, yawancin (87%) na al'amuran tsaro na bayanai suna faruwa a cikin 'yan mintuna kaɗan, kuma ga 68% na kamfanoni yana ɗaukar watanni don gano su. Wannan ya tabbatar da haka , bisa ga abin da yakan ɗauki yawancin ƙungiyoyin matsakaicin kwanaki 206 don gano abin da ya faru. Dangane da kwarewar bincikenmu, masu satar bayanai za su iya sarrafa kayan aikin kamfani tsawon shekaru ba tare da an gano su ba. Don haka, a daya daga cikin kungiyoyin da kwararrunmu suka binciki lamarin tsaro na bayanai, an gano cewa masu kutse sun mallaki dukkanin ababen more rayuwa na kungiyar gaba daya tare da sace muhimman bayanai akai-akai. .
Bari mu ce kun riga kuna da SIEM mai gudana wanda ke tattara rajistan ayyukan da bincika abubuwan da suka faru, kuma an shigar da software na riga-kafi a ƙarshen nodes. Duk da haka, , Kamar yadda ba shi yiwuwa a aiwatar da tsarin EDR a cikin dukan hanyar sadarwa, wanda ke nufin cewa "makafi" ba za a iya kauce masa ba. Tsarin nazarin zirga-zirgar hanyar sadarwa (NTA) yana taimakawa wajen magance su. Waɗannan mafita suna gano ayyukan maharan a farkon matakan shiga cibiyar sadarwa, da kuma yayin ƙoƙarin samun gindin zama da haɓaka hari a cikin hanyar sadarwar.
Akwai nau'ikan NTA guda biyu: wasu suna aiki tare da NetFlow, wasu suna nazarin ɗanyen zirga-zirga. Amfanin tsarin na biyu shine cewa zasu iya adana bayanan zirga-zirga. Godiya ga wannan, kwararre kan tsaro na bayanai zai iya tabbatar da nasarar harin, ya bayyana barazanar, fahimtar yadda harin ya faru da kuma yadda za a hana irin wannan a nan gaba.
Za mu nuna yadda amfani da NTA za ku iya amfani da shaida kai tsaye ko kai tsaye don gano duk sanannun dabarun kai hari da aka bayyana a cikin tushen ilimi. . Za mu yi magana game da kowane daga cikin dabaru 12, mu bincika dabarun da ake gano ta hanyar zirga-zirga, da kuma nuna gano su ta amfani da tsarin NTA.
Game da tushen ilimin ATT&CK
MITER ATT&CK tushen ilimin jama'a ne wanda Kamfanin MITER Corporation ya haɓaka kuma ya kiyaye shi bisa nazarin APTs na zahiri. Tsari ne na dabaru da dabaru da maharan ke amfani da shi. Wannan yana ba ƙwararrun tsaro na bayanai daga ko'ina cikin duniya damar yin magana ɗaya. Rukunin bayanan yana ci gaba da haɓakawa da haɓakawa da sabon ilimi.
Rukunin bayanan yana gano dabaru 12, waɗanda aka raba ta matakan harin yanar gizo:
- damar farko;
- kisa;
- ƙarfafawa (nacewa);
- haɓaka gata;
- rigakafin ganowa (kaucewa tsaro);
- samun takardun shaida (hanyoyin samun dama);
- bincike;
- motsi a cikin kewaye (motsi na gefe);
- tattara bayanai (tarin);
- umarni da sarrafawa;
- fitar da bayanai;
- tasiri.
Ga kowace dabara, tushen ilimin ATT&CK ya lissafa jerin dabarun da ke taimakawa maharan su cimma burinsu a matakin da ake ciki na harin. Tun da ana iya amfani da wannan dabarar a matakai daban-daban, tana iya komawa ga dabaru da yawa.
Bayanin kowane fasaha ya haɗa da:
- mai ganowa;
- jerin dabarun da ake amfani da su;
- misalan amfani da ƙungiyoyin APT;
- matakan rage lalacewa daga amfani da shi;
- shawarwarin ganowa.
Kwararrun tsaro na bayanai na iya amfani da ilimi daga bayanan bayanai don tsara bayanai game da hanyoyin kai hari na yanzu kuma, la'akari da wannan, gina ingantaccen tsarin tsaro. Fahimtar yadda ƙungiyoyin APT na gaske ke aiki kuma na iya zama tushen hasashe don bincikar barazanar da ke ciki. .
