, većina (87%) incidenata informacijske sigurnosti dogodi se unutar nekoliko minuta, dok 68% tvrtki trebaju mjeseci da ih otkrije. Ovo je potvrđeno i , prema kojem je većini organizacija potrebno u prosjeku 206 dana da otkriju incident. Na temelju naših istraživanja, hakeri mogu kontrolirati infrastrukturu tvrtke godinama, a da ih nitko ne otkrije. Tako je u jednoj od organizacija u kojoj su naši stručnjaci proveli istragu informacijsko sigurnosnog incidenta otkriveno da su hakeri u potpunosti kontrolirali cjelokupnu infrastrukturu organizacije i redovito krali važne podatke .
Recimo da već imate pokrenut SIEM koji prikuplja zapise i analizira događaje, a antivirusi su instalirani na krajnjim čvorovima. Štoviše, , kao što je nemoguće implementirati EDR sustave za cijelu mrežu, što znači da se ne mogu izbjeći “slijepe” zone. Sustavi za analizu mrežnog prometa (NTA) pomažu u suočavanju s njima. Ova rješenja otkrivaju aktivnost napadača u najranijim fazama prodora u mrežu, kao i tijekom pokušaja da se učvrste i razviju napad unutar mreže.
Postoje dvije vrste NTA-a: jedan radi s NetFlowom, drugi analizira neobrađeni promet. Prednost drugog sustava je u tome što mogu pohranjivati neobrađene prometne zapise. Zahvaljujući tome, stručnjak za informacijsku sigurnost može provjeriti uspješnost napada, lokalizirati prijetnju, razumjeti kako je došlo do napada i kako spriječiti sličan u budućnosti.
Pokazat ćemo kako se NTA može koristiti za identifikaciju, izravnim ili neizravnim znakovima, svih poznatih taktika napada opisanih u bazi znanja. . Govorit ćemo o svakoj od 12 taktika, analizirati tehnike koje detektira promet i demonstrirati njihovu detekciju pomoću našeg NTA sustava.
O ATT&CK bazi znanja
MITER ATT&CK je javna baza znanja koju je razvila i održava MITER Corporation na temelju analize stvarnih APT-ova. To je strukturirani skup taktika i tehnika koje koriste napadači. To omogućuje stručnjacima za informacijsku sigurnost iz cijelog svijeta da govore istim jezikom. Baza podataka se stalno proširuje i nadopunjuje novim saznanjima.
Baza podataka identificira 12 taktika, koje su podijeljene u faze cyber napada:
- početni pristup (početni pristup);
- ovrha (izvršenje);
- konsolidacija (ustrajnost);
- eskalacija privilegija;
- prevencija otkrivanja (izbjegavanje obrane);
- dobivanje vjerodajnica (acredential access);
- inteligencija (otkriće);
- kretanje unutar perimetra (lateralno kretanje);
- prikupljanje podataka (prikupljanje);
- zapovijedanje i kontrola;
- eksfiltracija podataka;
- udarac.
Za svaku taktiku, ATT&CK baza znanja navodi popis tehnika koje pomažu napadačima da postignu svoj cilj u trenutnoj fazi napada. Budući da se ista tehnika može koristiti u različitim fazama, može se odnositi na nekoliko taktika.
Opis svake tehnike uključuje:
- identifikator;
- popis taktika u kojima se primjenjuje;
- primjeri korištenja APT grupa;
- mjere za smanjenje štete od njegove uporabe;
- preporuke za otkrivanje.
Stručnjaci za informacijsku sigurnost mogu koristiti znanje iz baze podataka za strukturiranje informacija o trenutnim metodama napada i, imajući to na umu, izgraditi učinkovit sigurnosni sustav. Razumijevanje načina na koji stvarne APT grupe djeluju također može postati izvor hipoteza za proaktivnu potragu za prijetnjama unutar njih .
O otkrivanju PT mrežnog napada
Pomoću sustava identificirat ćemo korištenje tehnika iz ATT & CK matrice - NTA sustav Positive Technologies dizajniran za otkrivanje napada na perimetru i unutar mreže. PT NAD pokriva svih 12 taktika MITER ATT&CK matrice u različitim stupnjevima. Najjači je u prepoznavanju početnog pristupa, bočnog kretanja i tehnika zapovijedanja i kontrole. U njima PT NAD pokriva više od polovice poznatih tehnika, detektirajući njihovu uporabu izravnim ili neizravnim znakovima.
