ProHoster > Блог > Nchịkwa > Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

(daalụ Sergey G. Brester maka echiche aha sebres)

Ndị ọrụ ibe, ebumnuche nke akụkọ a bụ ịkekọrịta ahụmịhe nke ọrụ nnwale otu afọ nke klas ọhụrụ nke ngwọta IDS dabere na teknụzụ aghụghọ.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Iji nọgide na-enwe ezi uche na-arụkọ ọrụ nke ngosi nke ihe, m na-ewere na ọ dị mkpa na-amalite na ogige. Ya mere, nsogbu:

  1. Mwakpo ezubere iche bụ ụdị ọgụ kachasị dị ize ndụ, n'agbanyeghị na òkè ha na mkpokọta egwu egwu dị ntakịrị.
  2. Ọnweghị ụzọ dị mma eji echekwa gburugburu (ma ọ bụ otu ụdị ụzọ) emebebeghị.
  3. Dịka iwu, mwakpo ezubere iche na-ewere ọnọdụ n'ọtụtụ ọkwa. Imeri gburugburu bụ naanị otu n'ime ọkwa mbụ, nke (ị nwere ike ịtụ m nkume) adịghị emebi "onye a tara ahụhụ", ọ gwụla ma, n'ezie, ọ bụ DEoS (mbibi ọrụ) ọgụ (encryptors, wdg). .). Ezigbo "mgbu" na-amalite mgbe e mesịrị, mgbe a na-amalite iji akụ ndị ahụ ejidere mee ihe maka ịmepụta na ịmepụta ọgụ "omimi", ma anyị ahụghị nke a.
  4. Ebe ọ bụ na anyị na-amalite ịta ahụhụ n'ezie mgbe ndị mwakpo mechara rute ebumnobi nke mwakpo ahụ (sava ​​ngwa, DBMS, ụlọ nkwakọba ihe data, ebe nchekwa, ihe akụrụngwa dị oke egwu), ọ bụ ihe ezi uche dị na ya na otu n'ime ọrụ nke ọrụ nchekwa ozi bụ ịkwụsị ọgụ tupu. ihe omume a dị mwute. Ma ka ị kwụsịtụ ihe, ị ga-ebu ụzọ chọpụta banyere ya. Na ngwa ngwa, ka mma.
  5. N'ihi ya, maka ijikwa ihe ize ndụ na-aga nke ọma (ya bụ, ibelata mmebi site na mwakpo ezubere iche), ọ dị oke mkpa ịnweta ngwaọrụ ndị ga-enye TTD kacha nta (oge iji chọpụta - oge site na oge ntinye aka ruo mgbe achọpụtara mwakpo ahụ). Dabere na ụlọ ọrụ na mpaghara, oge a bụ ụbọchị 99 na US, ụbọchị 106 na mpaghara EMEA, ụbọchị 172 na mpaghara APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
  6. Kedu ihe ahịa na-enye?
    • "Sandboxes". Njikwa mgbochi ọzọ, nke na-adịchaghị mma. Enwere ọtụtụ usoro dị irè maka ịchọpụta na ịgafe igbe ájá ma ọ bụ ihe ngwọta ọcha. Ụmụ okorobịa si "akụkụ gbara ọchịchịrị" ka bụ otu nzọụkwụ n'ihu ebe a.
    • UEBA (usoro maka ịkọwapụta omume na ịchọpụta ndịiche) - na tiori, nwere ike ịdị irè nke ukwuu. Mana, n'uche nke m, nke a bụ oge n'ọdịnihu dị anya. Na omume, nke a ka dị oke ọnụ, enweghị ntụkwasị obi ma chọọ IT tozuru oke ma kwụsie ike na akụrụngwa nchekwa ozi, nke nwerelarị ngwaọrụ niile ga-ewepụta data maka nyocha omume.
    • SIEM bụ ngwá ọrụ dị mma maka nyocha, ma ọ nweghị ike ịhụ ma gosipụta ihe ọhụrụ na nke mbụ n'oge kwesịrị ekwesị, n'ihi na iwu mmekọrịta dị ka mbinye aka.

