, a maioría (87%) dos incidentes de seguridade da información prodúcense en cuestión de minutos, e para o 68% das empresas tardan meses en detectalos. Isto é confirmado por , segundo o cal a maioría das organizacións tardan unha media de 206 días en detectar un incidente. Segundo a experiencia das nosas investigacións, os hackers poden controlar a infraestrutura dunha empresa durante anos sen ser detectados. Así, nunha das organizacións onde os nosos expertos investigaron un incidente de seguridade da información, revelouse que os piratas informáticos controlaban por completo toda a infraestrutura da organización e roubaban regularmente información importante. .
Digamos que xa tes un SIEM en execución que recolle rexistros e analiza eventos e que o software antivirus está instalado nos nodos finais. Con todo, , do mesmo xeito que é imposible implantar sistemas EDR en toda a rede, o que significa que non se poden evitar os puntos "cegos". Os sistemas de análise de tráfico de rede (NTA) axudan a tratalos. Estas solucións detectan a actividade dos atacantes nas primeiras fases de penetración da rede, así como durante os intentos de afianzarse e desenvolver un ataque dentro da rede.
Hai dous tipos de NTA: algúns traballan con NetFlow, outros analizan o tráfico bruto. A vantaxe dos segundos sistemas é que poden almacenar rexistros de tráfico en bruto. Grazas a isto, un especialista en seguridade da información pode verificar o éxito do ataque, localizar a ameaza, comprender como se produciu o ataque e como previr outro semellante no futuro.
Mostraremos como usando NTA pode usar probas directas ou indirectas para identificar todas as tácticas de ataque coñecidas descritas na base de coñecemento . Falaremos de cada unha das 12 tácticas, analizaremos as técnicas que detecta o tráfico e demostraremos a súa detección mediante o noso sistema NTA.
Sobre a base de coñecemento ATT&CK
MITRE ATT&CK é unha base de coñecemento pública desenvolvida e mantida pola MITRE Corporation baseada na análise de APT do mundo real. É un conxunto estruturado de tácticas e técnicas utilizadas polos atacantes. Isto permite que os profesionais da seguridade da información de todo o mundo falen o mesmo idioma. A base de datos está en constante expansión e complementa con novos coñecementos.
A base de datos identifica 12 tácticas, que se dividen por fases dun ciberataque:
- acceso inicial;
- execución;
- consolidación (persistencia);
- escalada de privilexios;
- prevención da detección (evasión da defensa);
- obtención de credenciais (acceso con credenciais);
- exploración;
- movemento dentro do perímetro (movemento lateral);
- recollida de datos (recollida);
- mando e control;
- exfiltración de datos;
- impacto.
Para cada táctica, a base de coñecemento ATT&CK enumera unha lista de técnicas que axudan aos atacantes a alcanzar o seu obxectivo na fase actual do ataque. Dado que a mesma técnica pode usarse en diferentes etapas, pode referirse a varias tácticas.
A descrición de cada técnica inclúe:
- identificador;
- unha lista de tácticas nas que se usa;
- exemplos de uso dos grupos APT;
- medidas para reducir os danos derivados do seu uso;
- recomendacións de detección.
Os especialistas en seguridade da información poden utilizar o coñecemento da base de datos para estruturar información sobre os métodos de ataque actuais e, tendo isto en conta, construír un sistema de seguridade eficaz. Comprender como operan os grupos de APT reais tamén se pode converter nunha fonte de hipóteses para buscar de forma proactiva ameazas dentro .
Acerca de PT Network Attack Discovery
Identificaremos o uso de técnicas da matriz ATT&CK utilizando o sistema — Sistema NTA de Tecnoloxías Positivas, deseñado para detectar ataques no perímetro e no interior da rede. PT NAD cobre, en diferentes graos, as 12 tácticas da matriz MITRE ATT&CK. É o máis poderoso para identificar técnicas de acceso inicial, movemento lateral e mando e control. Neles, PT NAD abarca máis da metade das técnicas coñecidas, detectando a súa aplicación por sinais directos ou indirectos.
