, sebagian besar (87%) insiden keamanan informasi terjadi dalam hitungan menit, sementara 68% perusahaan membutuhkan waktu berbulan-bulan untuk mendeteksinya. Ini dikonfirmasi dan , yang menurut sebagian besar organisasi memerlukan rata-rata 206 hari untuk menemukan suatu insiden. Berdasarkan penyelidikan kami, peretas dapat mengendalikan infrastruktur perusahaan selama bertahun-tahun tanpa terdeteksi. Jadi, di salah satu organisasi tempat para ahli kami melakukan penyelidikan terhadap insiden keamanan informasi, terungkap bahwa peretas sepenuhnya mengendalikan seluruh infrastruktur organisasi dan secara teratur mencuri informasi penting. .
Katakanlah Anda sudah menjalankan SIEM, yang mengumpulkan log dan menganalisis peristiwa, dan antivirus diinstal pada node akhir. Namun demikian, , sama seperti tidak mungkin menerapkan sistem EDR untuk seluruh jaringan, yang berarti bahwa βzona butaβ tidak dapat dihindari. Sistem analisis lalu lintas jaringan (NTA) membantu mengatasinya. Solusi ini mendeteksi aktivitas penyerang pada tahap awal penetrasi ke dalam jaringan, serta selama upaya untuk mendapatkan pijakan dan mengembangkan serangan di dalam jaringan.
Ada dua jenis NTA: satu bekerja dengan NetFlow, yang lain menganalisis lalu lintas mentah. Keuntungan dari sistem kedua adalah mereka dapat menyimpan catatan lalu lintas mentah. Berkat ini, spesialis keamanan informasi dapat memeriksa keberhasilan serangan, melokalisasi ancaman, memahami bagaimana serangan itu terjadi, dan bagaimana mencegah serangan serupa di masa mendatang.
Kami akan menunjukkan bagaimana NTA dapat digunakan untuk mengidentifikasi, dengan tanda langsung atau tidak langsung, semua taktik serangan yang diketahui yang dijelaskan dalam basis pengetahuan. . Kami akan membahas masing-masing dari 12 taktik tersebut, menganalisis teknik yang terdeteksi oleh lalu lintas, dan mendemonstrasikan pendeteksiannya menggunakan sistem NTA kami.
Tentang Basis Pengetahuan ATT&CK
MITRE ATT&CK adalah basis pengetahuan publik yang dikembangkan dan dikelola oleh MITRE Corporation berdasarkan analisis APT nyata. Ini adalah serangkaian taktik dan teknik terstruktur yang digunakan oleh penyerang. Hal ini memungkinkan para profesional keamanan informasi dari seluruh dunia untuk berbicara dalam bahasa yang sama. Basis data terus berkembang dan dilengkapi dengan pengetahuan baru.
Basis data mengidentifikasi 12 taktik, yang dibagi menjadi beberapa tahapan serangan cyber:
- akses awal (akses awal);
- eksekusi (eksekusi);
- konsolidasi (persistensi);
- peningkatan hak istimewa;
- pencegahan deteksi (penghindaran pertahanan);
- memperoleh kredensial (akses kredensial);
- intelijen (penemuan);
- gerakan di dalam perimeter (gerakan lateral);
- pengumpulan data (pengumpulan);
- komando dan kendali;
- eksfiltrasi data;
- dampak.
Untuk setiap taktik, Basis Pengetahuan ATT&CK mencantumkan daftar teknik yang membantu penyerang mencapai tujuan mereka pada tahap serangan saat ini. Karena teknik yang sama dapat digunakan pada tahapan yang berbeda, teknik ini dapat merujuk pada beberapa taktik.
Deskripsi masing-masing teknik meliputi:
- pengenal;
- daftar taktik yang digunakan;
- contoh penggunaan oleh kelompok APT;
- langkah-langkah untuk mengurangi kerusakan akibat penggunaannya;
- rekomendasi deteksi.
Spesialis keamanan informasi dapat menggunakan pengetahuan dari database untuk menyusun informasi tentang metode serangan saat ini dan, dengan pemikiran ini, membangun sistem keamanan yang efektif. Memahami bagaimana kelompok APT beroperasi juga dapat menjadi sumber hipotesis untuk pencarian proaktif terhadap ancaman di dalamnya .
