🥇Ինչպես են երթևեկության վերլուծության համակարգերը հայտնաբերում հաքերների մարտավարությունը՝ ըստ MITER ATT&CK-ի՝ օգտագործելով PT Network Attack Discovery որպես օրինակ

Ըստ Verizon-ի, տեղեկատվական անվտանգության միջադեպերի մեծ մասը (87%) տեղի է ունենում հաշված րոպեների ընթացքում, իսկ ընկերությունների 68%-ի համար ամիսներ են պահանջվում դրանք հայտնաբերելու համար։ Սա հաստատում է Պոնեմոնի ինստիտուտի հետազոտություն, ըստ որի՝ կազմակերպություններից շատերից պահանջվում է միջինը 206 օր՝ միջադեպը բացահայտելու համար։ Հիմնվելով մեր հետաքննության փորձի վրա՝ հաքերները կարող են տարիներ շարունակ վերահսկել ընկերության ենթակառուցվածքը՝ առանց հայտնաբերման: Այսպիսով, կազմակերպություններից մեկում, որտեղ մեր փորձագետները հետաքննել են տեղեկատվական անվտանգության միջադեպը, պարզվել է, որ հաքերներն ամբողջությամբ վերահսկել են կազմակերպության ողջ ենթակառուցվածքը և պարբերաբար գողացել կարևոր տեղեկատվություն։ ութ տարի շարունակ.

Ենթադրենք, դուք արդեն ունեք գործարկվող SIEM, որը հավաքում է տեղեկամատյանները և վերլուծում իրադարձությունները, իսկ վերջին հանգույցներում տեղադրված է հակավիրուսային ծրագիր: Այնուամենայնիվ, ամեն ինչ չէ, որ հնարավոր է հայտնաբերել SIEM-ի միջոցով, ճիշտ այնպես, ինչպես անհնար է EDR համակարգեր ներդնել ողջ ցանցում, ինչը նշանակում է, որ «կույր» կետերից հնարավոր չէ խուսափել: Ցանցային տրաֆիկի վերլուծության (NTA) համակարգերն օգնում են հաղթահարել դրանք: Այս լուծումները հայտնաբերում են հարձակվողի ակտիվությունը ցանցի ներթափանցման ամենավաղ փուլերում, ինչպես նաև ցանցում հենակետ գրավելու և հարձակում զարգացնելու փորձերի ժամանակ:

Կան երկու տեսակի NTA-ներ. ոմանք աշխատում են NetFlow-ի հետ, մյուսները վերլուծում են չմշակված տրաֆիկը: Երկրորդ համակարգերի առավելությունն այն է, որ նրանք կարող են պահպանել չմշակված երթևեկության գրառումները: Դրա շնորհիվ տեղեկատվական անվտանգության մասնագետը կարող է ստուգել հարձակման հաջողությունը, տեղայնացնել սպառնալիքը, հասկանալ, թե ինչպես է տեղի ունեցել հարձակումը և ինչպես կանխել նմանատիպը ապագայում։

Մենք ցույց կտանք, թե ինչպես օգտագործելով NTA-ն կարող եք օգտագործել ուղղակի կամ անուղղակի ապացույցներ՝ բացահայտելու բոլոր հայտնի հարձակման մարտավարությունները, որոնք նկարագրված են գիտելիքների բազայում: MITER AT&CK. Մենք կխոսենք 12 մարտավարություններից յուրաքանչյուրի մասին, կվերլուծենք այն տեխնիկաները, որոնք հայտնաբերվում են երթևեկության միջոցով և ցույց կտանք դրանց հայտնաբերումը մեր NTA համակարգի միջոցով:

ATT&CK գիտելիքների բազայի մասին

MITER ATT&CK-ը հանրային գիտելիքների բազա է, որը մշակվել և պահպանվում է MITER կորպորացիայի կողմից՝ հիմնված իրական կյանքի APT-ների վերլուծության վրա: Դա հարձակվողների կողմից օգտագործվող մարտավարությունների և տեխնիկայի կառուցվածքային շարք է: Սա թույլ է տալիս տեղեկատվական անվտանգության մասնագետներին ամբողջ աշխարհից խոսել նույն լեզվով: Տվյալների բազան անընդհատ ընդլայնվում և համալրվում է նոր գիտելիքներով։

Տվյալների բազան առանձնացնում է 12 մարտավարություն, որոնք բաժանված են կիբերհարձակման փուլերով.