O sistema detecta ataques mediante técnicas ATT&CK utilizando regras de detección creadas polo equipo (PT ESC), aprendizaxe automática, indicadores de compromiso, análise profunda e análise retrospectiva. A análise do tráfico en tempo real combinada cunha retrospectiva permítelle identificar a actividade maliciosa oculta actual e rastrexar os vectores de desenvolvemento e a cronoloxía dos ataques.
mapeamento completo da matriz PT NAD para MITRE ATT&CK. A imaxe é grande, polo que suxerímoslle que a vexa nunha ventá separada.
Acceso inicial
As tácticas de acceso inicial inclúen técnicas para penetrar na rede dunha empresa. O obxectivo dos atacantes nesta fase é entregar código malicioso ao sistema atacado e garantir a posibilidade da súa execución posterior.
A análise do tráfico de PT NAD revela sete técnicas para obter acceso inicial:
1. : compromiso de conducción
Unha técnica na que a vítima abre un sitio web que é utilizado polos atacantes para explotar o navegador web e obter tokens de acceso á aplicación.
Que fai PT NAD?: Se o tráfico web non está cifrado, PT NAD inspecciona o contido das respostas do servidor HTTP. Estas respostas conteñen exploits que permiten aos atacantes executar código arbitrario dentro do navegador. PT NAD detecta automaticamente estes exploits mediante regras de detección.
Ademais, PT NAD detecta a ameaza no paso anterior. As regras e os indicadores de compromiso desenvólvense se o usuario visitou un sitio que o redirixiu a un sitio con moitos exploits.
2. : explotar a aplicación pública
Explotación de vulnerabilidades en servizos accesibles desde Internet.
Que fai PT NAD?: Realiza unha inspección profunda do contido dos paquetes de rede, identificando signos de actividade anómala. En particular, existen regras que permiten detectar ataques aos principais sistemas de xestión de contidos (CMS), interfaces web de equipos de rede e ataques a servidores de correo e FTP.
3. : servizos remotos externos
Os atacantes usan servizos de acceso remoto para conectarse aos recursos internos da rede desde fóra.
Que fai PT NAD?: xa que o sistema recoñece os protocolos non polos números de porto, senón polo contido dos paquetes, os usuarios do sistema poden filtrar o tráfico para atopar todas as sesións dos protocolos de acceso remoto e comprobar a súa lexitimidade.
4. : anexo de spearphishing
Estamos a falar do famoso envío de anexos de phishing.
Que fai PT NAD?: extrae automaticamente ficheiros do tráfico e comproba os indicadores de compromiso. Os ficheiros executables dos anexos son detectados por regras que analizan o contido do tráfico de correo. Nun entorno corporativo, tal investimento considérase anómalo.
5. : ligazón de spearphishing
Usando ligazóns de phishing. A técnica consiste en que os atacantes envían un correo electrónico de phishing cunha ligazón que, ao facer clic, descarga un programa malicioso. Como regra xeral, a ligazón vai acompañada dun texto compilado de acordo con todas as normas de enxeñaría social.
Que fai PT NAD?: detecta ligazóns de phishing mediante indicadores de compromiso. Por exemplo, na interface PT NAD vemos unha sesión na que había unha conexión HTTP a través dunha ligazón incluída na lista de enderezos de phishing (phishing-urls).
Conexión a través dunha ligazón da lista de indicadores de phishing-urls comprometidos
6. : relación de confianza
Acceso á rede da vítima a través de terceiros cos que a vítima estableceu unha relación de confianza. Os atacantes poden piratear unha organización de confianza e conectarse á rede de destino a través dela. Para iso, utilizan conexións VPN ou confianzas de dominio, que se poden identificar mediante a análise do tráfico.
Que fai PT NAD?: analiza os protocolos de aplicación e garda os campos analizados na base de datos, de xeito que un analista de seguridade da información pode usar filtros para atopar todas as conexións VPN sospeitosas ou conexións entre dominios na base de datos.
7. : contas válidas
Usando credenciais estándar, locais ou de dominio para a autorización en servizos externos e internos.
Que fai PT NAD?: recupera automaticamente as credenciais dos protocolos HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP e Kerberos. En xeral, este é un inicio de sesión, contrasinal e un sinal de autenticación exitosa. No caso de ser utilizados, aparecen na ficha da sesión correspondente.
Execución
As tácticas de execución inclúen técnicas que usan os atacantes para executar código en sistemas comprometidos. A execución de código malicioso axuda aos atacantes a establecer unha presenza (táctica de persistencia) e ampliar o acceso aos sistemas remotos da rede movéndose dentro do perímetro.