Tentang Penemuan Serangan Jaringan PT
Kami akan mengidentifikasi penggunaan teknik dari matriks ATT & CK menggunakan sistem - Teknologi Positif Sistem NTA dirancang untuk mendeteksi serangan pada perimeter dan di dalam jaringan. PT NAD mencakup seluruh 12 taktik matriks MITRE ATT&CK dengan tingkat yang berbeda-beda. Hal ini paling kuat dalam mengidentifikasi akses awal, gerakan lateral, dan teknik komando dan kontrol. Di dalamnya, PT NAD mencakup lebih dari separuh teknik yang diketahui, mendeteksi penggunaannya melalui tanda-tanda langsung atau tidak langsung.
Sistem mendeteksi serangan menggunakan teknik ATT&CK menggunakan aturan deteksi yang dibuat oleh perintah (PT ESC), pembelajaran mesin, indikator kompromi, analisis mendalam dan analisis retrospektif. Analisis lalu lintas waktu nyata, dikombinasikan dengan retrospektif, memungkinkan Anda mengidentifikasi aktivitas jahat tersembunyi saat ini dan melacak vektor perkembangan serta kronologi serangan.
pemetaan penuh PT NAD ke matriks MITRE ATT&CK. Gambarnya besar, jadi kami sarankan Anda melihatnya di jendela terpisah.
Akses awal
Taktik akses awal mencakup teknik untuk menyusup ke jaringan perusahaan. Tujuan penyerang pada tahap ini adalah mengirimkan kode berbahaya ke sistem yang diserang dan memastikan eksekusi lebih lanjut.
Analisis lalu lintas PT NAD mengungkapkan tujuh teknik untuk mendapatkan akses awal:
1. : kompromi berkendara
Sebuah teknik di mana korban membuka situs web yang digunakan oleh penyerang untuk mengeksploitasi browser web guna mendapatkan token akses aplikasi.
Apa yang dilakukan PT NAD?: Jika lalu lintas web tidak dienkripsi, PT NAD memeriksa konten respons server HTTP. Dalam jawaban inilah ditemukan eksploitasi yang memungkinkan penyerang mengeksekusi kode arbitrer di dalam browser. PT NAD secara otomatis mendeteksi eksploitasi tersebut menggunakan aturan deteksi.
Selain itu, PT NAD mendeteksi ancaman pada langkah sebelumnya. Aturan dan indikator kompromi dipicu jika pengguna mengunjungi situs yang mengarahkannya ke situs dengan banyak eksploitasi.
2. : mengeksploitasi aplikasi yang berhubungan dengan publik
Eksploitasi kerentanan dalam layanan yang dapat diakses dari Internet.
Apa yang dilakukan PT NAD?: melakukan pemeriksaan mendalam terhadap isi paket jaringan, mengungkapkan tanda-tanda aktivitas anomali di dalamnya. Secara khusus, terdapat aturan yang memungkinkan Anda mendeteksi serangan terhadap sistem manajemen konten utama (CMS), antarmuka web peralatan jaringan, serangan terhadap server email dan FTP.
3. : layanan jarak jauh eksternal
Penyerang menggunakan layanan akses jarak jauh untuk terhubung ke sumber daya jaringan internal dari luar.
Apa yang dilakukan PT NAD?: karena sistem mengenali protokol bukan berdasarkan nomor port, tetapi berdasarkan isi paket, pengguna sistem dapat memfilter lalu lintas sedemikian rupa untuk menemukan semua sesi protokol akses jarak jauh dan memeriksa keabsahannya.
4. : lampiran spearphishing
Kita berbicara tentang pengiriman lampiran phishing yang terkenal buruk.
Apa yang dilakukan PT NAD?: secara otomatis mengekstrak file dari lalu lintas dan memeriksanya terhadap indikator kompromi. File yang dapat dieksekusi dalam lampiran dideteksi oleh aturan yang menganalisis konten lalu lintas email. Dalam lingkungan korporasi, investasi semacam itu dianggap anomali.
