, tarlaíonn formhór na dteagmhas slándála faisnéise (87%) i gceann cúpla nóiméad, agus i gcás 68% de chuideachtaí tógann sé míonna chun iad a bhrath. Deimhnítear é seo le , dá réir a thógann sé 206 lá ar an meán ar fhormhór na n-eagraíochtaí chun teagmhas a bhrath. Bunaithe ar thaithí ár n-imscrúduithe, is féidir le hackers bonneagar cuideachta a rialú ar feadh blianta gan é a bhrath. Mar sin, i gceann de na heagraíochtaí ina ndearna ár saineolaithe imscrúdú ar theagmhas slándála faisnéise, tugadh le fios go ndearna hackers rialú iomlán ar bhonneagar iomlán na heagraíochta agus gur ghoid siad faisnéis thábhachtach go rialta. .
Ligean le rá go bhfuil rith SIEM agat cheana féin a bhailíonn logaí agus a dhéanann anailís ar imeachtaí, agus tá bogearraí antivirus suiteáilte ar na nóid deiridh. Mar sin féin, , díreach mar nach féidir córais EDR a chur i bhfeidhm ar fud an ghréasáin ar fad, rud a chiallaíonn nach féidir spotaí “dall” a sheachaint. Cuidíonn córais anailíse tráchta líonra (NTA) chun déileáil leo. Aimsíonn na réitigh seo gníomhaíocht ionsaitheora ag na céimeanna is luaithe de dhul i bhfód an líonra, chomh maith le linn iarrachtaí chun cos a fháil agus ionsaí a fhorbairt laistigh den líonra.
Tá dhá chineál NTAanna ann: oibríonn cuid acu le NetFlow, déanann cuid eile anailís ar thrácht amh. Is é an buntáiste a bhaineann leis an dara córas ná gur féidir leo taifid tráchta amh a stóráil. A bhuíochas leis seo, is féidir le speisialtóir slándála faisnéise rath an ionsaí a fhíorú, an bhagairt a logánú, tuiscint a fháil ar conas a tharla an t-ionsaí agus conas a leithéid a chosc sa todhchaí.
Taispeánfaimid conas is féidir leat úsáid a bhaint as NTA le fianaise dhíreach nó indíreach a úsáid chun gach tactics ionsaithe aitheanta a bhfuil cur síos orthu sa bhunachar eolais a shainaithint . Labhróimid faoi gach ceann de na 12 tactics, déanfaimid anailís ar na teicníochtaí a bhraitheann trácht, agus léireoimid a mbrath ag baint úsáide as ár gcóras NTA.
Maidir leis an mbonn eolais ATT&CK
Is bonn eolais poiblí é MITER ATT&CK arna fhorbairt agus arna chothabháil ag an MITER Corporation bunaithe ar anailís ar APTanna sa saol fíor. Is sraith struchtúrtha tactics agus teicnící a úsáideann ionsaitheoirí. Ligeann sé seo do ghairmithe slándála faisnéise ó gach cearn den domhan an teanga chéanna a labhairt. Tá an bunachar sonraí ag leathnú i gcónaí agus ag cur leis le heolas nua.
Aithníonn an bunachar sonraí 12 tactics, atá roinnte ar chéimeanna cibear-ionsaí:
- rochtain tosaigh;
- forghníomhú ;
- comhdhlúthú (dianseasmhacht);
- formhéadú pribhléide;
- cosc ar bhrath (imghabháil cosanta);
- dintiúir a fháil (rochtain credential);
- taiscéalaíocht ;
- gluaiseacht laistigh den imlíne (gluaiseacht cliathánach);
- bailiú sonraí (bailiúchán);
- ceannas agus rialú;
- dí-scagadh sonraí;
- tionchar.
I gcás gach tactic, liostaíonn bonn eolais ATT&CK liosta teicnící a chuidíonn le hionsaitheoirí a sprioc a bhaint amach ag an gcéim reatha den ionsaí. Ós rud é gur féidir an teicníc chéanna a úsáid ag céimeanna éagsúla, féadann sé tagairt a dhéanamh do roinnt tactics.
