, toimub suurem osa (87%) infoturbeintsidentidest loetud minutitega ning 68% ettevõtetel kulub nende tuvastamiseks kuid. Seda kinnitab , mille kohaselt kulub enamikul organisatsioonidel intsidendi tuvastamiseks keskmiselt 206 päeva. Meie uurimiste kogemuse põhjal saavad häkkerid ettevõtte infrastruktuuri kontrollida aastaid ilma, et neid avastataks. Nii selgus ühes organisatsioonis, kus meie eksperdid infoturbeintsidenti uurisid, et häkkerid kontrollisid täielikult kogu organisatsiooni infrastruktuuri ja varastasid regulaarselt olulist teavet. .
Oletame, et teil juba töötab SIEM, mis kogub logisid ja analüüsib sündmusi, ning viirusetõrjetarkvara on installitud lõppsõlmedesse. Sellegipoolest , nagu on võimatu rakendada EDR-süsteeme kogu võrgus, mis tähendab, et "pimedaid" kohti ei saa vältida. Võrguliikluse analüüsi (NTA) süsteemid aitavad nendega toime tulla. Need lahendused tuvastavad ründajate tegevuse nii võrku sisenemise varases staadiumis kui ka katsetel saada jalad alla ja arendada rünnak võrgus.
NTA-sid on kahte tüüpi: mõned töötavad NetFlow'ga, teised analüüsivad töötlemata liiklust. Teiste süsteemide eeliseks on see, et nad suudavad salvestada töötlemata liiklusandmeid. Tänu sellele saab infoturbe spetsialist veenduda ründe õnnestumises, lokaliseerida ohu, mõista, kuidas rünnak aset leidis ja kuidas sarnast edaspidi ära hoida.
Näitame, kuidas NTA abil saate kasutada otseseid või kaudseid tõendeid kõigi teadmistebaasis kirjeldatud teadaolevate rünnakutaktikate tuvastamiseks . Räägime kõigist 12 taktikast, analüüsime tehnikaid, mida liiklus tuvastab, ja demonstreerime nende tuvastamist meie NTA süsteemi abil.
Teave ATT&CK teadmistebaasi kohta
MITER ATT&CK on avalik teadmistebaas, mille on välja töötanud ja haldab MITER Corporation, mis põhineb tegelike APT-de analüüsil. See on struktureeritud taktikate ja tehnikate kogum, mida ründajad kasutavad. See võimaldab infoturbe spetsialistidel üle kogu maailma rääkida sama keelt. Andmebaas täieneb pidevalt ja täieneb uute teadmistega.
Andmebaas tuvastab 12 taktikat, mis on jagatud küberrünnaku etappide kaupa:
- esialgne juurdepääs;
- hukkamine;
- konsolideerumine (püsivus);
- privileegide eskalatsioon;
- avastamise vältimine (kaitsest kõrvalehoidumine);
- mandaatide hankimine (mandaatide juurdepääs);
- uurimine;
- liikumine perimeetri piires (külgmine liikumine);
- andmete kogumine (kogumine);
- käsk ja kontroll;
- andmete väljafiltreerimine;
- mõju.
Iga taktika jaoks on ATT&CK teadmistebaasis loetletud tehnikad, mis aitavad ründajatel rünnaku praeguses etapis oma eesmärki saavutada. Kuna sama tehnikat saab kasutada erinevatel etappidel, võib see viidata mitmele taktikale.
Iga tehnika kirjeldus sisaldab järgmist:
- identifikaator;
- taktikate loetelu, milles seda kasutatakse;
- APT rühmade kasutamise näited;
- meetmed selle kasutamisest tuleneva kahju vähendamiseks;
- avastamise soovitused.
Infoturbe spetsialistid saavad kasutada andmebaasi teadmisi, et struktureerida infot praeguste ründemeetodite kohta ja seda arvestades ehitada üles tõhus turvasüsteem. Tõeliste APT-gruppide toimimise mõistmine võib saada ka hüpoteeside allikaks ohtude ennetamiseks. .
