, la majorité (87 %) des incidents de sécurité des informations se produisent en quelques minutes, tandis que 68 % des entreprises mettent des mois à les détecter. Ceci est confirmé par , selon lequel il faut en moyenne 206 jours à la plupart des organisations pour découvrir un incident. D'après nos enquêtes, les pirates peuvent contrôler l'infrastructure d'une entreprise pendant des années sans être détectés. Ainsi, dans l'une des organisations où nos experts ont enquêté sur un incident de sécurité de l'information, il a été révélé que les pirates contrôlaient complètement toute l'infrastructure de l'organisation et volaient régulièrement des informations importantes. .
Disons que SIEM est déjà en cours d'exécution, qui collecte les journaux et analyse les événements, et que des antivirus sont installés sur les nœuds finaux. Néanmoins, , tout comme il est impossible de mettre en œuvre des systèmes EDR sur l’ensemble du réseau, ce qui signifie que les zones « aveugles » ne peuvent être évitées. Les systèmes d’analyse du trafic réseau (NTA) aident à y faire face. Ces solutions détectent l'activité des attaquants dès les premiers stades de pénétration dans le réseau, ainsi que lors des tentatives de prise de pied et de développement d'une attaque à l'intérieur du réseau.
Il existe deux types de NTA : l'un fonctionne avec NetFlow, l'autre analyse le trafic brut. L’avantage des seconds systèmes est qu’ils peuvent stocker des enregistrements bruts de trafic. Grâce à cela, un spécialiste de la sécurité de l'information peut vérifier le succès de l'attaque, localiser la menace, comprendre comment l'attaque s'est produite et comment en empêcher une similaire à l'avenir.
Nous montrerons comment NTA peut être utilisé pour identifier, par des signes directs ou indirects, toutes les tactiques d'attaque connues décrites dans la base de connaissances. . Nous parlerons de chacune des 12 tactiques, analyserons les techniques détectées par le trafic et démontrerons leur détection à l'aide de notre système NTA.
À propos de la base de connaissances ATT&CK
MITRE ATT&CK est une base de connaissances publique développée et maintenue par MITRE Corporation sur la base de l'analyse d'APT du monde réel. Il s’agit d’un ensemble structuré de tactiques et de techniques utilisées par les attaquants. Cela permet aux professionnels de la sécurité de l’information du monde entier de parler la même langue. La base de données est en constante expansion et complétée par de nouvelles connaissances.
La base de données identifie 12 tactiques, divisées par étapes d'une cyberattaque :
- accès initial (accès initial);
- exécution (exécution);
- consolidation (persistance);
- élévation de privilèges ;
- prévention de la détection (évasion de la défense) ;
- obtenir des informations d'identification (accès aux informations d'identification) ;
- exploration;
- mouvement à l'intérieur du périmètre (mouvement latéral) ;
- collecte de données (collecte);
- commander et contrôler;
- exfiltration de données ;
- impact.
Pour chaque tactique, la base de connaissances ATT&CK répertorie une liste de techniques qui aident les attaquants à atteindre leur objectif au stade actuel de l'attaque. Puisqu’une même technique peut être utilisée à différentes étapes, elle peut faire référence à plusieurs tactiques.
La description de chaque technique comprend :
- identifiant ;
- une liste des tactiques dans lesquelles il est utilisé ;
- exemples d'utilisation par des groupes APT ;
- des mesures pour réduire les dommages liés à son utilisation ;
- recommandations de détection.
Les spécialistes de la sécurité de l’information peuvent utiliser les connaissances de la base de données pour structurer les informations sur les méthodes d’attaque actuelles et, dans cette optique, construire un système de sécurité efficace. Comprendre le fonctionnement réel des groupes APT peut également devenir une source d’hypothèses pour la recherche proactive de menaces au sein de leur groupe. .
À propos de la découverte des attaques réseau PT
Nous identifierons l'utilisation des techniques de la matrice ATT&CK en utilisant le système - Système Positive Technologies NTA conçu pour détecter les attaques sur le périmètre et à l'intérieur du réseau. PT NAD couvre les 12 tactiques de la matrice MITRE ATT&CK à des degrés divers. Il est plus efficace pour identifier l'accès initial, les mouvements latéraux et les techniques de commandement et de contrôle. Le PT NAD y couvre plus de la moitié des techniques connues, détectant leur utilisation par des signes directs ou indirects.
Le système détecte les attaques à l'aide des techniques ATT&CK en utilisant les règles de détection créées par la commande (PT ESC), apprentissage automatique, indicateurs de compromission, analyses approfondies et analyses rétrospectives. L'analyse du trafic en temps réel, combinée à une rétrospective, vous permet d'identifier les activités malveillantes cachées actuelles et de suivre les vecteurs de développement et la chronologie des attaques.
mappage complet de PT NAD à la matrice MITRE ATT&CK. L'image est grande, nous vous suggérons donc de la considérer dans une fenêtre séparée.
Accès initial
Les tactiques d'accès initial incluent des techniques permettant d'infiltrer le réseau d'une entreprise. L'objectif des attaquants à ce stade est de transmettre du code malveillant au système attaqué et d'assurer son exécution ultérieure.
L'analyse du trafic PT NAD révèle sept techniques pour obtenir un accès initial :
1. : compromis de conduite
Technique dans laquelle la victime ouvre un site Web utilisée par des attaquants pour exploiter un navigateur Web afin d'obtenir des jetons d'accès à une application.
Que fait le PT NAD ?: Si le trafic Web n'est pas chiffré, PT NAD inspecte le contenu des réponses du serveur HTTP. C’est dans ces réponses que l’on trouve des exploits qui permettent aux attaquants d’exécuter du code arbitraire à l’intérieur du navigateur. PT NAD détecte automatiquement ces exploits à l'aide de règles de détection.
De plus, PT NAD détecte la menace à l'étape précédente. Des règles et des indicateurs de compromission sont déclenchés si l'utilisateur a visité un site qui l'a redirigé vers un site comportant de nombreux exploits.
2. : exploiter une application publique
Exploitation des vulnérabilités des services accessibles depuis Internet.
Que fait le PT NAD ?: effectue une inspection approfondie du contenu des paquets réseau, révélant des signes d'activité anormale. Il existe notamment des règles qui permettent de détecter les attaques sur les principaux systèmes de gestion de contenu (CMS), les interfaces web des équipements réseaux, les attaques sur les serveurs de messagerie et FTP.
3. : services distants externes
Les attaquants utilisent des services d'accès à distance pour se connecter aux ressources du réseau interne depuis l'extérieur.
Que fait le PT NAD ?: puisque le système reconnaît les protocoles non pas par numéros de port, mais par le contenu des paquets, les utilisateurs du système peuvent filtrer le trafic de manière à retrouver toutes les sessions des protocoles d'accès à distance et vérifier leur légitimité.
4. : pièce jointe de spearphishing
Nous parlons de l’envoi notoire de pièces jointes de phishing.
Que fait le PT NAD ?: extrait automatiquement les fichiers du trafic et les vérifie par rapport aux indicateurs de compromission. Les fichiers exécutables des pièces jointes sont détectés par des règles qui analysent le contenu du trafic de messagerie. Dans un environnement d’entreprise, un tel investissement est considéré comme anormal.
5. : lien de spearphishing
Utilisation de liens de phishing. Cette technique consiste pour les attaquants à envoyer un e-mail de phishing contenant un lien qui, une fois cliqué, télécharge un programme malveillant. En règle générale, le lien est accompagné d'un texte rédigé selon toutes les règles de l'ingénierie sociale.
Que fait le PT NAD ?: Détecte les liens de phishing à l'aide d'indicateurs de compromission. Par exemple, dans l'interface PT NAD, nous voyons une session dans laquelle il y a eu une connexion HTTP via un lien inclus dans la liste des adresses de phishing (phishing-urls).
Connexion via un lien de la liste des indicateurs d'URL de phishing compromises
6. : relation de confiance
Accès au réseau de la victime par l'intermédiaire de tiers avec lesquels la victime a établi une relation de confiance. Les attaquants peuvent pirater une organisation de confiance et se connecter au réseau cible via celle-ci. Pour ce faire, ils utilisent des connexions VPN ou des approbations de domaine, qui peuvent être identifiées grâce à l'analyse du trafic.
Que fait le PT NAD ?: analyse les protocoles d'application et enregistre les champs analysés dans la base de données, afin qu'un analyste de la sécurité des informations puisse utiliser des filtres pour trouver toutes les connexions VPN suspectes ou les connexions inter-domaines dans la base de données.
7. : comptes valides
Utilisation d'informations d'identification standard, locales ou de domaine pour l'autorisation sur les services externes et internes.
Que fait le PT NAD ?: récupère automatiquement les informations d'identification des protocoles HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Dans le cas général, il s'agit d'un identifiant, d'un mot de passe et d'un signe d'authentification réussie. S'ils ont été utilisés, ils sont affichés dans la fiche de session correspondante.
Exécution
Les tactiques d'exécution incluent des techniques que les attaquants utilisent pour exécuter du code sur des systèmes compromis. L'exécution de code malveillant aide les attaquants à établir leur présence (tactique de persistance) et à étendre l'accès aux systèmes distants sur le réseau en se déplaçant à l'intérieur du périmètre.
PT NAD permet d'identifier l'utilisation de 14 techniques utilisées par les attaquants pour exécuter du code malveillant.
1. : CMSTP (programme d'installation du profil Microsoft Connection Manager)
Une tactique dans laquelle les attaquants préparent un fichier d'installation .inf malveillant spécialement conçu pour l'utilitaire Windows CMSTP.exe intégré (Connection Manager Profile Installer). CMSTP.exe prend un fichier comme paramètre et installe un profil de service pour la connexion à distance. Par conséquent, CMSTP.exe peut être utilisé pour télécharger et exécuter des bibliothèques de liens dynamiques (*.dll) ou des scriptlets (*.sct) à partir de serveurs distants.
Que fait le PT NAD ?: Détecte automatiquement le transfert de types spéciaux de fichiers INF dans le trafic HTTP. De plus, il détecte la transmission HTTP de scriptlets malveillants et de bibliothèques de liens dynamiques depuis un serveur distant.
2. : interface de ligne de commande
Interaction avec l'interface de ligne de commande. L'interface de ligne de commande peut être utilisée localement ou à distance, par exemple via des utilitaires d'accès à distance.
Que fait le PT NAD ?: détecte automatiquement la présence de shells par les réponses aux commandes pour lancer divers utilitaires de ligne de commande, tels que ping, ifconfig.
3. : modèle objet composant et COM distribué
Utiliser les technologies COM ou DCOM pour exécuter du code sur des systèmes locaux ou distants lorsqu'il traverse le réseau.
Que fait le PT NAD ?: Détecte les appels DCOM suspects que les attaquants utilisent généralement pour lancer des programmes.
4. : exploitation pour l'exécution du client
Exploitation de vulnérabilités pour exécuter du code arbitraire sur un poste de travail. Les exploits les plus utiles pour les attaquants sont ceux qui permettent d'exécuter du code sur un système distant, car ils peuvent être utilisés par des attaquants pour accéder à un tel système. La technique peut être mise en œuvre par les méthodes suivantes : liste de diffusion malveillante, site web avec exploits pour les navigateurs et exploitation à distance des vulnérabilités des applications.
Que fait le PT NAD ?: Lors de l'analyse du trafic de courrier, PT NAD vérifie la présence de fichiers exécutables dans les pièces jointes. Extrait automatiquement les documents Office des e-mails pouvant contenir des exploits. Les tentatives d'exploitation des vulnérabilités sont visibles dans le trafic, que PT NAD détecte automatiquement.
5. : mshta
Utilisation de l'utilitaire mshta.exe, qui exécute les applications Microsoft HTML (HTA) avec une extension .hta. Étant donné que mshta traite les fichiers en contournant les paramètres de sécurité du navigateur, les attaquants peuvent utiliser mshta.exe pour exécuter des fichiers HTA, JavaScript ou VBScript malveillants.
Que fait le PT NAD ?: Les fichiers .hta à exécuter via mshta sont également transmis sur le réseau - cela se voit dans le trafic. PT NAD détecte automatiquement la transmission de ces fichiers malveillants. Il capture les fichiers et les informations les concernant peuvent être consultées sur la carte de session.
6. : PowerShell
Utiliser PowerShell pour rechercher des informations et exécuter du code malveillant.
Que fait le PT NAD ?: Lorsque PowerShell est utilisé par des attaquants à distance, PT NAD le détecte à l'aide de règles. Il détecte les mots-clés du langage PowerShell les plus couramment utilisés dans les scripts malveillants et la transmission de scripts PowerShell via SMB.
7. : tâche planifiée
Utilisez le Planificateur de tâches Windows et d'autres utilitaires pour exécuter automatiquement des programmes ou des scripts à des moments précis.
Que fait le PT NAD ?: les attaquants créent de telles tâches, généralement à distance, ce qui signifie que ces sessions sont visibles dans le trafic. PT NAD détecte automatiquement les opérations suspectes de création et de modification de tâches à l'aide des interfaces RPC ATSVC et ITaskSchedulerService.
8. : script
Exécution de scripts pour automatiser diverses actions des attaquants.
Que fait le PT NAD ?: détecte la transmission des scripts sur le réseau, c'est-à-dire avant même leur lancement. Il détecte le contenu des scripts dans le trafic brut et détecte la transmission réseau de fichiers avec des extensions correspondant aux langages de script populaires.
9. : exécution du service
Exécutez un fichier exécutable, des instructions CLI ou un script en interagissant avec les services Windows, tels que Service Control Manager (SCM).
Que fait le PT NAD ?: inspecte le trafic SMB et détecte les requêtes adressées à SCM par des règles de création, de modification et de démarrage d'un service.
La technique de démarrage du service peut être implémentée à l'aide de l'utilitaire d'exécution de commandes à distance PSExec. PT NAD analyse le protocole SMB et détecte l'utilisation de PSExec lorsqu'il utilise le fichier PSEXESVC.exe ou le nom de service PSEXECSVC standard pour exécuter du code sur une machine distante. L'utilisateur doit vérifier la liste des commandes exécutées et la légitimité de l'exécution des commandes à distance depuis l'hôte.
La carte d'attaque de PT NAD affiche des données sur les tactiques et techniques utilisées par la matrice ATT&CK afin que l'utilisateur puisse comprendre à quel stade de l'attaque se trouvent les attaquants, quels objectifs ils poursuivent et quelles mesures compensatoires prendre.
Activation de la règle d'utilisation de l'utilitaire PSExec, qui peut indiquer une tentative d'exécution de commandes sur une machine distante
10. : logiciel tiers
Technique par laquelle les attaquants accèdent à un logiciel d'administration à distance ou à un système de déploiement de logiciels d'entreprise et les utilisent pour exécuter du code malveillant. Exemples de tels logiciels : SCCM, VNC, TeamViewer, HBSS, Altiris.
À propos, la technique est particulièrement pertinente dans le cadre de la transition massive vers le travail à distance et, par conséquent, de la connexion de nombreux appareils domestiques non protégés via des canaux d'accès à distance douteux.
Que fait le PT NAD ?: Détecte automatiquement le fonctionnement d'un tel logiciel sur le réseau. Par exemple, les règles sont déclenchées par les faits de connexion via le protocole VNC et l'activité du cheval de Troie EvilVNC, qui installe secrètement un serveur VNC sur l'hôte de la victime et le démarre automatiquement. De plus, PT NAD détecte automatiquement le protocole TeamViewer, ce qui aide l'analyste à trouver toutes ces sessions à l'aide d'un filtre et à vérifier leur légitimité.
11. : exécution utilisateur
Technique dans laquelle l'utilisateur exécute des fichiers pouvant conduire à l'exécution de code. Cela peut être le cas, par exemple, s'il ouvre un fichier exécutable ou exécute un document bureautique avec une macro.
Que fait le PT NAD ?: voit ces fichiers au stade du transfert, avant leur lancement. Les informations les concernant peuvent être étudiées dans la fiche des séances au cours desquelles elles ont été transmises.
12. :Windows Management Instrumentation
Utilisation de l'outil WMI, qui fournit un accès local et distant aux composants du système Windows. Grâce à WMI, les attaquants peuvent interagir avec des systèmes locaux et distants et effectuer diverses tâches, telles que la collecte d'informations à des fins de renseignement et le lancement de processus à distance lors d'un mouvement latéral.
Que fait le PT NAD ?: Étant donné que les interactions avec les systèmes distants via WMI sont visibles dans le trafic, PT NAD détecte automatiquement les demandes du réseau pour établir des sessions WMI et vérifie dans le trafic que les scripts utilisant WMI sont transmis.
13. : Gestion à distance Windows
Utilisation d'un service et d'un protocole Windows qui permettent à l'utilisateur d'interagir avec des systèmes distants.
Que fait le PT NAD ?: voit les connexions réseau établies à l'aide de la gestion à distance Windows. De telles sessions sont détectées automatiquement par les règles.
14. : traitement de script XSL (Extensible Stylesheet Language)
Le langage de balisage de style XSL est utilisé pour décrire le traitement et le rendu des données dans des fichiers XML. Pour prendre en charge des opérations complexes, la norme XSL inclut la prise en charge des scripts en ligne dans plusieurs langues. Ces langages permettent l'exécution de code arbitraire, qui contourne les politiques de sécurité sur liste blanche.
Que fait le PT NAD ?: détecte le transfert de ces fichiers sur le réseau, c'est-à-dire avant même leur lancement. Il détecte automatiquement les fichiers XSL transmis sur le réseau et les fichiers avec un balisage XSL anormal.
Dans les documents suivants, nous examinerons comment le système PT Network Attack Discovery NTA trouve d'autres tactiques et techniques d'attaquants conformément à MITRE ATT & CK. Restez à l'écoute!
Auteurs:
- Anton Kutepov, spécialiste du centre d'experts en sécurité (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, spécialiste du marketing produit chez Positive Technologies
Source: habr.com