Game da PT Network Attack Discovery
Za mu gano amfani da fasaha daga matrix ATT & CK ta amfani da tsarin - Tsarin fasahar NTA mai kyau, wanda aka tsara don gano hare-hare akan kewaye da cikin hanyar sadarwa. PT NAD yana rufe, zuwa digiri daban-daban, duk dabarun 12 na matrix MITER ATT&CK. Ya fi ƙarfi wajen gano dabarun samun dama ta farko, motsi ta gefe, da umarni da sarrafawa. A cikinsu, PT NAD ya ƙunshi fiye da rabin sanannun fasahohin, gano aikace-aikacen su ta alamun kai tsaye ko kai tsaye.
Tsarin yana gano hare-hare ta amfani da dabarun ATT&CK ta amfani da dokokin ganowa da ƙungiyar ta ƙirƙira (PT ESC), koyo na inji, alamomin sasantawa, nazari mai zurfi da nazari na baya. Binciken zirga-zirgar ababen hawa na lokaci-lokaci tare da na baya-bayan nan yana ba ku damar gano ayyukan ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ɓoyayyiyar ƙetare da bin diddigin abubuwan ci gaba da tarihin hare-hare.
cikakken taswirar PT NAD zuwa MITER ATT&CK matrix. Hoton yana da girma, don haka muna ba da shawarar ku duba shi a wata taga daban.
Samun shiga na farko
Dabarun samun dama na farko sun haɗa da dabarun shiga hanyar sadarwar kamfani. Manufar maharan a wannan mataki shi ne isar da muggan code ga tsarin da aka kai harin da kuma tabbatar da yiwuwar ci gaba da aiwatar da shi.
Binciken zirga-zirga daga PT NAD ya bayyana dabaru guda bakwai don samun damar farko:
1. : tuƙi ta hanyar sulhu
Dabarar da wanda aka azabtar ya buɗe gidan yanar gizon da maharan ke amfani da shi don yin amfani da burauzar yanar gizo da samun alamun shiga aikace-aikace.
Menene PT NAD ke yi?: Idan ba a rufaffen zirga-zirgar yanar gizo ba, PT NAD tana bincika abubuwan da ke cikin martanin sabar HTTP. Waɗannan martanin sun ƙunshi fa'idodi waɗanda ke ba maharan damar aiwatar da lambar sabani a cikin mai lilo. PT NAD tana gano irin waɗannan abubuwan ta atomatik ta amfani da ƙa'idodin ganowa.
Bugu da ƙari, PT NAD ta gano barazanar a matakin da ya gabata. Ana haifar da dokoki da alamun sasantawa idan mai amfani ya ziyarci rukunin yanar gizon da ya tura shi zuwa rukunin yanar gizo mai tarin abubuwan amfani.
2. : amfani da aikace-aikacen da ke fuskantar jama'a
Yin amfani da lahani a cikin ayyukan da ake samu daga Intanet.
Menene PT NAD ke yi?: Yana yin bincike mai zurfi na abubuwan da ke cikin fakitin cibiyar sadarwa, gano alamun aiki mara kyau. Musamman ma, akwai ƙa'idodi waɗanda ke ba ku damar gano hare-hare kan manyan tsarin sarrafa abun ciki (CMS), mu'amalar yanar gizo na kayan aikin cibiyar sadarwa, da hare-hare akan sabar saƙon wasiƙa da FTP.
3. : ayyuka masu nisa na waje
Maharan suna amfani da sabis na samun damar nesa don haɗawa da albarkatun cibiyar sadarwa na ciki daga waje.
Menene PT NAD ke yi?: tunda tsarin yana gane ka'idoji ba ta lambobi na tashar jiragen ruwa ba, amma ta abubuwan da ke cikin fakiti, masu amfani da tsarin za su iya tace zirga-zirga don nemo duk zaman ka'idojin shiga nesa da duba halaccin su.
4. : abin da aka makala mashi
Muna magana ne game da sanannen aika haɗe-haɗe na phishing.
Menene PT NAD ke yi?: Yana fitar da fayiloli ta atomatik daga zirga-zirgar zirga-zirga kuma yana bincika su akan alamun sasantawa. Fayilolin da za a iya aiwatarwa a cikin haɗe-haɗe ana gano su ta hanyar ƙa'idodi waɗanda ke nazarin abun cikin zirga-zirgar saƙo. A cikin mahallin kamfani, ana ɗaukar irin wannan saka hannun jari a matsayin abin ƙyama.