Teave PT võrgurünnaku tuvastamise kohta
Teeme süsteemi abil kindlaks ATT&CK maatriksi tehnikate kasutamise — Positive Technologies NTA süsteem, mis on loodud tuvastama rünnakuid perimeetril ja võrgu sees. PT NAD hõlmab erineval määral kõiki MITER ATT&CK maatriksi 12 taktikat. Ta on kõige võimsam esialgse juurdepääsu, külgsuunalise liikumise ning juhtimise ja juhtimise tehnikate tuvastamisel. Nendes katab PT NAD üle poole teadaolevatest tehnikatest, tuvastades nende rakendamise otseste või kaudsete märkide abil.
Süsteem tuvastab rünnakud ATT&CK tehnikate abil, kasutades meeskonna loodud tuvastamisreegleid (PT ESC), masinõpe, kompromissi näitajad, sügav analüüs ja retrospektiivne analüüs. Reaalajas liiklusanalüüs koos retrospektiiviga võimaldab tuvastada praeguse varjatud pahatahtliku tegevuse ning jälgida arenguvektoreid ja rünnakute kronoloogiat.
PT NAD täielik kaardistamine MITER ATT&CK maatriksiga. Pilt on suur, seega soovitame seda vaadata eraldi aknas.
Esialgne juurdepääs
Esialgne juurdepääsutaktika hõlmab ettevõtte võrku tungimise tehnikaid. Ründajate eesmärk selles etapis on toimetada rünnatavasse süsteemi pahatahtlik kood ja tagada selle edasise käivitamise võimalus.
PT NADi liiklusanalüüs näitab seitset tehnikat esialgse juurdepääsu saamiseks:
1. : kompromiss autosõiduga
Tehnika, mille puhul ohver avab veebisaidi, mida ründajad kasutavad veebibrauseri ärakasutamiseks ja rakenduste juurdepääsulubade hankimiseks.
Mida PT NAD teeb?: kui veebiliiklus pole krüptitud, kontrollib PT NAD HTTP-serveri vastuste sisu. Need vastused sisaldavad ärakasutusi, mis võimaldavad ründajatel käivitada brauseris suvalist koodi. PT NAD tuvastab sellised ärakasutamise reeglid automaatselt.
Lisaks tuvastab PT NAD ohu eelmises etapis. Kompromissi reeglid ja indikaatorid käivituvad, kui kasutaja külastas saiti, mis suunas ta ümber saidile, kus on palju ärakasutamist.
2. : kasutage avalikku rakendust
Internetist juurdepääsetavate teenuste haavatavuste ärakasutamine.
Mida PT NAD teeb?: viib läbi võrgupakettide sisu põhjaliku kontrolli, tuvastades anomaalse tegevuse tunnused. Eelkõige on olemas reeglid, mis võimaldavad tuvastada suuremate sisuhaldussüsteemide (CMS), võrguseadmete veebiliideste ning posti- ja FTP-serverite rünnakuid.
3. : välised kaugteenused
Ründajad kasutavad väljastpoolt sisemiste võrguressurssidega ühenduse loomiseks kaugjuurdepääsu teenuseid.
Mida PT NAD teeb?: kuna süsteem tuvastab protokolle mitte pordinumbrite, vaid pakettide sisu järgi, saavad süsteemi kasutajad filtreerida liiklust, et leida üles kõik kaugjuurdepääsuprotokollide seansid ja kontrollida nende legitiimsust.
4. : andmepüügi manus
Me räägime kurikuulsast andmepüügimanuste saatmisest.
Mida PT NAD teeb?: ekstraktib failid automaatselt liiklusest ja kontrollib neid kompromissitunnuste suhtes. Manustes olevad käivitatavad failid tuvastatakse reeglite abil, mis analüüsivad meililiikluse sisu. Ettevõtlikus keskkonnas peetakse sellist investeeringut anomaalseks.