Sustav detektira napade pomoću ATT&CK tehnika koristeći pravila detekcije kreirana naredbom (PT ESC), strojno učenje, indikatori kompromisa, duboka analitika i retrospektivna analiza. Analiza prometa u stvarnom vremenu, u kombinaciji s retrospektivom, omogućuje vam prepoznavanje trenutne skrivene zlonamjerne aktivnosti i praćenje vektora razvoja i kronologije napada.
potpuno preslikavanje PT NAD u MITER ATT&CK matricu. Slika je velika, pa predlažemo da je razmotrite u zasebnom prozoru.
Početni pristup
Početne taktike pristupa uključuju tehnike za infiltraciju u mrežu tvrtke. Cilj napadača u ovoj fazi je dostaviti zlonamjerni kod napadnutom sustavu i osigurati njegovo daljnje izvršenje.
PT NAD analiza prometa otkriva sedam tehnika za dobivanje početnog pristupa:
1. : kompromis vožnje
Tehnika u kojoj žrtva otvara web stranicu koju napadači koriste za iskorištavanje web preglednika za dobivanje tokena za pristup aplikaciji.
Što radi PT NAD?: Ako internetski promet nije šifriran, PT NAD provjerava sadržaj odgovora HTTP poslužitelja. U tim se odgovorima nalaze eksploatacije koje napadačima omogućuju izvršavanje proizvoljnog koda unutar preglednika. PT NAD automatski otkriva takve napade pomoću pravila otkrivanja.
Osim toga, PT NAD otkriva prijetnju u prethodnom koraku. Pravila i indikatori ugroženosti pokreću se ako je korisnik posjetio stranicu koja ga je preusmjerila na stranicu s hrpom exploita.
2. : iskorištavanje javne aplikacije
Iskorištavanje ranjivosti u uslugama koje su dostupne s interneta.
Što radi PT NAD?: vrši duboku inspekciju sadržaja mrežnih paketa, otkrivajući znakove nepravilne aktivnosti u njemu. Konkretno, postoje pravila koja vam omogućuju otkrivanje napada na glavne sustave za upravljanje sadržajem (CMS), web sučelja mrežne opreme, napade na poštu i FTP poslužitelje.
3. : vanjski udaljeni servisi
Napadači koriste usluge daljinskog pristupa za povezivanje s unutarnjim mrežnim resursima izvana.
Što radi PT NAD?: budući da sustav ne prepoznaje protokole prema brojevima portova, već prema sadržaju paketa, korisnici sustava mogu filtrirati promet na takav način da pronađu sve sesije protokola za daljinski pristup i provjere njihovu legitimnost.
4. : spearphishing prilog
Riječ je o ozloglašenom slanju phishing privitaka.
Što radi PT NAD?: automatski izdvaja datoteke iz prometa i provjerava ih u odnosu na indikatore ugroženosti. Izvršne datoteke u privicima otkrivaju pravila koja analiziraju sadržaj prometa pošte. U poslovnom okruženju takvo se ulaganje smatra anomalnim.
5. : spearphishing poveznica
Korištenje veza za krađu identiteta. Tehnika uključuje napadače koji šalju phishing e-poštu s poveznicom koja, kada se klikne, preuzima zlonamjerni program. Poveznicu u pravilu prati tekst sastavljen prema svim pravilima društvenog inženjeringa.
Što radi PT NAD?: Otkriva veze za krađu identiteta pomoću indikatora ugroženosti. Na primjer, u PT NAD sučelju vidimo sesiju u kojoj je postojala HTTP veza preko veze koja je uključena u popis adresa za krađu identiteta (urlovi za krađu identiteta).
Povezivanje putem poveznice s popisa indikatora kompromitiranih phishing-urlova
6. : odnos povjerenja
Pristup žrtvinoj mreži putem trećih strana s kojima žrtva ima povjerljiv odnos. Napadači mogu provaliti u pouzdanu organizaciju i preko nje se povezati s ciljnom mrežom. Da bi to učinili, koriste VPN veze ili odnose povjerenja domene, što se može otkriti analizom prometa.
Što radi PT NAD?: analizira aplikacijske protokole i sprema analizirana polja u bazu podataka, tako da analitičar informacijske sigurnosti može koristiti filtre za pronalaženje svih sumnjivih VPN veza ili međudomenskih veza u bazi podataka.
7. : valjani računi
Korištenje standardnih, lokalnih ili domenskih vjerodajnica za autorizaciju na vanjskim i internim uslugama.
Što radi PT NAD?: automatski dohvaća vjerodajnice iz HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokola. U općem slučaju, ovo je prijava, lozinka i znak uspješne autentifikacije. Ako su korišteni, prikazani su na odgovarajućoj kartici sesije.
