, majorite (87%) ensidan sekirite enfòmasyon yo rive nan yon kesyon de minit, ak pou 68% nan konpayi li pran mwa pou detekte yo. Sa a se konfime pa , dapre ki pi fò òganizasyon yo pran an mwayèn 206 jou pou detekte yon ensidan. Dapre eksperyans envestigasyon nou yo, entru yo ka kontwole enfrastrikti yon konpayi pandan plizyè ane san yo pa detekte. Kidonk, nan youn nan òganizasyon yo kote ekspè nou yo te mennen ankèt sou yon ensidan sekirite enfòmasyon, li te revele ke entru yo konplètman kontwole tout enfrastrikti òganizasyon an ak regilyèman vòlè enfòmasyon enpòtan. .
Ann di ou deja gen yon SIEM kouri ki kolekte mòso bwa ak analize evènman yo, ak lojisyèl antivirus enstale sou nœuds yo. Poutan, , menm jan li enposib pou aplike sistèm EDR nan tout rezo a, ki vle di ke tach "avèg" pa ka evite. Sistèm analiz trafik rezo (NTA) ede fè fas ak yo. Solisyon sa yo detekte aktivite atakè yo nan premye etap yo nan pénétration rezo a, osi byen ke pandan tantativ jwenn yon pye ak devlope yon atak nan rezo a.
Gen de kalite NTA: kèk travay ak NetFlow, lòt moun analize trafik anvan tout koreksyon. Avantaj nan dezyèm sistèm yo se ke yo ka estoke dosye trafik anvan tout koreksyon. Mèsi a sa a, yon espesyalis sekirite enfòmasyon ka verifye siksè nan atak la, lokalize menas la, konprann ki jan atak la te fèt ak ki jan yo anpeche yon menm jan an nan lavni.
Nou pral montre kouman w ap itilize NTA ou ka itilize prèv dirèk oswa endirèk pou idantifye tout taktik atak li te ye yo dekri nan baz konesans la . Nou pral pale sou chak nan 12 taktik yo, analize teknik yo detekte pa trafik, epi demontre deteksyon yo lè l sèvi avèk sistèm NTA nou an.
Konsènan baz konesans ATT&CK
MITRE ATT&CK se yon baz konesans piblik ki devlope ak konsève pa MITRE Corporation ki baze sou analiz de APT reyèl. Li se yon seri estriktire taktik ak teknik atakè yo itilize. Sa pèmèt pwofesyonèl sekirite enfòmasyon ki soti toupatou nan mond lan pale menm lang. Baz done a toujou ap agrandi ak konplete ak nouvo konesans.
Baz done a idantifye 12 taktik, ki divize pa etap nan yon atak cyber:
- premye aksè;
- ekzekisyon;
- konsolidasyon (pèsistans);
- Eskalad privilèj;
- prevansyon deteksyon (evazyon defans);
- jwenn kalifikasyon (aksè kalifikasyon);
- eksplorasyon;
- mouvman nan perimèt la (mouvman lateral);
- koleksyon done (koleksyon);
- kòmand ak kontwòl;
- èksfiltrasyon done;
- enpak.
Pou chak taktik, baz konesans ATT&CK bay lis yon lis teknik ki ede atakè reyalize objektif yo nan etap aktyèl la nan atak la. Depi menm teknik la ka itilize nan diferan etap, li ka refere a plizyè taktik.
Deskripsyon chak teknik gen ladan:
- idantifyan;
- yon lis taktik kote li itilize;
- egzanp itilizasyon gwoup APT yo;
- mezi pou diminye domaj nan itilizasyon li yo;
- rekòmandasyon deteksyon.
Espesyalis sekirite enfòmasyon yo ka itilize konesans ki soti nan baz done a estriktire enfòmasyon sou metòd atak aktyèl yo epi, pran sa a an kont, bati yon sistèm sekirite efikas. Konprann ki jan vrè gwoup APT yo fonksyone kapab tou vin yon sous ipotèz pou chèche menas nan yon fason aktif. .
