kev ntsuas los txo kev puas tsuaj los ntawm kev siv;
nrhiav pom kev pom zoo.
Cov kws paub txog kev ruaj ntseg cov ntaub ntawv tuaj yeem siv kev paub los ntawm cov ntaub ntawv los tsim cov ntaub ntawv hais txog kev tawm tsam tam sim no thiab, coj qhov no mus rau hauv tus account, tsim kom muaj kev ruaj ntseg zoo. Kev nkag siab yuav ua li cas cov pab pawg APT tiag tiag ua haujlwm kuj tuaj yeem dhau los ua qhov kev xav rau kev tshawb nrhiav kev hem thawj nyob rau hauv hem tua tsiaj.
Hais txog PT Network Attack Discovery
Peb yuav txheeb xyuas kev siv cov txheej txheem los ntawm ATT & CK matrix siv qhov system PT Network Attack Discovery - Cov thev naus laus zis zoo NTA, tsim los tshawb xyuas kev tawm tsam ntawm thaj tsam thiab hauv lub network. PT NAD npog, mus rau qhov sib txawv, tag nrho 12 tactics ntawm MITER ATT & CK matrix. Nws muaj zog tshaj plaws hauv kev txheeb xyuas cov txheej txheem rau kev nkag mus rau thawj zaug, kev txav mus los, thiab kev hais kom ua thiab kev tswj hwm. Hauv lawv, PT NAD npog ntau dua li ib nrab ntawm cov txheej txheem paub, kuaj xyuas lawv daim ntawv thov los ntawm cov paib ncaj qha lossis tsis ncaj qha.
Lub kaw lus kuaj pom kev tawm tsam siv ATT&CK cov txheej txheem siv cov cai tshawb pom tsim los ntawm pab pawg PT Expert Security Center (PT ESC), kev kawm tshuab, ntsuas kev sib haum xeeb, sib sib zog nqus analytics thiab rov qab tsom xam. Kev txheeb xyuas cov tsheb khiav hauv lub sijhawm ua ke nrog kev rov qab tso cai rau koj los txheeb xyuas cov haujlwm tsis zoo tam sim no thiab taug qab kev txhim kho vectors thiab lub sijhawm ntawm kev tawm tsam.
Ntawm no Daim ntawv qhia tag nrho ntawm PT NAD rau MITER ATT & CK matrix. Daim duab yog loj, yog li peb xav kom koj saib nws nyob rau hauv ib lub qhov rais cais.
Pib nkag
Thawj qhov kev nkag mus siv tau suav nrog cov txheej txheem los nkag mus rau lub tuam txhab lub network. Lub hom phiaj ntawm cov neeg tawm tsam nyob rau theem no yog txhawm rau xa cov lej tsis zoo rau qhov kev tawm tsam thiab xyuas kom muaj peev xwm ntawm nws qhov kev ua tiav ntxiv.
Kev txheeb xyuas tsheb los ntawm PT NAD qhia xya txoj hauv kev kom tau txais kev nkag mus rau thawj zaug:
Cov txheej txheem uas tus neeg raug tsim txom qhib lub vev xaib uas siv los ntawm cov neeg tawm tsam los siv lub vev xaib browser thiab tau txais daim ntawv thov nkag mus rau tokens.
PT NAD ua dab tsi?: Yog tias lub vev xaib tsis tau nkag mus, PT NAD tshuaj xyuas cov ntsiab lus ntawm HTTP server cov lus teb. Cov lus teb no muaj cov kev siv dag zog uas tso cai rau cov neeg tawm tsam kom ua tiav cov cai hauv qhov browser. PT NAD cia li kuaj pom cov kev siv dag zog no siv cov cai tshawb pom.
Tsis tas li ntawd, PT NAD pom qhov kev hem thawj hauv cov kauj ruam dhau los. Cov cai thiab cov cim qhia ntawm kev sib haum xeeb yog tshwm sim yog tias tus neeg siv tau mus xyuas lub vev xaib uas tau xa nws mus rau ib qho chaw uas muaj ntau yam kev siv.
Siv cov qauv, hauv zos lossis cov ntawv pov thawj rau kev tso cai ntawm kev pabcuam sab nraud thiab sab hauv.