նախնական մուտք;
կատարում;
համախմբում (համառություն);
արտոնությունների մեծացում;
հայտնաբերման կանխարգելում (պաշտպանությունից խուսափում);
հավատարմագրերի ստացում (հավատարմագրային մուտք);
հետախուզում;
շարժում պարագծի ներսում (կողային շարժում);
տվյալների հավաքագրում (հավաքագրում);
ղեկավարում և վերահսկում;
տվյալների արտազատում;
ազդեցություն.

Յուրաքանչյուր մարտավարության համար ATT&CK գիտելիքների բազան թվարկում է տեխնիկաների ցանկ, որոնք օգնում են հարձակվողներին հասնել իրենց նպատակին հարձակման ներկա փուլում: Քանի որ նույն տեխնիկան կարող է օգտագործվել տարբեր փուլերում, այն կարող է վերաբերել մի քանի մարտավարության:

Յուրաքանչյուր տեխնիկայի նկարագրությունը ներառում է.

նույնացուցիչ;
մարտավարությունների ցանկ, որոնցում այն օգտագործվում է.
APT խմբերի օգտագործման օրինակներ;
միջոցներ՝ դրա օգտագործման վնասը նվազեցնելու համար.
հայտնաբերման առաջարկություններ.

Տեղեկատվական անվտանգության մասնագետները կարող են օգտագործել տվյալների բազայից ստացված գիտելիքները՝ հարձակման ընթացիկ մեթոդների մասին տեղեկատվության կառուցվածքի համար և, հաշվի առնելով դա, ստեղծել արդյունավետ անվտանգության համակարգ: Հասկանալը, թե ինչպես են գործում իրական APT խմբերը, կարող է նաև դառնալ վարկածների աղբյուր՝ ներսում սպառնալիքների ակտիվ որոնման համար: սպառնալիքի որս.

PT Network Attack Discovery-ի մասին

Մենք կբացահայտենք տեխնիկայի օգտագործումը ATT&CK մատրիցից՝ օգտագործելով համակարգը PT ցանցի հարձակման բացահայտում — Positive Technologies NTA համակարգ, որը նախատեսված է ցանցի պարագծի և ներսում հարձակումները հայտնաբերելու համար: PT NAD-ը տարբեր աստիճաններով ընդգրկում է MITER ATT&CK մատրիցայի բոլոր 12 մարտավարությունները: Նա ամենահզորն է սկզբնական մուտքի, կողային շարժման և կառավարելու և վերահսկելու տեխնիկան բացահայտելու գործում: Դրանցում PT NAD-ն ընդգրկում է հայտնի տեխնիկայի կեսից ավելին՝ հայտնաբերելով դրանց կիրառումը ուղղակի կամ անուղղակի նշաններով:

Համակարգը հայտնաբերում է հարձակումները՝ օգտագործելով ATT&CK տեխնիկան՝ օգտագործելով թիմի կողմից ստեղծված հայտնաբերման կանոնները PT Փորձագիտական անվտանգության կենտրոն (PT ESC), մեքենայական ուսուցում, փոխզիջման ցուցիչներ, խորը վերլուծություն և հետահայաց վերլուծություն: Իրական ժամանակի երթևեկության վերլուծությունը, որը զուգորդվում է հետահայաց հետ, թույլ է տալիս բացահայտել ընթացիկ թաքնված վնասակար գործունեությունը և հետևել զարգացման վեկտորներին և հարձակումների ժամանակագրությանը:

Այստեղ PT NAD-ի ամբողջական քարտեզագրում MITER ATT&CK մատրիցին: Նկարը մեծ է, ուստի առաջարկում ենք դիտել այն առանձին պատուհանով։

Նախնական մուտք

Մուտքի սկզբնական մարտավարությունը ներառում է ընկերության ցանց ներթափանցելու տեխնիկա: Հարձակվողների նպատակն այս փուլում չարամիտ կոդ փոխանցելն է հարձակման ենթարկված համակարգին և ապահովել դրա հետագա կատարման հնարավորությունը։

PT NAD-ի կողմից տրաֆիկի վերլուծությունը բացահայտում է նախնական մուտք ստանալու յոթ տեխնիկա.

1. T1189փոխզիջում

Տեխնիկա, որի ժամանակ տուժողը բացում է վեբկայք, որն օգտագործվում է հարձակվողների կողմից՝ վեբ բրաուզերը շահագործելու և հավելվածի հասանելիության նշաններ ստանալու համար:

Ի՞նչ է անում PT NAD-ը:Եթե վեբ տրաֆիկը գաղտնագրված չէ, PT NAD-ը ստուգում է HTTP սերվերի պատասխանների բովանդակությունը: Այս պատասխանները պարունակում են շահագործումներ, որոնք թույլ են տալիս հարձակվողներին կատարել կամայական կոդ բրաուզերի ներսում: PT NAD-ը ավտոմատ կերպով հայտնաբերում է նման շահագործումները՝ օգտագործելով հայտնաբերման կանոնները:

Բացի այդ, PT NAD-ը հայտնաբերում է սպառնալիքը նախորդ քայլում: Փոխզիջման կանոններն ու ցուցիչները գործարկվում են, եթե օգտատերը այցելում է կայք, որը նրան վերահղել է մի շարք շահագործումներով կայք:

2. T1190: շահագործել հանրային երեսպատման հավելվածը

Ինտերնետից հասանելի ծառայությունների խոցելիության շահագործում:

Ի՞նչ է անում PT NAD-ը:Կատարում է ցանցային փաթեթների բովանդակության խորը ստուգում` հայտնաբերելով անոմալ գործունեության նշաններ: Մասնավորապես, կան կանոններ, որոնք թույլ են տալիս հայտնաբերել հարձակումներ հիմնական բովանդակության կառավարման համակարգերի (CMS), ցանցային սարքավորումների վեբ ինտերֆեյսների և փոստի և FTP սերվերների վրա հարձակումներ:

3. T1133Արտաքին հեռահար ծառայություններ

Հարձակվողներն օգտագործում են հեռահար մուտքի ծառայություններ դրսից ներքին ցանցի ռեսուրսներին միանալու համար:

Ի՞նչ է անում PT NAD-ը:Քանի որ համակարգը ճանաչում է արձանագրությունները ոչ թե նավահանգիստների համարներով, այլ փաթեթների բովանդակությամբ, համակարգի օգտվողները կարող են զտել տրաֆիկը` գտնելու հեռահար մուտքի արձանագրությունների բոլոր նիստերը և ստուգելու դրանց օրինականությունը:

4. T1193նիզակային կցորդ

Խոսքը ֆիշինգ հավելվածների տխրահռչակ ուղարկման մասին է։

Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հանում է ֆայլերը տրաֆիկից և ստուգում դրանք փոխզիջման ցուցիչների համեմատ: Հավելվածներում գործարկվող ֆայլերը հայտնաբերվում են կանոններով, որոնք վերլուծում են փոստի տրաֆիկի բովանդակությունը: Կորպորատիվ միջավայրում նման ներդրումը համարվում է անոմալ։

5. T1192: նիզակային հղում

Օգտագործելով ֆիշինգի հղումներ: Տեխնիկան ներառում է հարձակվողների ուղարկում ֆիշինգի էլ. Որպես կանոն, հղումը ուղեկցվում է սոցիալական ինժեներիայի բոլոր կանոններին համապատասխան կազմված տեքստով։