5. : andmepüügi link
Andmepüügilinkide kasutamine. See tehnika seisneb selles, et ründajad saadavad andmepüügimeili koos lingiga, millel klõpsamisel laaditakse alla pahatahtlik programm. Reeglina on lingiga kaasas tekst, mis on koostatud kõigi sotsiaalse manipuleerimise reeglite kohaselt.
Mida PT NAD teeb?: tuvastab andmepüügilingid, kasutades kompromissi indikaatoreid. Näiteks näeme PT NAD-i liideses seanssi, milles oli HTTP-ühendus andmepüügiaadresside (phishing-urls) loendis oleva lingi kaudu.
Ühendus lingi kaudu vigastatud andmepüügi-url-ide indikaatorite loendist
6. : usaldussuhe
Juurdepääs ohvri võrgustikule kolmandate isikute kaudu, kellega ohver on loonud usaldussuhte. Ründajad saavad häkkida usaldusväärsesse organisatsiooni ja luua selle kaudu ühenduse sihtvõrguga. Selleks kasutavad nad VPN-ühendusi või domeeni usaldust, mida saab liiklusanalüüsi abil tuvastada.
Mida PT NAD teeb?: parsib rakendusprotokolle ja salvestab sõelutud väljad andmebaasi, et infoturbeanalüütik saaks filtreid kasutades leida andmebaasist kõik kahtlased VPN-ühendused või domeenidevahelised ühendused.
7. : kehtivad kontod
Standardsete, kohalike või domeenimandaatide kasutamine välis- ja siseteenuste autoriseerimiseks.
Mida PT NAD teeb?: hangib automaatselt mandaadid HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberose protokollidest. Üldiselt on see sisselogimine, parool ja märk edukast autentimisest. Kui neid on kasutatud, kuvatakse need vastaval seansikaardil.
Täitmine
Täitmistaktika hõlmab tehnikaid, mida ründajad kasutavad koodi käivitamiseks ohustatud süsteemides. Pahatahtliku koodi käivitamine aitab ründajatel luua kohalolekut (püsivumistaktika) ja laiendada juurdepääsu võrgu kaugsüsteemidele, liikudes perimeetri sees.
PT NAD võimaldab tuvastada 14 tehnikat, mida ründajad kasutavad pahatahtliku koodi käivitamiseks.
1. : CMSTP (Microsoft Connection Manageri profiili installija)
Taktika, mille puhul ründajad valmistavad ette spetsiaalse pahatahtliku installi INF-faili sisseehitatud Windowsi utiliidi CMSTP.exe (Connection Manager Profile Installer) jaoks. CMSTP.exe võtab faili parameetrina ja installib kaugühenduse teenuseprofiili. Seetõttu saab CMSTP.exe-d kasutada kaugserveritest dünaamiliste linkide teekide (*.dll) või skriptikomplektide (*.sct) laadimiseks ja käivitamiseks.
Mida PT NAD teeb?: tuvastab automaatselt eritüüpi INF-failide edastamise HTTP-liikluses. Lisaks tuvastab see pahatahtlike skriptide ja dünaamiliste linkide teekide HTTP-edastuse kaugserverist.
2. : käsurea liides
Koostoime käsurea liidesega. Käsurea liidesega saab suhelda kohapeal või eemalt, näiteks kasutades kaugjuurdepääsu utiliite.
Mida PT NAD teeb?: tuvastab automaatselt kestade olemasolu erinevate käsurea utiliitide (nt ping, ifconfig) käivitamise käskudele antud vastuste põhjal.
3. : komponentobjekti mudel ja hajutatud COM
COM- või DCOM-tehnoloogiate kasutamine koodi käivitamiseks kohalikes või kaugsüsteemides võrgus liikudes.
Mida PT NAD teeb?: tuvastab kahtlased DCOM-kõned, mida ründajad tavaliselt programmide käivitamiseks kasutavad.
4. : kasutamine kliendi täitmiseks
Turvaaukude ärakasutamine suvalise koodi käivitamiseks tööjaamas. Ründajate jaoks on kõige kasulikumad ärakasutamine need, mis võimaldavad koodi käivitada kaugsüsteemis, kuna need võimaldavad ründajatel sellele süsteemile juurdepääsu saada. Seda tehnikat saab rakendada järgmiste meetoditega: pahatahtlikud kirjad, veebilehitseja kasutamine ja rakenduste haavatavuste kaugkasutamine.
Mida PT NAD teeb?: meililiikluse sõelumisel kontrollib PT NAD seda täitmisfailide olemasolu suhtes manustes. Eraldab automaatselt kontoridokumendid meilidest, mis võivad sisaldada ärakasutamist. Liikluses on nähtavad turvaaukude ärakasutamise katsed, mille PT NAD tuvastab automaatselt.
5. : mshta
Kasutage utiliiti mshta.exe, mis käitab Microsofti HTML-i rakendusi (HTA) laiendiga .hta. Kuna mshta töötleb faile brauseri turvaseadetest mööda minnes, saavad ründajad kasutada mshta.exe-d pahatahtlike HTA-, JavaScript- või VBScript-failide käivitamiseks.
Mida PT NAD teeb?: Mshta kaudu täitmiseks mõeldud .hta failid edastatakse ka üle võrgu – seda on liikluses näha. PT NAD tuvastab selliste pahatahtlike failide edastamise automaatselt. See jäädvustab failid ja teavet nende kohta saab vaadata seansikaardil.
6. : PowerShell
PowerShelli kasutamine teabe otsimiseks ja pahatahtliku koodi käivitamiseks.
Mida PT NAD teeb?: kui kaugründajad kasutavad PowerShelli, tuvastab PT NAD selle reeglite abil. See tuvastab PowerShelli keele märksõnad, mida kasutatakse kõige sagedamini pahatahtlikes skriptides ja PowerShelli skriptide edastamisel SMB protokolli kaudu.
7. : ajastatud ülesanne
Windows Task Scheduleri ja muude utiliitide kasutamine programmide või skriptide automaatseks käitamiseks kindlatel kellaaegadel.
Mida PT NAD teeb?: ründajad loovad selliseid ülesandeid tavaliselt eemalt, mis tähendab, et sellised seansid on liikluses nähtavad. PT NAD tuvastab ATSVC ja ITaskSchedulerService RPC liideste abil automaatselt kahtlased ülesannete loomise ja muutmise toimingud.
8. : skriptimine
Skriptide täitmine ründajate erinevate toimingute automatiseerimiseks.
Mida PT NAD teeb?: tuvastab skriptide edastamise üle võrgu, st isegi enne nende käivitamist. See tuvastab skripti sisu töötlemata liikluses ja tuvastab populaarsetele skriptikeeltele vastavate laiendustega failide võrguedastuse.
9. : teenuse täitmine
Käivitage käivitatav fail, käsurea liidese juhised või skript, suheldes Windowsi teenustega, nagu Service Control Manager (SCM).
Mida PT NAD teeb?: kontrollib SMB liiklust ja tuvastab juurdepääsu SCM-ile teenuse loomise, muutmise ja käivitamise reeglitega.
Teenuse käivitamise tehnikat saab rakendada kaugkäskude täitmise utiliidi PSExec abil. PT NAD analüüsib SMB-protokolli ja tuvastab PSExeci kasutamise, kui see kasutab kaugmasinas koodi käivitamiseks faili PSEXESVC.exe või standardset PSEXECSVC teenusenime. Kasutaja peab kontrollima käivitatud käskude loendit ja hostist kaugkäskude täitmise legitiimsust.
PT NAD-i ründekaart kuvab andmeid kasutatud taktika ja tehnikate kohta vastavalt ATT&CK maatriksile, et kasutaja saaks aru, millises rünnaku etapis ründajad on, milliseid eesmärke nad taotlevad ja milliseid kompenseerivaid meetmeid võtta.