PT NAD ua dab tsi?: Yuav khaws cov ntaub ntawv pov thawj los ntawm HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos raws tu qauv. Feem ntau, qhov no yog tus ID nkag mus, lo lus zais thiab kos npe ntawm kev ua tiav authentication. Yog tias lawv tau siv lawm, lawv tau muab tso rau hauv daim npav sib tham.
Kev ua tiav
Kev tua cov tactics suav nrog cov txheej txheem uas cov neeg tawm tsam siv los ua cov cai ntawm kev cuam tshuam. Khiav cov cai tsis zoo pab cov neeg tawm tsam tsim kom muaj qhov muaj nyob (kev ua siab ntev tactic) thiab nthuav dav nkag mus rau cov chaw taws teeb hauv lub network los ntawm kev txav mus rau hauv ib puag ncig.
PT NAD tso cai rau koj los txheeb xyuas kev siv 14 cov txheej txheem siv los ntawm cov neeg tawm tsam los ua cov cai phem.
Kev sib tham nrog cov kab hais kom ua interface. Cov kab hais kom ua interface tuaj yeem cuam tshuam nrog hauv zos lossis nyob deb, piv txwv li siv cov chaw taws teeb nkag.
PT NAD ua dab tsi?: cia li kuaj pom lub ntsej muag ntawm lub plhaub raws li cov lus teb rau cov lus txib kom tso tawm ntau yam kev siv kab hluav taws xob, xws li ping, ifconfig.
Kev siv qhov tsis zoo los ua cov cai tswj hwm ntawm lub chaw ua haujlwm. Cov txiaj ntsig zoo tshaj plaws rau cov neeg tawm tsam yog cov uas tso cai rau kev ua tiav ntawm lub chaw taws teeb, vim lawv tuaj yeem tso cai rau cov neeg tawm tsam kom nkag mus rau qhov system. Cov txheej txheem tuaj yeem siv tau los ntawm cov txheej txheem hauv qab no: kev xa ntawv tsis zoo, lub vev xaib nrog kev siv browser, thiab kev siv tej thaj chaw deb ntawm daim ntawv thov tsis zoo.
PT NAD ua dab tsi?: Thaum parsing xa ntawv xa mus, PT NAD xyuas nws rau qhov muaj cov ntaub ntawv ua tiav hauv cov ntawv txuas. Yuav rho tawm cov ntaub ntawv chaw ua haujlwm los ntawm emails uas yuav muaj kev siv dag zog. Kev sim siv qhov tsis zoo yog pom hauv kev khiav tsheb, uas PT NAD kuaj pom tau.
PT NAD ua dab tsi?: Thaum PowerShell siv los ntawm cov chaw taws teeb tawm tsam, PT NAD pom qhov no siv cov cai. Nws tshawb pom PowerShell cov lus tseem ceeb uas feem ntau siv hauv cov ntawv tsis zoo thiab xa cov ntawv PowerShell hla SMB raws tu qauv.
7. T1053: teem caij ua hauj lwm
Siv Windows Task Scheduler thiab lwm yam khoom siv kom tau txais cov haujlwm lossis cov ntawv sau rau lub sijhawm tshwj xeeb.
PT NAD ua dab tsi?: cov neeg tawm tsam tsim cov haujlwm no, feem ntau nyob deb, uas txhais tau hais tias cov kev sib tham no pom hauv kev khiav tsheb. PT NAD cia li kuaj xyuas cov haujlwm tsis txaus ntseeg tsim thiab hloov kho kev ua haujlwm siv ATSVC thiab ITaskSchedulerService RPC interfaces.
Khiav cov ntaub ntawv ua tiav, cov lus qhia kab hais kom ua, lossis tsab ntawv los ntawm kev cuam tshuam nrog Windows cov kev pabcuam, xws li Kev Tswj Xyuas Kev Pabcuam (SCM).
PT NAD ua dab tsi?: tshuaj xyuas SMB tsheb thiab kuaj pom kev nkag mus rau SCM nrog cov cai tsim, hloov pauv thiab pib qhov kev pabcuam.