Izvršenje
Taktike izvršavanja uključuju tehnike koje napadači koriste za izvršavanje koda na ugroženim sustavima. Pokretanje zlonamjernog koda pomaže napadačima da uspostave prisutnost (taktika upornosti) i prošire pristup udaljenim sustavima na mreži kretanjem unutar perimetra.
PT NAD vam omogućuje da identificirate korištenje 14 tehnika koje koriste napadači za izvršavanje zlonamjernog koda.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktika u kojoj napadači pripremaju posebno izrađenu zlonamjernu .inf instalacijsku datoteku za ugrađeni uslužni program Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe uzima datoteku kao parametar i instalira profil usluge za udaljenu vezu. Kao rezultat toga, CMSTP.exe se može koristiti za preuzimanje i izvođenje biblioteka dinamičkih veza (*.dll) ili skriptleta (*.sct) s udaljenih poslužitelja.
Što radi PT NAD?: Automatski detektira prijenos posebnih oblika .inf datoteka u HTTP prometu. Osim toga, otkriva HTTP prijenos zlonamjernih skriptleta i biblioteka dinamičkih veza s udaljenog poslužitelja.
2. : sučelje naredbenog retka
Interakcija sa sučeljem naredbenog retka. Sa sučeljem naredbenog retka može se komunicirati lokalno ili daljinski, poput uslužnih programa za daljinski pristup.
Što radi PT NAD?: automatski detektira prisutnost ljuski odgovorima na naredbe za pokretanje različitih uslužnih programa naredbenog retka, kao što su ping, ifconfig.
3. : komponentni objektni model i distribuirani COM
Korištenje COM ili DCOM tehnologija za izvršavanje koda na lokalnim ili udaljenim sustavima dok prolazi mrežom.
Što radi PT NAD?: Otkriva sumnjive DCOM pozive koje napadači obično koriste za pokretanje programa.
4. : iskorištavanje za izvršavanje klijenta
Iskorištavanje ranjivosti za izvršavanje proizvoljnog koda na radnoj stanici. Najkorisniji podvigi za napadače su oni koji omogućuju izvršavanje koda na udaljenom sustavu, budući da ih napadači mogu koristiti za pristup takvom sustavu. Tehnika se može implementirati sljedećim metodama: zlonamjerna mailing lista, web stranica s exploit-ima za preglednike i daljinsko iskorištavanje ranjivosti aplikacije.
Što radi PT NAD?: dok analizira promet pošte, PT NAD provjerava prisutnost izvršnih datoteka u privitku. Automatski izvlači uredske dokumente iz e-poruka koje mogu sadržavati exploite. U prometu su vidljivi pokušaji iskorištavanja ranjivosti koje PT NAD automatski detektira.
5. : mšta
Korištenje uslužnog programa mshta.exe, koji izvršava Microsoft HTML aplikacije (HTA) s ekstenzijom .hta. Budući da mshta obrađuje datoteke zaobilazeći sigurnosne postavke preglednika, napadači mogu koristiti mshta.exe za izvršavanje zlonamjernih HTA, JavaScript ili VBScript datoteka.
Što radi PT NAD?: .hta datoteke za izvršavanje putem mshte također se prenose preko mreže - to se može vidjeti u prometu. PT NAD automatski otkriva prijenos takvih zlonamjernih datoteka. Snima datoteke, a informacije o njima mogu se vidjeti na kartici sesije.
6. : powershell
Korištenje PowerShell-a za traženje informacija i izvršavanje zlonamjernog koda.
Što radi PT NAD?: Kada PowerShell koriste napadači daljinski, PT NAD to otkriva pomoću pravila. Otkriva ključne riječi PowerShell jezika koje se najčešće koriste u zlonamjernim skriptama i prijenosu PowerShell skripti preko SMB-a.
7. : planirani zadatak
Koristite Windows Task Scheduler i druge uslužne programe za automatsko pokretanje programa ili skripti u određeno vrijeme.
Što radi PT NAD?: napadači kreiraju takve zadatke, obično na daljinu, što znači da su takve sesije vidljive u prometu. PT NAD automatski detektira sumnjive operacije stvaranja i modificiranja zadataka pomoću ATSVC i ITaskSchedulerService RPC sučelja.
8. : skriptiranje
Izvršavanje skripti za automatizaciju raznih akcija napadača.
Što radi PT NAD?: detektira prijenos skripti preko mreže, odnosno čak i prije nego što su pokrenute. Otkriva sadržaj skripte u sirovom prometu i otkriva mrežni prijenos datoteka s ekstenzijama koje odgovaraju popularnim skriptnim jezicima.
9. : izvršenje usluge
Pokrenite izvršnu datoteku, CLI upute ili skriptu u interakciji s Windows uslugama, kao što je Service Control Manager (SCM).