Käivitub PSExeci utiliidi kasutamise reegel, mis võib viidata katsele käivitada käske kaugmasinas
10. : kolmanda osapoole tarkvara
Tehnika, mille abil ründajad saavad juurdepääsu kaughaldustarkvarale või ettevõtte tarkvara juurutussüsteemile ja kasutavad seda pahatahtliku koodi käivitamiseks. Sellise tarkvara näited: SCCM, VNC, TeamViewer, HBSS, Altiris.
Muide, tehnika on eriti asjakohane seoses massilise üleminekuga kaugtööle ja sellest tulenevalt arvukate kaitsmata koduseadmete ühendamisega kahtlaste kaugjuurdepääsukanalite kaudu.
Mida PT NAD teeb?: tuvastab automaatselt sellise tarkvara töö võrgus. Näiteks käivitavad reeglid ühendused VNC-protokolli kaudu ja Trooja EvilVNC tegevus, mis installib ohvri hosti salaja VNC-serveri ja käivitab selle automaatselt. Samuti tuvastab PT NAD automaatselt TeamVieweri protokolli, mis aitab analüütikul filtri abil kõik sellised seansid üles leida ja nende legitiimsust kontrollida.
11. : kasutaja täitmine
Tehnika, milles kasutaja käivitab faile, mis võivad viia koodi täitmiseni. See võib olla näiteks see, kui ta avab käivitatava faili või käivitab makroga Office'i dokumendi.
Mida PT NAD teeb?: näeb selliseid faile edastusetapis, enne nende käivitamist. Teavet nende kohta saab uurida nende seansside kaardil, kus need edastati.
12. : Windowsi haldusseadmed
WMI-tööriista kasutamine, mis pakub Windowsi süsteemikomponentidele kohalikku ja kaugjuurdepääsu. WMI-d kasutades saavad ründajad suhelda kohalike ja kaugsüsteemidega ning täita mitmesuguseid ülesandeid, näiteks koguda teavet luureeesmärkidel ja käivitada protsesse eemalt külgsuunas liikudes.
Mida PT NAD teeb?: Kuna WMI kaudu kaugsüsteemidega suhtlemine on liikluses nähtav, tuvastab PT NAD automaatselt võrgupäringud WMI-seansside loomiseks ja kontrollib WMI-d kasutavate skriptide liiklust.
13. : Windowsi kaughaldus
Windowsi teenuse ja protokolli kasutamine, mis võimaldab kasutajal suhelda kaugsüsteemidega.
Mida PT NAD teeb?: näeb Windowsi kaughalduse abil loodud võrguühendusi. Sellised seansid tuvastavad reeglid automaatselt.
14. : XSL (Extensible Stylesheet Language) skriptitöötlus
XSL-stiilis märgistuskeelt kasutatakse XML-failides olevate andmete töötlemise ja visualiseerimise kirjeldamiseks. Keeruliste toimingute toetamiseks sisaldab XSL-standard erinevates keeltes manustatud skriptide tuge. Need keeled võimaldavad käivitada suvalist koodi, mis viib valgetel nimekirjadel põhinevatest turvapoliitikatest möödahiilimiseni.
Mida PT NAD teeb?: tuvastab selliste failide edastamise üle võrgu, st isegi enne nende käivitamist. See tuvastab automaatselt üle võrgu edastatavad XSL-failid ja anomaalse XSL-märgistusega failid.
Järgmistes materjalides vaatleme, kuidas PT Network Attack Discovery NTA süsteem leiab muid ründaja taktikaid ja tehnikaid kooskõlas MITER ATT&CK-ga. Püsige lainel!
Autorid:
- Anton Kutepov, PT Expert Security Centeri positiivsete tehnoloogiate spetsialist
- Natalia Kazankova, ettevõtte Positive Technologies tooteturundaja
Allikas: www.habr.com