Áirítear le cur síos ar gach teicníc:
- aitheantóir ;
- liosta tactics ina n-úsáidtear é;
- samplaí úsáide ag grúpaí APT;
- bearta chun damáiste ó úsáid a bhaint as a laghdú;
- moltaí braite.
Is féidir le speisialtóirí slándála faisnéise eolas ón mbunachar sonraí a úsáid chun faisnéis a struchtúrú faoi mhodhanna ionsaithe reatha agus, á chur san áireamh, córas slándála éifeachtach a thógáil. Féadfaidh tuiscint a fháil ar an gcaoi a bhfeidhmíonn fíorghrúpaí APT a bheith ina fhoinse hipitéisí chun bagairtí laistigh a chuardach go réamhghníomhach .
Maidir le Fionnachtain Ionsaí Líonra PT
Aithneoimid úsáid teicnící ón maitrís ATT&CK ag baint úsáide as an gcóras — Córas NTA Teicneolaíochtaí Dearfacha, atá deartha chun ionsaithe ar an imlíne agus laistigh den líonra a bhrath. Clúdaíonn PT NAD, go céimeanna éagsúla, na 12 oirbheartaíocht ar fad de mhaitrís MITER ATT&CK. Tá sé is cumhachtaí maidir le teicnící a aithint le haghaidh rochtana tosaigh, gluaiseacht cliathánach, agus ceannas agus rialú. I iad, clúdaíonn PT NAD níos mó ná leath de na teicníochtaí aitheanta, a bhrath a n-iarratas trí chomharthaí díreacha nó indíreacha.
Aimsíonn an córas ionsaithe ag baint úsáide as teicnící ATT&CK ag baint úsáide as rialacha braite a chruthaigh an fhoireann (PT ESC), meaisínfhoghlaim, táscairí comhréitigh, anailísíocht dhomhain agus anailís chúlghabhálach. Ligeann anailís fíor-ama ar thrácht in éineacht le cúlbhreathnaitheach duit gníomhaíocht mhailíseach folaithe reatha a aithint agus veicteoirí forbartha agus croineolaíocht na n-ionsaithe a rianú.
mapáil iomlán de PT NAD go maitrís MITER ATT&CK. Tá an pictiúr mór, mar sin molaimid duit féachaint air i bhfuinneog ar leith.
Rochtain tosaigh
Áiríonn tactics rochtana tosaigh teicníochtaí chun dul isteach i líonra cuideachta. Is é sprioc na n-ionsaitheoirí ag an gcéim seo ná cód mailíseach a sheachadadh chuig an gcóras faoi ionsaí agus a chinntiú go bhféadfaí é a fhorghníomhú tuilleadh.
Nochtann anailís tráchta ó PT NAD seacht dteicníc chun rochtain tosaigh a fháil:
1. : comhréiteach tiomáinte
Teicníc ina n-osclaíonn an t-íospartach suíomh Gréasáin a úsáideann ionsaitheoirí chun leas a bhaint as an mbrabhsálaí gréasáin agus chun comharthaí rochtana feidhmchláir a fháil.
Cad a dhéanann PT NAD?: Mura bhfuil trácht gréasáin criptithe, déanann PT NAD iniúchadh ar ábhar freagraí freastalaí HTTP. Tá taiscéalta sna freagraí seo a ligeann d’ionsaitheoirí cód treallach a rith laistigh den bhrabhsálaí. Aimsíonn PT NAD shaothrú den sórt sin go huathoibríoch trí úsáid a bhaint as rialacha braite.
Ina theannta sin, aimsíonn PT NAD an bhagairt sa chéim roimhe seo. Spreagtar rialacha agus táscairí comhréitigh má thug an t-úsáideoir cuairt ar shuíomh a rinne é a atreorú chuig suíomh a raibh go leor sárshaothair ann.
2. : feidhm a shaothrú don phobal
Leas a bhaint as leochaileachtaí i seirbhísí a bhfuil rochtain orthu ón Idirlíon.