Ի՞նչ է անում PT NAD-ը:Հայտնաբերում է ֆիշինգի հղումները՝ օգտագործելով փոխզիջման ցուցիչները: Օրինակ, PT NAD ինտերֆեյսում մենք տեսնում ենք մի նիստ, որտեղ կար HTTP կապ՝ ֆիշինգ հասցեների ցանկում ներառված հղման միջոցով (ֆիշինգ-urls):

Միացում հղման միջոցով փոխզիջումային ֆիշինգ-url-ների ցուցիչների ցանկից

6. T1199: վստահելի հարաբերություններ

Տուժողի ցանց մուտք գործել երրորդ անձանց միջոցով, որոնց հետ տուժողը վստահելի հարաբերություններ է հաստատել: Հարձակվողները կարող են կոտրել վստահելի կազմակերպությանը և դրա միջոցով միանալ թիրախային ցանցին: Դա անելու համար նրանք օգտագործում են VPN կապեր կամ դոմեյն տրեստներ, որոնք կարելի է նույնականացնել տրաֆիկի վերլուծության միջոցով։

Ի՞նչ է անում PT NAD-ը:վերլուծում է հավելվածի արձանագրությունները և պահպանում է վերլուծված դաշտերը տվյալների բազայում, որպեսզի տեղեկատվական անվտանգության վերլուծաբանը կարողանա զտիչներ օգտագործել տվյալների բազայում բոլոր կասկածելի VPN կապերը կամ միջդոմենային կապերը գտնելու համար:

7. T1078: վավեր հաշիվներ

Օգտագործելով ստանդարտ, տեղական կամ տիրույթի հավատարմագրերը արտաքին և ներքին ծառայությունների թույլտվության համար:

Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով առբերում է հավատարմագրերը HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos արձանագրություններից: Ընդհանուր առմամբ, սա մուտք, գաղտնաբառ և հաջող վավերացման նշան է: Եթե դրանք օգտագործվել են, ապա դրանք ցուցադրվում են համապատասխան նստաշրջանի քարտում:

Կատարում

Կատարման մարտավարությունը ներառում է մեթոդներ, որոնք հարձակվողները օգտագործում են վտանգված համակարգերում ծածկագիրը գործարկելու համար: Վնասակար կոդի գործարկումն օգնում է հարձակվողներին հաստատել ներկայություն (հաստատակամության մարտավարություն) և ընդլայնել մուտքը ցանցի հեռավոր համակարգեր՝ շարժվելով պարագծի ներսում:

PT NAD-ը թույլ է տալիս հայտնաբերել 14 տեխնիկայի օգտագործումը, որոնք օգտագործվում են հարձակվողների կողմից՝ վնասակար կոդ գործարկելու համար:

1. T1191CMSTP (Microsoft Connection Manager պրոֆիլի տեղադրող)

Տակտիկա, որի դեպքում հարձակվողները պատրաստում են հատուկ վնասակար տեղադրման INF ֆայլ ներկառուցված համակարգի համար։ Windows CMSTP.exe (Connection Manager Profile Installer) ծրագիր: CMSTP.exe-ն ընդունում է ֆայլը որպես պարամետր և տեղադրում է ծառայության պրոֆիլ հեռակա կապի համար: Արդյունքում, CMSTP.exe-ն կարող է օգտագործվել դինամիկ հղումների գրադարաններ (*.dll) կամ սկրիպտներ (*.sct) հեռակա սերվերներից ներբեռնելու և գործարկելու համար:

Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հայտնաբերում է INF ֆայլերի հատուկ տեսակների փոխանցումը HTTP տրաֆիկում: Ի հավելումն դրան, այն հայտնաբերում է վնասակար սկրիպտների և դինամիկ հղումների գրադարանների HTTP փոխանցումը հեռավոր սերվերից:

2. T1059: հրամանի տողի ինտերֆեյս

Փոխազդեցություն հրամանի տողի ինտերֆեյսի հետ: Հրամանի տողի միջերեսը կարող է փոխազդել տեղական կամ հեռակա կարգով, օրինակ՝ օգտագործելով հեռահար մուտքի կոմունալ ծառայություններ:

Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հայտնաբերում է կեղևների առկայությունը՝ հիմնվելով հրամանների պատասխանների վրա՝ գործարկելու հրամանի տողի տարբեր կոմունալ ծառայություններ, ինչպիսիք են ping, ifconfig:

3. T1175բաղադրիչ օբյեկտի մոդել և բաշխված COM

COM կամ DCOM տեխնոլոգիաների օգտագործումը տեղական կամ հեռավոր համակարգերում կոդը գործարկելու համար ցանցով շարժվելիս:

Ի՞նչ է անում PT NAD-ը:Հայտնաբերում է կասկածելի DCOM զանգեր, որոնք հարձակվողները սովորաբար օգտագործում են ծրագրեր գործարկելու համար:

4. T1203: շահագործում հաճախորդի կատարման համար

Խոցելիության շահագործում կամայական կոդ աշխատանքային կայանի վրա գործարկելու համար: Հարձակվողների համար ամենաօգտակար շահագործումներն այն են, որոնք թույլ են տալիս կոդի գործարկումը հեռավոր համակարգում, քանի որ նրանք կարող են թույլ տալ հարձակվողներին մուտք գործել այդ համակարգ: Տեխնիկան կարող է իրականացվել հետևյալ մեթոդների կիրառմամբ՝ վնասակար նամակագրություն, զննարկիչի շահագործումներով կայք և հավելվածների խոցելիության հեռավոր շահագործում:

Ի՞նչ է անում PT NAD-ը:Փոստի տրաֆիկը վերլուծելիս PT NAD-ը ստուգում է այն հավելվածներում գործարկվող ֆայլերի առկայության համար: Ավտոմատ կերպով հանում է գրասենյակային փաստաթղթերը էլ. նամակներից, որոնք կարող են պարունակել շահագործում: Խոցելիությունը շահագործելու փորձերը տեսանելի են երթևեկության մեջ, որը PT NAD-ն ինքնաբերաբար հայտնաբերում է:

5. T1170՝ mshta

Օգտագործեք mshta.exe կոմունալ ծրագիրը, որն աշխատում է Microsoft-ի HTML հավելվածները (HTA) .hta ընդլայնմամբ: Քանի որ mshta-ն մշակում է ֆայլերը՝ շրջանցելով բրաուզերի անվտանգության կարգավորումները, հարձակվողները կարող են օգտագործել mshta.exe՝ վնասակար HTA, JavaScript կամ VBScript ֆայլեր գործարկելու համար:

Ի՞նչ է անում PT NAD-ը:mshta-ի միջոցով կատարվող .hta ֆայլերը նույնպես փոխանցվում են ցանցով, դա երևում է տրաֆիկում: PT NAD-ը ավտոմատ կերպով հայտնաբերում է նման վնասակար ֆայլերի փոխանցումը: Այն գրավում է ֆայլերը, և դրանց մասին տեղեկատվությունը կարող է դիտվել նիստի քարտում:

6. T1086: PowerShell

Օգտագործելով PowerShell-ը՝ տեղեկատվություն գտնելու և վնասակար կոդ գործարկելու համար:

Ի՞նչ է անում PT NAD-ը:Երբ PowerShell-ը օգտագործվում է հեռավոր հարձակվողների կողմից, PT NAD-ը հայտնաբերում է դա՝ օգտագործելով կանոնները: Այն հայտնաբերում է PowerShell հիմնաբառեր, որոնք առավել հաճախ օգտագործվում են վնասակար սկրիպտներում և PowerShell սկրիպտների փոխանցումը SMB արձանագրության միջոցով:

7. T1053: պլանավորված առաջադրանք
Առաջադրանքների ժամանակացույցի օգտագործումը Windows և այլ կոմունալ ծառայություններ՝ որոշակի ժամանակ ծրագրեր կամ սկրիպտներ ավտոմատ կերպով գործարկելու համար:

Ի՞նչ է անում PT NAD-ը:Հարձակվողները ստեղծում են նման առաջադրանքներ, սովորաբար հեռակա կարգով, ինչը նշանակում է, որ նման նիստերը տեսանելի են երթեւեկության մեջ: PT NAD-ը ավտոմատ կերպով հայտնաբերում է առաջադրանքի ստեղծման և փոփոխման կասկածելի գործողությունները՝ օգտագործելով ATSVC և ITaskSchedulerService RPC միջերեսները:

8. T1064: սցենարավորում

Հարձակվողների տարբեր գործողությունների ավտոմատացման համար սցենարների կատարում:

Ի՞նչ է անում PT NAD-ը:հայտնաբերում է սկրիպտների փոխանցումը ցանցի միջոցով, այսինքն՝ նույնիսկ դրանց գործարկումից առաջ: Այն հայտնաբերում է սցենարի բովանդակությունը չմշակված տրաֆիկում և հայտնաբերում է ֆայլերի ցանցային փոխանցումը ընդլայնումներով, որոնք համապատասխանում են սկրիպտավորման հայտնի լեզուներին:

9. T1035: ծառայության կատարում

Գործարկեք կատարվող ֆայլ, հրամանի տողի ինտերֆեյսի հրահանգներ կամ սկրիպտ՝ փոխազդելով ծառայությունների հետ։ Windows, օրինակ՝ Ծառայության վերահսկման մենեջերի (SCM) միջոցով։

Ի՞նչ է անում PT NAD-ը:: ստուգում է SMB-ի տրաֆիկը և հայտնաբերում է մուտք դեպի SCM՝ ծառայության ստեղծման, փոփոխման և գործարկման կանոններով:

Ծառայության գործարկման տեխնիկան կարող է իրականացվել՝ օգտագործելով PSExec հեռակառավարման հրամանի կատարման կոմունալ ծրագիրը: PT NAD-ը վերլուծում է SMB արձանագրությունը և հայտնաբերում է PSExec-ի օգտագործումը, երբ այն օգտագործում է PSEXESVC.exe ֆայլը կամ ստանդարտ PSEXECSVC ծառայության անունը՝ հեռավոր մեքենայի վրա ծածկագիրը գործարկելու համար: Օգտագործողը պետք է ստուգի կատարված հրամանների ցանկը և հոսթից հեռակա հրամանների կատարման օրինականությունը:

PT NAD-ի հարձակման քարտը ցուցադրում է տվյալներ ATT&CK մատրիցով օգտագործվող մարտավարության և տեխնիկայի վերաբերյալ, որպեսզի օգտագործողը կարողանա հասկանալ, թե հարձակման որ փուլում են գտնվում հարձակվողները, ինչ նպատակներ են հետապնդում և ինչ փոխհատուցող միջոցներ ձեռնարկել:

Գործարկվում է PSExec կոմունալ ծրագիրը օգտագործելու կանոնը, որը կարող է ցույց տալ հեռավոր մեքենայի վրա հրամաններ կատարելու փորձ:

10: T1072: երրորդ կողմի ծրագրակազմ

Տեխնիկա, որով հարձակվողները մուտք են ստանում հեռավոր կառավարման ծրագրակազմ կամ կորպորատիվ ծրագրային ապահովման տեղակայման համակարգ և օգտագործում այն վնասակար կոդ գործարկելու համար: Նման ծրագրերի օրինակներ՝ SCCM, VNC, TeamViewer, HBSS, Altiris:
Ի դեպ, տեխնիկան հատկապես տեղին է հեռահար աշխատանքի զանգվածային անցման և, որպես հետևանք, բազմաթիվ անպաշտպան տնային սարքերի կասկածելի հեռավոր մուտքի ալիքների միջոցով միացնելու հետ կապված:

Ի՞նչ է անում PT NAD-ը:ավտոմատ կերպով հայտնաբերում է նման ծրագրաշարի աշխատանքը ցանցում: Օրինակ, կանոնները գործարկվում են VNC արձանագրության միջոցով կապերի և EvilVNC տրոյականի գործունեության արդյունքում, որը գաղտնի տեղադրում է VNC սերվերը զոհի հոսթում և ավտոմատ կերպով գործարկում այն: Նաև PT NAD-ը ավտոմատ կերպով հայտնաբերում է TeamViewer արձանագրությունը, սա օգնում է վերլուծաբանին, օգտագործելով զտիչ, գտնել բոլոր նման նիստերը և ստուգել դրանց օրինականությունը:

11: T1204: օգտագործողի կատարումը

Տեխնիկա, որում օգտագործողը գործարկում է ֆայլեր, որոնք կարող են հանգեցնել կոդի կատարման: Սա կարող է լինել, օրինակ, եթե նա բացում է գործարկվող ֆայլ կամ աշխատեցնում է գրասենյակային փաստաթուղթ մակրոյով:

Ի՞նչ է անում PT NAD-ը:: տեսնում է նման ֆայլերը փոխանցման փուլում՝ նախքան դրանց գործարկումը: Նրանց մասին տեղեկատվությունը կարելի է ուսումնասիրել այն նիստերի քարտում, որոնցում դրանք փոխանցվել են:

12: T1047: Windows Կառավարման գործիքավորում

WMI գործիքի օգտագործումը, որը ապահովում է համակարգի բաղադրիչներին տեղական և հեռակա մուտք WindowsWMI-ի միջոցով հարձակվողները կարող են փոխազդել տեղական և հեռակա համակարգերի հետ և կատարել բազմազան առաջադրանքներ, ինչպիսիք են հետախուզության համար տեղեկատվության հավաքագրումը և հեռակա կերպով գործընթացներ սկսելը կողմնային շարժման ընթացքում։

Ի՞նչ է անում PT NAD-ը:Քանի որ WMI-ի միջոցով հեռավոր համակարգերի հետ փոխազդեցությունները տեսանելի են երթևեկության մեջ, PT NAD-ը ավտոմատ կերպով հայտնաբերում է ցանցի հարցումները WMI նիստեր հաստատելու համար և ստուգում է թրաֆիկը WMI օգտագործող սկրիպտների համար:

13: T1028: Windows Հեռակառավարում

Ծառայության և արձանագրության օգտագործումը Windows, որը թույլ է տալիս օգտատիրոջը փոխազդել հեռակա համակարգերի հետ։

Ի՞նչ է անում PT NAD-ը:տեսնում է ցանցային կապերը, որոնք հաստատվել են օգտագործելով Windows Հեռակա կառավարում։ Նման սեսիաները հայտնաբերվում են ավտոմատ կերպով կանոններով։

14: T1220XSL (Extensible Stylesheet Language) սցենարի մշակում

XSL ոճի նշագրման լեզուն օգտագործվում է XML ֆայլերում տվյալների մշակումն ու արտացոլումը նկարագրելու համար: Բարդ գործողություններին աջակցելու համար XSL ստանդարտը ներառում է տարբեր լեզուներով ներկառուցված սցենարների աջակցություն: Այս լեզուները թույլ են տալիս կամայական կոդի գործարկում, ինչը հանգեցնում է սպիտակ ցուցակների վրա հիմնված անվտանգության քաղաքականության շրջանցմանը:

Ի՞նչ է անում PT NAD-ը:հայտնաբերում է նման ֆայլերի փոխանցումը ցանցի միջոցով, այսինքն՝ նույնիսկ դրանց գործարկումից առաջ: Այն ավտոմատ կերպով հայտնաբերում է XSL ֆայլերը, որոնք փոխանցվում են ցանցով և անոմալ XSL նշումով ֆայլեր:

Հետևյալ նյութերում մենք կանդրադառնանք, թե ինչպես է PT Network Attack Discovery NTA համակարգը գտնում հարձակվողի այլ մարտավարություններ և տեխնիկա՝ MITER ATT&CK-ի համաձայն: Մնացեք մեզ հետ!

Բառը: