, la maggior parte (87%) degli incidenti legati alla sicurezza informatica si verifica in pochi minuti, mentre il 68% delle aziende impiega mesi per rilevarli. Ciò è confermato e , secondo il quale la maggior parte delle organizzazioni impiega in media 206 giorni per scoprire un incidente. Secondo le nostre indagini, gli hacker possono controllare per anni l'infrastruttura di un'azienda senza essere scoperti. Quindi, in una delle organizzazioni in cui i nostri esperti hanno condotto un'indagine su un incidente di sicurezza delle informazioni, è stato rivelato che gli hacker controllavano completamente l'intera infrastruttura dell'organizzazione e rubavano regolarmente informazioni importanti .
Supponiamo che tu abbia già un SIEM in esecuzione che raccoglie registri e analizza eventi e che sui nodi finali sia installato un software antivirus. Tuttavia, , così come è impossibile implementare sistemi EDR per l’intera rete, il che significa che non è possibile evitare zone “cieche”. I sistemi di analisi del traffico di rete (NTA) aiutano a far fronte a questi problemi. Queste soluzioni rilevano l'attività degli aggressori nelle prime fasi della penetrazione nella rete, nonché durante i tentativi di affermarsi e sviluppare un attacco all'interno della rete.
Esistono due tipi di NTA: uno funziona con NetFlow, l'altro analizza il traffico non elaborato. Il vantaggio dei secondi sistemi è che possono archiviare record di traffico grezzi. Grazie a ciò, uno specialista della sicurezza informatica può verificare il successo dell'attacco, localizzare la minaccia, capire come è avvenuto l'attacco e come prevenirne uno simile in futuro.
Mostreremo come NTA può essere utilizzata per identificare, tramite segnali diretti o indiretti, tutte le tattiche di attacco conosciute descritte nella knowledge base. . Parleremo di ciascuna delle 12 tattiche, analizzeremo le tecniche rilevate dal traffico e ne dimostreremo il rilevamento utilizzando il nostro sistema NTA.
Informazioni sulla base di conoscenza ATT&CK
MITRE ATT&CK è una base di conoscenza pubblica sviluppata e gestita dalla MITRE Corporation basata sull'analisi di APT reali. È un insieme strutturato di tattiche e tecniche utilizzate dagli aggressori. Ciò consente ai professionisti della sicurezza informatica di tutto il mondo di parlare la stessa lingua. La banca dati viene costantemente ampliata e integrata con nuove conoscenze.
Il database identifica 12 tattiche, suddivise per fasi di un attacco informatico:
- accesso iniziale (accesso iniziale);
- esecuzione (esecuzione);
- consolidamento (persistenza);
- aumento dei privilegi;
- prevenzione del rilevamento (evasione della difesa);
- ottenimento delle credenziali (credenziali di accesso);
- intelligenza (scoperta);
- movimento all'interno del perimetro (movimento laterale);
- raccolta dati (raccolta);
- comando e controllo;
- esfiltrazione dei dati;
- impatto.
Per ciascuna tattica, la knowledge base ATT&CK elenca un elenco di tecniche che aiutano gli aggressori a raggiungere il loro obiettivo nella fase attuale dell'attacco. Poiché la stessa tecnica può essere utilizzata in fasi diverse, può riferirsi a diverse tattiche.
La descrizione di ciascuna tecnica include:
- identificatore;
- un elenco di tattiche in cui viene applicato;
- esempi di utilizzo da parte dei gruppi APT;
- misure per ridurre i danni derivanti dal suo utilizzo;
- raccomandazioni per il rilevamento.
Gli specialisti della sicurezza informatica possono utilizzare le conoscenze del database per strutturare le informazioni sugli attuali metodi di attacco e, con questo in mente, costruire un sistema di sicurezza efficace. Comprendere come operano i veri gruppi APT può diventare anche fonte di ipotesi per la ricerca proattiva di minacce al loro interno .
Informazioni sul rilevamento degli attacchi di rete PT
Identificheremo l'uso delle tecniche dalla matrice ATT e CK utilizzando il sistema - Sistema Positive Technologies NTA progettato per rilevare attacchi perimetrali e interni alla rete. PT NAD copre tutte le 12 tattiche della matrice MITRE ATT&CK a vari livelli. È più forte nell'identificare l'accesso iniziale, il movimento laterale e le tecniche di comando e controllo. In essi, PT NAD copre più della metà delle tecniche conosciute, rilevandone l'uso tramite segni diretti o indiretti.
