, meirihluti (87%) upplýsingaöryggisatvika eiga sér stað á nokkrum mínútum og hjá 68% fyrirtækja tekur það mánuði að greina þau. Þetta er staðfest af , samkvæmt því tekur það flestar stofnanir að meðaltali 206 daga að greina atvik. Byggt á reynslu af rannsóknum okkar geta tölvuþrjótar stjórnað innviðum fyrirtækis í mörg ár án þess að verða varir. Þannig kom í ljós í einni af stofnunum þar sem sérfræðingar okkar rannsökuðu upplýsingaöryggisatvik að tölvuþrjótar stjórnuðu algjörlega öllum innviðum stofnunarinnar og stálu reglulega mikilvægum upplýsingum. .
Segjum að þú sért nú þegar með SIEM í gangi sem safnar annálum og greinir atburði og vírusvarnarhugbúnaður er settur upp á endahnútum. Engu að síður, , alveg eins og það er ómögulegt að innleiða EDR kerfi um allt netið, sem þýðir að ekki er hægt að forðast „blinda“ bletti. Netumferðargreiningarkerfi (NTA) hjálpa til við að takast á við þau. Þessar lausnir greina virkni árásarmanna á fyrstu stigum netkerfis, sem og við tilraunir til að ná fótfestu og þróa árás innan netsins.
Það eru tvenns konar NTA: sumar vinna með NetFlow, aðrar greina óunna umferð. Kosturinn við annað kerfin er að þau geta geymt hráar umferðarskrár. Þökk sé þessu getur upplýsingaöryggissérfræðingur sannreynt árangur árásarinnar, staðfært ógnina, skilið hvernig árásin átti sér stað og hvernig á að koma í veg fyrir svipaða í framtíðinni.
Við munum sýna hvernig með því að nota NTA geturðu notað bein eða óbein sönnunargögn til að bera kennsl á allar þekktar árásaraðferðir sem lýst er í þekkingargrunninum . Við munum tala um hverja af aðferðunum 12, greina aðferðir sem greinast af umferð og sýna uppgötvun þeirra með því að nota NTA kerfið okkar.
Um ATT&CK þekkingargrunninn
MITER ATT&CK er opinber þekkingargrunnur þróaður og viðhaldið af MITER Corporation byggt á greiningu á raunverulegum APTs. Það er skipulagt sett af aðferðum og aðferðum sem árásarmenn nota. Þetta gerir upplýsingaöryggissérfræðingum frá öllum heimshornum kleift að tala sama tungumálið. Gagnagrunnurinn stækkar stöðugt og bætist við nýrri þekkingu.
Gagnagrunnurinn auðkennir 12 aðferðir sem skiptast eftir stigum netárásar:
- upphaflegur aðgangur;
- framkvæmd;
- samþjöppun (þráleiki);
- stigmögnun forréttinda;
- koma í veg fyrir uppgötvun (undanskot í vörnum);
- að fá skilríki (skilríkisaðgangur);
- könnun;
- hreyfing innan jaðarsins (hliðarhreyfing);
- gagnasöfnun (söfnun);
- stjórn og stjórn;
- gagnasíun;
- áhrif.
Fyrir hverja taktík listar ATT&CK þekkingargrunnurinn lista yfir aðferðir sem hjálpa árásarmönnum að ná markmiði sínu á núverandi stigi árásarinnar. Þar sem hægt er að nota sömu tækni á mismunandi stigum getur hún átt við nokkrar aðferðir.
Lýsing á hverri tækni inniheldur:
- auðkenni;
- listi yfir aðferðir sem það er notað í;
- dæmi um notkun APT hópa;
- ráðstafanir til að draga úr skemmdum af notkun þess;
- ráðleggingar um uppgötvun.
Sérfræðingar í upplýsingaöryggi geta nýtt sér þekkingu úr gagnagrunninum til að skipuleggja upplýsingar um núverandi árásaraðferðir og, að teknu tilliti til þess, byggja upp skilvirkt öryggiskerfi. Skilningur á því hvernig raunverulegir APT hópar starfa getur einnig orðið uppspretta tilgátna um fyrirbyggjandi leit að ógnum innan .
