, ihe ka n'ọnụ ọgụgụ (87%) nke ihe nchebe ozi na-eme n'ime nkeji nkeji, na maka 68% nke ụlọ ọrụ ọ na-ewe ọnwa iji chọpụta ha. E gosipụtara nke a site na , dịka nke ọ na-ewe ọtụtụ ụlọ ọrụ ihe dịka ụbọchị 206 iji chọpụta ihe merenụ. Dabere na ahụmịhe nke nyocha anyị, ndị na-agba ọsọ nwere ike ijikwa akụrụngwa nke ụlọ ọrụ ruo ọtụtụ afọ na-enweghị achọpụtara ya. Ya mere, n'otu n'ime ụlọ ọrụ ebe ndị ọkachamara anyị nyochara ihe gbasara nchekwa ozi, ekpughere na ndị na-agba ọsọ na-achịkwa akụrụngwa niile nke nzukọ ahụ ma na-ezu ohi ozi dị mkpa mgbe niile. .
Ka anyị kwuo na ịnweelarị SIEM na-agba ọsọ nke na-anakọta ndekọ na nyocha ihe omume, na etinyere sọftụwia antivirus na ọnụ ọnụ. Ka o sina dị, , dịka ọ na-agaghị ekwe omume ịmejuputa usoro EDR na netwọk dum, nke pụtara na enweghị ike izere ntụpọ "ìsì". Usoro nyocha okporo ụzọ netwọkụ (NTA) na-enyere aka ịnagide ha. Ngwọta ndị a na-achọpụta ọrụ onye na-awakpo n'oge mbụ nke ntinye netwọkụ, yana n'oge mbọ iji nweta ntọala na ịzụlite ọgụ n'ime netwọkụ ahụ.
Enwere ụdị NTTA abụọ: ụfọdụ na-arụ ọrụ na NetFlow, ndị ọzọ na-enyocha okporo ụzọ raw. Uru nke usoro nke abụọ bụ na ha nwere ike ịchekwa ndekọ okporo ụzọ okporo ụzọ. N'ihi nke a, onye ọkachamara na-ahụ maka nchekwa ozi nwere ike ịchọpụta ihe ịga nke ọma nke mwakpo ahụ, kọwaa ihe iyi egwu ahụ, ghọta otú mwakpo ahụ si mee na otu esi egbochi ihe yiri nke ahụ n'ọdịnihu.
Anyị ga-egosi otu esi eji NTA ị nwere ike iji ihe akaebe na-apụtaghị ìhè ma ọ bụ na-apụtaghị ìhè iji chọpụta ụzọ ọgụ niile amaara akọwara na ntọala ihe ọmụma. . Anyị ga-ekwu maka nke ọ bụla n'ime ụzọ iri na abụọ ahụ, nyochaa usoro nke okporo ụzọ na-achọpụta, ma gosipụta nchọpụta ha site na iji usoro NTA anyị.
Banyere ntọala ihe ọmụma ATT&CK
MITER ATT&CK bụ ntọala ihe ọmụma ọha nke ụlọ ọrụ MITER rụpụtara ma na-echekwa dabere na nyocha nke APT dị adị. Ọ bụ usoro atụmatụ na usoro a haziri ahazi nke ndị mwakpo na-eji. Nke a na-enye ohere ndị ọkachamara nchekwa ozi si n'akụkụ ụwa niile na-asụ otu asụsụ. Ebe nchekwa data na-agbasawanye ma na-agbakwunye ya na ihe ọmụma ọhụrụ.
Ebe nchekwa data na-akọwapụta ụzọ iri na abụọ, nke kewara site na nkebi nke mwakpo cyber:
- mbụ ohere;
- ogbugbu;
- nchikota (nkwụsi ike);
- mmụba ihe ùgwù;
- mgbochi nke nchọpụta (mpụpụ nchekwa);
- inweta nzere (nnweta nzere);
- nyocha;
- mmegharị n'ime perimeta (mmegharị mpụta);
- nchịkọta data (mkpokọta);
- iwu na njikwa;
- data exfiltration;
- mmetụta.