Cad a dhéanann PT NAD?: Déanann sé iniúchadh domhain ar ábhar na bpacáistí líonra, ag aithint comharthaí gníomhaíochta aimhrialta. Go háirithe, tá rialacha ann a ligeann duit ionsaithe ar mhórchórais bhainistíochta inneachair (CMS), comhéadain ghréasáin trealaimh líonra, agus ionsaithe ar fhreastalaithe ríomhphoist agus FTP a bhrath.
3. : cianseirbhísí seachtracha
Úsáideann ionsaitheoirí seirbhísí cianrochtana chun nascadh le hacmhainní líonra inmheánacha ón taobh amuigh.
Cad a dhéanann PT NAD?: ós rud é go n-aithníonn an córas prótacail ní de réir uimhreacha poirt, ach de réir a bhfuil sna paicéid, is féidir le húsáideoirí córais an trácht a scagadh chun gach seisiún de phrótacail cianrochtana a aimsiú agus a dlisteanacht a sheiceáil.
4. : ceangal spearphishing
Táimid ag caint faoi sheoladh iomráiteach ceangaltán fioscaireachta.
Cad a dhéanann PT NAD?: Baintear comhaid as an trácht go huathoibríoch agus seiceálann sé iad i gcoinne táscairí comhréitigh. Braitear comhaid inrite i gceangaltáin de réir rialacha a dhéanann anailís ar ábhar an tráchta ríomhphoist. I dtimpeallacht chorparáideach, meastar infheistíocht den sórt sin a bheith aimhrialta.
5. : nasc spearphishing
Ag baint úsáide as naisc fioscaireachta. Is éard atá i gceist leis an teicníc ná go seolann ionsaitheoirí r-phost fioscaireachta le nasc a íoslódálann clár mailíseach nuair a chliceáiltear é. De ghnáth, tá téacs tiomsaithe de réir rialacha uile na hinnealtóireachta sóisialta ag gabháil leis an nasc.
Cad a dhéanann PT NAD?: Aimsíonn naisc fioscaireachta ag baint úsáide as táscairí comhréitigh. Mar shampla, i gcomhéadan PT NAD feicimid seisiún ina raibh nasc HTTP trí nasc a chuimsítear i liosta na seoltaí fioscaireachta (urls fioscaireachta).
Ceangal trí nasc ón liosta táscairí comhréitigh fioscaireachta-urls
6. : caidreamh iontaofa
Rochtain ar líonra an íospartaigh trí thríú páirtithe a bhfuil caidreamh iontaofa bunaithe ag an íospartach leo. Is féidir le hionsaitheoirí eagraíocht iontaofa a hack agus ceangal leis an sprioclíonra tríd. Chun seo a dhéanamh, úsáideann siad naisc VPN nó iontaobhais fearainn, ar féidir iad a aithint trí anailís tráchta.
Cad a dhéanann PT NAD?: parsálann sé prótacail iarratais agus sábhálann sé na réimsí parsáilte isteach sa bhunachar sonraí, ionas gur féidir le hanailísí slándála faisnéise scagairí a úsáid chun gach nasc VPN amhrasach nó naisc thrasfhearann a aimsiú sa bhunachar sonraí.
7. : cuntais bhailí
Dintiúir chaighdeánacha, áitiúla nó fearainn a úsáid le haghaidh údarú ar sheirbhísí seachtracha agus inmheánacha.
Cad a dhéanann PT NAD?: Aisghabhann dintiúir go huathoibríoch ó phrótacail HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Go ginearálta, is logáil isteach, pasfhocal agus comhartha fíordheimhnithe rathúil é seo. Má úsáideadh iad, taispeántar iad sa chárta seisiúin comhfhreagrach.
Forghníomhú
Áirítear le tactics forghníomhaithe teicníochtaí a úsáideann ionsaitheoirí chun cód a fhorghníomhú ar chórais chontúirte. Cuidíonn rith cód mailíseach le hionsaitheoirí láithreacht (tactic mharthanachta) a bhunú agus rochtain ar chianchórais ar an líonra a leathnú trí bhogadh laistigh den imlíne.
