Suurin osa (87 %) tietoturvaloukkauksista tapahtuu minuuteissa, kun taas 68 %:lla yrityksistä niiden havaitseminen kestää kuukausia. Tämä on vahvistettu ja , jonka mukaan tapahtuman havaitseminen kestää useimmilta organisaatioilta keskimäärin 206 päivää. Tutkimuksemme perusteella hakkerit voivat hallita yrityksen infrastruktuuria vuosia huomaamatta. Joten yhdessä organisaatiossa, jossa asiantuntijamme suorittivat tietoturvaloukkauksen tutkinnan, paljastui, että hakkerit hallitsivat organisaation koko infrastruktuuria ja varastivat säännöllisesti tärkeitä tietoja. .
Oletetaan, että sinulla on jo käynnissä SIEM, joka kerää lokeja ja analysoi tapahtumia, ja virustorjuntaohjelmat on asennettu päätysolmuihin. Tästä huolimatta, , aivan kuten on mahdotonta toteuttaa EDR-järjestelmiä koko verkossa, mikä tarkoittaa, että "sokeita" kulmia ei voida välttää. Verkkoliikenteen analysointijärjestelmät (NTA) auttavat käsittelemään niitä. Nämä ratkaisut havaitsevat hyökkääjien toiminnan verkon tunkeutumisen varhaisessa vaiheessa sekä yritettäessä saada jalansijaa ja kehittää hyökkäys verkossa.
NTA:ita on kahdenlaisia: toinen toimii NetFlow'n kanssa, toinen analysoi raakaliikennettä. Toisten järjestelmien etuna on, että ne voivat tallentaa raakaliikennetietueita. Tämän ansiosta tietoturva-asiantuntija voi tarkistaa hyökkäyksen onnistumisen, paikantaa uhan, ymmärtää, miten hyökkäys tapahtui ja miten vastaavanlainen estetään tulevaisuudessa.
Näytämme kuinka NTA:ta voidaan käyttää tunnistamaan suorilla tai epäsuorilla merkeillä kaikki tietokannassa kuvatut tunnetut hyökkäystaktiikat. . Puhumme kustakin 12 taktiikasta, analysoimme liikenteen havaitsemat tekniikat ja esittelemme niiden havaitsemisen NTA-järjestelmämme avulla.
Tietoja ATT&CK Knowledge Base -tietokannasta
MITER ATT&CK on MITER Corporationin kehittämä ja ylläpitämä julkinen tietokanta, joka perustuu todellisten APT:iden analyysiin. Se on jäsennelty joukko hyökkääjien käyttämiä taktiikoita ja tekniikoita. Näin tietoturva-ammattilaiset kaikkialta maailmasta voivat puhua samaa kieltä. Tietokanta laajenee jatkuvasti ja täydentyy uudella tiedolla.
Tietokanta tunnistaa 12 taktiikkaa, jotka on jaettu kyberhyökkäyksen vaiheisiin:
- ensimmäinen pääsy;
- teloitus (teloitus);
- lujittaminen (pysyvyys);
- etuoikeuksien eskaloituminen;
- havaitsemisen estäminen (puolustuksen kiertäminen);
- valtuustietojen hankkiminen (tunnistetietojen käyttö);
- etsintä;
- liike kehän sisällä (sivuliike);
- tiedonkeruu (keräys);
- komento ja kontrolli;
- tietojen suodattaminen;
- vaikutus.
ATT&CK Knowledge Base listaa jokaiselle taktiikalle luettelon tekniikoista, jotka auttavat hyökkääjiä saavuttamaan tavoitteensa hyökkäyksen nykyisessä vaiheessa. Koska samaa tekniikkaa voidaan käyttää eri vaiheissa, se voi viitata useisiin taktiikoihin.
Kunkin tekniikan kuvaus sisältää:
- tunniste;
- luettelo taktiikoista, joissa sitä sovelletaan;
- esimerkkejä APT-ryhmien käytöstä;
- toimenpiteet sen käytöstä aiheutuvien vahinkojen vähentämiseksi;
- havaitsemissuosituksia.
Tietoturva-asiantuntijat voivat käyttää tietokannan tietoa jäsentääkseen tietoa nykyisistä hyökkäysmenetelmistä ja rakentaakseen tämän huomioon ottaen tehokkaan turvajärjestelmän. Todellisten APT-ryhmien toiminnan ymmärtäminen voi myös olla hypoteesien lähde ennakoivaan uhkien etsintään .
Tietoja PT Network Attack Discoverysta
Tunnistamme ATT & CK -matriisin tekniikoiden käytön järjestelmän avulla - Positive Technologies NTA-järjestelmä, joka on suunniteltu havaitsemaan hyökkäykset verkon kehällä ja sisällä. PT NAD kattaa kaikki 12 MITRE ATT&CK -matriisin taktiikkaa vaihtelevissa määrin. Se on vahvin tunnistamaan alkupääsyn, sivuttaisliikkeen sekä komento- ja ohjaustekniikat. Niissä PT NAD kattaa yli puolet tunnetuista tekniikoista ja havaitsee niiden käytön suorilla tai epäsuorilla merkeillä.
Järjestelmä havaitsee hyökkäykset ATT&CK-tekniikoilla käyttäen ryhmän luomia havaitsemissääntöjä (PT ESC), koneoppiminen, kompromissin indikaattorit, syväanalytiikka ja retrospektiivinen analyysi. Reaaliaikainen liikenneanalyysi yhdistettynä retrospektiiviseen, mahdollistaa nykyisen piilotetun haitallisen toiminnan tunnistamisen ja kehitysvektoreiden ja hyökkäyskronologian seuraamisen.
PT NAD:n täydellinen kartoitus MITER ATT&CK -matriisiin. Kuva on suuri, joten suosittelemme harkitsemaan sitä erillisessä ikkunassa.
Alkuperäinen pääsy
Alkuperäiseen pääsytaktiikoihin kuuluu tekniikoita soluttautua yrityksen verkkoon. Hyökkääjien tavoitteena tässä vaiheessa on toimittaa haitallista koodia hyökkäyksen kohteena olevaan järjestelmään ja varmistaa sen suorittaminen edelleen.
PT NAD -liikenneanalyysi paljastaa seitsemän tekniikkaa alkupääsyn saamiseksi:
1. : kompromissi ajamisen kautta
Tekniikka, jossa uhri avaa verkkosivuston, jota hyökkääjät käyttävät hyväkseen verkkoselainta saadakseen sovelluskäyttötunnisteita.
Mitä PT NAD tekee?: Jos verkkoliikennettä ei ole salattu, PT NAD tarkistaa HTTP-palvelimen vastausten sisällön. Näistä vastauksista löytyy hyväksikäyttöjä, joiden avulla hyökkääjät voivat suorittaa mielivaltaista koodia selaimen sisällä. PT NAD tunnistaa tällaiset hyväksikäytöt automaattisesti tunnistussääntöjen avulla.
Lisäksi PT NAD havaitsee uhan edellisessä vaiheessa. Säännöt ja kompromissin ilmaisimet käynnistyvät, jos käyttäjä vieraili sivustolla, joka ohjasi hänet sivustolle, jossa on joukko hyväksikäyttöjä.
2. : hyödyntää julkista sovellusta
Internetistä saatavien palveluiden haavoittuvuuksien hyödyntäminen.
Mitä PT NAD tekee?: suorittaa verkkopakettien sisällön syvällisen tarkastuksen ja paljastaa siinä merkkejä poikkeavasta toiminnasta. Erityisesti on olemassa sääntöjä, joiden avulla voit havaita hyökkäykset tärkeimpiin sisällönhallintajärjestelmiin (CMS), verkkolaitteiden verkkorajapintoihin, sähköpostiin ja FTP-palvelimiin kohdistuviin hyökkäyksiin.
3. : ulkoiset etäpalvelut
Hyökkääjät käyttävät etäkäyttöpalveluja muodostaakseen yhteyden sisäisiin verkkoresursseihin ulkopuolelta.
Mitä PT NAD tekee?: koska järjestelmä ei tunnista protokollia porttinumeroiden, vaan pakettien sisällön perusteella, järjestelmän käyttäjät voivat suodattaa liikennettä siten, että ne löytävät kaikki etäkäyttöprotokollien istunnot ja tarkistavat niiden laillisuuden.
4. : phishing-liite
Puhumme pahamaineisesta phishing-liitteiden lähettämisestä.
Mitä PT NAD tekee?: purkaa tiedostot automaattisesti liikenteestä ja tarkistaa ne kompromissimerkkien varalta. Liitetiedostoissa olevat suoritettavat tiedostot havaitaan säännöillä, jotka analysoivat postiliikenteen sisältöä. Yritysympäristössä tällaista sijoitusta pidetään epänormaalina.
5. : huijauslinkki
Tietojenkalastelulinkkien käyttö. Tekniikka tarkoittaa, että hyökkääjät lähettävät tietojenkalasteluviestin, jossa on linkki, jota napsautettuna ladataan haittaohjelma. Pääsääntöisesti linkin mukana on kaikkien sosiaalisen suunnittelun sääntöjen mukaan koottu teksti.
