampojn en la datumbazon, por ke analizisto pri informa sekureco povu uzi filtrilojn por trovi ĉiujn suspektindajn VPN-konektojn aŭ transdomajnajn konektojn en la datumbazo.
7. : validaj kontoj
Uzante normajn, lokajn aŭ domajnajn akreditaĵojn por rajtigo pri eksteraj kaj internaj servoj.
Kion faras PT NAD?: Aŭtomate prenas akreditaĵojn de HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokoloj. Ĝenerale, ĉi tio estas ensaluto, pasvorto kaj signo de sukcesa aŭtentigo. Se ili estis uzataj, ili estas montrataj en la responda sesiokarto.
Ekzekuto
Ekzekutaj taktikoj inkluzivas teknikojn, kiujn atakantoj uzas por efektivigi kodon sur kompromititaj sistemoj. Ruli malican kodon helpas atakantojn establi ĉeeston (persista taktiko) kaj vastigi aliron al foraj sistemoj en la reto moviĝante ene de la perimetro.
PT NAD permesas vin detekti la uzon de 14 teknikoj uzataj de atakantoj por ekzekuti malican kodon.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktiko en kiu atakantoj preparas specialan malican instalan INF-dosieron por la enkonstruita Vindoza ilo CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe prenas la dosieron kiel parametron kaj instalas la servoprofilon por la fora konekto. Kiel rezulto, CMSTP.exe povas esti uzata por ŝarĝi kaj ekzekuti dinamikajn ligajn bibliotekojn (*.dll) aŭ scriptlets (*.sct) de foraj serviloj.
Kion faras PT NAD?: Aŭtomate detektas la translokigon de specialaj specoj de INF-dosieroj en HTTP-trafiko. Aldone al ĉi tio, ĝi detektas la HTTP-transdonon de malicaj scriptlets kaj dinamikaj ligaj bibliotekoj de fora servilo.
2. : komandlinia interfaco
Interago kun la komandlinia interfaco. La komandlinia interfaco povas esti interagata kun loke aŭ malproksime, ekzemple uzante malproksimajn alirservaĵojn.
Kion faras PT NAD?: aŭtomate detektas la ĉeeston de ŝeloj surbaze de respondoj al komandoj por lanĉi diversajn komandliniajn ilojn, kiel ping, ifconfig.
3. : kompona objektomodelo kaj distribuita COM
Uzo de COM aŭ DCOM-teknologioj por ekzekuti kodon sur lokaj aŭ malproksimaj sistemoj dum moviĝado trans reton.
Kion faras PT NAD?: Detektas suspektindajn DCOM-vokojn, kiujn atakantoj kutime uzas por lanĉi programojn.
4. : ekspluato por ekzekuto de kliento
Ekspluato de vundeblecoj por ekzekuti arbitran kodon sur laborstacio. La plej utilaj ekspluatoj por atakantoj estas tiuj, kiuj permesas kodon esti efektivigita sur fora sistemo, ĉar ili povas permesi al atakantoj akiri aliron al tiu sistemo. La tekniko povas esti efektivigita uzante la sekvajn metodojn: malica dissendo, retejo kun retumila ekspluato, kaj fora ekspluato de aplikaĵaj vundeblecoj.
Kion faras PT NAD?: Analizante poŝtan trafikon, PT NAD kontrolas ĝin por la ĉeesto de ruleblaj dosieroj en aldonaĵoj. Aŭtomate ĉerpas oficejan dokumentojn el retpoŝtoj, kiuj povas enhavi ekspluatojn. Provoj ekspluati vundeblecojn estas videblaj en trafiko, kiun PT NAD aŭtomate detektas.
5. : mshta
Uzu la ilon mshta.exe, kiu funkciigas Microsoft HTML-aplikaĵojn (HTA) kun la etendo .hta. Ĉar mshta prilaboras dosierojn preterpasante retumilajn sekurecajn agordojn, atakantoj povas uzi mshta.exe por ekzekuti malicajn dosierojn HTA, JavaScript aŭ VBScript.
Kion faras PT NAD?: .hta dosieroj por ekzekuto per mshta ankaŭ estas transdonitaj tra la reto - tio videblas en la trafiko. PT NAD aŭtomate detektas la translokigon de tiaj malicaj dosieroj. Ĝi kaptas dosierojn, kaj informoj pri ili videblas en la sesiokarto.
6. : PowerShell
Uzante PowerShell por trovi informojn kaj efektivigi malican kodon.
Kion faras PT NAD?: Kiam PowerShell estas uzata de foraj atakantoj, PT NAD detektas tion uzante regulojn. Ĝi detektas PowerShell-lingvajn ŝlosilvortojn, kiuj plej ofte estas uzataj en malicaj skriptoj kaj la transdono de PowerShell-skriptoj per la SMB-protokolo.
7. : planita tasko
Uzante Windows Task Scheduler kaj aliajn ilojn por aŭtomate ruli programojn aŭ skriptojn en specifaj tempoj.
Kion faras PT NAD?: atakantoj kreas tiajn taskojn, kutime malproksime, kio signifas, ke tiaj sesioj estas videblaj en trafiko. PT NAD aŭtomate detektas suspektindajn taskokreadon kaj modifoperaciojn uzante la ATSVC kaj ITaskSchedulerService RPC-interfacojn.
8. : skripto
Ekzekuto de skriptoj por aŭtomatigi diversajn agojn de atakantoj.