Ligeann PT NAD duit úsáid 14 theicnící a úsáideann ionsaitheoirí chun cód mailíseach a fhorghníomhú a bhrath.
1. : CMSTP (Suiteálaí Próifíl Bainisteoir Ceangal Microsoft)
Tactic ina n-ullmhaíonn ionsaitheoirí comhad INF suiteála mailíseach speisialta don fhóntas Windows ionsuite CMSTP.exe (Suiteálaí Próifíl an Bhainisteora Ceangail). Glacann CMSTP.exe an comhad mar pharaiméadar agus suiteálann sé an phróifíl seirbhíse don chiancheangal. Mar thoradh air sin, is féidir CMSTP.exe a úsáid chun leabharlanna naisc dhinimiciúla (*.dll) nó scriptlets (*.sct) a luchtú agus a rith ó chianfhreastalaithe.
Cad a dhéanann PT NAD?: Aimsíonn go huathoibríoch aistriú cineálacha speisialta comhaid INF i dtrácht HTTP. Ina theannta sin, aimsíonn sé tarchur HTTP scriptlets mailíseach agus leabharlanna nasc dinimiciúla ó fhreastalaí cianda.
2. : comhéadan ordú-líne
Idirghníomhaíocht leis an gcomhéadan líne ordaithe. Is féidir idirghníomhú le comhéadan na n-orduithe go háitiúil nó go cianda, mar shampla ag baint úsáide as fóntais chianrochtana.
Cad a dhéanann PT NAD?: aimsíonn sé go huathoibríoch láithreacht sliogáin bunaithe ar fhreagraí ar orduithe chun fóntais orduithe éagsúla a sheoladh, mar shampla ping, ifconfig.
3. : múnla réad comhpháirte agus COM a dháileadh
Úsáid a bhaint as teicneolaíochtaí COM nó DCOM chun cód a fhorghníomhú ar chórais áitiúla nó chianchórais agus tú ag bogadh trasna líonra.
Cad a dhéanann PT NAD?: Aimsítear glaonna DCOM amhrasacha a úsáideann ionsaitheoirí de ghnáth chun cláir a sheoladh.
4. : saothrú le haghaidh forghníomhú cliant
Leas a bhaint as leochaileachtaí chun cód treallach a fhorghníomhú ar stáisiún oibre. Is iad na heachtraí is úsáidí d'ionsaitheoirí ná iad siúd a cheadaíonn cód a fhorghníomhú ar chianchóras, mar is féidir leo ligean d'ionsaitheoirí rochtain a fháil ar an gcóras sin. Is féidir an teicníc a chur i bhfeidhm trí úsáid a bhaint as na modhanna seo a leanas: postáil mhailíseach, suíomh Gréasáin ina bhfuil dúshaothrú brabhsálaí, agus cianshaothrú leochaileachtaí feidhmchlár.
Cad a dhéanann PT NAD?: Agus trácht ríomhphoist á pharsáil, seiceálann PT NAD é le haghaidh láithreacht comhaid inrite i gceangaltáin. Baintear amach doiciméid oifige go huathoibríoch ó ríomhphoist a bhféadfadh sé go bhfuil rudaí eile iontu. Tá iarrachtaí chun leochaileachtaí a shaothrú le feiceáil sa trácht, rud a bhraitheann PT NAD go huathoibríoch.
5. : mshta
Bain úsáid as an fóntais mshta.exe, a ritheann feidhmchláir HTML Microsoft (HTA) leis an síneadh .hta. Toisc go bpróiseálann mshta comhaid a sheachnaíonn socruithe slándála brabhsálaí, is féidir le hionsaitheoirí mshta.exe a úsáid chun comhaid mailíseacha HTA, JavaScript, nó VBScript a rith.
Cad a dhéanann PT NAD?: Tarchuirtear comhaid .hta le cur i gcrích trí mshta thar an líonra freisin - is féidir é seo a fheiceáil sa trácht. Aimsíonn PT NAD aistriú comhad mailíseach den sórt sin go huathoibríoch. Gabhann sé comhaid, agus is féidir faisnéis fúthu a fheiceáil sa chárta seisiúin.
6. : PowerShell
Úsáid PowerShell chun faisnéis a aimsiú agus cód mailíseach a fhorghníomhú.
Cad a dhéanann PT NAD?: Nuair a úsáideann ionsaitheoirí cianda PowerShell, braitheann PT NAD seo ag baint úsáide as rialacha. Aimsíonn sé eochairfhocail teanga PowerShell a úsáidtear go minic i scripteanna mailíseach agus tarchur scripteanna PowerShell thar phrótacal SMB.
7. : tasc sceidealta
Ag baint úsáide as Windows Task Scheduler agus fóntais eile chun cláir nó scripteanna a rith go huathoibríoch ag amanna ar leith.
Cad a dhéanann PT NAD?: cruthaíonn ionsaitheoirí tascanna den sórt sin, go cianda de ghnáth, rud a chiallaíonn go bhfuil seisiúin den sórt sin le feiceáil sa trácht. Aimsíonn PT NAD go huathoibríoch oibríochtaí cruthú tascanna amhrasacha agus modhnuithe ag baint úsáide as comhéadain ATSVC agus ITaskSchedulerService RPC.
8. : scrioptúr
Scripteanna a fhorghníomhú chun gníomhartha éagsúla ionsaitheoirí a uathoibriú.
Cad a dhéanann PT NAD?: a bhraitheann tarchur scripteanna thar an líonra, is é sin, fiú sula seoltar iad. Aimsíonn sé ábhar scripte sa trácht amh agus aimsíonn sé tarchur líonra comhad le síntí a fhreagraíonn do theangacha scriptithe coitianta.
9. : forghníomhú seirbhíse
Rith comhad inrite, treoracha comhéadan líne ordaithe, nó script trí idirghníomhú le seirbhísí Windows, mar shampla Bainisteoir Rialaithe Seirbhíse (SCM).
Cad a dhéanann PT NAD?: déanann sé cigireacht ar thrácht SMB agus braiteann sé rochtain ar SCM le rialacha maidir le seirbhís a chruthú, a athrú agus a thosú.
Is féidir an teicníc tosaithe seirbhíse a chur i bhfeidhm trí úsáid a bhaint as an bhfóntas forghníomhaithe cianordaithe PSExec. Déanann PT NAD anailís ar phrótacal SMB agus braiteann sé úsáid PSExec nuair a úsáideann sé an comhad PSEXESVC.exe nó an t-ainm seirbhíse caighdeánach PSEXECSVC chun cód a fhorghníomhú ar mheaisín iargúlta. Ní mór don úsáideoir liosta na n-orduithe a rinneadh a sheiceáil agus dlisteanacht fhorghníomhú cianorduithe ón óstach.
Taispeánann an cárta ionsaithe i PT NAD sonraí ar na tactics agus na teicnící a úsáidtear de réir na maitrís ATT&CK ionas gur féidir leis an úsáideoir a thuiscint cén chéim den ionsaí atá ag na hionsaitheoirí, cad iad na spriocanna atá á leanúint acu, agus cad iad na bearta cúitimh atá le déanamh.
Spreagtar an riail maidir leis an bhfóntas PSExec a úsáid, rud a d’fhéadfadh a léiriú go bhfuil iarracht á déanamh orduithe a fhorghníomhú ar mheaisín cianda
10. : bogearraí tríú páirtí
Teicníc ina bhfaigheann ionsaitheoirí rochtain ar bhogearraí cianriaracháin nó ar chóras imlonnaithe bogearraí corparáideach agus ina n-úsáideann siad é chun cód mailíseach a rith. Samplaí de bhogearraí den sórt sin: SCCM, VNC, TeamViewer, HBSS, Altiris.
Dála an scéil, tá an teicníc ábhartha go háirithe maidir leis an aistriú ollmhór chuig obair iargúlta agus, mar thoradh air sin, nascadh feistí baile iomadúla gan chosaint trí bhealaí cianrochtana amhrasacha.
Cad a dhéanann PT NAD?: a bhraitheann go huathoibríoch oibriú bogearraí den sórt sin ar an líonra. Mar shampla, spreagtar na rialacha trí naisc tríd an bprótacal VNC agus gníomhaíocht an EvilVNC Trojan, a shuiteálann freastalaí VNC go rúnda ar óstach an íospartaigh agus a sheolann go huathoibríoch é. Chomh maith leis sin, braitheann PT NAD prótacal TeamViewer go huathoibríoch, cabhraíonn sé seo leis an anailísí, ag baint úsáide as scagaire, gach seisiún den sórt sin a aimsiú agus a dlisteanacht a sheiceáil.
11. : forghníomhú úsáideora
Teicníc ina ritheann an t-úsáideoir comhaid is féidir a bheith mar thoradh ar fhorghníomhú cód. D'fhéadfadh sé seo a bheith, mar shampla, má osclaíonn sé comhad inrite nó má ritheann sé doiciméad oifige le macra.
Cad a dhéanann PT NAD?: feiceann sé comhaid den sórt sin ag an gcéim aistrithe, sula seoltar iad. Is féidir staidéar a dhéanamh ar fhaisnéis fúthu i gcárta na seisiún inar tarchuireadh iad.
12. :Ionstraiméireacht Bainistíochta Windows
Úsáid uirlis WMI, a sholáthraíonn rochtain áitiúil agus cianrochtain ar chomhpháirteanna córais Windows. Ag baint úsáide as WMI, is féidir le hionsaitheoirí idirghníomhú le córais áitiúla agus iargúlta agus tascanna éagsúla a dhéanamh, mar shampla faisnéis a bhailiú chun críocha taiscéalaíochta agus próisis a sheoladh go cianda agus iad ag bogadh go cliathánach.
Cad a dhéanann PT NAD?: Ós rud é go bhfuil idirghníomhaíochtaí le córais chianda trí WMI le feiceáil sa trácht, aimsíonn PT NAD iarratais líonra go huathoibríoch chun seisiúin WMI a bhunú agus seiceálann sé an trácht le haghaidh scripteanna a úsáideann WMI.
13. : Windows Cianbhainistiú
Ag baint úsáide as seirbhís Windows agus prótacal a ligeann don úsáideoir idirghníomhú le córais chianda.
Cad a dhéanann PT NAD?: Feiceann naisc líonra bunaithe ag baint úsáide as Windows Remote Management. Déantar seisiúin den sórt sin a bhrath go huathoibríoch de réir na rialacha.
14. : XSL (Teanga Stílbhileog Leathnaithe) próiseáil scripte
Úsáidtear teanga mharcála stíl XSL chun cur síos a dhéanamh ar phróiseáil agus ar léirshamhlú sonraí i gcomhaid XML. Chun tacú le hoibríochtaí casta, cuimsíonn an caighdeán XSL tacaíocht do scripteanna leabaithe i dteangacha éagsúla. Ceadaíonn na teangacha seo cód treallach a fhorghníomhú, rud a fhágann go seachnaítear beartais slándála bunaithe ar liostaí bána.
Cad a dhéanann PT NAD?: a bhraitheann aistriú comhaid den sórt sin thar an líonra, is é sin, fiú sula seoltar iad. Aimsíonn sé go huathoibríoch comhaid XSL á dtarchur thar an líonra agus comhaid le marcáil XSL aimhrialta.
Sna hábhair seo a leanas, féachfaimid ar conas a aimsíonn córas PT Network Attack Discovery NTA tactics agus teicnící ionsaitheora eile de réir MITER ATT&CK. Fanacht tiúnta!
Údair:
- Anton Kutepov, speisialtóir ag Ionad Slándála Saineolaithe PT, Positive Technologies
- Natalia Kazankova, margóir táirgí ag Positive Technologies
Foinse: will.com