Što radi PT NAD?: pregledava SMB promet i otkriva zahtjeve SCM-u prema pravilima za kreiranje, modificiranje i pokretanje usluge.
Tehnika pokretanja servisa može se implementirati pomoću uslužnog programa za daljinsko izvršavanje naredbi PSExec. PT NAD analizira SMB protokol i otkriva korištenje PSExec-a kada koristi datoteku PSEXESVC.exe ili standardni naziv usluge PSEXECSVC za izvršavanje koda na udaljenom računalu. Korisnik treba provjeriti popis izvršenih naredbi i legitimnost izvršenja udaljene naredbe s glavnog računala.
Kartica napada u PT NAD-u prikazuje podatke o taktikama i tehnikama koje koristi ATT&CK matrica tako da korisnik može razumjeti u kojoj su fazi napada napadači, koji ciljevi slijede i koje kompenzacijske mjere poduzeti.
Aktivacija pravila o korištenju uslužnog programa PSExec, što može ukazivati na pokušaj izvršavanja naredbi na udaljenom računalu
10. : softver treće strane
Tehnika u kojoj napadači dobivaju pristup softveru za daljinsku administraciju ili sustavu za implementaciju korporativnog softvera i koriste ih za pokretanje zlonamjernog koda. Primjeri takvog softvera: SCCM, VNC, TeamViewer, HBSS, Altiris.
Usput, tehnika je posebno relevantna u vezi s masovnim prijelazom na daljinski rad i, kao rezultat toga, povezivanjem brojnih kućnih nezaštićenih uređaja putem sumnjivih kanala za daljinski pristup.
Što radi PT NAD?: Automatski otkriva rad takvog softvera na mreži. Na primjer, pravila se pokreću činjenicama povezivanja putem VNC protokola i aktivnosti trojanca EvilVNC, koji tajno instalira VNC poslužitelj na žrtvin host i automatski ga pokreće. Također, PT NAD automatski detektira TeamViewer protokol, koji pomaže analitičaru da pomoću filtera pronađe sve takve sesije i provjeri njihovu legitimnost.
11. : korisničko izvršenje
Tehnika u kojoj korisnik pokreće datoteke koje mogu uzrokovati izvršavanje koda. To može biti, na primjer, ako otvori izvršnu datoteku ili pokrene uredski dokument s makronaredbom.
Što radi PT NAD?: vidi takve datoteke u fazi prijenosa, prije nego što se pokrenu. Podaci o njima mogu se proučiti u kartici sesija u kojima su preneseni.
12. : Instrumentacija za upravljanje sustavom Windows
Korištenje WMI alata, koji omogućuje lokalni i udaljeni pristup komponentama Windows sustava. Koristeći WMI, napadači mogu komunicirati s lokalnim i udaljenim sustavima i obavljati razne zadatke, poput prikupljanja informacija u obavještajne svrhe i daljinskog pokretanja procesa tijekom bočnog kretanja.
Što radi PT NAD?: Budući da su interakcije s udaljenim sustavima putem WMI-ja vidljive u prometu, PT NAD automatski otkriva mrežne zahtjeve za uspostavljanje WMI sesija i provjerava promet radi činjenice da se prenose skripte koje koriste WMI.
13. : Windows daljinsko upravljanje
Korištenje Windows usluge i protokola koji korisniku omogućuje interakciju s udaljenim sustavima.
Što radi PT NAD?: Vidi mrežne veze uspostavljene pomoću Windows daljinskog upravljanja. Takve se sesije automatski otkrivaju prema pravilima.
14. : XSL (Extensible Stylesheet Language) obrada skripte
Označni jezik u stilu XSL koristi se za opisivanje obrade i prikazivanja podataka u XML datotekama. Za podršku složenim operacijama, XSL standard uključuje podršku za ugrađene skripte na više jezika. Ovi jezici dopuštaju izvršavanje proizvoljnog koda, koji zaobilazi sigurnosna pravila s popisa dopuštenih.
Što radi PT NAD?: detektira prijenos takvih datoteka preko mreže, to jest, čak i prije nego što su pokrenute. Automatski otkriva prijenos XSL datoteka preko mreže i datoteka s nepravilnim XSL označavanjem.
U sljedećim materijalima ćemo pogledati kako PT Network Attack Discovery NTA sustav pronalazi druge taktike i tehnike napadača u skladu s MITER ATT & CK. Ostanite s nama!
Autori:
- Anton Kutepov, stručnjak stručnog sigurnosnog centra (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, marketinška stručnjakinja za proizvode tvrtke Positive Technologies
Izvor: www.habr.com