🥇چگونه سیستم های تحلیل ترافیک تاکتیک های هکرها را با استفاده از MITER ATT&CK با استفاده از مثال PT Network Attack Discovery شناسایی می کنند

طبق گفته Verizonاکثر (87٪) حوادث امنیت اطلاعات در عرض چند دقیقه رخ می دهد و برای 68٪ از شرکت ها ماه ها طول می کشد تا آنها را شناسایی کنند. این مورد تایید است تحقیقات موسسه پونمون، بر اساس آن اکثر سازمان ها به طور متوسط 206 روز طول می کشند تا یک حادثه را شناسایی کنند. بر اساس تجربه بررسی‌های ما، هکرها می‌توانند زیرساخت‌های یک شرکت را برای سال‌ها بدون شناسایی شدن کنترل کنند. بنابراین، در یکی از سازمان‌هایی که کارشناسان ما یک حادثه امنیت اطلاعات را بررسی می‌کردند، مشخص شد که هکرها تمام زیرساخت‌های سازمان را کاملاً کنترل کرده و مرتباً اطلاعات مهم را سرقت می‌کنند. به مدت هشت سال.

فرض کنید یک SIEM در حال اجرا دارید که گزارش‌ها را جمع‌آوری می‌کند و رویدادها را تجزیه و تحلیل می‌کند و نرم‌افزار آنتی‌ویروس روی گره‌های انتهایی نصب شده است. با این اوصاف، همه چیز را نمی توان با استفاده از SIEM شناسایی کردهمانطور که پیاده سازی سیستم های EDR در کل شبکه غیرممکن است، به این معنی که نمی توان از نقاط کور اجتناب کرد. سیستم های تجزیه و تحلیل ترافیک شبکه (NTA) به مقابله با آنها کمک می کند. این راه حل ها فعالیت مهاجم را در مراحل اولیه نفوذ شبکه و همچنین در طول تلاش برای به دست آوردن جایگاه و توسعه حمله در شبکه شناسایی می کنند.

دو نوع NTA وجود دارد: برخی با NetFlow کار می کنند، برخی دیگر ترافیک خام را تجزیه و تحلیل می کنند. مزیت سیستم های دوم این است که می توانند سوابق ترافیکی خام را ذخیره کنند. به لطف این، یک متخصص امنیت اطلاعات می تواند موفقیت حمله را تأیید کند، تهدید را بومی سازی کند، بفهمد حمله چگونه رخ داده است و چگونه از حمله مشابه در آینده جلوگیری کند.

ما نشان خواهیم داد که چگونه با استفاده از NTA می توانید از شواهد مستقیم یا غیرمستقیم برای شناسایی تمام تاکتیک های حمله شناخته شده شرح داده شده در پایگاه دانش استفاده کنید. میتر ATT و CK. ما در مورد هر یک از 12 تاکتیک صحبت خواهیم کرد، تکنیک هایی را که توسط ترافیک شناسایی می شوند تجزیه و تحلیل خواهیم کرد و تشخیص آنها را با استفاده از سیستم NTA خود نشان خواهیم داد.

درباره پایگاه دانش ATT&CK

MITER ATT&CK یک پایگاه دانش عمومی است که توسط شرکت MITER بر اساس تجزیه و تحلیل APTهای واقعی توسعه و نگهداری می شود. این مجموعه ای ساختار یافته از تاکتیک ها و تکنیک های مورد استفاده مهاجمان است. این به متخصصان امنیت اطلاعات از سراسر جهان اجازه می دهد تا به یک زبان صحبت کنند. پایگاه داده به طور مداوم در حال گسترش است و با دانش جدید تکمیل می شود.

پایگاه داده 12 تاکتیک را شناسایی می کند که بر اساس مراحل حمله سایبری تقسیم می شوند:

دسترسی اولیه؛
اجرا؛
تحکیم (تداوم)؛
افزایش امتیاز؛
جلوگیری از تشخیص (فرار دفاعی)؛
اخذ اعتبار (دسترسی به اعتبار)؛
اکتشاف؛
حرکت در محیط (حرکت جانبی)؛
جمع آوری داده ها (جمع آوری)؛
دستور و کنترل؛
استخراج داده ها؛
تأثیر.