Il sistema rileva gli attacchi utilizzando le tecniche ATT&CK utilizzando le regole di rilevamento create dal comando (PT ESC), machine learning, indicatori di compromesso, analisi approfondite e analisi retrospettiva. L'analisi del traffico in tempo reale combinata con una retrospettiva consente di identificare le attuali attività dannose nascoste e di tenere traccia dei vettori di sviluppo e della cronologia degli attacchi.
mappatura completa della matrice PT NAD sulla matrice MITRE ATT&CK. L'immagine è grande, quindi ti suggeriamo di considerarla in una finestra separata.
Accesso iniziale
Le tattiche di accesso iniziale includono tecniche per infiltrarsi nella rete di un'azienda. L'obiettivo degli aggressori in questa fase è fornire codice dannoso al sistema attaccato e garantirne l'ulteriore esecuzione.
L'analisi del traffico PT NAD rivela sette tecniche per ottenere l'accesso iniziale:
1. : compromesso drive-by
Una tecnica in cui la vittima apre un sito Web utilizzato dagli aggressori per sfruttare un browser Web per ottenere token di accesso all'applicazione.
Cosa fa PT NAD?: Se il traffico web non è crittografato, PT NAD controlla il contenuto delle risposte del server HTTP. È in queste risposte che si trovano gli exploit che consentono agli aggressori di eseguire codice arbitrario all'interno del browser. PT NAD rileva automaticamente tali exploit utilizzando le regole di rilevamento.
Inoltre, PT NAD rileva la minaccia nel passaggio precedente. Regole e indicatori di compromissione vengono attivati se l'utente visita un sito che lo reindirizza a un sito con una serie di exploit.
2. : sfrutta l'applicazione rivolta al pubblico
Sfruttamento delle vulnerabilità nei servizi accessibili da Internet.
Cosa fa PT NAD?: esegue un'ispezione approfondita del contenuto dei pacchetti di rete, rivelando segni di attività anomala in essi. In particolare, esistono regole che consentono di rilevare attacchi ai principali sistemi di gestione dei contenuti (CMS), interfacce web degli apparati di rete, attacchi ai server di posta e FTP.
3. : servizi remoti esterni
Gli aggressori utilizzano servizi di accesso remoto per connettersi alle risorse di rete interne dall'esterno.
Cosa fa PT NAD?: poiché il sistema riconosce i protocolli non dai numeri di porta, ma dal contenuto dei pacchetti, gli utenti del sistema possono filtrare il traffico in modo tale da trovare tutte le sessioni dei protocolli di accesso remoto e verificarne la legittimità.
4. : attacco di spearphishing
Stiamo parlando del famigerato invio di allegati di phishing.
Cosa fa PT NAD?: estrae automaticamente i file dal traffico e li confronta con indicatori di compromissione. I file eseguibili negli allegati vengono rilevati da regole che analizzano il contenuto del traffico di posta. In ambito aziendale un simile investimento è considerato anomalo.
5. : collegamento di spearphishing
Utilizzo di collegamenti di phishing. La tecnica prevede che gli aggressori inviino un'e-mail di phishing con un collegamento che, se cliccato, scarica un programma dannoso. Di norma, il collegamento è accompagnato da un testo compilato secondo tutte le regole dell'ingegneria sociale.
Cosa fa PT NAD?: rileva i collegamenti di phishing utilizzando indicatori di compromissione. Ad esempio, nell'interfaccia PT NAD, vediamo una sessione in cui c'era una connessione HTTP tramite un collegamento incluso nell'elenco degli indirizzi di phishing (phishing-urls).
Connessione tramite un collegamento dall'elenco degli indicatori di URL di phishing compromessi
6. : rapporto di fiducia
Accesso alla rete della vittima tramite terzi con i quali la vittima ha un rapporto di fiducia. Gli aggressori possono entrare in un'organizzazione fidata e connettersi attraverso di essa alla rete di destinazione. Per fare ciò utilizzano connessioni VPN o relazioni di fiducia del dominio, che possono essere rivelate attraverso l’analisi del traffico.
Cosa fa PT NAD?: analizza i protocolli dell'applicazione e salva i campi analizzati nel database, in modo che un analista della sicurezza delle informazioni possa utilizzare i filtri per trovare tutte le connessioni VPN sospette o le connessioni tra domini nel database.