Cov txheej txheem pib kev pabcuam tuaj yeem siv tau los ntawm kev siv cov chaw taws teeb tswj kev ua haujlwm PSExec. PT NAD txheeb xyuas SMB raws tu qauv thiab kuaj pom kev siv PSExec thaum nws siv cov ntaub ntawv PSEXESVC.exe lossis tus qauv PSEXECSVC cov npe pabcuam los ua cov cai ntawm lub tshuab chaw taws teeb. Tus neeg siv yuav tsum tau tshuaj xyuas cov npe ntawm cov lus txib ua tiav thiab qhov raug cai ntawm kev ua haujlwm ntawm cov chaw taws teeb tswj los ntawm tus tswv tsev.
Daim npav nres hauv PT NAD qhia cov ntaub ntawv ntawm cov tswv yim thiab cov tswv yim siv raws li ATT & CK matrix kom tus neeg siv tuaj yeem nkag siab txog theem ntawm kev tawm tsam cov neeg tawm tsam yog nyob ntawm, lub hom phiaj lawv nrhiav, thiab cov kev them nqi dab tsi los ntsuas.
Txoj cai hais txog kev siv PSExec cov nqi hluav taws xob tau tshwm sim, uas yuav qhia tau tias kev sim ua kom tiav cov lus txib ntawm lub tshuab chaw taws teeb
Ib qho txheej txheem uas cov neeg tawm tsam tau nkag mus rau cov chaw tswj hwm kev tswj hwm software lossis lub tuam txhab software xa tawm thiab siv nws los khiav cov cai tsis zoo. Piv txwv li software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Los ntawm txoj kev, cov txheej txheem tshwj xeeb yog cuam tshuam nrog kev hloov pauv loj heev rau kev ua haujlwm nyob deb thiab, vim li ntawd, kev sib txuas ntawm ntau yam khoom siv hauv tsev tsis muaj kev tiv thaiv los ntawm kev nkag mus rau cov chaw taws teeb tsis zoo.
PT NAD ua dab tsi?: cia li kuaj xyuas cov haujlwm ntawm cov software no hauv lub network. Piv txwv li, cov kev cai tau tshwm sim los ntawm kev sib txuas ntawm VNC raws tu qauv thiab kev ua haujlwm ntawm EvilVNC Trojan, uas zais zais VNC server ntawm tus neeg raug tsim txom lub tswv tsev thiab cia li tso nws. Tsis tas li ntawd, PT NAD cia li kuaj pom TeamViewer raws tu qauv, qhov no pab cov kws tshuaj ntsuam xyuas, siv cov lim dej, nrhiav txhua qhov kev sib tham thiab tshawb xyuas lawv qhov raug cai.
Siv qhov kev pabcuam Windows thiab raws tu qauv uas tso cai rau tus neeg siv cuam tshuam nrog cov chaw taws teeb.
PT NAD ua dab tsi?: Pom kev sib txuas hauv network tsim siv Windows Chaw Tswj Xyuas Chaw Taws Teeb. Cov kev sib tham no raug kuaj pom los ntawm cov cai.
14. T1220: XSL (Extensible Stylesheet Language) kev sau ntawv
XSL style markup lus yog siv los piav qhia txog kev ua thiab pom cov ntaub ntawv hauv XML cov ntaub ntawv. Txhawm rau txhawb nqa kev ua haujlwm nyuaj, tus qauv XSL suav nrog kev txhawb nqa rau cov ntawv sau hauv ntau hom lus. Cov lus no tso cai rau kev ua tiav ntawm arbitrary code, uas ua rau bypass ntawm kev ruaj ntseg cov cai raws li cov npe dawb.
PT NAD ua dab tsi?: kuaj pom kev hloov ntawm cov ntaub ntawv zoo li no hauv lub network, uas yog, txawm tias ua ntej lawv pib. Nws cia li pom XSL cov ntaub ntawv raug xa mus rau hauv lub network thiab cov ntaub ntawv nrog XSL markup anomalous.
Hauv cov ntaub ntawv hauv qab no, peb yuav saib yuav ua li cas PT Network Attack Discovery NTA system pom lwm yam kev tawm tsam thiab cov txheej txheem raws li MITER ATT&CK. Nyob twj ywm!
sau phau ntawv:
Anton Kutepov, tus kws tshaj lij ntawm PT Expert Security Center, Positive Technologies
Natalia Kazankova, tus tsim khoom lag luam ntawm Cov Khoom Siv Zoo