برای هر تاکتیک، پایگاه دانش ATT&CK فهرستی از تکنیک‌هایی را فهرست می‌کند که به مهاجمان کمک می‌کند در مرحله فعلی حمله به هدف خود دست یابند. از آنجایی که می توان از یک تکنیک در مراحل مختلف استفاده کرد، می تواند به چندین تاکتیک اشاره کند.

توضیحات هر تکنیک شامل:

مشخص کننده؛
فهرستی از تاکتیک هایی که در آن استفاده می شود؛
نمونه هایی از استفاده توسط گروه های APT.
اقدامات برای کاهش آسیب ناشی از استفاده از آن؛
توصیه های تشخیص

متخصصان امنیت اطلاعات می توانند از دانش پایگاه داده برای ساختاردهی اطلاعات در مورد روش های حمله فعلی استفاده کنند و با در نظر گرفتن این موضوع، یک سیستم امنیتی موثر بسازند. درک نحوه عملکرد گروه‌های APT واقعی نیز می‌تواند به منبع فرضیه‌هایی برای جستجوی فعالانه تهدیدات در داخل تبدیل شود. شکار تهدید.

درباره PT Network Attack Discovery

ما استفاده از تکنیک ها را از ماتریس ATT&CK با استفاده از سیستم شناسایی خواهیم کرد کشف حمله شبکه PT - سیستم NTA فناوری های مثبت، طراحی شده برای شناسایی حملات در محیط و داخل شبکه. PT NAD، به درجات مختلف، تمام 12 تاکتیک ماتریس MITER ATT&CK را پوشش می دهد. او در شناسایی تکنیک های دسترسی اولیه، حرکت جانبی و فرماندهی و کنترل بسیار قدرتمند است. در آنها، PT NAD بیش از نیمی از تکنیک های شناخته شده را پوشش می دهد و کاربرد آنها را با علائم مستقیم یا غیرمستقیم تشخیص می دهد.

این سیستم با استفاده از تکنیک های ATT&CK حملات را با استفاده از قوانین تشخیص ایجاد شده توسط تیم شناسایی می کند مرکز امنیت تخصصی PT (PT ESC)، یادگیری ماشین، شاخص های سازش، تجزیه و تحلیل عمیق و تجزیه و تحلیل گذشته نگر. تجزیه و تحلیل ترافیک بلادرنگ همراه با گذشته نگر به شما امکان می دهد فعالیت مخرب پنهان فعلی را شناسایی کنید و بردارهای توسعه و زمان بندی حملات را ردیابی کنید.

اینجا نگاشت کامل PT NAD به ماتریس MITER ATT&CK. تصویر بزرگ است، بنابراین پیشنهاد می کنیم آن را در یک پنجره جداگانه مشاهده کنید.

دسترسی اولیه

تاکتیک های دسترسی اولیه شامل تکنیک هایی برای نفوذ به شبکه یک شرکت است. هدف مهاجمان در این مرحله تحویل کدهای مخرب به سیستم مورد حمله و اطمینان از امکان اجرای بیشتر آن است.

تجزیه و تحلیل ترافیک از PT NAD هفت تکنیک برای دستیابی به دسترسی اولیه را نشان می دهد:

1. T1189: سازش درایو

تکنیکی که در آن قربانی وب سایتی را باز می کند که توسط مهاجمان برای سوء استفاده از مرورگر وب و به دست آوردن نشانه های دسترسی برنامه استفاده می شود.

PT NAD چه می کند؟: اگر ترافیک وب رمزگذاری نشده باشد، PT NAD محتوای پاسخ های سرور HTTP را بررسی می کند. این پاسخ ها حاوی اکسپلویت هایی هستند که به مهاجمان اجازه می دهد کد دلخواه را در داخل مرورگر اجرا کنند. PT NAD به طور خودکار چنین اکسپلویت هایی را با استفاده از قوانین تشخیص شناسایی می کند.