Maka ụzọ ọ bụla, isi ihe ọmụma ATT&CK na-edepụta ndepụta nke usoro na-enyere ndị na-awakpo aka imezu ebumnuche ha na ọkwa ugbu a nke mwakpo ahụ. Ebe ọ bụ na a pụrụ iji otu usoro ahụ mee ihe na ọkwa dị iche iche, ọ nwere ike na-ezo aka n'ọtụtụ ụzọ.
Nkọwa nke usoro ọ bụla gụnyere:
- njirimara;
- ndepụta nke usoro eji eme ihe;
- ihe atụ nke iji otu APT;
- usoro iji belata mmebi site na iji ya;
- ndụmọdụ nchọpụta.
Ndị ọkachamara nchekwa ozi nwere ike iji ihe ọmụma sitere na nchekwa data hazie ozi gbasara ụzọ ọgụ ugbu a yana, na-eburu nke a n'uche, wuo usoro nchekwa dị irè. Ịghọta ka ezigbo ndị otu APT si arụ ọrụ nwekwara ike bụrụ isi mmalite nke echiche maka ịchọsi ike maka ihe egwu dị n'ime. .
Banyere PT Network Attack Discovery
Anyị ga-achọpụta ojiji nke usoro site na ATT & CK matrix na-eji usoro - Sistemụ teknụzụ NTA dị mma, emebere iji chọpụta ọgụ na mpaghara na n'ime netwọkụ. PT NAD na-ekpuchi, ruo ogo dị iche iche, ụzọ iri na abụọ nke MITER ATT&CK matrix. Ọ kachasị ike n'ịchọpụta usoro maka ịnweta mbido, mmegharị akụkụ, na iwu na njikwa. N'ime ha, PT NAD na-ekpuchi ihe karịrị ọkara nke usoro ama ama, na-achọpụta ngwa ha site na akara aka ma ọ bụ na-apụtaghị ìhè.
Sistemu na-achọpụta ọgụ site na iji usoro ATT&CK site na iji iwu nchọpụta nke otu ahụ mepụtara (PT ESC), mmụta igwe, ndị na-egosi nkwenye, nyocha miri emi na nyochaghachi azụ. Nyocha okporo ụzọ ozugbo yana nlegharị anya na-enye gị ohere ịchọpụta ọrụ ọjọọ ezoro ezo ugbu a yana usoro mmepe mmepe yana usoro oge ọgụ.
Maapụ zuru oke nke PT NAD na matrix MITER ATT&CK. Foto a buru ibu, yabụ anyị na-atụ aro ka ịlele ya na windo dị iche.
Nnweta izizi
Usoro nnweta mbụ gụnyere usoro iji banye na netwọk ụlọ ọrụ. Ebumnuche nke ndị na-awakpo n'oge a bụ iji nyefee koodu ọjọọ na usoro a wakporo ma hụ na enwere ike igbu ya ọzọ.
Nyocha okporo ụzọ sitere na PT NAD na-ekpughe usoro asaa maka ịnweta mbụ:
1. : mbanye-site nkwekorita
Usoro nke onye a tara ahụhụ na-emepe webụsaịtị nke ndị mwakpo na-eji eme ihe nchọgharị weebụ wee nweta akara ohere ịnweta ngwa.
Kedu ihe PT NAD na-eme?: Ọ bụrụ na ezobeghị okporo ụzọ weebụ, PT NAD na-enyocha ọdịnaya nke nzaghachi sava HTTP. Nzaghachi ndị a nwere nrigbu na-enye ndị na-awakpo ohere ime koodu aka ike n'ime ihe nchọgharị ahụ. PT NAD na-achọpụta ụdị nrigbu ahụ na-akpaghị aka site na iji iwu nchọpụta.
Ọzọkwa, PT NAD na-achọpụta ihe iyi egwu na nzọụkwụ gara aga. A na-akpalite iwu na ihe ngosipụta nke nkwekọrịta ma ọ bụrụ na onye ọrụ gara na saịtị butere ya gaa na saịtị nwere ụyọkọ nrigbu.
2. : na-erigbu ngwa ihu ọha
Nrigbu adịghị ike na ọrụ ndị a na-enweta na ịntanetị.
