, la mayoría (87%) de los incidentes de seguridad de la información ocurren en cuestión de minutos, y al 68% de las empresas les lleva meses detectarlos. Esto se confirma y , según el cual la mayoría de las organizaciones tardan una media de 206 días en detectar un incidente. Según la experiencia de nuestras investigaciones, los piratas informáticos pueden controlar la infraestructura de una empresa durante años sin ser detectados. Así, en una de las organizaciones donde nuestros expertos investigaron un incidente de seguridad de la información, se reveló que los piratas informáticos controlaban completamente toda la infraestructura de la organización y regularmente robaban información importante. .
Supongamos que ya tiene SIEM en ejecución, que recopila registros y analiza eventos, y que hay antivirus instalados en los nodos finales. Sin embargo, , del mismo modo que es imposible implementar sistemas EDR en toda la red, lo que significa que no se pueden evitar los puntos "ciegos". Los sistemas de análisis de tráfico de red (NTA) ayudan a afrontarlos. Estas soluciones detectan la actividad de los atacantes en las primeras etapas de penetración de la red, así como durante los intentos de afianzarse y desarrollar un ataque dentro de la red.
Hay dos tipos de NTA: uno trabaja con NetFlow y el otro analiza el tráfico sin procesar. La ventaja de los segundos sistemas es que pueden almacenar registros de tráfico sin procesar. Gracias a esto, un especialista en seguridad de la información puede comprobar el éxito del ataque, localizar la amenaza, comprender cómo se produjo el ataque y cómo prevenir uno similar en el futuro.
Le mostraremos cómo utilizar NTA puede utilizar evidencia directa o indirecta para identificar todas las tácticas de ataque conocidas descritas en la base de conocimientos. . Hablaremos de cada una de las 12 tácticas, analizaremos las técnicas que detecta el tráfico y demostraremos su detección utilizando nuestro sistema NTA.
Acerca de la base de conocimientos de ATT&CK
MITRE ATT&CK es una base de conocimiento público desarrollada y mantenida por MITRE Corporation basada en análisis de APT reales. Es un conjunto estructurado de tácticas y técnicas utilizadas por los atacantes. Esto permite que los profesionales de seguridad de la información de todo el mundo hablen el mismo idioma. La base de datos se amplía constantemente y se complementa con nuevos conocimientos.
La base de datos identifica 12 tácticas, que se dividen en etapas de un ciberataque:
- acceso inicial;
- ejecución (ejecución);
- consolidación (persistencia);
- escalada de privilegios;
- prevención de detección (evasión de defensa);
- obtener credenciales (acceso a credenciales);
- exploración;
- movimiento dentro del perímetro (movimiento lateral);
- recopilación de datos (recopilación);
- comando y control;
- exfiltración de datos;
- impacto.
Para cada táctica, la base de conocimientos de ATT&CK enumera una lista de técnicas que ayudan a los atacantes a lograr su objetivo en la etapa actual del ataque. Dado que la misma técnica puede utilizarse en diferentes etapas, puede referirse a varias tácticas.
La descripción de cada técnica incluye:
- identificador;
- una lista de tácticas en las que se utiliza;
- ejemplos de uso por parte de grupos APT;
- medidas para reducir los daños causados por su uso;
- recomendaciones de detección.
Los especialistas en seguridad de la información pueden utilizar el conocimiento de la base de datos para estructurar información sobre los métodos de ataque actuales y, teniendo esto en cuenta, construir un sistema de seguridad eficaz. Comprender cómo operan los grupos APT reales también puede convertirse en una fuente de hipótesis para buscar proactivamente amenazas dentro de .
Acerca del descubrimiento de ataques a la red PT
Identificaremos el uso de técnicas de la matriz ATT&CK utilizando el sistema - Sistema NTA de Positive Technologies diseñado para detectar ataques en el perímetro y dentro de la red. PT NAD cubre las 12 tácticas de la matriz MITRE ATT&CK en diversos grados. Es más fuerte en la identificación de técnicas de acceso inicial, movimiento lateral y comando y control. En ellos, PT NAD cubre más de la mitad de las técnicas conocidas, detectando su uso mediante señales directas o indirectas.
El sistema detecta ataques mediante técnicas ATT&CK utilizando reglas de detección creadas por el comando (PT ESC), aprendizaje automático, indicadores de compromiso, análisis profundo y análisis retrospectivo. El análisis del tráfico en tiempo real combinado con una retrospectiva le permite identificar la actividad maliciosa oculta actual y realizar un seguimiento de los vectores de desarrollo y la cronología de los ataques.
mapeo completo de PT NAD a la matriz MITRE ATT&CK. La imagen es grande, por lo que le sugerimos que la vea en una ventana separada.