علاوه بر این، PT NAD تهدید را در مرحله قبل تشخیص می دهد. اگر کاربر از سایتی بازدید کند که او را به سایتی با انبوهی از سوء استفاده ها هدایت کرده است، قوانین و شاخص های سازش فعال می شوند.

2. T1190: بهره برداری از برنامه عمومی

بهره برداری از آسیب پذیری ها در سرویس هایی که از طریق اینترنت قابل دسترسی هستند.

PT NAD چه می کند؟: بازرسی عمیق محتویات بسته های شبکه را انجام می دهد و علائم فعالیت غیرعادی را شناسایی می کند. به طور خاص، قوانینی وجود دارد که به شما امکان می‌دهد حملات به سیستم‌های مدیریت محتوای اصلی (CMS)، واسط‌های وب تجهیزات شبکه، و حملات به سرورهای ایمیل و FTP را شناسایی کنید.

3. T1133: خدمات از راه دور خارجی

مهاجمان از خدمات دسترسی از راه دور برای اتصال به منابع شبکه داخلی از خارج استفاده می کنند.

PT NAD چه می کند؟: از آنجایی که سیستم پروتکل ها را نه با شماره پورت، بلکه توسط محتویات بسته ها می شناسد، کاربران سیستم می توانند ترافیک را فیلتر کنند تا تمام جلسات پروتکل های دسترسی از راه دور را پیدا کرده و مشروعیت آنها را بررسی کنند.

4. T1193: ضمیمه spearphishing

ما در مورد ارسال بدنام پیوست های فیشینگ صحبت می کنیم.

PT NAD چه می کند؟: به طور خودکار فایل ها را از ترافیک استخراج می کند و آنها را در برابر شاخص های سازش بررسی می کند. فایل‌های اجرایی در پیوست‌ها با قوانینی که محتوای ترافیک ایمیل را تحلیل می‌کنند شناسایی می‌شوند. در یک محیط شرکتی، چنین سرمایه گذاری غیرعادی تلقی می شود.

5. T1192: لینک spearphishing

استفاده از لینک های فیشینگ این تکنیک شامل ارسال یک ایمیل فیشینگ با لینکی است که با کلیک روی آن، یک برنامه مخرب را دانلود می کند. به عنوان یک قاعده، پیوند با متنی همراه است که مطابق با تمام قوانین مهندسی اجتماعی تدوین شده است.

PT NAD چه می کند؟: پیوندهای فیشینگ را با استفاده از شاخص های سازش شناسایی می کند. به عنوان مثال، در رابط PT NAD ما جلسه ای را می بینیم که در آن یک اتصال HTTP از طریق پیوند موجود در لیست آدرس های فیشینگ (فیشینگ-urls) وجود دارد.

اتصال از طریق پیوندی از فهرست نشانگرهای فیشینگ-urlهای در معرض خطر

6. T1199: رابطه قابل اعتماد

دسترسی به شبکه قربانی از طریق اشخاص ثالثی که قربانی با آنها رابطه قابل اعتماد برقرار کرده است. مهاجمان می توانند یک سازمان مورد اعتماد را هک کنند و از طریق آن به شبکه هدف متصل شوند. برای این کار از اتصالات VPN یا تراست های دامنه استفاده می کنند که از طریق تجزیه و تحلیل ترافیک قابل شناسایی است.

PT NAD چه می کند؟: پروتکل های برنامه را تجزیه می کند و فیلدهای تجزیه شده را در پایگاه داده ذخیره می کند، به طوری که یک تحلیلگر امنیت اطلاعات می تواند از فیلترها برای یافتن تمام اتصالات VPN مشکوک یا اتصالات متقابل دامنه در پایگاه داده استفاده کند.

7. T1078: حساب های معتبر

استفاده از اعتبار استاندارد، محلی یا دامنه برای مجوز در سرویس های خارجی و داخلی.

PT NAD چه می کند؟: به طور خودکار اعتبارنامه ها را از پروتکل های HTTP، FTP، SMTP، POP3، IMAP، SMB، DCE/RPC، SOCKS5، LDAP، Kerberos بازیابی می کند. به طور کلی، این یک ورود، رمز عبور و نشانه ای از احراز هویت موفق است. اگر از آنها استفاده شده باشد، در کارت جلسه مربوطه نمایش داده می شوند.