5. : tautan spearphishing
Penggunaan tautan phishing. Teknik ini melibatkan penyerang mengirimkan email phishing dengan tautan yang, ketika diklik, akan mengunduh program jahat. Biasanya, tautan tersebut disertai dengan teks yang disusun sesuai dengan semua aturan rekayasa sosial.
Apa yang dilakukan PT NAD?: Mendeteksi tautan phishing menggunakan indikator kompromi. Misalnya, pada antarmuka PT NAD, kita melihat sesi di mana terdapat koneksi HTTP melalui tautan yang termasuk dalam daftar alamat phishing (url phishing).
Koneksi melalui tautan dari daftar indikator kompromi url phishing
6. : hubungan kepercayaan
Akses ke jaringan korban melalui pihak ketiga yang mempunyai hubungan terpercaya dengan korban. Penyerang dapat membobol organisasi tepercaya dan menghubungkannya ke jaringan target. Untuk melakukan ini, mereka menggunakan koneksi VPN atau hubungan kepercayaan domain, yang dapat diungkapkan melalui analisis lalu lintas.
Apa yang dilakukan PT NAD?: mem-parsing protokol aplikasi dan menyimpan bidang yang diurai ke database, sehingga analis keamanan informasi dapat menggunakan filter untuk menemukan semua koneksi VPN yang mencurigakan atau koneksi lintas domain di database.
7. : akun yang valid
Menggunakan kredensial standar, lokal, atau domain untuk otorisasi pada layanan eksternal dan internal.
Apa yang dilakukan PT NAD?: secara otomatis mengambil kredensial dari protokol HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Secara umum, ini adalah login, kata sandi, dan tanda otentikasi berhasil. Jika telah digunakan, maka akan ditampilkan di kartu sesi yang sesuai.
Eksekusi
Taktik eksekusi mencakup teknik yang digunakan penyerang untuk mengeksekusi kode pada sistem yang disusupi. Menjalankan kode berbahaya membantu penyerang membangun kehadiran (taktik persistensi) dan memperluas akses ke sistem jarak jauh di jaringan dengan bergerak ke dalam perimeter.
PT NAD memungkinkan Anda mengidentifikasi penggunaan 14 teknik yang digunakan oleh penyerang untuk mengeksekusi kode berbahaya.
1. : CMSTP (Penginstal Profil Manajer Koneksi Microsoft)
Sebuah taktik di mana penyerang menyiapkan file instalasi .inf berbahaya yang dibuat khusus untuk utilitas bawaan Windows CMSTP.exe (Penginstal Profil Manajer Koneksi). CMSTP.exe mengambil file sebagai parameter dan menginstal profil layanan untuk koneksi jarak jauh. Hasilnya, CMSTP.exe dapat digunakan untuk mengunduh dan menjalankan pustaka tautan dinamis (*.dll) atau skriplet (*.sct) dari server jarak jauh.
Apa yang dilakukan PT NAD?: Secara otomatis mendeteksi transmisi file .inf bentuk khusus dalam lalu lintas HTTP. Selain itu, ia mendeteksi transfer HTTP skriplet berbahaya dan pustaka tautan dinamis dari server jauh.
2. : antarmuka baris perintah
Interaksi dengan antarmuka baris perintah. Antarmuka baris perintah dapat berinteraksi secara lokal atau jarak jauh, seperti melalui utilitas akses jarak jauh.
Apa yang dilakukan PT NAD?: secara otomatis mendeteksi keberadaan shell dengan merespons perintah untuk meluncurkan berbagai utilitas baris perintah, seperti ping, ifconfig.
3. : model objek komponen dan COM terdistribusi
Menggunakan teknologi COM atau DCOM untuk mengeksekusi kode pada sistem lokal atau jarak jauh saat melintasi jaringan.
Apa yang dilakukan PT NAD?: Mendeteksi panggilan DCOM mencurigakan yang biasa digunakan penyerang untuk meluncurkan program.