Acceso inicial
Las tácticas de acceso inicial incluyen técnicas para penetrar la red de una empresa. El objetivo de los atacantes en esta etapa es entregar código malicioso al sistema atacado y garantizar la posibilidad de su posterior ejecución.
El análisis de tráfico de PT NAD revela siete técnicas para obtener acceso inicial:
1. : compromiso de paso
Una técnica en la que la víctima abre un sitio web que utilizan los atacantes para explotar el navegador web y obtener tokens de acceso a las aplicaciones.
¿Qué hace PT NAD?: Si el tráfico web no está cifrado, PT NAD inspecciona el contenido de las respuestas del servidor HTTP. Estas respuestas contienen exploits que permiten a los atacantes ejecutar código arbitrario dentro del navegador. PT NAD detecta automáticamente dichos exploits mediante reglas de detección.
Además, PT NAD detecta la amenaza en el paso anterior. Las reglas e indicadores de compromiso se activan si el usuario visitó un sitio que lo redireccionó a un sitio con una serie de exploits.
2. : explotar la aplicación pública
Explotación de vulnerabilidades en servicios accesibles desde Internet.
¿Qué hace PT NAD?: realiza una inspección profunda del contenido de los paquetes de red, revelando signos de actividad anómala en el mismo. En particular, existen reglas que permiten detectar ataques a los principales sistemas de gestión de contenidos (CMS), interfaces web de equipos de red, ataques a servidores de correo y FTP.
3. : servicios remotos externos
Los atacantes utilizan servicios de acceso remoto para conectarse a los recursos de la red interna desde el exterior.
¿Qué hace PT NAD?: dado que el sistema reconoce los protocolos no por los números de puerto, sino por el contenido de los paquetes, los usuarios del sistema pueden filtrar el tráfico de tal manera que encuentre todas las sesiones de protocolos de acceso remoto y verifique su legitimidad.
4. : archivo adjunto de phishing
Estamos hablando del notorio envío de archivos adjuntos de phishing.
¿Qué hace PT NAD?: Extrae automáticamente archivos del tráfico y los compara con indicadores de compromiso. Los archivos ejecutables en archivos adjuntos se detectan mediante reglas que analizan el contenido del tráfico de correo. En un entorno corporativo, tal inversión se considera anómala.
5. : enlace de phishing
Uso de enlaces de phishing. La técnica consiste en que los atacantes envíen un correo electrónico de phishing con un enlace que, al hacer clic, descarga un programa malicioso. Como regla general, el enlace va acompañado de un texto redactado según todas las reglas de la ingeniería social.
¿Qué hace PT NAD?: Detecta enlaces de phishing utilizando indicadores de compromiso. Por ejemplo, en la interfaz de PT NAD, vemos una sesión en la que había una conexión HTTP a través de un enlace incluido en la lista de direcciones de phishing (phishing-urls).
Conexión a través de un enlace de la lista de indicadores de URL comprometidas de phishing
6. : relación de confianza
Acceso a la red de la víctima a través de terceros con los que la víctima haya establecido una relación de confianza. Los atacantes pueden ingresar a una organización confiable y conectarse a través de ella a la red objetivo. Para ello, utilizan conexiones VPN o relaciones de confianza de dominio, que pueden revelarse mediante análisis de tráfico.
¿Qué hace PT NAD?: analiza los protocolos de la aplicación y guarda los campos analizados en la base de datos, de modo que el analista de seguridad de la información pueda usar filtros para encontrar todas las conexiones VPN sospechosas o conexiones entre dominios en la base de datos.
7. : cuentas válidas
Usar credenciales estándar, locales o de dominio para autorización en servicios externos e internos.
¿Qué hace PT NAD?: recupera automáticamente credenciales de los protocolos HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. En el caso general, se trata de un nombre de usuario, una contraseña y una señal de autenticación exitosa. Si han sido utilizados se muestran en la tarjeta de sesión correspondiente.
Ejecución
Las tácticas de ejecución incluyen técnicas que utilizan los atacantes para ejecutar código en sistemas comprometidos. La ejecución de código malicioso ayuda a los atacantes a establecer una presencia (táctica de persistencia) y ampliar el acceso a sistemas remotos en la red moviéndose dentro del perímetro.