Mitä PT NAD tekee?: Havaitsee phishing-linkit käyttämällä kompromissin ilmaisimia. Esimerkiksi PT NAD -rajapinnassa näemme istunnon, jossa oli HTTP-yhteys phishing-osoitteiden luettelossa (phishing-urls) olevan linkin kautta.
Yhteys linkin kautta tietokalastelu-url-osoitteiden vaarantuneiden osoitteiden luettelosta
6. : luottamussuhde
Pääsy uhrin verkkoon kolmansien osapuolten kautta, joiden kanssa uhrilla on luottamussuhde. Hyökkääjät voivat murtautua luotettuun organisaatioon ja muodostaa yhteyden sen kautta kohdeverkkoon. Tätä varten he käyttävät VPN-yhteyksiä tai verkkotunnuksen luottamussuhteita, jotka voidaan paljastaa liikenneanalyysin avulla.
Mitä PT NAD tekee?: jäsentää sovellusprotokollat ja tallentaa jäsennetyt kentät tietokantaan, jotta tietoturva-analyytikko voi suodattimien avulla löytää tietokannasta kaikki epäilyttävät VPN-yhteydet tai verkkotunnusten väliset yhteydet.
7. : voimassa olevat tilit
Vakio-, paikallis- tai verkkotunnuksen käyttöoikeustietojen käyttö valtuutukseen ulkoisissa ja sisäisissä palveluissa.
Mitä PT NAD tekee?: hakee automaattisesti tunnistetiedot HTTP-, FTP-, SMTP-, POP3-, IMAP-, SMB-, DCE/RPC-, SOCKS5-, LDAP- ja Kerberos-protokollista. Yleensä tämä on kirjautumistunnus, salasana ja merkki onnistuneesta todennuksen onnistumisesta. Jos niitä on käytetty, ne näkyvät vastaavassa istuntokortissa.
Toteutus
Suoritustaktiikat sisältävät tekniikoita, joita hyökkääjät käyttävät koodin suorittamiseen vaarantuneissa järjestelmissä. Haitallisen koodin suorittaminen auttaa hyökkääjiä varmistamaan läsnäolon (pysyvyystaktiikka) ja laajentamaan pääsyä verkon etäjärjestelmiin liikkumalla kehyksen sisällä.
PT NAD:n avulla voit tunnistaa 14 tekniikan käytön, joita hyökkääjät käyttävät haitallisen koodin suorittamiseen.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktiikka, jossa hyökkääjät valmistelevat erityisesti muodostetun haitallisen .inf-asennustiedoston sisäänrakennettua Windowsin CMSTP.exe-apuohjelmaa (Connection Manager Profile Installer) varten. CMSTP.exe ottaa tiedoston parametriksi ja asentaa etäyhteyden palveluprofiilin. Tämän seurauksena CMSTP.exe-tiedostoa voidaan käyttää dynaamisten linkkikirjastojen (*.dll) tai komentosarjojen (*.sct) lataamiseen ja suorittamiseen etäpalvelimista.
Mitä PT NAD tekee?: Tunnistaa automaattisesti erityismuotoisten .inf-tiedostojen lähetyksen HTTP-liikenteessä. Lisäksi se havaitsee haitallisten komentosarjojen ja dynaamisten linkkien kirjastojen HTTP-siirrot etäpalvelimelta.
2. : komentorivikäyttöliittymä
Vuorovaikutus komentorivikäyttöliittymän kanssa. Komentorivikäyttöliittymää voidaan käyttää paikallisesti tai etänä, esimerkiksi etäkäyttöapuohjelmien kautta.
Mitä PT NAD tekee?: havaitsee automaattisesti komentotulkkien läsnäolon vastaamalla komentoihin käynnistääkseen erilaisia komentorivin apuohjelmia, kuten ping, ifconfig.
3. : komponenttiobjektimalli ja hajautettu COM
COM- tai DCOM-tekniikoiden käyttäminen koodin suorittamiseen paikallisissa tai etäjärjestelmissä, kun se kulkee verkon läpi.
Mitä PT NAD tekee?: Havaitsee epäilyttävät DCOM-kutsut, joita hyökkääjät käyttävät usein ohjelmien käynnistämiseen.