  7. N'ihi ya, a chọrọ ngwá ọrụ nke ga-:
    • rụọ ọrụ nke ọma n'ọnọdụ nke gburugburu emebiela,
    • achọpụtara ọgụ na-aga nke ọma n'oge dị nso, n'agbanyeghị ngwaọrụ na adịghị ike ejiri,
    • adabereghị na mbinye aka / iwu / edemede / amụma / profaịlụ na ihe ndị ọzọ kwụ ọtọ,
    • achọghị nnukwu data na isi mmalite ha maka nyocha,
    • ga-ekwe ka a kọwapụta mwakpo ọ bụghị dị ka ụdị ihe egwu dị egwu n'ihi ọrụ nke "kachasị mma n'ụwa, patented na ya mere mgbakọ na mwepụ mechiri emechi", nke chọrọ nyocha ọzọ, mana ọ fọrọ nke nta ka ọ bụrụ ihe omume ọnụọgụ abụọ - “Ee, a na-awakpo anyị" ma ọ bụ "Mba, ihe niile dị mma",
    • bụ zuru ụwa ọnụ, nke ọma scalable na ike imejuputa atumatu na ụdị ọ bụla dị iche iche gburugburu ebe obibi, n'agbanyeghị anụ ahụ na ezi uche netwọk topology eji.

Ihe a na-akpọ ngwọta aghụghọ na-agba mbọ ugbu a maka ọrụ nke ngwá ọrụ dị otú ahụ. Ya bụ, ngwọta dabeere na ezi ochie echiche nke honeypots, ma na a kpamkpam dị iche iche larịị nke mmejuputa iwu. Isiokwu a bụ n'ezie na ịrị elu ugbu a.

Dị ka nsonaazụ ya Mgbakọ njikwa Gartner Security&Risc 2017 A na-etinye ihe ngwọta aghụghọ n'ime atụmatụ TOP 3 na ngwaọrụ ndị a tụrụ aro ka e jiri ya mee ihe.

Dị ka akụkọ si kwuo TAG Cybersecurity Kwa afọ 2017 Aghụghọ bụ otu n'ime isi ntụziaka nke mmepe nke IDS Intrusion Detection Systems) ngwọta.

Akụkụ dum nke ikpeazụ Cisco State of IT Security Report, raara onwe ya nye SCADA, dabere na data sitere na otu n'ime ndị isi na ahịa a, TrapX Security (Israel), ngwọta nke na-arụ ọrụ na mpaghara ule anyị otu afọ.

TrapX Deception Grid na-enye gị ohere ịkwụ ụgwọ ma rụọ ọrụ IDS kesara nke ọma na etiti, na-abawanyeghị ibu ikike na ihe achọrọ maka akụrụngwa ngwaike. N'ezie, TrapX bụ onye nrụpụta nke na-enye gị ohere ịmepụta site na akụkụ nke akụrụngwa IT dị ugbu a, otu nnukwu usoro maka ịchọpụta ọgụ n'ọtụtụ ụlọ ọrụ, ụdị netwọọkụ kesara ekesa.

Ngwọta Ngwọta

N'ime ụlọ nyocha anyị, anyị na-amụ ma na-anwale ngwaahịa ọhụrụ dị iche iche na ngalaba nchekwa IT. Ugbu a, a na-ebugharị ihe dị ka sava 50 dị iche iche ebe a, gụnyere TrapX Deception Grid components.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Yabụ, site n'elu ruo na ala:

  1. TSOC (TrapX Security Operation Console) bụ ụbụrụ nke sistemụ. Nke a bụ njikwa njikwa etiti nke a na-eme nhazi, ntinye ihe ngwọta na ọrụ niile kwa ụbọchị. Ebe ọ bụ na nke a bụ ọrụ webụ, enwere ike ibuga ya ebe ọ bụla - na gburugburu, igwe ojii ma ọ bụ na onye na-eweta MSSP.
  2. Ngwa TrapX (TSA) bụ sava mebere nke anyị na-ejikọ, na-eji ọdụ ụgbọ mmiri, subnets ndị ahụ anyị chọrọ iji nleba anya kpuchie. Ọzọkwa, ihe mmetụta netwọkụ anyị niile “na-ebi” ebe a.