Kedu ihe PT NAD na-eme?: Na-eme nyocha miri emi nke ọdịnaya nke ngwugwu netwọkụ, na-achọpụta ihe ịrịba ama nke ọrụ na-adịghị mma. Karịsịa, enwere iwu ndị na-enye gị ohere ịchọpụta ọgụ na sistemu njikwa ọdịnaya (CMS), ihe ntanetị nke akụrụngwa netwọkụ, yana ọgụ na mail na sava FTP.
3. : ọrụ dịpụrụ adịpụ
Ndị na-awakpo na-eji ọrụ ohere ime ime jikọọ na akụrụngwa netwọkụ dị n'ime sitere na mpụga.
Kedu ihe PT NAD na-eme?: ebe ọ bụ na sistemụ na-amata ụkpụrụ ọ bụghị site na nọmba ọdụ ụgbọ mmiri, kama site na ọdịnaya nke ngwugwu, ndị ọrụ sistemụ nwere ike nyochaa okporo ụzọ iji chọta oge niile nke usoro ịnweta ohere dịpụrụ adịpụ wee lelee izi ezi ha.
4. : spearphishing mgbakwunye
Anyị na-ekwu maka mgbasa ozi ama ama nke mgbakwunye phishing.
Kedu ihe PT NAD na-eme?: Na-ewepu faịlụ na-akpaghị aka na okporo ụzọ wee lelee ha megide ihe ngosi nke nkwekọrịta. A na-achọpụta faịlụ ndị enwere ike arụ ọrụ na mgbakwunye site na iwu na-enyocha ọdịnaya nke okporo ụzọ ozi. Na gburugburu ụlọ ọrụ, a na-ewere ntinye ego dị otú ahụ dị ka ihe na-adịghị mma.
5. : njikọ spearphishing
Iji njikọ phishing. Usoro a gụnyere ndị na-awakpo izipu email phishing nwere njikọ nke, mgbe ịpịrị ya, na-ebudata mmemme ọjọọ. Dị ka a na-achị, njikọ ahụ na-esonyere ya na ederede chịkọtara dịka iwu niile nke injinịa mmekọrịta mmadụ na ibe ya si dị.
Kedu ihe PT NAD na-eme?: Na-achọpụta njikọ phishing site na iji egosi nkwenye. Dịka ọmụmaatụ, na interface PT NAD anyị na-ahụ nnọkọ ebe enwere njikọ HTTP site na njikọ gụnyere na listi adreesị phishing (phishing-urls).
Njikọ site na njikọ sitere na ndepụta ndị na-egosi imebi phishing-urls
6. : mmekọrịta ntụkwasị obi
Ịnweta netwọk nke onye ahụ tara ahụhụ site na ndị ọzọ nke onye ihe metụtara emeberela mmekọrịta ntụkwasị obi. Ndị na-awakpo nwere ike ịwakpo ụlọ ọrụ tụkwasịrị obi wee jikọọ na netwọk ezubere iche site na ya. Iji mee nke a, ha na-eji njikọ VPN ma ọ bụ ntụkwasị obi ngalaba, nke enwere ike mata site na nyocha okporo ụzọ.
Kedu ihe PT NAD na-eme?: na-atụgharị usoro ngwa ngwa ma chekwaa mpaghara ndị a tụgharịrị n'ime nchekwa data, ka onye nyocha nchekwa ozi wee nwee ike iji nzacha chọta njikọ VPN niile na-enyo enyo ma ọ bụ njikọ ngalaba gafee na nchekwa data.
7. : ezigbo akaụntụ
Iji ọkọlọtọ, mpaghara ma ọ bụ ngalaba nzere maka ikike na ọrụ mpụga na nke ime.
Kedu ihe PT NAD na-eme?: Na-eweghachite nzere na-akpaghị aka na HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocols. N'ozuzu, nke a bụ nbanye, paswọọdụ na ihe ịrịba ama nke nyocha nke ọma. Ọ bụrụ na ejirila ha, egosiri ha na kaadị nnọkọ kwekọrọ.