PT NAD permítelle detectar o uso de 14 técnicas utilizadas polos atacantes para executar código malicioso.
1. : CMSTP (instalador de perfiles de Microsoft Connection Manager)
Unha táctica na que os atacantes preparan un ficheiro INF de instalación maliciosa especial para a utilidade integrada de Windows CMSTP.exe (instalador de perfiles do xestor de conexións). CMSTP.exe toma o ficheiro como parámetro e instala o perfil de servizo para a conexión remota. Como resultado, CMSTP.exe pódese usar para cargar e executar bibliotecas de ligazóns dinámicas (*.dll) ou scriptlets (*.sct) desde servidores remotos.
Que fai PT NAD?: detecta automaticamente a transferencia de tipos especiais de ficheiros INF no tráfico HTTP. Ademais disto, detecta a transmisión HTTP de scriptlets maliciosos e bibliotecas de ligazóns dinámicas desde un servidor remoto.
2. : interface de liña de comandos
Interacción coa interface de liña de comandos. Pódese interactuar coa interface de liña de comandos local ou remotamente, por exemplo mediante utilidades de acceso remoto.
Que fai PT NAD?: detecta automaticamente a presenza de shell baseándose nas respostas aos comandos para lanzar varias utilidades de liña de comandos, como ping, ifconfig.
3. : modelo de obxectos compoñente e COM distribuído
Uso de tecnoloxías COM ou DCOM para executar código en sistemas locais ou remotos mentres se move por unha rede.
Que fai PT NAD?: detecta chamadas DCOM sospeitosas que normalmente usan os atacantes para lanzar programas.
4. : explotación para a execución do cliente
Explotación de vulnerabilidades para executar código arbitrario nunha estación de traballo. As explotacións máis útiles para os atacantes son as que permiten executar código nun sistema remoto, xa que poden permitir que os atacantes accedan a ese sistema. A técnica pódese implementar mediante os seguintes métodos: correo malicioso, un sitio web con exploits de navegador e explotación remota de vulnerabilidades das aplicacións.
Que fai PT NAD?: Ao analizar o tráfico de correo, PT NAD comproba a presenza de ficheiros executables nos anexos. Extrae automaticamente documentos ofimáticos dos correos electrónicos que poden conter exploits. Os intentos de explotar vulnerabilidades son visibles no tráfico, que PT NAD detecta automaticamente.
5. : mshta
Use a utilidade mshta.exe, que executa aplicacións HTML de Microsoft (HTA) coa extensión .hta. Dado que mshta procesa ficheiros sen pasar pola configuración de seguranza do navegador, os atacantes poden usar mshta.exe para executar ficheiros HTA, JavaScript ou VBScript maliciosos.
Que fai PT NAD?: Os ficheiros .hta para a súa execución a través de mshta tamén se transmiten pola rede - isto pódese ver no tráfico. PT NAD detecta a transferencia deste tipo de ficheiros maliciosos automaticamente. Captura ficheiros e a información sobre eles pódese ver na tarxeta de sesión.
6. : PowerShell
Usando PowerShell para buscar información e executar código malicioso.
Que fai PT NAD?: Cando atacantes remotos usan PowerShell, PT NAD detecta isto mediante regras. Detecta as palabras clave da linguaxe PowerShell que se usan con máis frecuencia en scripts maliciosos e na transmisión de scripts de PowerShell a través do protocolo SMB.
7. : tarefa programada
Usando o Programador de tarefas de Windows e outras utilidades para executar automaticamente programas ou scripts en momentos específicos.
Que fai PT NAD?: os atacantes crean tales tarefas, normalmente de forma remota, o que significa que estas sesións son visibles no tráfico. PT NAD detecta automaticamente as operacións de creación e modificación de tarefas sospeitosas mediante as interfaces ATSVC e ITaskSchedulerService RPC.
8. : scripting
Execución de scripts para automatizar diversas accións dos atacantes.
Que fai PT NAD?: detecta a transmisión de scripts pola rede, é dicir, mesmo antes de que se lancen. Detecta contido de script no tráfico bruto e detecta a transmisión da rede de ficheiros con extensións correspondentes ás linguaxes de script populares.