Kion faras PT NAD?: detektas la transdonon de skriptoj tra la reto, tio estas, eĉ antaŭ ol ili estas lanĉitaj. Ĝi detektas skriptenhavon en kruda trafiko kaj detektas rettransdonon de dosieroj kun etendoj respondaj al popularaj skriptlingvoj.
9. : servo ekzekuto
Rulu ruligeblan dosieron, komandlinian interfaco-instrukciojn aŭ skripton interagante kun Vindozaj servoj, kiel Service Control Manager (SCM).
Kion faras PT NAD?: inspektas SMB-trafikon kaj detektas aliron al SCM kun reguloj por krei, ŝanĝi kaj komenci servon.
La serva starttekniko povas esti efektivigita uzante la fora komanda ekzekuto ilo PSExec. PT NAD analizas la SMB-protokolon kaj detektas la uzon de PSExec kiam ĝi uzas la PSEXESVC.exe dosieron aŭ la norman PSEXECSVC servonomon por ekzekuti kodon sur fora maŝino. La uzanto devas kontroli la liston de ekzekutitaj komandoj kaj la legitimecon de fora komanda ekzekuto de la gastiganto.
La atakkarto en PT NAD montras datumojn pri la taktikoj kaj teknikoj uzataj laŭ la ATT&CK-matrico, por ke la uzanto povu kompreni en kia stadio de la atako estas la atakantoj, kiajn celojn ili celas kaj kiajn kompensajn mezurojn preni.
La regulo pri uzado de la utileco PSExec estas ekigita, kio povas indiki provon plenumi komandojn sur fora maŝino.
10. : triaparta programaro
Tekniko en kiu atakantoj akiras aliron al fora administrada programaro aŭ kompania programaro deplojsistemo kaj uzas ĝin por ruli malican kodon. Ekzemploj de tia programaro: SCCM, VNC, TeamViewer, HBSS, Altiris.
Cetere, la tekniko estas speciale grava lige kun la amasa transiro al fora laboro kaj, kiel rezulto, la ligo de multaj neprotektitaj hejmaj aparatoj per dubindaj foraj alirkanaloj.
Kion faras PT NAD?: aŭtomate detektas la funkciadon de tia programaro en la reto. Ekzemple, la reguloj estas ekigitaj de konektoj per la VNC-protokolo kaj la agado de la EvilVNC Trojan, kiu sekrete instalas VNC-servilon sur la gastiganto de la viktimo kaj aŭtomate lanĉas ĝin. Ankaŭ, PT NAD aŭtomate detektas la TeamViewer-protokolon, ĉi tio helpas la analiziston, uzante filtrilon, trovi ĉiujn tiajn sesiojn kaj kontroli ilian legitimecon.
11. : uzanta ekzekuto
Tekniko en kiu la uzanto prizorgas dosierojn kiuj povas konduki al koda ekzekuto. Tio povus esti, ekzemple, se li malfermas plenumeblan dosieron aŭ rulas oficejan dokumenton kun makroo.
Kion faras PT NAD?: vidas tiajn dosierojn en la transiga stadio, antaŭ ol ili estas lanĉitaj. Informoj pri ili estas studitaj en la karto de la kunsidoj, en kiuj ili estis transdonitaj.
12. : Vindoza Administrada Instrumentado
Uzo de la WMI-ilo, kiu disponigas lokan kaj malproksiman aliron al Vindozaj sistemkomponentoj. Uzante WMI, atakantoj povas interagi kun lokaj kaj malproksimaj sistemoj kaj plenumi diversajn taskojn, kiel kolekti informojn por sciigoceloj kaj lanĉi procezojn malproksime moviĝante flanke.
Kion faras PT NAD?: Ĉar interagoj kun malproksimaj sistemoj per WMI estas videblaj en la trafiko, PT NAD aŭtomate detektas retajn petojn por establi WMI-sesiojn kaj kontrolas la trafikon por skriptoj kiuj uzas WMI.
13. : Vindoza Malproksima Administrado
Uzante Vindozan servon kaj protokolon, kiu ebligas al la uzanto interagi kun foraj sistemoj.
Kion faras PT NAD?: Vidas retajn konektojn establitajn per Windows Remote Management. Tiaj sesioj estas aŭtomate detektitaj de la reguloj.
14. : XSL (Extensible Stylesheet Language) skripttraktado
XSL-stila markadlingvo estas uzata por priskribi la prilaboradon kaj bildigon de datumoj en XML-dosieroj. Por subteni kompleksajn operaciojn, la XSL-normo inkluzivas subtenon por enigitaj skriptoj en diversaj lingvoj. Ĉi tiuj lingvoj permesas la ekzekuton de arbitra kodo, kio kondukas al preterpaso de sekurecaj politikoj bazitaj sur blankaj listoj.
Kion faras PT NAD?: detektas la translokigon de tiaj dosieroj tra la reto, tio estas, eĉ antaŭ ol ili estas lanĉitaj. Ĝi aŭtomate detektas XSL-dosierojn transdonitajn tra la reto kaj dosierojn kun anomalia XSL-markado.
En la sekvaj materialoj, ni rigardos kiel la PT Network Attack Discovery NTA-sistemo trovas aliajn atakajn taktikojn kaj teknikojn konforme al MITRE ATT&CK. Restu agordita!
aŭtoroj:
- Anton Kutepov, specialisto ĉe la PT Expert Security Center, Positive Technologies
- Natalia Kazankova, produktvendisto ĉe Positive Technologies
fonto: www.habr.com