Egbu
Usoro igbu egbu gụnyere usoro ndị na-awakpo na-eji eme ihe na sistemu emebi emebi. Na-agba ọsọ koodu ọjọọ na-enyere ndị na-awakpo aka guzobe ọnụnọ (nkwụsi ike tactic) ma gbasaa ohere na sistemụ dịpụrụ adịpụ na netwọk site na ịkwaga n'ime oghere.
PT NAD na-enye gị ohere ịchọpụta iji usoro iri na anọ nke ndị mwakpo na-eji mebie koodu ọjọọ.
1. : CMSTP (onye njikwa profaịlụ Microsoft Connection Manager)
Usoro nke ndị na-awakpo na-akwadebe faịlụ INF nrụnye pụrụ iche maka ọrụ Windows arụnyere arụnyere CMSTP.exe (Profile Installer Njikọ Njikọ). CMSTP.exe na-ewere faịlụ ahụ dị ka oke ma tinye profaịlụ ọrụ maka njikọ dịpụrụ adịpụ. N'ihi ya, CMSTP.exe nwere ike iji bulite na mebie dynamic njikọ ọba akwụkwọ (* .dll) ma ọ bụ scriptlet (* .sct) si n'ime ime sava.
Kedu ihe PT NAD na-eme?: Na-achọpụta na mbufe ụdị faịlụ INF pụrụ iche na okporo ụzọ HTTP. Na mgbakwunye na nke a, ọ na-achọpụta nnyefe HTTP nke scriptlets ọjọọ yana ọba akwụkwọ njikọ dị ike sitere na sava dịpụrụ adịpụ.
2. : iwu-akara interface
Mmekọrịta na interface ahịrị iwu. Enwere ike imekọrịta interface ahịrị ahịrị iwu na mpaghara ma ọ bụ nke dịpụrụ adịpụ, dịka ọmụmaatụ site na iji ngwa ịnweta ohere.
Kedu ihe PT NAD na-eme?: na-achọpụta ọnụnọ nke shells na-akpaghị aka dabere na nzaghachi nye iwu ka ịmalite ọrụ ahịrị dị iche iche, dị ka ping, ifconfig.
3. : akụrụngwa ihe nlereanya ma kesaa COM
Iji teknụzụ COM ma ọ bụ DCOM mebie koodu na sistemụ mpaghara ma ọ bụ nke dịpụrụ adịpụ mgbe ị na-aga n'ofe netwọkụ.
Kedu ihe PT NAD na-eme?: Na-achọpụta oku DCOM na-enyo enyo nke ndị na-awakpo na-ejikarị malite mmemme.
4. : nrigbu maka igbu ndị ahịa
Na-erigbu adịghị ike iji mebie koodu aka ike na ebe a na-arụ ọrụ. Ihe kacha baa uru maka ndị na-awakpo bụ ndị na-enye ohere ka e gbuo koodu na sistemụ dịpụrụ adịpụ, n'ihi na ha nwere ike ikwe ka ndị na-awakpo nweta ohere ịnweta usoro ahụ. Enwere ike itinye usoro a site na iji ụzọ ndị a: nzipu ozi ọjọọ, webụsaịtị nwere ihe nchọgharị, na nrigbu ngwa ngwa.
Kedu ihe PT NAD na-eme?: Mgbe ị na-atụgharị okporo ụzọ mail, PT NAD na-enyocha ya maka ọnụnọ faịlụ nwere ike ime na mgbakwunye. Na-ewepu akwụkwọ ụlọ ọrụ na-akpaghị aka na ozi-e nwere ike ịnwe nrigbu. Mgbalị iji ihe adịghị ike na-ahụ anya na okporo ụzọ, nke PT NAD na-achọpụta na-akpaghị aka.
5. : mshta
Jiri mshta.exe utility, nke na-eji ngwa Microsoft HTML (HTA) na-eji ndọtị .hta. N'ihi na mshta na-ahazi faịlụ na-agafe ntọala nchekwa ihe nchọgharị, ndị na-awakpo nwere ike iji mshta.exe mebie faịlụ HTA, Javascript, ma ọ bụ VBScript ọjọọ.