4. : hyväksikäyttö asiakkaan suorittamiseen
Haavoittuvuuksien hyödyntäminen mielivaltaisen koodin suorittamiseksi työasemassa. Hyödyllisimmät hyökkääjät ovat ne, jotka mahdollistavat koodin suorittamisen etäjärjestelmässä, koska hyökkääjät voivat käyttää niitä päästäkseen käsiksi tällaiseen järjestelmään. Tekniikka voidaan toteuttaa seuraavilla tavoilla: haitallinen postituslista, web-sivusto, jossa on hyödynnettyjä selaimia ja sovellusten haavoittuvuuksien etäkäyttö.
Mitä PT NAD tekee?: jäsentäessään postiliikennettä PT NAD tarkistaa, onko liitteessä suoritettavia tiedostoja. Poimii automaattisesti toimistoasiakirjat sähköposteista, jotka voivat sisältää hyväksikäyttöä. Yritykset hyödyntää haavoittuvuuksia näkyvät liikenteessä, jonka PT NAD havaitsee automaattisesti.
5. : mshta
Mshta.exe-apuohjelman käyttäminen, joka suorittaa Microsoft HTML Applications (HTA) -sovelluksen .hta-laajennuksella. Koska mshta käsittelee tiedostoja ohittaen selaimen suojausasetukset, hyökkääjät voivat käyttää mshta.exe-tiedostoa haitallisten HTA-, JavaScript- tai VBScript-tiedostojen suorittamiseen.
Mitä PT NAD tekee?: Mshtan kautta suoritettavat .hta-tiedostot välitetään myös verkon yli - tämä näkyy liikenteessä. PT NAD havaitsee tällaisten haitallisten tiedostojen lähetyksen automaattisesti. Se kaappaa tiedostoja, ja tietoja niistä voidaan tarkastella istuntokortissa.
6. : powershell
PowerShellin käyttäminen tietojen etsimiseen ja haitallisen koodin suorittamiseen.
Mitä PT NAD tekee?: Kun hyökkääjät käyttävät PowerShellia etäyhteyden kautta, PT NAD havaitsee tämän sääntöjen avulla. Se havaitsee haitallisissa komentosarjoissa yleisimmin käytetyt PowerShell-kielen avainsanat ja PowerShell-komentosarjojen lähettämisen SMB:n kautta.
7. : ajoitettu tehtävä
Käytä Windowsin Tehtävien ajoitusta ja muita apuohjelmia suorittaaksesi ohjelmia tai komentosarjoja automaattisesti tiettyinä aikoina.
Mitä PT NAD tekee?: hyökkääjät luovat tällaisia tehtäviä, yleensä etänä, mikä tarkoittaa, että tällaiset istunnot ovat näkyvissä liikenteessä. PT NAD havaitsee automaattisesti epäilyttävät tehtävien luonti- ja muokkaustoiminnot ATSVC- ja ITaskSchedulerService RPC-liitäntöjen avulla.
8. : käsikirjoitus
Skriptien suorittaminen hyökkääjien eri toimien automatisoimiseksi.
Mitä PT NAD tekee?: havaitsee komentosarjojen lähettämisen verkon kautta, eli jo ennen kuin ne käynnistetään. Se havaitsee skriptisisällön raakaliikenteestä ja havaitsee tiedostojen verkkosiirron, jonka laajennukset vastaavat suosittuja komentosarjakieliä.
9. : palvelun suorittaminen
Suorita suoritettava tiedosto, CLI-ohjeet tai komentosarja vuorovaikutuksessa Windows-palvelujen, kuten Service Control Managerin (SCM) kanssa.
Mitä PT NAD tekee?: tarkastaa SMB-liikenteen ja havaitsee pyynnöt SCM:lle palvelun luomista, muokkaamista ja käynnistämistä koskevien sääntöjen perusteella.
Palvelujen käynnistystekniikka voidaan toteuttaa käyttämällä etäkomentojen suoritusapuohjelmaa PSExec. PT NAD jäsentää SMB-protokollan ja havaitsee PSExecin käytön, kun se käyttää PSEXESVC.exe-tiedostoa tai PSEXECSVC-standardipalvelun nimeä koodin suorittamiseen etäkoneessa. Käyttäjän on tarkistettava suoritettujen komentojen luettelo ja etäkomentojen suorittamisen laillisuus isännästä.
PT NAD:n hyökkäyskortti näyttää tiedot ATT&CK-matriisin käyttämistä taktiikoista ja tekniikoista, jotta käyttäjä voi ymmärtää missä vaiheessa hyökkäystä hyökkääjät ovat, mitä tavoitteita he tavoittelevat ja mihin kompensaatiotoimenpiteisiin ryhtyä.