Konsènan PT Network Attack Discovery
Nou pral idantifye itilizasyon teknik ki soti nan matris ATT&CK lè l sèvi avèk sistèm nan — Positive Technologies NTA sistèm, ki fèt pou detekte atak sou perimèt la ak andedan rezo a. PT NAD kouvri, nan diferan degre, tout 12 taktik matris MITRE ATT&CK. Li pi pwisan nan idantifye teknik pou premye aksè, mouvman lateral, ak lòd ak kontwòl. Nan yo, PT NAD kouvri plis pase mwatye nan teknik yo li te ye, detekte aplikasyon yo pa siy dirèk oswa endirèk.
Sistèm nan detekte atak lè l sèvi avèk teknik ATT&CK lè l sèvi avèk règ deteksyon ekip la kreye (PT ESC), aprantisaj machin, endikatè konpwomi, analiz pwofon ak analiz retrospektiv. Analiz trafik an tan reyèl konbine avèk yon retrospektiv pèmèt ou idantifye aktyèl aktivite move kache epi swiv vektè devlopman ak kwonoloji atak yo.
kat konplè PT NAD ak matris MITRE ATT&CK. Foto a gwo, kidonk nou sijere ou gade li nan yon fenèt separe.
Aksè inisyal
Taktik aksè inisyal yo enkli teknik pou antre nan rezo yon konpayi. Objektif atakè yo nan etap sa a se delivre kòd move nan sistèm atak la epi asire posiblite pou ekzekisyon plis li.
Analiz trafik soti nan PT NAD revele sèt teknik pou jwenn aksè inisyal:
1. : konpwomi kondwi-pa
Yon teknik kote viktim nan ouvri yon sit entènèt ke atakè yo itilize pou eksplwate navigatè entènèt la epi jwenn siy aksè aplikasyon an.
Ki sa PT NAD fè?: Si trafik entènèt la pa kode, PT NAD enspekte kontni repons sèvè HTTP yo. Repons sa yo genyen exploit ki pèmèt atakè yo egzekite kòd abitrè andedan navigatè a. PT NAD otomatikman detekte exploit sa yo lè l sèvi avèk règ deteksyon yo.
Anplis de sa, PT NAD detekte menas la nan etap anvan an. Règ ak endikatè konpwomi yo deklanche si itilizatè a te vizite yon sit ki redireksyon l 'nan yon sit ak yon pakèt moun sou èksplwatasyon.
2. : esplwate aplikasyon an fas piblik
Eksplwatasyon vilnerabilite nan sèvis ki aksesib sou entènèt la.
Ki sa PT NAD fè?: Fè yon enspeksyon pwofon nan sa ki nan pake rezo a, idantifye siy aktivite anòmal. An patikilye, gen règ ki pèmèt ou detekte atak sou gwo sistèm jesyon kontni (CMS), koòdone entènèt nan ekipman rezo, ak atak sou lapòs ak sèvè FTP.
3. : ekstèn sèvis aleka
Atakè yo itilize sèvis aksè aleka pou konekte ak resous rezo entèn yo soti deyò.
Ki sa PT NAD fè?: depi sistèm nan rekonèt pwotokòl pa nimewo pò, men pa sa ki nan pake, itilizatè sistèm yo ka filtre trafik yo jwenn tout sesyon nan pwotokòl aksè aleka epi tcheke lejitimite yo.
4. : atachman spearphishing
Nou ap pale sou voye nan notwa nan atachman èskrokri.
Ki sa PT NAD fè?: Otomatikman ekstrè dosye ki soti nan trafik epi tcheke yo kont endikatè konpwomi. Fichye ègzekutabl nan atachman yo detekte pa règ ki analize kontni an nan trafik lapòs. Nan yon anviwònman antrepriz, tankou yon envestisman konsidere kòm anomal.
5. : lyen spearphishing
Sèvi ak lyen èskrokri. Teknik la enplike atakè yo voye yon imèl èskrokri ak yon lyen ki, lè klike sou, telechaje yon pwogram move. Kòm yon règ, lyen an akonpaye pa yon tèks konpile an akò ak tout règ yo nan jeni sosyal.
Ki sa PT NAD fè?: Detekte lyen èskrokri lè l sèvi avèk endikatè konpwomi. Pou egzanp, nan koòdone PT NAD nou wè yon sesyon kote te gen yon koneksyon HTTP atravè yon lyen ki enkli nan lis adrès èskrokri (èskrokri-urls).
Koneksyon atravè yon lyen ki soti nan lis la nan endikatè nan konpwomi èskrokri-urls
6. : relasyon ou fè konfyans
Aksè nan rezo viktim nan atravè twazyèm pati ak ki moun viktim nan te etabli yon relasyon ou fè konfyans. Atakè yo ka pirate yon òganizasyon ou fè konfyans epi konekte nan rezo a sib atravè li. Pou fè sa, yo sèvi ak koneksyon VPN oswa konfyans domèn, ki ka idantifye atravè analiz trafik.
Ki sa PT NAD fè?: analize pwotokòl aplikasyon yo epi sove jaden yo analize nan baz done a, pou ke yon analis sekirite enfòmasyon ka itilize filtè pou jwenn tout koneksyon VPN sispèk oswa koneksyon kwa-domèn nan baz done a.
7. : kont valab
Sèvi ak kalifikasyon estanda, lokal oswa domèn pou otorizasyon sou sèvis ekstèn ak entèn.
Ki sa PT NAD fè?: Otomatikman rekipere kalifikasyon nan HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, pwotokòl Kerberos. An jeneral, sa a se yon login, modpas ak yon siy otantifikasyon siksè. Si yo te itilize yo, yo parèt nan kat sesyon ki koresponn lan.
Egzekisyon
Taktik ekzekisyon gen ladan teknik ke atakè yo itilize pou egzekite kòd sou sistèm konpwomèt. Kouri move kòd ede atakè yo etabli yon prezans (taktik pèsistans) ak elaji aksè a sistèm aleka sou rezo a lè yo deplase andedan perimèt la.
PT NAD pèmèt ou detekte itilizasyon 14 teknik atakè yo itilize pou egzekite kòd move.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Yon taktik kote atakè yo prepare yon fichye INF enstalasyon espesyal pou sèvis piblik Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe pran fichye a kòm yon paramèt epi enstale pwofil sèvis la pou koneksyon aleka a. Kòm yon rezilta, CMSTP.exe ka itilize pou chaje ak egzekite bibliyotèk lyen dinamik (*.dll) oswa scriptlets (*.sct) soti nan sèvè aleka.
Ki sa PT NAD fè?: Otomatikman detekte transfè a nan kalite espesyal nan fichye INF nan trafik HTTP. Anplis de sa, li detekte transmisyon HTTP nan scriptlets move ak bibliyotèk lyen dinamik soti nan yon sèvè aleka.
2. : koòdone liy kòmand
Entèaksyon ak koòdone nan liy lòd. Ka koòdone nan liy lòd dwe kominike avèk lokalman oswa adistans, pou egzanp lè l sèvi avèk sèvis piblik aksè aleka.
Ki sa PT NAD fè?: otomatikman detekte prezans nan kokiy ki baze sou repons a kòmandman lanse divès kalite sèvis piblik liy kòmand, tankou ping, ifconfig.
3. : modèl objè eleman ak distribye COM
Sèvi ak teknoloji COM oswa DCOM pou egzekite kòd sou sistèm lokal oswa aleka pandan w ap deplase atravè yon rezo.
Ki sa PT NAD fè?: Detekte apèl DCOM sispèk ke atakè yo anjeneral itilize pou lanse pwogram yo.