5. : mahada mashi
Amfani da hanyoyin haɗin yanar gizo. Dabarar ta ƙunshi masu kai harin aika saƙon imel na phishing tare da hanyar haɗin yanar gizo wanda, idan aka danna, zazzage wani mugun shiri. A matsayinka na mai mulki, haɗin yana tare da rubutun da aka haɗa daidai da duk ka'idodin aikin injiniya na zamantakewa.
Menene PT NAD ke yi?: Yana gano hanyoyin haɗin yanar gizo ta hanyar amfani da alamun sasantawa. Misali, a cikin hanyar sadarwa ta PT NAD muna ganin wani zama wanda akwai haɗin HTTP ta hanyar hanyar haɗin da aka haɗa cikin jerin adiresoshin phishing (phishing-urls).
Haɗin kai ta hanyar hanyar haɗin yanar gizo daga jerin masu nuna rashin daidaituwa na phishing-urls
6. : amintaccen dangantaka
Samun dama ga hanyar sadarwar wanda aka azabtar ta hanyar wasu kamfanoni waɗanda wanda aka azabtar ya kulla amintacciyar dangantaka tare da su. Maharan na iya yin hacking na amintacciyar ƙungiya kuma su haɗa zuwa cibiyar sadarwar da aka yi niyya ta hanyarta. Don yin wannan, suna amfani da haɗin VPN ko amintattun yanki, waɗanda za'a iya gano su ta hanyar nazarin zirga-zirga.
Menene PT NAD ke yi?: yana nazarin ka'idojin aikace-aikacen kuma yana adana filayen da aka tantance a cikin ma'ajin bayanai, ta yadda mai binciken tsaro na bayanai zai iya amfani da filtata don nemo duk hanyoyin haɗin yanar gizo na VPN ko haɗin giciye a cikin bayanan.
7. : m asusun
Amfani da daidaitattun bayanai, na gida ko na yanki don izini akan sabis na waje da na ciki.
Menene PT NAD ke yi?: Yana dawo da takaddun shaida ta atomatik daga HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, ka'idojin Kerberos. Gabaɗaya, wannan shi ne shiga, kalmar sirri da kuma alamar nasarar tantancewa. Idan an yi amfani da su, ana nuna su a cikin katin zaman daidai.
Kisa
Dabarun aiwatarwa sun haɗa da dabarun da maharan ke amfani da su don aiwatar da lambobi akan tsarin da ba su dace ba. Gudun muggan code yana taimaka wa maharan su kafa kasancewar (dabarun dagewa) da faɗaɗa dama ga tsarin nesa akan hanyar sadarwa ta hanyar motsawa cikin kewaye.
PT NAD yana ba ku damar gano amfani da dabaru 14 da maharan ke amfani da su don aiwatar da muggan code.
1. : CMSTP (Mai sarrafa bayanan martaba na Microsoft)
Dabarar da maharan ke shirya fayil ɗin INF na ɓarna na musamman don ginanniyar kayan aikin Windows CMSTP.exe (Mai Haɗin Bayanan Bayanan Bayani). CMSTP.exe yana ɗaukar fayil ɗin azaman siga kuma yana shigar da bayanin martabar sabis don haɗin nesa. Sakamakon haka, ana iya amfani da CMSTP.exe don lodawa da aiwatar da ɗakunan karatu masu ƙarfi (*.dll) ko rubutun (*.sct) daga sabar masu nisa.
Menene PT NAD ke yi?: Yana gano ta atomatik canja wurin nau'ikan fayilolin INF na musamman a cikin zirga-zirgar HTTP. Baya ga wannan, yana gano watsawar HTTP na mugayen rubutun rubutu da ɗakunan karatu masu ƙarfi daga sabar mai nisa.
2. : umarni-line dubawa
Yin hulɗa tare da layin umarni. Ana iya mu'amala da layin umarni tare da gida ko nesa, misali ta amfani da abubuwan amfani mai nisa.
Menene PT NAD ke yi?: yana gano gaban harsashi ta atomatik dangane da martani ga umarni don ƙaddamar da kayan aikin layin umarni daban-daban, kamar ping, ifconfig.
3. : samfurin abu da kuma rarraba COM
Amfani da fasahar COM ko DCOM don aiwatar da lamba akan tsarin gida ko na nesa yayin tafiya ta hanyar sadarwa.
Menene PT NAD ke yi?: Yana gano kiraye-kirayen DCOM da ake tuhuma wadanda maharan galibi ke amfani da su wajen kaddamar da shirye-shirye.
4. : amfani ga abokin ciniki kisa
Yin amfani da lahani don aiwatar da lambar sabani akan wurin aiki. Abubuwan da suka fi amfani ga maharan su ne waɗanda ke ba da damar aiwatar da code akan tsarin nesa, saboda suna iya ba wa maharan damar shiga wannan tsarin. Ana iya aiwatar da dabarar ta amfani da hanyoyi masu zuwa: aika aika aika mugunta, gidan yanar gizo mai amfani da burauza, da kuma amfani da raunin aikace-aikacen nesa.
Menene PT NAD ke yi?: Lokacin tantance zirga-zirgar wasiku, PT NAD tana duba shi don kasancewar fayilolin aiwatarwa a cikin haɗe-haɗe. Yana fitar da takaddun ofis ta atomatik daga imel waɗanda ƙila su ƙunshi fa'idodi. Ƙoƙarin yin amfani da rashin lahani ana iya gani a cikin zirga-zirga, wanda PT NAD ke ganowa ta atomatik.
5. : mshta
Yi amfani da mshta.exe utility, wanda ke gudanar da aikace-aikacen Microsoft HTML (HTA) tare da tsawo na .hta. Saboda mshta yana sarrafa fayilolin da ke ƙetare saitunan tsaro na burauza, maharan na iya amfani da mshta.exe don aiwatar da mugayen fayilolin HTA, JavaScript, ko VBScript.
Menene PT NAD ke yi?: .hta fayiloli don aiwatarwa ta hanyar mshta kuma ana watsa su akan hanyar sadarwa - ana iya ganin wannan a cikin zirga-zirga. PT NAD yana gano canja wurin irin waɗannan fayilolin ƙeta ta atomatik. Yana ɗaukar fayiloli, kuma ana iya duba bayanai game da su a cikin katin zaman.
6. : PowerShell
Yin amfani da PowerShell don nemo bayanai da aiwatar da lamba mara kyau.
Menene PT NAD ke yi?: Lokacin da masu kai hari na nesa ke amfani da PowerShell, PT NAD yana gano wannan ta amfani da dokoki. Yana gano kalmomin kalmomin PowerShell waɗanda galibi ana amfani da su a cikin rubutun qeta da watsa rubutun PowerShell akan ka'idar SMB.
7. : aikin da aka tsara
Yin amfani da Jadawalin Aiki na Windows da sauran abubuwan amfani don gudanar da shirye-shirye ko rubutun ta atomatik a takamaiman lokuta.
Menene PT NAD ke yi?: maharan suna ƙirƙirar irin waɗannan ayyuka, yawanci daga nesa, wanda ke nufin ana iya ganin irin wannan zaman a cikin zirga-zirga. PT NAD ta atomatik tana gano ƙirƙira ɗawainiya da ayyukan gyare-gyare ta amfani da mu'amalar ATSVC da ITaskSchedulerService RPC.
8. : rubutun
Kisa rubutun don sarrafa ayyuka daban-daban na maharan.
Menene PT NAD ke yi?: yana gano yadda ake watsa rubutun akan hanyar sadarwa, wato tun kafin a kaddamar da su. Yana gano abubuwan da ke cikin rubutun a cikin ɗanyen zirga-zirgar zirga-zirga kuma yana gano watsa fayilolin cibiyar sadarwa tare da kari daidai da shahararrun harsunan rubutun.
9. : kisa sabis
Gudanar da fayil mai aiwatarwa, umarnin mu'amalar layin umarni, ko rubutun ta hanyar yin hulɗa tare da ayyukan Windows, kamar Manajan Sarrafa Sabis (SCM).
Menene PT NAD ke yi?: yana duba zirga-zirgar SMB kuma yana gano damar zuwa SCM tare da ƙa'idodi don ƙirƙira, canzawa da fara sabis.
Za'a iya aiwatar da dabarar fara sabis ta amfani da mai amfani mai aiwatar da umarni na nesa PSExec. PT NAD tana nazarin ka'idar SMB kuma ta gano amfani da PSExec lokacin da yake amfani da fayil ɗin PSEXESVC.exe ko daidaitaccen sunan sabis na PSEXECSVC don aiwatar da lamba akan na'ura mai nisa. Mai amfani yana buƙatar duba jerin umarni da aka aiwatar da halaccin aiwatar da umarnin nesa daga mai watsa shiri.
Katin harin da ke cikin PT NAD yana nuna bayanai kan dabaru da dabarun da aka yi amfani da su bisa ga matrix na ATT&CK domin mai amfani ya fahimci matakin kai harin da maharan ke kai, wace manufa suke bi, da kuma matakan ramawa da za a dauka.
An kunna dokar game da amfani da kayan aikin PSExec, wanda na iya nuna ƙoƙarin aiwatar da umarni akan na'ura mai nisa.
10. : software na ɓangare na uku
Dabarar da maharan ke samun damar yin amfani da software na gudanarwa na nesa ko tsarin tura software na kamfani kuma suyi amfani da ita don gudanar da muggan code. Misalan irin wannan software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Af, dabarar ta fi dacewa musamman dangane da ɗimbin sauye-sauye zuwa aiki mai nisa kuma, a sakamakon haka, haɗin na'urorin gida da yawa waɗanda ba su da kariya ta hanyar tashoshi masu nisa masu ban sha'awa.
Menene PT NAD ke yi?: ta atomatik gano aikin irin wannan software akan hanyar sadarwa. Misali, ana haifar da ƙa'idodin ta hanyar haɗin gwiwa ta hanyar ka'idar VNC da ayyukan EvilVNC Trojan, wanda ke shigar da sabar VNC a asirce akan mai masaukin wanda aka azabtar kuma ya ƙaddamar da shi ta atomatik. Hakanan, PT NAD tana gano ƙa'idar TeamViewer ta atomatik, wannan yana taimaka wa manazarta, ta amfani da tacewa, nemo duk irin waɗannan zaman kuma bincika halaccin su.
11. : kisa mai amfani
Dabarar da mai amfani ke tafiyar da fayiloli wanda zai haifar da aiwatar da code. Wannan na iya zama, misali, idan ya buɗe fayil ɗin da za a iya aiwatarwa ko ya gudanar da daftarin aiki tare da macro.
Menene PT NAD ke yi?: yana ganin irin waɗannan fayiloli a matakin canja wuri, kafin a ƙaddamar da su. Ana iya nazarin bayanai game da su a cikin katin zaman da aka watsa.
12. : Windows Management Instrumentation
Amfani da kayan aikin WMI, wanda ke ba da damar gida da nesa zuwa sassan tsarin Windows. Yin amfani da WMI, maharan na iya yin hulɗa tare da tsarin gida da na nesa da yin ayyuka iri-iri, kamar tattara bayanai don dalilai na bincike da ƙaddamar da matakai daga nesa yayin motsi a gefe.
Menene PT NAD ke yi?: Tun da ana iya ganin mu'amala tare da tsarin nesa ta hanyar WMI a cikin zirga-zirga, PT NAD tana gano buƙatun hanyar sadarwa ta atomatik don kafa zaman WMI kuma yana bincika zirga-zirga don rubutun da ke amfani da WMI.
13. : Gudanar da Nesa na Windows
Amfani da sabis na Windows da yarjejeniya wanda ke ba mai amfani damar yin hulɗa tare da tsarin nesa.
Menene PT NAD ke yi?: Yana ganin haɗin cibiyar sadarwa da aka kafa ta amfani da Gudanar da Nesa na Windows. Ana gano irin waɗannan zaman ta atomatik ta dokoki.
14. : XSL (Extensible Stylesheet Language) sarrafa rubutun
Ana amfani da yaren saɓani na salon XSL don bayyana sarrafawa da hangen nesa na bayanai a cikin fayilolin XML. Don tallafawa hadaddun ayyuka, ma'aunin XSL ya haɗa da goyan bayan rubutun da aka haɗa cikin harsuna daban-daban. Waɗannan harsunan suna ba da izinin aiwatar da lambobin sabani, wanda ke haifar da ƙetare manufofin tsaro dangane da farar jeri.
Menene PT NAD ke yi?: yana gano canja wurin irin waɗannan fayiloli akan hanyar sadarwa, wato, tun kafin a ƙaddamar da su. Yana gano fayilolin XSL ta atomatik ana watsa su akan hanyar sadarwa da fayiloli tare da alamar XSL mara kyau.
A cikin kayan da ke gaba, za mu dubi yadda tsarin PT Network Attack Discovery NTA ke gano wasu dabarun kai hari da dabaru daidai da MITER ATT&CK. Ku ci gaba da saurare!
Authors:
- Anton Kutepov, ƙwararre a Cibiyar Tsaro ta Kwararrun PT, Fasaha mai Kyau
- Natalia Kazankova, mai siyar da kayayyaki a Fasaha mai Kyau
source: www.habr.com