9. : execución do servizo
Execute un ficheiro executable, instrucións da interface de liña de comandos ou script interactuando cos servizos de Windows, como o Xestor de control de servizos (SCM).
Que fai PT NAD?: inspecciona o tráfico SMB e detecta o acceso a SCM con regras para crear, cambiar e iniciar un servizo.
A técnica de inicio do servizo pódese implementar mediante a utilidade de execución de comandos remotos PSExec. PT NAD analiza o protocolo SMB e detecta o uso de PSExec cando utiliza o ficheiro PSEXESVC.exe ou o nome de servizo PSEXECSVC estándar para executar código nunha máquina remota. O usuario debe comprobar a lista de comandos executados e a lexitimidade da execución remota de comandos desde o host.
A tarxeta de ataque en PT NAD mostra datos sobre as tácticas e técnicas utilizadas segundo a matriz ATT&CK para que o usuario poida comprender en que fase do ataque se atopan os atacantes, que obxectivos perseguen e que medidas compensatorias debe tomar.
Activase a regra sobre o uso da utilidade PSExec, o que pode indicar un intento de executar comandos nunha máquina remota
10. : software de terceiros
Unha técnica na que os atacantes acceden a un software de administración remota ou a un sistema de implantación de software corporativo e utilízano para executar código malicioso. Exemplos deste tipo de software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Por certo, a técnica é especialmente relevante en relación coa transición masiva ao traballo remoto e, como resultado, a conexión de numerosos dispositivos domésticos desprotexidos a través de canles de acceso remoto dubidosos.
Que fai PT NAD?: detecta automaticamente o funcionamento deste software na rede. Por exemplo, as regras son activadas polas conexións a través do protocolo VNC e a actividade do troiano EvilVNC, que instala en segredo un servidor VNC no host da vítima e lánzao automaticamente. Ademais, PT NAD detecta automaticamente o protocolo TeamViewer, isto axuda ao analista, mediante un filtro, a atopar todas esas sesións e comprobar a súa lexitimidade.
11. : execución do usuario
Unha técnica na que o usuario executa ficheiros que poden levar á execución de código. Isto podería ser, por exemplo, se abre un ficheiro executable ou executa un documento ofimático cunha macro.
Que fai PT NAD?: ve estes ficheiros na fase de transferencia, antes de que se lancen. A información sobre elas pódese estudar na ficha das sesións nas que se transmitiron.
12. : Instrumentación de xestión de Windows
Uso da ferramenta WMI, que proporciona acceso local e remoto aos compoñentes do sistema Windows. Usando WMI, os atacantes poden interactuar con sistemas locais e remotos e realizar unha variedade de tarefas, como recompilar información con fins de recoñecemento e iniciar procesos de forma remota mentres se moven lateralmente.
Que fai PT NAD?: Dado que as interaccións con sistemas remotos a través de WMI son visibles no tráfico, PT NAD detecta automaticamente as solicitudes de rede para establecer sesións WMI e verifica o tráfico de scripts que usan WMI.
13. : Xestión remota de Windows
Utilizar un servizo e protocolo Windows que permita ao usuario interactuar con sistemas remotos.
Que fai PT NAD?: Ve as conexións de rede establecidas mediante a Xestión remota de Windows. Tales sesións son detectadas automaticamente polas regras.
14. : procesamento de scripts XSL (Extensible Stylesheet Language).
A linguaxe de marcado de estilo XSL úsase para describir o procesamento e visualización de datos en ficheiros XML. Para soportar operacións complexas, o estándar XSL inclúe soporte para scripts incorporados en varios idiomas. Estas linguaxes permiten a execución de código arbitrario, o que leva a evitar políticas de seguridade baseadas en listas brancas.
Que fai PT NAD?: detecta a transferencia deste tipo de ficheiros pola rede, é dicir, mesmo antes de que se inicien. Detecta automaticamente os ficheiros XSL que se transmiten pola rede e os ficheiros con marcado XSL anómalo.
Nos seguintes materiais, analizaremos como o sistema PT Network Attack Discovery NTA atopa outras tácticas e técnicas dos atacantes de acordo con MITRE ATT&CK. Estade atentos!
Autores:
- Anton Kutepov, especialista do Centro de Seguridade Experto PT, Tecnoloxías Positivas
- Natalia Kazankova, comercializadora de produtos en Positive Technologies
Fonte: www.habr.com