4. : eksplwatasyon pou ekzekisyon kliyan
Eksplwatasyon frajilite pou egzekite kòd abitrè sou yon estasyon travay. Eksplwatasyon ki pi itil pou atakè yo se moun ki pèmèt kòd yo dwe egzekite sou yon sistèm aleka, paske yo ka pèmèt atakè yo jwenn aksè nan sistèm sa a. Teknik la ka aplike lè l sèvi avèk metòd sa yo: move lapòs, yon sit entènèt ki gen eksplwatasyon navigatè, ak eksplwatasyon aleka nan frajilite aplikasyon yo.
Ki sa PT NAD fè?: Lè analiz trafik lapòs, PT NAD tcheke li pou prezans nan dosye ègzèkutabl nan atachman. Otomatikman ekstrè dokiman biwo ki soti nan imèl ki ka genyen exploit. Tantativ pou eksplwate vilnerabilite yo vizib nan trafik, ke PT NAD detekte otomatikman.
5. : mshta
Sèvi ak sèvis piblik mshta.exe, ki kouri Microsoft HTML Applications (HTA) ak ekstansyon .hta. Paske mshta trete dosye kontoune paramèt sekirite navigatè a, atakè yo ka itilize mshta.exe pou egzekite dosye move HTA, JavaScript oswa VBScript.
Ki sa PT NAD fè?: .hta dosye pou ekzekisyon atravè mshta yo tou transmèt sou rezo a - sa a ka wè nan trafik la. PT NAD detekte transfè fichye move sa yo otomatikman. Li kaptire dosye, epi enfòmasyon sou yo ka wè nan kat sesyon an.
6. : PowerShell
Sèvi ak PowerShell pou jwenn enfòmasyon ak egzekite kòd move.
Ki sa PT NAD fè?: Lè atakè aleka yo itilize PowerShell, PT NAD detekte sa lè l sèvi avèk règ. Li detekte mo kle lang PowerShell ki pi souvan itilize nan scripts move ak transmisyon scripts PowerShell sou pwotokòl SMB la.
7. : travay pwograme
Sèvi ak Windows Task Scheduler ak lòt sèvis piblik yo otomatikman kouri pwogram oswa scripts nan moman espesifik.
Ki sa PT NAD fè?: atakè yo kreye travay sa yo, anjeneral adistans, ki vle di sesyon sa yo vizib nan trafik. PT NAD otomatikman detekte travay sispèk kreyasyon ak modifikasyon operasyon yo lè l sèvi avèk entèfas ATSVC ak ITaskSchedulerService RPC.
8. : scripting
Egzekisyon scripts otomatize aksyon divès kalite atakè yo.
Ki sa PT NAD fè?: detekte transmisyon scripts sou rezo a, se sa ki, menm anvan yo te lanse. Li detekte kontni script nan trafik anvan tout koreksyon epi detekte rezo transmisyon fichye ak ekstansyon ki koresponn ak lang scripting popilè.
9. : ekzekisyon sèvis
Kouri yon dosye ègzèkutabl, enstriksyon koòdone liy lòd, oswa script pa kominike avèk sèvis Windows, tankou Manadjè Kontwòl Sèvis (SCM).
Ki sa PT NAD fè?: enspekte trafik SMB epi detekte aksè a SCM ak règ pou kreye, chanje ak kòmanse yon sèvis.
Teknik demaraj sèvis la ka aplike lè l sèvi avèk sèvis piblik ekzekisyon lòd aleka PSExec la. PT NAD analize pwotokòl SMB a epi li detekte itilizasyon PSExec lè li itilize dosye PSEXESVC.exe oswa non sèvis estanda PSEXECSVC pou egzekite kòd sou yon machin aleka. Itilizatè a bezwen tcheke lis la nan kòmandman egzekite ak lejitimite nan ekzekisyon lòd aleka soti nan lame a.
Kat atak la nan PT NAD montre done sou taktik ak teknik yo itilize dapre matris ATT&CK pou itilizatè a ka konprann nan ki etap atak atakè yo ye, ki objektif yo ap pouswiv, ak ki mezi konpansasyon pou pran.
Règ sou sèvi ak sèvis piblik PSExec la deklanche, ki ka endike yon tantativ pou egzekite kòmandman sou yon machin aleka.
10. : lojisyèl twazyèm pati
Yon teknik kote atakè yo jwenn aksè nan lojisyèl administrasyon aleka oswa yon sistèm deplwaman lojisyèl antrepriz epi sèvi ak li pou kouri kòd move. Egzanp lojisyèl sa yo: SCCM, VNC, TeamViewer, HBSS, Altiris.
By wout la, teknik la se espesyalman enpòtan an koneksyon avèk tranzisyon an masiv nan travay aleka epi, kòm yon rezilta, koneksyon an nan anpil aparèy lakay san pwoteksyon atravè chanèl aksè a distans enzitan.
Ki sa PT NAD fè?: otomatikman detekte operasyon an nan lojisyèl sa yo sou rezo a. Pou egzanp, règ yo deklanche pa koneksyon atravè pwotokòl la VNC ak aktivite a nan EvilVNC Trojan a, ki an kachèt enstale yon sèvè VNC sou lame viktim nan epi otomatikman lanse li. Epitou, PT NAD otomatikman detekte pwotokòl TeamViewer la, sa ede analis la, lè l sèvi avèk yon filtè, jwenn tout sesyon sa yo epi tcheke lejitimite yo.
11. : ekzekisyon itilizatè
Yon teknik kote itilizatè a kouri dosye ki ka mennen nan ekzekisyon kòd. Sa a ta ka, pou egzanp, si li louvri yon dosye ègzèkutabl oswa kouri yon dokiman biwo ak yon macro.
Ki sa PT NAD fè?: wè dosye sa yo nan etap transfè a, anvan yo te lanse. Enfòmasyon sou yo ka etidye nan kat sesyon yo te transmèt yo.
12. : Enstrimantasyon Jesyon Windows
Sèvi ak zouti WMI, ki bay aksè lokal ak aleka nan eleman sistèm Windows. Lè l sèvi avèk WMI, atakè yo ka kominike avèk sistèm lokal ak aleka epi fè yon varyete travay, tankou rasanble enfòmasyon pou rezon rekonesans ak lanse pwosesis adistans pandan y ap deplase lateralman.
Ki sa PT NAD fè?: Piske entèraksyon ak sistèm aleka atravè WMI yo vizib nan trafik la, PT NAD otomatikman detekte demann rezo pou etabli sesyon WMI epi tcheke trafik la pou script ki itilize WMI.
13. : Windows Remote Jesyon
Sèvi ak yon sèvis Windows ak pwotokòl ki pèmèt itilizatè a kominike avèk sistèm aleka.
Ki sa PT NAD fè?: Wè koneksyon rezo etabli lè l sèvi avèk Windows Remote Management. Règ yo detekte sesyon sa yo otomatikman.
14. : XSL (Extensible Stylesheet Language) pwosesis script
Yo itilize langaj maketing style XSL pou dekri pwosesis ak vizyalizasyon done nan dosye XML. Pou sipòte operasyon konplèks, estanda XSL la gen ladan sipò pou script entegre nan divès lang. Lang sa yo pèmèt ekzekisyon kòd abitrè, ki mennen nan kontoune nan politik sekirite ki baze sou lis blan.
Ki sa PT NAD fè?: detekte transfè a nan dosye sa yo sou rezo a, se sa ki, menm anvan yo te lanse. Li otomatikman detekte fichye XSL yo transmèt sou rezo a ak fichye ki gen mak XSL anòmal.
Nan materyèl sa yo, nou pral gade ki jan sistèm PT Network Attack Discovery NTA jwenn lòt taktik ak teknik atakan an akò ak MITRE ATT&CK. Rete branche!
Otè:
- Anton Kutepov, espesyalis nan Sant Sekirite Ekspè PT, teknoloji pozitif
- Natalia Kazankova, komèrsyaliz pwodwi nan teknoloji pozitif
Sous: www.habr.com