    Ụlọ nyocha anyị nwere otu TSA etinyere (mwsapp1), mana n'eziokwu enwere ike ịnwe ọtụtụ. Nke a nwere ike ịdị mkpa na netwọkụ buru ibu ebe enweghị njikọ L2 n'etiti ngalaba (ihe atụ a na-ahụkarị bụ "Njide na ndị enyemaka" ma ọ bụ "ụlọ ọrụ ụlọ akụ na alaka") ma ọ bụ ma ọ bụrụ na netwọk nwere akụkụ dịpụrụ adịpụ, dịka ọmụmaatụ, usoro nchịkwa na-akpaghị aka. N'ime ngalaba / ngalaba ọ bụla, ị nwere ike ibuga TSA nke gị wee jikọọ ya na otu TSOC, ebe a ga-ahazi ozi niile n'etiti. Ihe owuwu a na-enye gị ohere iwulite sistemụ nleba anya na-ekesa na-enweghị mkpa ịhazigharị netwọkụ ahụ kpamkpam ma ọ bụ mebie nkewa dị adị.

    Ọzọkwa, anyị nwere ike nyefee nnomi nke okporo ụzọ na-apụ apụ na TSA site na TAP/SPAN. Ọ bụrụ na anyị chọpụta njikọ na botnets amaara, iwu na sava njikwa, ma ọ bụ oge TOR, anyị ga-enwetakwa nsonaazụ na njikwa. Sensọ ọgụgụ isi netwọk (NIS) bụ maka nke a. Na gburugburu ebe obibi anyị, a na-arụ ọrụ a na firewall, n'ihi ya, anyị ejighị ya ebe a.

  3. Ọnyà ngwa (Os zuru ezu) – ebe nchekwa mmanụ aṅụ ọdịnala dabere na sava Windows. Ịchọghị ọtụtụ n'ime ha, ebe ọ bụ na isi ebumnuche nke sava ndị a bụ ịnye ọrụ IT na ihe mmetụta na-esote ma ọ bụ chọpụta mwakpo na ngwa azụmahịa nke enwere ike ibuga na gburugburu Windows. Anyị nwere otu ihe nkesa dị otú ahụ arụnyere na ụlọ nyocha anyị (FOS01)

    Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

  4. Ọnyà emulated bụ akụkụ bụ isi nke ngwọta, nke na-enye anyị ohere, iji otu igwe mebere, mepụta “ubi ogbunigwe” dị oke egwu maka ndị na-awakpo wee mejupụta netwọọdụ ụlọ ọrụ, ndị vlan ya niile, yana ihe mmetụta anyị. Onye na-awakpo ahụ na-ahụ ihe mmetụta dị otú ahụ, ma ọ bụ onye ọbịa, dị ka ezigbo Windows PC ma ọ bụ ihe nkesa, Linux nkesa ma ọ bụ ngwaọrụ ọzọ anyị kpebiri igosi ya.

    Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

    Maka ọdịmma nke azụmahịa na n'ihi ọchịchọ ịmata ihe, anyị wepụrụ "otu ụzọ nke ihe ọ bụla e kere eke" - Windows PC na sava nke ụdị dị iche iche, Linux sava, ATM nwere Windows agbakwunyere, SWIFT Web Access, netwọk na ngwa nbipute, a Cisco mgba ọkụ, igwefoto Axis IP, MacBook, PLC - ngwaọrụ na ọbụna bọlbụ smart. Enwere ndị ọbịa iri na atọ na mkpokọta. N'ozuzu, onye na-ere ahịa na-atụ aro ka itinye ihe mmetụta dị otú ahụ na ọnụọgụ nke ma ọ dịkarịa ala 13% nke ọnụ ọgụgụ nke ezigbo ndị ọbịa. Ogwe dị n'elu bụ oghere adreesị dị.

    Ihe dị ezigbo mkpa bụ na onye ọ bụla ọbịa dị otú ahụ abụghị igwe mebere zuru oke nke chọrọ akụrụngwa na ikike. Nke a bụ aghụghọ, emulation, otu usoro dị na TSA, nke nwere ntọala nke parampat na adreesị IP. Ya mere, site n'enyemaka nke ọbụna otu TSA, anyị nwere ike saturate netwọk na ọtụtụ narị ndị dị otú ahụ phantom usu, nke ga-arụ ọrụ dị ka sensọ na mkpu usoro. Ọ bụ nkà na ụzụ a na-eme ka o kwe omume ị nweta ọnụ ahịa nke ọma n'ịba ụba echiche nke mmanụ aṅụ n'ofe nnukwu ụlọ ọrụ ọ bụla ekesara.

