ProHoster > Blog > Adminisztráció > Hogyan észlelik a forgalomelemző rendszerek a hackerek taktikáját a MITER ATT&CK segítségével a PT Network Attack Discovery példájával
Hogyan észlelik a forgalomelemző rendszerek a hackerek taktikáját a MITER ATT&CK segítségével a PT Network Attack Discovery példájával
A Verizon szerint, az információbiztonsági incidensek többsége (87%) percek alatt következik be, a cégek 68%-ánál pedig hónapokig tart a felderítés. Ezt erősíti meg Ponemon Intézet kutatása, amely szerint a legtöbb szervezetnek átlagosan 206 napba telik egy esemény észlelése. Vizsgálataink tapasztalatai alapján a hackerek évekig képesek ellenőrizni egy vállalat infrastruktúráját anélkül, hogy észrevennék őket. Így az egyik szervezetben, ahol szakértőink egy információbiztonsági incidenst vizsgáltak, kiderült, hogy a hackerek teljes mértékben ellenőrizték a szervezet teljes infrastruktúráját, és rendszeresen ellopták a fontos információkat. nyolc évig.
Tegyük fel, hogy már fut egy SIEM, amely naplókat gyűjt és elemzi az eseményeket, a végcsomópontokon pedig víruskereső szoftver van telepítve. Mindazonáltal, nem mindent lehet észlelni a SIEM segítségével, ahogy az EDR rendszerek teljes hálózaton való megvalósítása sem lehetséges, ami azt jelenti, hogy a „vakfolt” nem kerülhető el. Ezek kezelésében a hálózati forgalomelemző (NTA) rendszerek segítenek. Ezek a megoldások észlelik a támadók tevékenységét a hálózati behatolás legkorábbi szakaszában, valamint a hálózaton belüli támadások megszerzésére és támadások kifejlesztésére irányuló kísérletek során.
Kétféle NTA létezik: egyesek a NetFlow-val működnek, mások a nyers forgalmat elemzik. A második rendszerek előnye, hogy nyers forgalmi rekordokat tudnak tárolni. Ennek köszönhetően az információbiztonsági szakember ellenőrizheti a támadás sikerességét, lokalizálhatja a fenyegetést, megértheti, hogyan történt a támadás, és hogyan lehet megelőzni egy hasonlót a jövőben.
Megmutatjuk, hogy az NTA használatával hogyan használhat közvetlen vagy közvetett bizonyítékokat a tudásbázisban leírt összes ismert támadási taktika azonosítására. MITER ATT&CK. Mind a 12 taktikáról beszélünk, elemezzük a forgalom által észlelt technikákat, és bemutatjuk azok észlelését az NTA rendszerünk segítségével.
Az ATT&CK tudásbázisról
A MITER ATT&CK egy nyilvános tudásbázis, amelyet a MITER Corporation fejlesztett ki és tart fenn a valós APT-k elemzése alapján. Ez a támadók által használt taktikák és technikák strukturált halmaza. Ez lehetővé teszi az információbiztonsági szakemberek számára a világ minden tájáról, hogy ugyanazt a nyelvet beszéljék. Az adatbázis folyamatosan bővül, új ismeretekkel egészül ki.
Az adatbázis 12 taktikát azonosít, amelyek a kibertámadás szakaszaira vannak felosztva:
kezdeti hozzáférés;
végrehajtás;
konszolidáció (kitartás);
privilégiumok eszkalációja;
a felderítés megelőzése (védelmi kijátszás);
hitelesítő adatok megszerzése (hitelesítési adatokhoz való hozzáférés);
felfedezés;
mozgás a kerületen belül (oldalirányú mozgás);
adatgyűjtés (gyűjtés);
irányítás és ellenőrzés;
adatok kiszűrése;
hatás.
Az ATT&CK tudásbázis minden egyes taktikához felsorolja azokat a technikákat, amelyek segítenek a támadóknak elérni céljukat a támadás aktuális szakaszában. Mivel ugyanaz a technika különböző szakaszokban használható, több taktikára utalhat.
Az egyes technikák leírása tartalmazza:
azonosító;
azon taktikák listája, amelyekben alkalmazzák;
példák az APT-csoportok használatára;
intézkedések a használatból eredő károk csökkentésére;
észlelési ajánlások.
Az információbiztonsági szakemberek az adatbázisból származó ismereteket felhasználva strukturálhatják az aktuális támadási módszerekről szóló információkat, és ezt figyelembe véve hatékony biztonsági rendszert építhetnek fel. A valódi APT-csoportok működésének megértése hipotézisek forrásává is válhat a fenyegetések proaktív keresésében fenyegetés vadászat.
A PT Network Attack Discovery-ről
A rendszer segítségével azonosítjuk a technikák használatát az ATT&CK mátrixból PT hálózati támadások felfedezése — Positive Technologies NTA rendszer, amelyet a hálózaton belüli és kerületi támadások észlelésére terveztek. A PT NAD különböző mértékben lefedi a MITER ATT&CK mátrix mind a 12 taktikáját. Ő a legerősebb a kezdeti hozzáférés, az oldalirányú mozgás, valamint a parancs- és irányítástechnikák azonosításában. Ezekben a PT NAD lefedi az ismert technikák több mint felét, alkalmazásukat direkt vagy közvetett jelekkel érzékelteti.
A rendszer ATT&CK technikákkal észleli a támadásokat a csapat által létrehozott észlelési szabályok segítségével PT szakértői biztonsági központ (PT ESC), gépi tanulás, kompromisszummutatók, mély elemzés és retrospektív elemzés. A valós idejű forgalomelemzés retrospektívvel kombinálva lehetővé teszi az aktuális rejtett rosszindulatú tevékenységek azonosítását, valamint a fejlődési vektorok és a támadások kronológiájának nyomon követését.
Itt van a PT NAD teljes leképezése a MITER ATT&CK mátrixra. A kép nagy, ezért javasoljuk, hogy külön ablakban tekintse meg.
Kezdeti hozzáférés
A kezdeti hozzáférési taktika magában foglalja a vállalat hálózatába való behatolás technikáit. A támadók célja ebben a szakaszban az, hogy rosszindulatú kódot juttatjanak el a megtámadott rendszerbe, és biztosítsák annak további végrehajtásának lehetőségét.
A PT NAD forgalomelemzése hét technikát tár fel a kezdeti hozzáférés megszerzésére:
Olyan technika, amellyel az áldozat megnyit egy webhelyet, amelyet a támadók a webböngésző kihasználására és az alkalmazás-hozzáférési token megszerzésére használnak.
Mit csinál a PT NAD?: Ha a webes forgalom nincs titkosítva, a PT NAD ellenőrzi a HTTP-kiszolgáló válaszainak tartalmát. Ezek a válaszok olyan exploitokat tartalmaznak, amelyek lehetővé teszik a támadók számára, hogy tetszőleges kódot hajtsanak végre a böngészőn belül. A PT NAD automatikusan észleli az ilyen visszaéléseket az észlelési szabályok segítségével.
Ezenkívül a PT NAD az előző lépésben észleli a fenyegetést. A kompromisszum szabályai és jelzései akkor lépnek életbe, ha a felhasználó olyan webhelyet keresett fel, amely egy csomó exploitot tartalmazó webhelyre irányította át.
Az internetről elérhető szolgáltatások sérülékenységeinek kihasználása.
Mit csinál a PT NAD?: Alapos vizsgálatot végez a hálózati csomagok tartalmában, azonosítva a rendellenes tevékenység jeleit. Különösen vannak olyan szabályok, amelyek lehetővé teszik a főbb tartalomkezelő rendszerek (CMS), a hálózati berendezések webes felületei, valamint a levelező- és FTP-kiszolgálók elleni támadások észlelését.
A támadók távoli hozzáférési szolgáltatásokat használnak a belső hálózati erőforrásokhoz való külső csatlakozáshoz.
Mit csinál a PT NAD?: mivel a rendszer nem a portszámok, hanem a csomagok tartalma alapján ismeri fel a protokollokat, a rendszer felhasználói szűrhetik a forgalmat, hogy megtalálják a távelérési protokollok összes szekcióját és ellenőrizzék azok legitimitását.
Az adathalász mellékletek hírhedt küldéséről beszélünk.
Mit csinál a PT NAD?: Automatikusan kibontja a fájlokat a forgalomból, és ellenőrzi őket a kompromisszum jelei alapján. A mellékletekben lévő végrehajtható fájlokat a levelezőforgalom tartalmát elemző szabályok észlelik. Vállalati környezetben egy ilyen befektetés anomáliának számít.
Adathalász linkek használata. A technika során a támadók adathalász e-mailt küldenek egy hivatkozással, amelyre kattintva letölt egy rosszindulatú programot. A linket általában a social engineering összes szabályának megfelelően összeállított szöveg kíséri.
Mit csinál a PT NAD?: Az adathalász hivatkozásokat a kompromisszumjelzők segítségével észleli. Például a PT NAD felületen olyan munkamenetet látunk, amelyben az adathalász címek (phishing-url) listájában szereplő hivatkozáson keresztül HTTP-kapcsolat volt.
Csatlakozás a kompromittált adathalász URL-ek mutatóinak listájából származó hivatkozáson keresztül
Hozzáférés az áldozat hálózatához harmadik feleken keresztül, akikkel az áldozat megbízható kapcsolatot épített ki. A támadók feltörhetnek egy megbízható szervezetet, és azon keresztül csatlakozhatnak a célhálózathoz. Ehhez VPN-kapcsolatokat vagy tartományi bizalmi kapcsolatokat használnak, amelyek forgalomelemzéssel azonosíthatók.
Mit csinál a PT NAD?: elemzi az alkalmazásprotokollokat, és elmenti az elemzett mezőket az adatbázisba, így az információbiztonsági elemző szűrők segítségével megkeresheti az adatbázisban lévő összes gyanús VPN-kapcsolatot vagy tartományok közötti kapcsolatot.
Szabványos, helyi vagy tartományi hitelesítő adatok használata a külső és belső szolgáltatások engedélyezéséhez.
Mit csinál a PT NAD?: Automatikusan lekéri a hitelesítő adatokat a HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokollokból. Általában ez egy bejelentkezési név, jelszó és a sikeres hitelesítés jele. Ha használták őket, akkor megjelennek a megfelelő munkamenet kártyán.
Végrehajtás
A végrehajtási taktikák magukban foglalják azokat a technikákat, amelyeket a támadók kód futtatására használnak feltört rendszereken. A rosszindulatú kód futtatása segít a támadóknak a jelenlét kialakításában (perzisztencia taktika) és kiterjeszti a hozzáférést a hálózat távoli rendszereihez a határon belüli mozgással.
A PT NAD lehetővé teszi a támadók által rosszindulatú kód futtatására használt 14 technika használatának észlelését.
Olyan taktika, amelyben a támadók egy speciális rosszindulatú telepítési INF fájlt készítenek a beépített Windows CMSTP.exe segédprogramhoz (Connection Manager Profile Installer). A CMSTP.exe paraméterként veszi a fájlt, és telepíti a távoli kapcsolat szolgáltatásprofilját. Ennek eredményeként a CMSTP.exe használható dinamikus hivatkozási könyvtárak (*.dll) vagy szkriptletek (*.sct) betöltésére és végrehajtására távoli kiszolgálókról.
Mit csinál a PT NAD?: Automatikusan észleli a speciális típusú INF-fájlok átvitelét a HTTP-forgalomban. Ezen kívül észleli a rosszindulatú szkriptletek és dinamikus hivatkozási könyvtárak HTTP-átvitelét egy távoli szerverről.
Interakció a parancssori felülettel. A parancssori felülettel helyileg vagy távolról is kommunikálhat, például távoli elérési segédprogramok segítségével.
Mit csinál a PT NAD?: automatikusan észleli a shell-ek jelenlétét a különféle parancssori segédprogramok indítására adott parancsokra adott válaszok alapján, mint például a ping, ifconfig.
3. T1175: komponens objektum modell és elosztott COM
COM- vagy DCOM-technológiák használata kód futtatására helyi vagy távoli rendszereken, miközben hálózaton keresztül mozog.
Mit csinál a PT NAD?: Érzékeli a gyanús DCOM-hívásokat, amelyeket a támadók általában programok indítására használnak.
Sebezhetőségek kihasználása tetszőleges kód futtatására egy munkaállomáson. A támadók számára azok a leghasznosabb kihasználások, amelyek lehetővé teszik a kód futtatását egy távoli rendszeren, mivel ezek lehetővé teszik a támadók számára, hogy hozzáférjenek az adott rendszerhez. A technika a következő módszerekkel valósítható meg: rosszindulatú levelezés, böngésző exploitokat tartalmazó webhely és az alkalmazások sebezhetőségeinek távoli kihasználása.
Mit csinál a PT NAD?: A levélforgalom elemzésekor a PT NAD ellenőrzi, hogy vannak-e végrehajtható fájlok a mellékletekben. Automatikusan kivonja az irodai dokumentumokat azokból az e-mailekből, amelyek kizsákmányolást tartalmazhatnak. A sebezhetőségek kihasználására tett kísérletek láthatóak a forgalomban, amit a PT NAD automatikusan észlel.
Használja az mshta.exe segédprogramot, amely a Microsoft HTML-alkalmazásokat (HTA) futtatja .hta kiterjesztéssel. Mivel az mshta a böngésző biztonsági beállításait megkerülve dolgozza fel a fájlokat, a támadók használhatják az mshta.exe fájlt rosszindulatú HTA-, JavaScript- vagy VBScript-fájlok futtatására.
Mit csinál a PT NAD?: Az mshta-n keresztül végrehajtandó .hta fájlok is átvitelre kerülnek a hálózaton - ez látszik a forgalomból. A PT NAD automatikusan észleli az ilyen rosszindulatú fájlok átvitelét. Fájlokat rögzít, és a velük kapcsolatos információk megtekinthetők a munkamenet kártyán.
A PowerShell használata információk keresésére és rosszindulatú kódok futtatására.
Mit csinál a PT NAD?: Ha a PowerShellt távoli támadók használják, a PT NAD ezt szabályok segítségével észleli. Érzékeli azokat a PowerShell-nyelvi kulcsszavakat, amelyeket a leggyakrabban használnak rosszindulatú szkriptekben és PowerShell-szkriptek továbbításában az SMB protokollon keresztül.
7. T1053: ütemezett feladat
A Windows Feladatütemező és más segédprogramok használata a programok vagy parancsfájlok meghatározott időpontokban történő automatikus futtatásához.
Mit csinál a PT NAD?: a támadók ilyen feladatokat hoznak létre, általában távolról, ami azt jelenti, hogy az ilyen munkamenetek láthatóak a forgalomban. A PT NAD automatikusan észleli a gyanús feladat-létrehozási és -módosítási műveleteket az ATSVC és ITaskSchedulerService RPC interfészek segítségével.
Szkriptek végrehajtása a támadók különféle akcióinak automatizálására.
Mit csinál a PT NAD?: érzékeli a szkriptek hálózaton keresztüli átvitelét, vagyis még az indítás előtt. Érzékeli a szkripttartalmat a nyers forgalomban, és észleli a népszerű szkriptnyelveknek megfelelő kiterjesztésű fájlok hálózati átvitelét.
Futtasson futtatható fájlt, parancssori felületi utasításokat vagy parancsfájlt a Windows szolgáltatásokkal, például a Service Control Managerrel (SCM) való interakcióval.
Mit csinál a PT NAD?: ellenőrzi az SMB-forgalmat, és észleli az SCM-hez való hozzáférést a szolgáltatás létrehozására, módosítására és elindítására vonatkozó szabályokkal.
A szolgáltatásindítási technika a PSExec távoli parancsvégrehajtási segédprogrammal valósítható meg. A PT NAD elemzi az SMB protokollt, és észleli a PSExec használatát, amikor a PSEXESVC.exe fájlt vagy a szabványos PSEXECSVC szolgáltatásnevet használja kód futtatására egy távoli gépen. A felhasználónak ellenőriznie kell a végrehajtott parancsok listáját és a távoli parancsvégrehajtás legitimitását a gazdagépről.
A PT NAD támadási kártyája adatokat jelenít meg az ATT&CK mátrix szerint alkalmazott taktikákról és technikákról, így a felhasználó megértheti, hogy a támadók milyen támadási szakaszban vannak, milyen célokat követnek el, és milyen kompenzációs intézkedéseket kell tenni.
A PSExec segédprogram használatára vonatkozó szabály aktiválódik, ami azt jelezheti, hogy egy távoli gépen parancsokat hajtanak végre.
Olyan technika, amellyel a támadók hozzáférnek a távoli adminisztrációs szoftverhez vagy a vállalati szoftvertelepítési rendszerhez, és azt rosszindulatú kód futtatására használják. Példák ilyen szoftverekre: SCCM, VNC, TeamViewer, HBSS, Altiris.
A technika egyébként különösen fontos a távmunkára való masszív átállással, és ennek eredményeként számos, nem védett otthoni eszköz kétes távoli elérési csatornákon keresztül történő csatlakoztatásával kapcsolatban.
Mit csinál a PT NAD?: automatikusan észleli az ilyen szoftverek működését a hálózaton. Például a szabályokat a VNC protokollon keresztüli kapcsolatok és az EvilVNC trójai tevékenysége váltja ki, amely titokban telepít egy VNC szervert az áldozat gazdagépére, és automatikusan elindítja azt. Ezenkívül a PT NAD automatikusan felismeri a TeamViewer protokollt, ez segít az elemzőnek egy szűrő segítségével megtalálni az összes ilyen munkamenetet és ellenőrizni azok legitimitását.
Olyan technika, amellyel a felhasználó olyan fájlokat futtat, amelyek kódvégrehajtáshoz vezethetnek. Ez lehet például, ha megnyit egy végrehajtható fájlt, vagy lefuttat egy irodai dokumentumot makróval.
Mit csinál a PT NAD?: az ilyen fájlokat az átviteli szakaszban látja, mielőtt elindulna. A róluk szóló információk tanulmányozhatók azon ülések kártyáján, amelyeken továbbították őket.
A WMI eszköz használata, amely helyi és távoli hozzáférést biztosít a Windows rendszerösszetevőihez. A WMI használatával a támadók kölcsönhatásba léphetnek a helyi és távoli rendszerekkel, és különféle feladatokat hajthatnak végre, például információkat gyűjthetnek felderítési célokra, és távolról indíthatnak folyamatokat, miközben oldalirányban mozognak.
Mit csinál a PT NAD?: Mivel a távoli rendszerekkel WMI-n keresztüli interakciók láthatók a forgalomban, a PT NAD automatikusan észleli a WMI-munkamenetek létrehozására irányuló hálózati kéréseket, és ellenőrzi a WMI-t használó parancsfájlok forgalmat.
Az XSL stílusú jelölőnyelv az XML-fájlokban lévő adatok feldolgozásának és megjelenítésének leírására szolgál. Az összetett műveletek támogatása érdekében az XSL szabvány különböző nyelveken támogatja a beágyazott szkripteket. Ezek a nyelvek tetszőleges kód futtatását teszik lehetővé, ami a fehér listákon alapuló biztonsági szabályzatok megkerüléséhez vezet.
Mit csinál a PT NAD?: észleli az ilyen fájlok hálózaton keresztüli átvitelét, vagyis még az indítás előtt. Automatikusan észleli a hálózaton keresztül továbbított XSL-fájlokat és a rendellenes XSL-jelölésű fájlokat.
A következő anyagokban megvizsgáljuk, hogy a PT Network Attack Discovery NTA rendszer hogyan talál más támadó taktikákat és technikákat a MITER ATT&CK szerint. Maradjon velünk!
Szerzők:
Anton Kutepov, a PT Expert Security Center Positive Technologies specialistája
Natalia Kazankova, a Positive Technologies termékmarketingese