4. : eksploitasi untuk eksekusi klien
Eksploitasi kerentanan untuk mengeksekusi kode arbitrer di stasiun kerja. Eksploitasi yang paling berguna bagi penyerang adalah eksploitasi yang memungkinkan kode dieksekusi pada sistem jarak jauh, karena eksploitasi tersebut dapat digunakan oleh penyerang untuk mendapatkan akses ke sistem tersebut. Teknik ini dapat diterapkan dengan metode berikut: milis berbahaya, situs web dengan eksploitasi untuk browser, dan eksploitasi kerentanan aplikasi dari jarak jauh.
Apa yang dilakukan PT NAD?: saat mengurai lalu lintas email, PT NAD memeriksa keberadaan file yang dapat dieksekusi dalam lampiran. Secara otomatis mengekstrak dokumen kantor dari email yang mungkin berisi eksploitasi. Upaya untuk mengeksploitasi kerentanan terlihat di lalu lintas, yang terdeteksi secara otomatis oleh PT NAD.
5. : mshta
Menggunakan utilitas mshta.exe, yang menjalankan Aplikasi Microsoft HTML (HTA) dengan ekstensi .hta. Karena mshta memproses file melewati pengaturan keamanan browser, penyerang dapat menggunakan mshta.exe untuk mengeksekusi file HTA, JavaScript, atau VBScript yang berbahaya.
Apa yang dilakukan PT NAD?: File .hta untuk dieksekusi melalui mshta juga dikirimkan melalui jaringan - ini dapat dilihat pada lalu lintas. PT NAD mendeteksi transmisi file berbahaya tersebut secara otomatis. Ini menangkap file, dan informasi tentangnya dapat dilihat di kartu sesi.
6. : PowerShell
Menggunakan PowerShell untuk mencari informasi dan mengeksekusi kode berbahaya.
Apa yang dilakukan PT NAD?: Ketika PowerShell digunakan oleh penyerang dari jarak jauh, PT NAD mendeteksinya menggunakan aturan. Ini mendeteksi kata kunci bahasa PowerShell yang paling umum digunakan dalam skrip berbahaya dan transmisi skrip PowerShell melalui SMB.
7. : tugas terjadwal
Gunakan Penjadwal Tugas Windows dan utilitas lainnya untuk menjalankan program atau skrip secara otomatis pada waktu tertentu.
Apa yang dilakukan PT NAD?: penyerang membuat tugas seperti itu, biasanya dari jarak jauh, yang berarti sesi tersebut terlihat di lalu lintas. PT NAD secara otomatis mendeteksi pembuatan tugas mencurigakan dan operasi modifikasi menggunakan antarmuka RPC ATSVC dan ITaskSchedulerService.
8. : skrip
Eksekusi skrip untuk mengotomatiskan berbagai tindakan penyerang.
Apa yang dilakukan PT NAD?: mendeteksi transmisi skrip melalui jaringan, bahkan sebelum diluncurkan. Ini mendeteksi konten skrip dalam lalu lintas mentah dan mendeteksi transmisi jaringan file dengan ekstensi yang sesuai dengan bahasa skrip populer.
9. : eksekusi layanan
Jalankan file yang dapat dieksekusi, instruksi CLI, atau skrip dengan berinteraksi dengan layanan Windows, seperti Service Control Manager (SCM).
Apa yang dilakukan PT NAD?: memeriksa lalu lintas SMB dan mendeteksi permintaan ke SCM berdasarkan aturan untuk membuat, memodifikasi, dan memulai layanan.
Teknik untuk memulai layanan dapat diimplementasikan menggunakan utilitas eksekusi perintah jarak jauh PSExec. PT NAD mengurai protokol SMB dan mendeteksi penggunaan PSExec ketika menggunakan file PSEXESVC.exe atau nama layanan standar PSEXECSVC untuk mengeksekusi kode pada mesin jarak jauh. Pengguna perlu memeriksa daftar perintah yang dijalankan dan keabsahan eksekusi perintah jarak jauh dari host.
Kartu serangan di PT NAD menampilkan data taktik dan teknik yang digunakan oleh matriks ATT&CK sehingga pengguna dapat memahami tahap serangan apa yang dilakukan penyerang, tujuan apa yang mereka kejar, dan tindakan kompensasi apa yang harus diambil.
Aktivasi aturan tentang penggunaan utilitas PSExec, yang mungkin menunjukkan upaya untuk menjalankan perintah pada mesin jarak jauh
10. : perangkat lunak pihak ketiga
Sebuah teknik di mana penyerang mendapatkan akses ke perangkat lunak administrasi jarak jauh atau sistem penerapan perangkat lunak perusahaan dan menggunakannya untuk menjalankan kode berbahaya. Contoh softwarenya : SCCM, VNC, TeamViewer, HBSS, Altiris.
Omong-omong, teknik ini sangat relevan sehubungan dengan transisi besar-besaran ke pekerjaan jarak jauh dan, sebagai akibatnya, koneksi banyak perangkat rumah yang tidak terlindungi melalui saluran akses jarak jauh yang meragukan.
Apa yang dilakukan PT NAD?: Secara otomatis mendeteksi pengoperasian perangkat lunak tersebut di jaringan. Misalnya, aturan dipicu oleh fakta koneksi melalui protokol VNC dan aktivitas Trojan EvilVNC, yang diam-diam menginstal server VNC di host korban dan secara otomatis memulainya. Selain itu, PT NAD secara otomatis mendeteksi protokol TeamViewer, yang membantu analis menemukan semua sesi tersebut menggunakan filter dan memeriksa keabsahannya.
11. : eksekusi pengguna
Sebuah teknik di mana pengguna menjalankan file yang dapat menyebabkan kode dieksekusi. Hal ini dapat terjadi, misalnya, jika ia membuka file yang dapat dieksekusi atau menjalankan dokumen Office dengan makro.
Apa yang dilakukan PT NAD?: melihat file tersebut pada tahap transfer, sebelum diluncurkan. Informasi tentang mereka dapat dipelajari di kartu sesi di mana mereka dikirimkan.
12. : Instrumen Manajemen Windows
Menggunakan alat WMI, yang menyediakan akses lokal dan jarak jauh ke komponen sistem Windows. Dengan menggunakan WMI, penyerang dapat berinteraksi dengan sistem lokal dan jarak jauh dan melakukan berbagai tugas, seperti mengumpulkan informasi untuk tujuan intelijen dan meluncurkan proses dari jarak jauh selama pergerakan lateral.
Apa yang dilakukan PT NAD?: Karena interaksi dengan sistem jarak jauh melalui WMI terlihat dalam lalu lintas, PT NAD secara otomatis mendeteksi permintaan jaringan untuk membuat sesi WMI dan memeriksa lalu lintas untuk mengetahui apakah skrip yang menggunakan WMI sedang dikirim.
13. : Manajemen Jarak Jauh Windows
Menggunakan layanan dan protokol Windows yang memungkinkan pengguna berinteraksi dengan sistem jarak jauh.
Apa yang dilakukan PT NAD?: Melihat koneksi jaringan yang dibuat menggunakan Manajemen Jarak Jauh Windows. Sesi tersebut terdeteksi secara otomatis oleh aturan.
14. : Pemrosesan skrip XSL (Extensible Stylesheet Language).
Bahasa markup gaya XSL digunakan untuk menjelaskan pemrosesan dan rendering data dalam file XML. Untuk mendukung operasi yang kompleks, standar XSL menyertakan dukungan untuk skrip inline dalam berbagai bahasa. Bahasa-bahasa ini memungkinkan eksekusi kode arbitrer, yang melewati kebijakan keamanan yang masuk daftar putih.
Apa yang dilakukan PT NAD?: mendeteksi transmisi file tersebut melalui jaringan, bahkan sebelum diluncurkan. Secara otomatis mendeteksi transmisi file XSL melalui jaringan dan file dengan markup XSL yang tidak wajar.
Pada materi berikut, kita akan melihat bagaimana sistem PT Network Attack Discovery NTA menemukan taktik dan teknik penyerang lain sesuai dengan MITER ATT & CK. Pantau terus!
Penulis:
- Anton Kutepov, spesialis pusat keamanan ahli (PT Expert Security Center) Teknologi Positif
- Natalia Kazankova, pemasar produk di Positive Technologies
Sumber: www.habr.com