اجرا

تاکتیک های اجرایی شامل تکنیک هایی است که مهاجمان برای اجرای کد روی سیستم های در معرض خطر استفاده می کنند. اجرای کدهای مخرب به مهاجمان کمک می کند تا حضور داشته باشند (تاکتیک پایداری) و با حرکت در محیط، دسترسی به سیستم های راه دور در شبکه را گسترش دهند.

PT NAD به شما امکان می دهد تا استفاده از 14 تکنیک مورد استفاده توسط مهاجمان را برای اجرای کدهای مخرب شناسایی کنید.

1. T1191: CMSTP (نصب کننده پروفایل مدیر اتصال مایکروسافت)

تاکتیکی که در آن مهاجمان یک فایل INF نصب مخرب ویژه برای ابزار داخلی ویندوز CMSTP.exe (نصب کننده پروفایل مدیر اتصال) آماده می کنند. CMSTP.exe فایل را به عنوان پارامتر می گیرد و نمایه سرویس را برای اتصال راه دور نصب می کند. در نتیجه، CMSTP.exe می تواند برای بارگیری و اجرای کتابخانه های پیوند پویا (*.dll) یا اسکریپت ها (*.sct) از سرورهای راه دور استفاده شود.

PT NAD چه می کند؟: به طور خودکار انتقال انواع خاصی از فایل های INF را در ترافیک HTTP تشخیص می دهد. علاوه بر این، انتقال HTTP اسکریپت های مخرب و کتابخانه های پیوند پویا را از یک سرور راه دور شناسایی می کند.

2. T1059: رابط خط فرمان

تعامل با رابط خط فرمان. رابط خط فرمان را می توان به صورت محلی یا از راه دور، برای مثال با استفاده از ابزارهای دسترسی از راه دور، تعامل کرد.

PT NAD چه می کند؟: به طور خودکار وجود پوسته ها را بر اساس پاسخ به دستورات برای راه اندازی ابزارهای مختلف خط فرمان، مانند پینگ، ifconfig، تشخیص می دهد.

3. T1175: مدل شیء جزء و COM توزیع شده

استفاده از فناوری های COM یا DCOM برای اجرای کد در سیستم های محلی یا راه دور در حین حرکت در یک شبکه.

PT NAD چه می کند؟: تماس های مشکوک DCOM را که مهاجمان معمولاً برای راه اندازی برنامه ها استفاده می کنند، شناسایی می کند.

4. T1203: بهره برداری برای اجرای کلاینت

بهره برداری از آسیب پذیری ها برای اجرای کد دلخواه در یک ایستگاه کاری. مفیدترین اکسپلویت ها برای مهاجمان آنهایی هستند که اجازه می دهند کد بر روی یک سیستم راه دور اجرا شود، زیرا می توانند به مهاجمان اجازه دسترسی به آن سیستم را بدهند. این تکنیک را می‌توان با استفاده از روش‌های زیر پیاده‌سازی کرد: ارسال پستی مخرب، یک وب‌سایت با اکسپلویت‌های مرورگر، و بهره‌برداری از راه دور از آسیب‌پذیری‌های برنامه.

PT NAD چه می کند؟: هنگام تجزیه ترافیک ایمیل، PT NAD آن را برای وجود فایل های اجرایی در پیوست ها بررسی می کند. به طور خودکار اسناد اداری را از ایمیل هایی که ممکن است حاوی اکسپلویت باشند استخراج می کند. تلاش برای بهره برداری از آسیب پذیری ها در ترافیک قابل مشاهده است که PT NAD به طور خودکار آنها را شناسایی می کند.

5. T1170: mshta

از ابزار mshta.exe استفاده کنید که برنامه های Microsoft HTML (HTA) را با پسوند hta اجرا می کند. از آنجایی که mshta فایل ها را با دور زدن تنظیمات امنیتی مرورگر پردازش می کند، مهاجمان می توانند از mshta.exe برای اجرای فایل های HTA، جاوا اسکریپت یا VBScript مخرب استفاده کنند.

PT NAD چه می کند؟فایل های .hta برای اجرا از طریق mshta نیز از طریق شبکه منتقل می شوند - این را می توان در ترافیک مشاهده کرد. PT NAD انتقال چنین فایل های مخربی را به طور خودکار تشخیص می دهد. این فایل ها را می گیرد و اطلاعات مربوط به آنها را می توان در کارت جلسه مشاهده کرد.

6. T1086: PowerShell

استفاده از PowerShell برای یافتن اطلاعات و اجرای کدهای مخرب.

PT NAD چه می کند؟: هنگامی که PowerShell توسط مهاجمان راه دور استفاده می شود، PT NAD با استفاده از قوانین آن را تشخیص می دهد. کلمات کلیدی زبان PowerShell را که اغلب در اسکریپت های مخرب و انتقال اسکریپت های PowerShell از طریق پروتکل SMB استفاده می شوند، شناسایی می کند.

7. T1053: وظیفه برنامه ریزی شده
استفاده از Windows Task Scheduler و سایر ابزارهای کمکی برای اجرای خودکار برنامه ها یا اسکریپت ها در زمان های خاص.

PT NAD چه می کند؟: مهاجمان چنین وظایفی را معمولاً از راه دور ایجاد می کنند، به این معنی که چنین جلساتی در ترافیک قابل مشاهده است. PT NAD به طور خودکار عملیات ایجاد و اصلاح وظایف مشکوک را با استفاده از رابط های ATSVC و ITaskSchedulerService RPC شناسایی می کند.

8. T1064: اسکریپت نویسی

اجرای اسکریپت ها برای خودکارسازی اقدامات مختلف مهاجمان.

PT NAD چه می کند؟: انتقال اسکریپت ها را از طریق شبکه، یعنی حتی قبل از راه اندازی آنها تشخیص می دهد. محتوای اسکریپت را در ترافیک خام شناسایی می کند و انتقال شبکه فایل ها را با پسوندهای مربوط به زبان های برنامه نویسی محبوب تشخیص می دهد.

9. T1035: اجرای سرویس

یک فایل اجرایی، دستورالعمل های رابط خط فرمان یا اسکریپت را با تعامل با سرویس های ویندوز، مانند Service Control Manager (SCM) اجرا کنید.

PT NAD چه می کند؟: ترافیک SMB را بررسی می کند و دسترسی به SCM را با قوانین ایجاد، تغییر و راه اندازی یک سرویس تشخیص می دهد.

تکنیک راه اندازی سرویس را می توان با استفاده از ابزار اجرای دستور از راه دور PSExec پیاده سازی کرد. PT NAD پروتکل SMB را تجزیه و تحلیل می کند و استفاده از PSExec را هنگامی که از فایل PSEXESVC.exe یا نام سرویس استاندارد PSEXECSVC برای اجرای کد روی یک ماشین راه دور استفاده می کند، تشخیص می دهد. کاربر باید لیست دستورات اجرا شده و مشروعیت اجرای فرمان از راه دور از میزبان را بررسی کند.

کارت حمله در PT NAD داده هایی را در مورد تاکتیک ها و تکنیک های مورد استفاده بر اساس ماتریس ATT&CK نمایش می دهد تا کاربر بتواند بفهمد مهاجمان در چه مرحله ای از حمله هستند، چه اهدافی را دنبال می کنند و چه اقدامات جبرانی را باید انجام دهند.

قانون استفاده از ابزار PSExec فعال می شود، که ممکن است نشان دهنده تلاش برای اجرای دستورات در یک ماشین راه دور باشد.

10. T1072: نرم افزار شخص ثالث

تکنیکی که در آن مهاجمان به نرم افزار مدیریت راه دور یا یک سیستم استقرار نرم افزار شرکتی دسترسی پیدا کرده و از آن برای اجرای کدهای مخرب استفاده می کنند. نمونه هایی از این نرم افزارها: SCCM، VNC، TeamViewer، HBSS، Altiris.
به هر حال، این تکنیک به ویژه در ارتباط با انتقال گسترده به کار از راه دور و در نتیجه اتصال دستگاه های خانگی محافظت نشده متعدد از طریق کانال های دسترسی از راه دور مشکوک مرتبط است.

PT NAD چه می کند؟: به طور خودکار عملکرد چنین نرم افزارهایی را در شبکه تشخیص می دهد. به عنوان مثال، قوانین توسط اتصالات از طریق پروتکل VNC و فعالیت تروجان EvilVNC، که به طور مخفیانه یک سرور VNC را بر روی میزبان قربانی نصب می کند و به طور خودکار آن را راه اندازی می کند، راه اندازی می شود. همچنین، PT NAD به طور خودکار پروتکل TeamViewer را شناسایی می کند، این به تحلیلگر کمک می کند، با استفاده از یک فیلتر، تمام این جلسات را پیدا کند و مشروعیت آنها را بررسی کند.

11. T1204: اجرای کاربر

تکنیکی که در آن کاربر فایل هایی را اجرا می کند که می تواند منجر به اجرای کد شود. این می تواند برای مثال، اگر او یک فایل اجرایی را باز کند یا یک سند آفیس را با یک ماکرو اجرا کند.

PT NAD چه می کند؟: چنین فایل هایی را در مرحله انتقال، قبل از راه اندازی می بیند. اطلاعات مربوط به آنها را می توان در کارت جلساتی که در آن مخابره شده است مطالعه کرد.

12. T1047: ابزار مدیریت ویندوز

استفاده از ابزار WMI که دسترسی محلی و راه دور به اجزای سیستم ویندوز را فراهم می کند. با استفاده از WMI، مهاجمان می‌توانند با سیستم‌های محلی و راه دور تعامل داشته باشند و وظایف مختلفی مانند جمع‌آوری اطلاعات برای اهداف شناسایی و راه‌اندازی فرآیندها از راه دور در حین حرکت جانبی را انجام دهند.

PT NAD چه می کند؟: از آنجایی که تعامل با سیستم های راه دور از طریق WMI در ترافیک قابل مشاهده است، PT NAD به طور خودکار درخواست های شبکه را برای ایجاد جلسات WMI شناسایی می کند و ترافیک را برای اسکریپت هایی که از WMI استفاده می کنند بررسی می کند.

13. T1028: مدیریت از راه دور ویندوز

استفاده از سرویس و پروتکل ویندوز که به کاربر اجازه می دهد با سیستم های راه دور تعامل داشته باشد.

PT NAD چه می کند؟: اتصالات شبکه برقرار شده با استفاده از مدیریت از راه دور ویندوز را مشاهده می کند. چنین جلساتی به طور خودکار توسط قوانین شناسایی می شوند.

14. T1220: پردازش اسکریپت XSL (Extensible Stylesheet Language).

زبان نشانه گذاری سبک XSL برای توصیف پردازش و تجسم داده ها در فایل های XML استفاده می شود. برای پشتیبانی از عملیات پیچیده، استاندارد XSL شامل پشتیبانی از اسکریپت های تعبیه شده در زبان های مختلف است. این زبان ها اجازه اجرای کد دلخواه را می دهند که منجر به دور زدن سیاست های امنیتی بر اساس لیست های سفید می شود.

PT NAD چه می کند؟: انتقال چنین فایل هایی را از طریق شبکه، یعنی حتی قبل از راه اندازی آنها تشخیص می دهد. به طور خودکار فایل‌های XSL را که از طریق شبکه و فایل‌هایی با نشانه‌گذاری غیرعادی XSL منتقل می‌شوند، شناسایی می‌کند.

در مطالب بعدی، نحوه یافتن سایر تاکتیک ها و تکنیک های مهاجم توسط سیستم PT Network Attack Discovery NTA را مطابق با MITER ATT&CK بررسی خواهیم کرد. گوش به زنگ باشید!

نویسنده:

آنتون کوتپوف، متخصص در مرکز امنیت متخصص PT، فناوری های مثبت
ناتالیا کازانکووا، بازاریاب محصول در Positive Technologies

منبع: www.habr.com

چگونه سیستم های تجزیه و تحلیل ترافیک تاکتیک های هکرها را با استفاده از MITER ATT&CK با استفاده از مثال PT Network Attack Discovery شناسایی می کنند