Kedu ihe PT NAD na-eme?: .hta faịlụ maka igbu site na mshta na-ebufekwa na netwọk - nke a nwere ike ịhụ na okporo ụzọ. PT NAD na-achọpụta nnyefe nke faịlụ ọjọọ dị otú ahụ na-akpaghị aka. Ọ na-eweghara faịlụ, na ozi gbasara ha nwere ike ịhụ na kaadị nnọkọ.
6. Ihe: PowerShell
Iji PowerShell chọta ozi wee mebie koodu ọjọọ.
Kedu ihe PT NAD na-eme?: Mgbe ndị na-awakpo dịpụrụ adịpụ na-eji PowerShell, PT NAD na-achọpụta nke a site na iji iwu. Ọ na-achọpụta mkpụrụokwu asụsụ PowerShell nke a na-ejikarị na edemede ọjọọ yana nnyefe nke scripts PowerShell n'elu usoro SMB.
7. : ọrụ akwadoro
Iji Windows Task Scheduler na akụrụngwa ndị ọzọ na-eme mmemme ma ọ bụ edemede na-akpaghị aka n'oge a kapịrị ọnụ.
Kedu ihe PT NAD na-eme?: ndị na-awakpo na-emepụta ọrụ ndị dị otú ahụ, na-emekarị n'ebe dị anya, nke pụtara na a na-ahụ oge dị otú ahụ na okporo ụzọ. PT NAD na-achọpụta ọrụ enyo na-enyo enyo na arụ ọrụ mgbanwe site na iji ATSVC na ITaskSchedulerService RPC interfaces.
8. : scripting
Egbu nke scripts ka akpaaka omume dị iche iche nke ndị mwakpo.
Kedu ihe PT NAD na-eme?: na-achọpụta nnyefe nke scripts na netwọk, ya bụ, ọbụna tupu ha amalite. Ọ na-achọpụta ọdịnaya script dị na okporo ụzọ dị ndụ ma chọpụta nnyefe netwọkụ nke faịlụ nwere ndọtị dabara na asụsụ edemede ewu ewu.
9. : ogbugbu ọrụ
Gbaa faịlụ arụrụ arụ ọrụ, ntuziaka interface interface, ma ọ bụ script site na iji ọrụ Windows na-emekọrịta ihe, dị ka Njikwa njikwa ọrụ (SCM).
Kedu ihe PT NAD na-eme?: na-enyocha okporo ụzọ SMB ma chọpụta ohere ịnweta SCM na iwu maka ịmepụta, ịgbanwe na ịmalite ọrụ.
Enwere ike itinye usoro mmalite ọrụ site na iji ngwa mmebe iwu dịpụrụ adịpụ PSExec. PT NAD na-enyocha usoro SMB wee chọpụta ojiji nke PSExec mgbe ọ na-eji faịlụ PSEXESVC.exe ma ọ bụ aha ọrụ PSEXECSVC ọkọlọtọ iji mebie koodu na igwe dịpụrụ adịpụ. Onye ọrụ kwesịrị ịlele ndepụta nke iwu ndị egburu na izi ezi nke mkpochapụ iwu dịpụrụ adịpụ site n'aka onye ọbịa.
Kaadị mwakpo ahụ dị na PT NAD na-egosiputa data na ụzọ na usoro eji dị ka matrix ATT&CK si dị ka onye ọrụ wee nwee ike ịghọta ụdị ọgụ nke ndị mwakpo ahụ nọ, ebumnuche ha na-achụ, yana usoro nkwụghachi ụgwọ ọ ga-ewe.
A kpalitere iwu gbasara iji ngwa PSExec, nke nwere ike igosi mbọ iji mebie iwu na igwe dịpụrụ adịpụ.
10. : ngwanrọ nke ndị ọzọ
Usoro nke ndị na-awakpo na-enweta ohere ịnweta ngwanrọ nchịkwa dịpụrụ adịpụ ma ọ bụ usoro ntinye ngwa ngwa ụlọ ọrụ ma jiri ya mee koodu ọjọọ. Ọmụmaatụ nke ngwa ngwa: SCCM, VNC, TeamViewer, HBSS, Altiris.