PSExec-apuohjelman käyttöä koskevan säännön aktivointi, mikä voi tarkoittaa yritystä suorittaa komentoja etäkoneella
10. : kolmannen osapuolen ohjelmisto
Tekniikka, jolla hyökkääjät pääsevät etähallintaohjelmistoon tai yrityksen ohjelmistojen käyttöönottojärjestelmään ja käyttävät niitä haitallisen koodin suorittamiseen. Esimerkkejä tällaisista ohjelmistoista: SCCM, VNC, TeamViewer, HBSS, Altiris.
Tekniikka on muuten erityisen merkityksellinen massiivisen etätyöhön siirtymisen ja sen seurauksena lukuisten kodin suojaamattomien laitteiden yhdistämisen yhteydessä epäilyttäviä etäkäyttökanavia pitkin.
Mitä PT NAD tekee?: havaitsee automaattisesti tällaisten ohjelmistojen toiminnan verkossa. Säännöt laukaisevat esimerkiksi VNC-protokollan kautta yhdistämisen tosiasiat ja EvilVNC-troijalaisen toiminta, joka asentaa salaa VNC-palvelimen uhrin isäntään ja käynnistää sen automaattisesti. Lisäksi PT NAD tunnistaa automaattisesti TeamViewer-protokollan, joka auttaa analyytikkoa löytämään kaikki tällaiset istunnot suodattimen avulla ja tarkistamaan niiden laillisuuden.
11. : käyttäjän suorittaminen
Tekniikka, jossa käyttäjä suorittaa tiedostoja, jotka voivat aiheuttaa koodin suorittamisen. Tämä voi olla esimerkiksi, jos se avaa suoritettavan tiedoston tai suorittaa Office-asiakirjan makrolla.
Mitä PT NAD tekee?: näkee tällaiset tiedostot siirtovaiheessa, ennen kuin ne käynnistetään. Tietoja niistä voi tutkia niiden istuntojen kortissa, joissa ne välitettiin.
12. : Windows Management Instrumentation
WMI-työkalun käyttäminen, joka tarjoaa paikallisen ja etäyhteyden Windowsin järjestelmäkomponentteihin. WMI:n avulla hyökkääjät voivat olla vuorovaikutuksessa paikallisten ja etäjärjestelmien kanssa ja suorittaa erilaisia tehtäviä, kuten kerätä tietoja tiedustelutarkoituksiin ja käynnistää prosesseja etäältä sivuttaisliikkeen aikana.
Mitä PT NAD tekee?: Koska vuorovaikutus etäjärjestelmien kanssa WMI:n kautta näkyy liikenteessä, PT NAD havaitsee automaattisesti verkkopyynnöt WMI-istuntojen muodostamiseksi ja tarkistaa liikenteestä, että WMI:tä käyttäviä komentosarjoja lähetetään.
13. : Windowsin etähallinta
Käyttämällä Windows-palvelua ja -protokollaa, jonka avulla käyttäjä voi olla vuorovaikutuksessa etäjärjestelmien kanssa.
Mitä PT NAD tekee?: Näkee Windowsin etähallinnan avulla muodostetut verkkoyhteydet. Säännöt havaitsevat tällaiset istunnot automaattisesti.
14. : XSL (Extensible Stylesheet Language) -skriptien käsittely
XSL-tyylistä merkintäkieltä käytetään kuvaamaan XML-tiedostojen tietojen käsittelyä ja renderöintiä. Monimutkaisten toimintojen tukemiseksi XSL-standardi sisältää tuen useiden kielten tekstin sisäisille skripteille. Nämä kielet mahdollistavat mielivaltaisen koodin suorittamisen, joka ohittaa sallittujen luetteloon lisätyt suojauskäytännöt.
Mitä PT NAD tekee?: havaitsee tällaisten tiedostojen siirron verkon kautta, toisin sanoen jo ennen niiden käynnistämistä. Se havaitsee automaattisesti XSL-tiedostojen lähetyksen verkon yli ja tiedostot, joissa on poikkeava XSL-merkintä.
Seuraavissa materiaaleissa tarkastellaan, kuinka PT Network Attack Discovery NTA -järjestelmä löytää muita hyökkääjien taktiikoita ja tekniikoita MITER ATT & CK:n mukaisesti. Pysy kanavalla!
Tekijät:
- Anton Kutepov, asiantuntijatietoturvakeskuksen (PT Expert Security Center) Positive Technologies -asiantuntija
- Natalia Kazankova, Positive Technologiesin tuotemarkkinoija
Lähde: will.com