PT NAD le permite detectar el uso de 14 técnicas utilizadas por los atacantes para ejecutar código malicioso.
1. : CMSTP (Instalador de perfiles de Microsoft Connection Manager)
Una táctica en la que los atacantes preparan un archivo de instalación .inf malicioso especialmente diseñado para la utilidad integrada CMSTP.exe de Windows (Instalador de perfiles de Connection Manager). CMSTP.exe toma un archivo como parámetro e instala un perfil de servicio para la conexión remota. Como resultado, CMSTP.exe se puede utilizar para descargar y ejecutar bibliotecas de vínculos dinámicos (*.dll) o scriptlets (*.sct) desde servidores remotos.
¿Qué hace PT NAD?: Detecta automáticamente la transmisión de archivos .inf de formato especial en el tráfico HTTP. Además, detecta transferencias HTTP de scriptlets maliciosos y bibliotecas de enlaces dinámicos desde un servidor remoto.
2. : interfaz de línea de comandos
Interacción con la interfaz de línea de comando. Se puede interactuar con la interfaz de línea de comandos de forma local o remota, como a través de utilidades de acceso remoto.
¿Qué hace PT NAD?: detecta automáticamente la presencia de shells mediante respuestas a comandos para iniciar varias utilidades de línea de comandos, como ping, ifconfig.
3. : modelo de objetos componentes y COM distribuido
Usar tecnologías COM o DCOM para ejecutar código en sistemas locales o remotos mientras atraviesa la red.
¿Qué hace PT NAD?: detecta llamadas DCOM sospechosas que los atacantes suelen utilizar para iniciar programas.
4. : explotación para la ejecución del cliente
Explotación de vulnerabilidades para ejecutar código arbitrario en una estación de trabajo. Los exploits más útiles para los atacantes son aquellos que permiten ejecutar código en un sistema remoto, ya que pueden ser utilizados por los atacantes para obtener acceso a dicho sistema. La técnica se puede implementar mediante los siguientes métodos: lista de correo malicioso, sitio web con exploits para navegadores y explotación remota de vulnerabilidades de aplicaciones.
¿Qué hace PT NAD?: Al analizar el tráfico de correo, PT NAD comprueba la presencia de archivos ejecutables en los archivos adjuntos. Extrae automáticamente documentos de Office de correos electrónicos que pueden contener vulnerabilidades. Los intentos de explotar vulnerabilidades son visibles en el tráfico, que PT NAD detecta automáticamente.
5. : mshta
Utilice la utilidad mshta.exe, que ejecuta aplicaciones HTML de Microsoft (HTA) con la extensión .hta. Debido a que mshta procesa archivos sin pasar por la configuración de seguridad del navegador, los atacantes pueden usar mshta.exe para ejecutar archivos HTA, JavaScript o VBScript maliciosos.
¿Qué hace PT NAD?: Los archivos .hta para su ejecución a través de mshta también se transmiten a través de la red; esto se puede ver en el tráfico. PT NAD detecta automáticamente la transmisión de dichos archivos maliciosos. Captura archivos y la información sobre ellos se puede ver en la tarjeta de sesión.
6. : Potencia Shell
Usar PowerShell para buscar información y ejecutar código malicioso.
¿Qué hace PT NAD?: Cuando atacantes remotos utilizan PowerShell, PT NAD lo detecta mediante reglas. Detecta las palabras clave del lenguaje PowerShell que se utilizan con mayor frecuencia en scripts maliciosos y en la transmisión de scripts de PowerShell a través del protocolo SMB.
7. : tarea programada
Utilice el Programador de tareas de Windows y otras utilidades para ejecutar automáticamente programas o scripts en momentos específicos.
¿Qué hace PT NAD?: los atacantes crean este tipo de tareas, normalmente de forma remota, lo que significa que dichas sesiones son visibles en el tráfico. PT NAD detecta automáticamente operaciones de creación y modificación de tareas sospechosas utilizando las interfaces ATSVC e ITaskSchedulerService RPC.
8. : secuencias de comandos
Ejecución de scripts para automatizar diversas acciones de los atacantes.
¿Qué hace PT NAD?: detecta la transmisión de scripts a través de la red, es decir, incluso antes de su lanzamiento. Detecta contenido de secuencias de comandos en tráfico sin procesar y detecta la transmisión en red de archivos con extensiones correspondientes a lenguajes de secuencias de comandos populares.
9. : ejecución del servicio
Ejecute un archivo ejecutable, instrucciones de interfaz de línea de comandos o script interactuando con servicios de Windows, como el Administrador de control de servicios (SCM).