Site n'ụzọ, usoro ahụ dị mkpa karịsịa n'ihe metụtara nnukwu mgbanwe na ọrụ dịpụrụ adịpụ yana, n'ihi ya, njikọ nke ọtụtụ ngwaọrụ ụlọ na-enweghị nchebe site na ọwa ohere dịpụrụ adịpụ.
Kedu ihe PT NAD na-eme?: na-achọpụta na-akpaghị aka na-arụ ọrụ nke software dị otú ahụ na netwọk. Dịka ọmụmaatụ, a na-ebute iwu site na njikọ site na VNC protocol na ọrụ nke EvilVNC Trojan, nke na-etinye ihe nkesa VNC na nzuzo na onye na-elekọta onye ahụ na-ebupụta ya na-akpaghị aka. Ọzọkwa, PT NAD na-achọpụta ngwa ngwa TeamViewer protocol, nke a na-enyere onye nyocha aka, na-eji nzacha, chọta oge niile dị otú ahụ wee lelee izi ezi ha.
11. : ogbugbu onye ọrụ
Usoro nke onye ọrụ na-agba ọsọ faịlụ nwere ike iduga mkpochapụ koodu. Nke a nwere ike ịbụ, dịka ọmụmaatụ, ọ bụrụ na ọ mepee faịlụ nwere ike ime ma ọ bụ jiri nnukwu macro rụọ akwụkwọ ọfịs.
Kedu ihe PT NAD na-eme?: na-ahụ faịlụ ndị dị otú ahụ na ọkwa mbufe, tupu ewepụta ha. Enwere ike mụọ ozi gbasara ha na kaadị nke oge a na-ebufe ha.
12. : Windows Management Instrumentation
Iji ngwa WMI, nke na-enye ohere ime obodo na nke dịpụrụ adịpụ na sistemụ Windows. N'iji WMI, ndị na-awakpo nwere ike iji usoro mpaghara na nke dịpụrụ adịpụ na-emekọrịta ihe ma rụọ ọrụ dị iche iche, dị ka ịchịkọta ozi maka nlegharị anya na ịmalite usoro dịpụrụ adịpụ mgbe ha na-aga n'ihu.
Kedu ihe PT NAD na-eme?: Ebe ọ bụ na mmekọrịta ya na sistemu dịpụrụ adịpụ site na WMI na-ahụ anya na okporo ụzọ, PT NAD na-achọpụta arịrịọ netwọk na-akpaghị aka iji guzobe oge WMI ma lelee okporo ụzọ maka scripts na-eji WMI.
13. : Windows Remote Management
Iji ọrụ Windows na protocol na-enye onye ọrụ ohere ịmekọrịta na sistemụ dịpụrụ adịpụ.
Kedu ihe PT NAD na-eme?: Ọ na-ahụ njikọ netwọkụ hiwere site na iji Windows Remote Management. A na-achọpụta oge ndị dị otú ahụ na-akpaghị aka site na iwu.
14. : Nhazi script XSL (Extensible Stylesheet Language).
A na-eji asụsụ akara ụdị XSL kọwaa nhazi na nhụta data dị na faịlụ XML. Iji kwado ọrụ dị mgbagwoju anya, ọkọlọtọ XSL gụnyere nkwado maka edemede agbakwunyere n'asụsụ dị iche iche. Asụsụ ndị a na-enye ohere igbu nke koodu aka ike, nke na-eduga na ngafe nke amụma nchekwa dabere na listi ọcha.
Kedu ihe PT NAD na-eme?: na-achọpụta nnyefe nke faịlụ ndị dị otú ahụ na netwọk, ya bụ, ọbụna tupu ha amalite. Ọ na-achọpụta ozugbo faịlụ XSL na-ebufe na netwọk yana faịlụ nwere akara XSL na-adịghị mma.
N'ime ihe ndị a, anyị ga-eleba anya ka usoro PT Network Attack Discovery NTA si achọta ụzọ na usoro ndị ọzọ na-awakpo dịka MITER ATT & CK si dị. Nọrọ na-ekiri!
Authors:
- Anton Kutepov, ọkachamara na PT Expert Security Center, Teknụzụ Dị Mma
- Natalia Kazankova, onye na-ere ahịa ngwaahịa na Teknụzụ Dị Mma
isi: www.habr.com