    Site n'echiche onye mwakpo, ndị ọbịa a mara mma n'ihi na ha nwere adịghị ike ma yie ka ọ bụ ebumnuche dị mfe. Onye na-awakpo ahụ na-ahụ ọrụ na ndị ọbịa a ma nwee ike soro ha na-emekọrịta ihe ma wakpo ha site na iji ngwá ọrụ na ụkpụrụ (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Mana ọ gaghị ekwe omume iji ndị ọbịa a mepụta ọgụ ma ọ bụ mee koodu nke gị.

  5. Nchikota nke teknụzụ abụọ a (FullOS na ọnyà eṅomiri) na-enye anyị ohere ịnweta ohere ndekọ ọnụ ọgụgụ dị elu na onye na-awakpo ga-emecha nweta ụfọdụ akụkụ nke netwọk mgbaàmà anyị. Mana kedu ka anyị ga-esi jide n'aka na ihe gbasara nke puru omume dị nso 100%?

    Ihe a na-akpọ Deception token na-abanye n'ọgụ ahụ. Ekele dịrị ha, anyị nwere ike ịgụnye PC na sava nke ụlọ ọrụ niile dị na IDS anyị ekesara. A na-etinye akara ngosi na PC ndị ọrụ. Ọ dị mkpa ịghọta na tokens abụghị ndị ọrụ na-eri ihe onwunwe ma nwee ike ịkpata esemokwu. Tokens bụ ihe ọmụma na-agafe agafe, ụdị "achịcha achịcha" maka akụkụ ọgụ nke na-eduga ya n'ime ọnyà. Dịka ọmụmaatụ, draịva netwọk mapụtara, ibe edokọbara na ndị nchịkwa weebụ adịgboroja na ihe nchọgharị ahụ wee chekwaa okwuntughe maka ha, echekwara ssh/rdp/winscp sessions, ọnyà anyị nwere nkọwa na faịlụ ndị ọbịa, okwuntughe echekwara na ebe nchekwa, nzere nke ndị ọrụ adịghị adị, ụlọ ọrụ faịlụ, imeghe nke ga-akpalite usoro, na ọtụtụ ndị ọzọ. Ya mere, anyị na-etinye onye na-awakpo ahụ na gburugburu ebe gbagọrọ agbagọ, jupụtara na vectors ọgụ ndị na-adịghị etinye anyị egwu n'ezie, kama nke ahụ. O nweghịkwa ụzọ isi mata ebe ozi ahụ bụ eziokwu na ebe ọ bụ ụgha. Ya mere, ọ bụghị naanị na anyị na-ahụ na nchọpụta ngwa ngwa nke mwakpo, kamakwa anyị na-ebelata ọganihu ya nke ukwuu.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"
Ihe atụ nke ịmepụta ọnyà netwọkụ na ịtọlite ​​​​token. interface enyi na enyi na enweghị ndezi akwụkwọ ntuziaka nke nhazi, scripts, wdg.

Na gburugburu ebe obibi anyị, anyị na-ahazi ma tinye ọtụtụ akara ngosi dị otú ahụ na FOS01 na-agba ọsọ Windows Server 2012R2 na PC ule na-agba ọsọ Windows 7. RDP na-agba ọsọ na igwe ndị a ma anyị "kpọgidere" ha n'oge DMZ, ebe ọtụtụ ihe mmetụta anyị. (emulated ọnyà) na-egosipụtakwa. Ya mere, anyị na-enweta ọtụtụ ihe omume mgbe niile, dị ka a pụrụ isi kwuo ya.

Yabụ, ebe a bụ ụfọdụ ọnụ ọgụgụ dị ngwa maka afọ:

56 - e dekọrọ ihe omume,
2 - achọpụtara ndị ọbịa isi mmalite ọgụ.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"
Mkpakọrịta, maapụ ọgụ enwere ike ịpị

N'otu oge ahụ, ngwọta adịghị emepụta ụdị mega-log ma ọ bụ ihe omume mmemme, nke na-ewe ogologo oge ịghọta. Kama, ihe ngwọta n'onwe ya na-ekewa ihe omume site n'ụdị ha ma na-enye ndị ọrụ nchekwa ozi ohere ilekwasị anya na nke kachasị dị ize ndụ - mgbe onye na-awakpo ahụ na-agbalị ịkwalite nnọkọ nchịkwa (mmekọrịta) ma ọ bụ mgbe ọnụọgụ abụọ (ọrịa) pụtara na okporo ụzọ anyị.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

A na-agụ ma gosipụta ozi niile gbasara ihe omume, n'uche nke m, n'ụdị dị mfe nghọta ọbụna maka onye ọrụ nwere ihe ọmụma bụ isi na ngalaba nchekwa ozi.

Ọtụtụ n'ime ihe ndị a na-edekọ bụ mbọ iji nyochaa ndị ọbịa anyị ma ọ bụ njikọ otu.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Ma ọ bụ na-anwa ịmanye okwuntughe maka RDP

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Mana enwerekwa okwu ndị na-adọrọ mmasị karị, ọkachasị mgbe ndị mwakpo “jisiri ike” chepụta paswọọdụ maka RDP wee nweta netwọkụ mpaghara.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Onye mwakpo na-anwa iji psexec mebie koodu.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Onye mwakpo ahụ chọtara nnọkọ echekwara, nke dugara ya n'ọnyà n'ụdị nkesa Linux. Ozugbo ejikọtara ya, yana otu usoro iwu akwadoro, ọ nwara ibibi faịlụ ndekọ niile yana mgbanwe sistemụ kwekọrọ.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Onye na-awakpo na-anwa ịgba ọgwụ SQL n'elu ebe nchekwa mmanụ aṅụ na-eṅomi SWIFT Web Access.

Na mgbakwunye na mwakpo “eke” dị otú ahụ, anyị mekwara ọtụtụ ule nke anyị. Otu n'ime ihe kachasị ekpughe bụ ịnwale oge nchọpụta nke worm netwọk na netwọk. Iji mee nke a, anyị na-eji ngwá ọrụ sitere na GuardiCore akpọrọ Enwe Ofufe Ọrịa. Nke a bụ irighiri netwọkụ nwere ike ịdọrọ Windows na Linux, mana na-enweghị “ụgwọ ịkwụ ụgwọ”.
Anyị wepụrụ ụlọ ọrụ iwu mpaghara, wepụta ihe mbụ nke worm n'otu igwe, wee nweta ọkwa mbụ na njikwa TrapX n'ihe na-erughị otu nkeji na ọkara. TTD 90 sekọnd karịa ụbọchị 106 na nkezi...

N'ihi ike ijikọ na klas nke ngwọta ndị ọzọ, anyị nwere ike isi n'ịchọpụta egwu ngwa ngwa gaa na-azaghachi ha ozugbo.

Dịka ọmụmaatụ, ijikọ na sistemu NAC (Network Access Control) ma ọ bụ na CarbonBlack ga-enye gị ohere iwepụ PC ndị mebiri emebi na netwọkụ ozugbo.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Njikọ na igbe ájá na-enye ohere ka etinye faịlụ ndị metụtara ọgụ na-akpaghị aka maka nyocha.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Mgbakwunye McAfee

Ihe ngwọta nwekwara usoro mmekọ ihe omume arụnyere n'ime ya.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Mana anyị enweghị afọ ojuju na ike ya, yabụ anyị jikọtara ya na HP ArcSight.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Sistemụ tiketi etinyere na-enyere ụwa niile aka ịnagide ihe iyi egwu achọpụtara.

Oghere dị ka ngwá ọrụ nchekwa - 2, ma ọ bụ otu esi ejide APT "na ndụ ndụ"

Ebe ọ bụ na e mepụtara ngwọta ahụ "site na mmalite" maka mkpa nke ụlọ ọrụ gọọmentị na nnukwu ụlọ ọrụ, ọ na-eme ihe n'ụzọ nkịtị ụdị ohere ịnweta ọrụ, ntinye aka na AD, usoro nke akụkọ na-emepe emepe (ihe ngosi ihe omume), orchestration maka. nnukwu ụlọ njide ma ọ bụ ndị na-eweta MSSP.

Kama malitegharịa

Ọ bụrụ na enwere usoro nlekota dị otú ahụ, nke, n'ụzọ ihe atụ, na-ekpuchi azụ anyị, mgbe ahụ, na nkwenye nke gburugburu ihe niile na-amalite. Ihe kachasị mkpa bụ na enwere ezigbo ohere iji dozie nsogbu nchekwa ozi, ọ bụghịkwa ime ihe ga-esi na ya pụta.

isi: www.habr.com

Tinye a comment