¿Qué hace PT NAD?: inspecciona el tráfico SMB y detecta el acceso a SCM con reglas para crear, cambiar e iniciar un servicio.
La técnica para iniciar servicios se puede implementar utilizando la utilidad de ejecución remota de comandos PSExec. PT NAD analiza el protocolo SMB y detecta el uso de PSExec cuando utiliza el archivo PSEXESVC.exe o el nombre del servicio estándar PSEXECSVC para ejecutar código en una máquina remota. El usuario debe verificar la lista de comandos ejecutados y la legitimidad de la ejecución remota de comandos desde el host.
La tarjeta de ataque en PT NAD muestra datos sobre las tácticas y técnicas utilizadas según la matriz ATT&CK para que el usuario pueda comprender en qué etapa del ataque se encuentran los atacantes, qué objetivos persiguen y qué medidas de compensación tomar.
Se activa la regla sobre el uso de la utilidad PSExec, lo que puede indicar un intento de ejecutar comandos en una máquina remota
10. : software de terceros
Una técnica en la que los atacantes obtienen acceso a software de administración remota o a un sistema de implementación de software corporativo y los utilizan para ejecutar código malicioso. Ejemplos de dicho software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Por cierto, la técnica es especialmente relevante en relación con la transición masiva al trabajo remoto y, como resultado, la conexión de numerosos dispositivos domésticos desprotegidos a través de dudosos canales de acceso remoto.
¿Qué hace PT NAD?: detecta automáticamente el funcionamiento de dicho software en la red. Las reglas se activan, por ejemplo, mediante conexiones a través del protocolo VNC y la actividad del troyano EvilVNC, que instala en secreto un servidor VNC en el host de la víctima y lo inicia automáticamente. Además, PT NAD detecta automáticamente el protocolo TeamViewer, lo que ayuda al analista, mediante un filtro, a encontrar todas esas sesiones y comprobar su legitimidad.
11. : ejecución del usuario
Una técnica en la que el usuario ejecuta archivos que pueden conducir a la ejecución de código. Esto podría ocurrir, por ejemplo, si abre un archivo ejecutable o ejecuta un documento de Office con una macro.
¿Qué hace PT NAD?: ve dichos archivos en la etapa de transferencia, antes de que se inicien. La información sobre ellos se puede estudiar en la ficha de las sesiones en las que fueron transmitidos.
12. :Instrumentación de Administración Windows
Uso de la herramienta WMI, que proporciona acceso local y remoto a los componentes del sistema Windows. Al utilizar WMI, los atacantes pueden interactuar con sistemas locales y remotos y realizar una variedad de tareas, como recopilar información con fines de reconocimiento e iniciar procesos de forma remota mientras se mueven lateralmente.
¿Qué hace PT NAD?: Dado que las interacciones con sistemas remotos a través de WMI son visibles en el tráfico, PT NAD detecta automáticamente las solicitudes de red para establecer sesiones WMI y verifica el tráfico para detectar el hecho de que se estén transmitiendo scripts que usan WMI.
13. : Gestión remota de Windows
Utilizar un servicio y protocolo de Windows que permite al usuario interactuar con sistemas remotos.
¿Qué hace PT NAD?: ve las conexiones de red establecidas mediante la administración remota de Windows. Estas sesiones son detectadas automáticamente por las reglas.
14. : Procesamiento de scripts XSL (lenguaje de hoja de estilo extensible)
El lenguaje de marcado de estilo XSL se utiliza para describir el procesamiento y visualización de datos en archivos XML. Para admitir operaciones complejas, el estándar XSL incluye soporte para scripts integrados en varios idiomas. Estos lenguajes permiten la ejecución de código arbitrario, lo que conlleva a eludir las políticas de seguridad basadas en listas blancas.
¿Qué hace PT NAD?: detecta la transmisión de dichos archivos a través de la red, es decir, incluso antes de que se inicien. Detecta automáticamente archivos XSL que se transmiten a través de la red y archivos con marcado XSL anómalo.
En los siguientes materiales, veremos cómo el sistema PT Network Attack Discovery NTA encuentra otras tácticas y técnicas de atacantes de acuerdo con MITRE ATT&CK. ¡Manténganse al tanto!
Autores:
- Anton Kutepov, especialista del centro de seguridad experto (PT Expert Security Center) Tecnologías positivas
- Natalia Kazankova, comercializadora de productos de Positive Technologies
Fuente: habr.com