Um PT Network Attack Discovery
Við munum bera kennsl á notkun aðferða úr ATT&CK fylkinu með því að nota kerfið — Positive Technologies NTA kerfi, hannað til að greina árásir á jaðar og innan netsins. PT NAD nær yfir, í mismiklum mæli, allar 12 aðferðir MITER ATT&CK fylkisins. Hann er öflugastur í að bera kennsl á tækni við upphafsaðgang, hliðarhreyfingar og stjórn og stjórn. Í þeim nær PT NAD yfir meira en helming af þekktum aðferðum og greinir beitingu þeirra með beinum eða óbeinum merkjum.
Kerfið skynjar árásir með því að nota ATT&CK tækni með því að nota uppgötvunarreglur sem teymið hefur búið til (PT ESC), vélanám, vísbendingar um málamiðlun, djúp greining og afturskyggn greining. Rauntíma umferðargreining ásamt yfirsýn gerir þér kleift að bera kennsl á falinn illgjarn virkni og fylgjast með þróunarvektorum og tímaröð árása.
full kortlagning af PT NAD til MITER ATT&CK fylki. Myndin er stór og því mælum við með að þú skoðir hana í sérstökum glugga.
Upphaflegur aðgangur
Upphafleg aðgangsaðferðir fela í sér tækni til að komast inn í net fyrirtækis. Markmið árásarmanna á þessu stigi er að koma skaðlegum kóða til kerfisins sem ráðist er á og tryggja möguleika á frekari framkvæmd hans.
Umferðargreining frá PT NAD sýnir sjö aðferðir til að fá upphafsaðgang:
1. : málamiðlun um keyrslu
Tækni þar sem fórnarlambið opnar vefsíðu sem er notað af árásarmönnum til að misnota vafra og fá aðgangslykla fyrir forrit.
Hvað gerir PT NAD?: Ef vefumferð er ekki dulkóðuð skoðar PT NAD innihald HTTP netþjónssvara. Þessi svör innihalda hetjudáð sem gerir árásarmönnum kleift að keyra handahófskenndan kóða inni í vafranum. PT NAD skynjar slík hetjudáð sjálfkrafa með því að nota uppgötvunarreglur.
Að auki finnur PT NAD ógnina í fyrra skrefi. Reglur og vísbendingar um málamiðlun eru settar af stað ef notandinn heimsótti síðu sem vísaði honum á síðu með fullt af hetjudáðum.
2. : nýta forrit sem snýr að almenningi
Nýting veikleika í þjónustu sem er aðgengileg af netinu.
Hvað gerir PT NAD?: Framkvæmir djúpa skoðun á innihaldi netpakka og greinir merki um óreglulega virkni. Sérstaklega eru reglur sem gera þér kleift að greina árásir á helstu vefumsjónarkerfi (CMS), vefviðmót netbúnaðar og árásir á póst- og FTP netþjóna.
3. : ytri fjarþjónusta
Árásarmenn nota fjaraðgangsþjónustu til að tengjast innri netauðlindum utan frá.
Hvað gerir PT NAD?: þar sem kerfið þekkir samskiptareglur ekki með gáttarnúmerum, heldur innihaldi pakka, geta kerfisnotendur síað umferð til að finna allar lotur fjaraðgangssamskiptareglur og athugað lögmæti þeirra.
4. : spearphishing viðhengi
Við erum að tala um alræmda sendingu vefveiðaviðhengja.
Hvað gerir PT NAD?: Tekur sjálfkrafa út skrár úr umferð og athugar þær gegn vísbendingum um málamiðlun. Keyranlegar skrár í viðhengjum eru greindar með reglum sem greina innihald póstumferðar. Í fyrirtækjaumhverfi er slík fjárfesting talin afbrigðileg.
5. : spearphishing hlekkur
Að nota phishing tengla. Tæknin felur í sér að árásarmenn senda phishing tölvupóst með hlekk sem, þegar smellt er á hann, hleður niður illgjarnt forriti. Að jafnaði fylgir hlekknum texti sem settur er saman í samræmi við allar reglur félagsverkfræði.
Hvað gerir PT NAD?: Greinir phishing tengla með því að nota vísbendingar um málamiðlun. Til dæmis, í PT NAD viðmótinu sjáum við lotu þar sem HTTP tenging var í gegnum tengil sem er á listanum yfir vefveiðar (phishing-urls).
Tenging með hlekk af listanum yfir vísbendingar um málamiðlun vefveiðavefslóða
6. : traust samband
Aðgangur að neti fórnarlambsins í gegnum þriðja aðila sem fórnarlambið hefur stofnað til trausts sambands við. Árásarmenn geta hakkað inn traust fyrirtæki og tengst marknetinu í gegnum það. Til að gera þetta nota þeir VPN tengingar eða lénstraust, sem hægt er að bera kennsl á með umferðargreiningu.
Hvað gerir PT NAD?: flokkar samskiptareglur forrita og vistar þáttuðu reiti í gagnagrunninn, þannig að upplýsingaöryggissérfræðingur getur notað síur til að finna allar grunsamlegar VPN-tengingar eða tengingar milli léna í gagnagrunninum.
7. : gildar reikningar
Notkun staðlaðra, staðbundinna eða lénsupplýsinga fyrir heimildir á ytri og innri þjónustu.
Hvað gerir PT NAD?: Sækir sjálfkrafa skilríki frá HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos samskiptareglum. Almennt séð er þetta innskráning, lykilorð og merki um árangursríka auðkenningu. Ef þau hafa verið notuð eru þau sýnd á samsvarandi lotuspjaldi.
Framkvæmd
Framkvæmdaraðferðir fela í sér aðferðir sem árásarmenn nota til að keyra kóða á kerfi sem eru í hættu. Að keyra illgjarn kóða hjálpar árásarmönnum að koma á viðveru (viðhaldsaðferð) og auka aðgang að fjarkerfum á netinu með því að færa sig inn í jaðarinn.
PT NAD gerir þér kleift að greina notkun á 14 aðferðum sem árásarmenn nota til að keyra skaðlegan kóða.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktík þar sem árásarmenn undirbúa sérstaka illgjarna INF-uppsetningarskrá fyrir innbyggða Windows tólið CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe tekur skrána sem færibreytu og setur upp þjónustusniðið fyrir fjartenginguna. Fyrir vikið er hægt að nota CMSTP.exe til að hlaða og keyra dynamic hlekkasöfn (*.dll) eða smáforrit (*.sct) frá ytri netþjónum.
Hvað gerir PT NAD?: Finnur sjálfkrafa flutning á sérstökum gerðum INF skráa í HTTP umferð. Í viðbót við þetta greinir það HTTP sendingu illgjarnra smáforskrifta og kraftmikilla hlekkasafna frá ytri netþjóni.
2. : skipanalínuviðmót
Samskipti við skipanalínuviðmótið. Hægt er að hafa samskipti við skipanalínuviðmótið á staðnum eða fjarstýrt, til dæmis með því að nota fjaraðgangstæki.
Hvað gerir PT NAD?: skynjar sjálfkrafa tilvist skeljar byggt á svörum við skipunum til að ræsa ýmis skipanalínutól, svo sem ping, ifconfig.
3. : component object model og dreifður COM
Notkun COM eða DCOM tækni til að keyra kóða á staðbundnum eða ytri kerfum á meðan þú ferð yfir netkerfi.
Hvað gerir PT NAD?: Greinir grunsamleg DCOM símtöl sem árásarmenn nota venjulega til að ræsa forrit.
4. : hagnýting fyrir framkvæmd viðskiptavinar
Nýting veikleika til að framkvæma handahófskennda kóða á vinnustöð. Gagnlegustu hetjudáðirnar fyrir árásarmenn eru þær sem gera kleift að keyra kóða á ytra kerfi, þar sem þeir geta leyft árásarmönnum að fá aðgang að því kerfi. Hægt er að útfæra tæknina með því að nota eftirfarandi aðferðir: illgjarn póstsending, vefsíða með vafrarafnotum og fjarnýtingu á veikleikum forrita.
Hvað gerir PT NAD?: Þegar póstumferð er þáttuð, athugar PT NAD hvort keyranlegar skrár séu til staðar í viðhengjum. Tekur sjálfkrafa út skrifstofuskjöl úr tölvupósti sem kunna að innihalda hetjudáð. Tilraunir til að nýta veikleika eru sýnilegar í umferðinni, sem PT NAD skynjar sjálfkrafa.
5. : mshta
Notaðu mshta.exe tólið, sem keyrir Microsoft HTML forrit (HTA) með .hta endingunni. Þar sem mshta vinnur úr skrám sem fara framhjá öryggisstillingum vafra, geta árásarmenn notað mshta.exe til að keyra skaðlegar HTA, JavaScript eða VBScript skrár.
Hvað gerir PT NAD?: .hta skrár til að keyra í gegnum mshta eru einnig sendar yfir netið - þetta sést í umferðinni. PT NAD skynjar flutning á slíkum skaðlegum skrám sjálfkrafa. Það fangar skrár og upplýsingar um þær er hægt að skoða á lotukortinu.
6. : PowerShell
Notkun PowerShell til að finna upplýsingar og keyra skaðlegan kóða.
Hvað gerir PT NAD?: Þegar PowerShell er notað af fjarlægum árásarmönnum, skynjar PT NAD þetta með reglum. Það greinir PowerShell tungumálalykilorð sem eru oftast notuð í skaðlegum forskriftum og sendingu PowerShell forskrifta yfir SMB samskiptareglur.
7. : áætlað verkefni
Notkun Windows Task Scheduler og önnur tól til að keyra forrit eða forskriftir sjálfkrafa á ákveðnum tímum.
Hvað gerir PT NAD?: árásarmenn búa til slík verkefni, venjulega í fjarska, sem þýðir að slíkar lotur eru sýnilegar í umferðinni. PT NAD skynjar sjálfkrafa grunsamlegar aðgerðir til að búa til verk og breyta með því að nota ATSVC og ITaskSchedulerService RPC tengi.
8. : forskrift
Framkvæmd forskrifta til að gera sjálfvirkan ýmsar aðgerðir árásarmanna.
Hvað gerir PT NAD?: skynjar sendingu forskrifta yfir netið, það er jafnvel áður en þau eru ræst. Það greinir forskriftarefni í óunnin umferð og skynjar netsendingu skráa með viðbótum sem samsvara vinsælum forskriftarmálum.
9. : þjónustuframkvæmd
Keyrðu keyrsluskrá, skipanalínuviðmótsleiðbeiningar eða skriftu með því að hafa samskipti við Windows þjónustu, eins og Service Control Manager (SCM).
Hvað gerir PT NAD?: skoðar SMB umferð og skynjar aðgang að SCM með reglum um að búa til, breyta og hefja þjónustu.
Hægt er að útfæra ræsingartæknina með því að nota fjarstjórnarforritið PSExec. PT NAD greinir SMB samskiptareglur og greinir notkun PSExec þegar hún notar PSEXESVC.exe skrána eða staðlaða PSEXECSVC þjónustuheitið til að keyra kóða á ytri vél. Notandinn þarf að athuga listann yfir framkvæmdar skipanir og lögmæti framkvæmdar fjarskipana frá hýsingaraðilanum.
Árásarspjaldið í PT NAD sýnir gögn um tækni og tækni sem notuð eru samkvæmt ATT&CK fylkinu þannig að notandinn geti skilið á hvaða stigi árásarinnar árásarmennirnir eru, hvaða markmið þeir eru að sækjast eftir og hvaða bótaráðstafanir á að grípa.
Reglan um að nota PSExec tólið er ræst, sem gæti bent til tilraun til að framkvæma skipanir á ytri vél
10. : hugbúnað frá þriðja aðila
Tækni þar sem árásarmenn fá aðgang að fjarstjórnunarhugbúnaði eða hugbúnaðaruppfærslukerfi fyrirtækja og nota það til að keyra skaðlegan kóða. Dæmi um slíkan hugbúnað: SCCM, VNC, TeamViewer, HBSS, Altiris.
Við the vegur, tæknin er sérstaklega viðeigandi í tengslum við stórfellda umskipti yfir í fjarvinnu og þar af leiðandi tengingu fjölmargra óvarðra heimilistækja í gegnum vafasamar fjaraðgangsrásir
Hvað gerir PT NAD?: skynjar sjálfkrafa virkni slíks hugbúnaðar á netinu. Til dæmis eru reglurnar ræstar af tengingum í gegnum VNC samskiptareglur og virkni EvilVNC Trojan, sem setur leynilega upp VNC netþjón á gestgjafa fórnarlambsins og ræsir hann sjálfkrafa. Einnig skynjar PT NAD sjálfkrafa TeamViewer samskiptareglur, þetta hjálpar sérfræðingnum, með því að nota síu, að finna allar slíkar lotur og athuga lögmæti þeirra.
11. : framkvæmd notanda
Tækni þar sem notandinn keyrir skrár sem geta leitt til keyrslu kóða. Þetta gæti til dæmis verið ef hann opnar keyrsluskrá eða keyrir skrifstofuskjal með macro.
Hvað gerir PT NAD?: sér slíkar skrár á flutningsstigi, áður en þær eru opnaðar. Upplýsingar um þær er hægt að kynna sér á korti þeirra lota sem þær voru sendar í.
12. : Windows stjórnunartæki
Notkun WMI tólsins, sem veitir staðbundinn og fjaraðgang að Windows kerfishlutum. Með því að nota WMI geta árásarmenn átt samskipti við staðbundin og fjarlæg kerfi og framkvæmt margvísleg verkefni, svo sem að safna upplýsingum í njósnaskyni og ræsa ferla úr fjarlægð á meðan þeir hreyfa sig til hliðar.
Hvað gerir PT NAD?: Þar sem samskipti við fjarkerfi í gegnum WMI eru sýnileg í umferðinni, skynjar PT NAD sjálfkrafa netbeiðnir um að koma á WMI lotum og athugar umferðina fyrir forskriftir sem nota WMI.
13. : Fjarstýring Windows
Notkun Windows þjónustu og samskiptareglur sem gerir notandanum kleift að hafa samskipti við fjarkerfi.
Hvað gerir PT NAD?: Sér nettengingar komið á með Windows fjarstýringu. Slíkar lotur greinast sjálfkrafa af reglunum.
14. : XSL (Extensible Stylesheet Language) handritavinnsla
XSL stíl merkjamál er notað til að lýsa vinnslu og sjónrænni gagna í XML skrám. Til að styðja við flóknar aðgerðir inniheldur XSL staðallinn stuðning við innbyggða forskriftir á ýmsum tungumálum. Þessi tungumál leyfa framkvæmd handahófskenndra kóða, sem leiðir til framhjáhalds öryggisstefnu byggða á hvítum listum.
Hvað gerir PT NAD?: skynjar flutning slíkra skráa yfir netið, það er jafnvel áður en þær eru opnaðar. Það greinir sjálfkrafa XSL skrár sem eru sendar yfir netið og skrár með afbrigðilegu XSL merkingu.
Í eftirfarandi efni munum við skoða hvernig PT Network Attack Discovery NTA kerfið finnur aðrar árásaraðferðir og tækni í samræmi við MITER ATT&CK. Fylgstu með!
Höfundar:
- Anton Kutepov, sérfræðingur hjá PT Expert Security Center, Positive Technologies
- Natalia Kazankova, vörumarkaðsaðili hjá Positive Technologies
Heimild: www.habr.com