7. : conti validi
Utilizzo di credenziali standard, locali o di dominio per l'autorizzazione su servizi esterni ed interni.
Cosa fa PT NAD?: recupera automaticamente le credenziali dai protocolli HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. In generale, si tratta di login, password e segno di autenticazione riuscita. Se sono stati utilizzati vengono visualizzati nella scheda della sessione corrispondente.
Esecuzione
Le tattiche di esecuzione includono tecniche utilizzate dagli aggressori per eseguire codice su sistemi compromessi. L'esecuzione di codice dannoso aiuta gli aggressori a stabilire la presenza (tattica di persistenza) ed espandere l'accesso ai sistemi remoti sulla rete spostandosi all'interno del perimetro.
PT NAD consente di identificare l'utilizzo di 14 tecniche utilizzate dagli aggressori per eseguire codice dannoso.
1. : CMSTP (programma di installazione del profilo di Microsoft Connection Manager)
Una tattica con la quale gli aggressori preparano un file di installazione .inf dannoso appositamente predisposto per l'utilità integrata CMSTP.exe di Windows (programma di installazione del profilo di Connection Manager). CMSTP.exe accetta un file come parametro e installa un profilo di servizio per la connessione remota. Di conseguenza, CMSTP.exe può essere utilizzato per scaricare ed eseguire librerie di collegamento dinamico (*.dll) o scriptlet (*.sct) da server remoti.
Cosa fa PT NAD?: rileva automaticamente la trasmissione di file .inf con formato speciale nel traffico HTTP. Inoltre, rileva i trasferimenti HTTP di scriptlet dannosi e librerie di collegamento dinamico da un server remoto.
2. : interfaccia della riga di comando
Interazione con l'interfaccia della riga di comando. È possibile interagire con l'interfaccia della riga di comando localmente o in remoto, ad esempio tramite utilità di accesso remoto.
Cosa fa PT NAD?: rileva automaticamente la presenza di shell mediante risposte ai comandi per avviare varie utilità della riga di comando, come ping, ifconfig.
3. : modello a oggetti componente e COM distribuito
Utilizzo delle tecnologie COM o DCOM per eseguire codice su sistemi locali o remoti mentre attraversa la rete.
Cosa fa PT NAD?: rileva le chiamate DCOM sospette che gli aggressori utilizzano comunemente per avviare programmi.
4. : sfruttamento per l'esecuzione del client
Sfruttamento delle vulnerabilità per eseguire codice arbitrario su una workstation. Gli exploit più utili per gli aggressori sono quelli che consentono l'esecuzione di codice su un sistema remoto, poiché possono essere utilizzati dagli aggressori per ottenere l'accesso a tale sistema. La tecnica può essere implementata con i seguenti metodi: mailing list malevole, sito web con exploit per i browser e sfruttamento remoto delle vulnerabilità delle applicazioni.
Cosa fa PT NAD?: durante l'analisi del traffico di posta, PT NAD verifica la presenza di file eseguibili nell'allegato. Estrae automaticamente i documenti Office dalle e-mail che potrebbero contenere exploit. I tentativi di sfruttare le vulnerabilità sono visibili nel traffico, che PT NAD rileva automaticamente.
5. : mshta
Utilizzando l'utilità mshta.exe, che esegue applicazioni Microsoft HTML (HTA) con estensione .hta. Poiché mshta elabora i file ignorando le impostazioni di sicurezza del browser, gli aggressori possono utilizzare mshta.exe per eseguire file HTA, JavaScript o VBScript dannosi.
Cosa fa PT NAD?: Anche i file .hta da eseguire tramite mshta vengono trasmessi in rete - questo può essere visto nel traffico. PT NAD rileva automaticamente la trasmissione di tali file dannosi. Cattura i file e le informazioni su di essi possono essere visualizzate nella scheda della sessione.
6. : powershell
Utilizzo di PowerShell per cercare informazioni ed eseguire codice dannoso.
Cosa fa PT NAD?: quando PowerShell viene utilizzato da utenti malintenzionati in remoto, PT NAD lo rileva utilizzando le regole. Rileva le parole chiave del linguaggio PowerShell più comunemente utilizzate negli script dannosi e nella trasmissione di script PowerShell su SMB.
7. : operazione pianificata
Utilizza l'Utilità di pianificazione di Windows e altre utilità per eseguire automaticamente programmi o script in orari specifici.
Cosa fa PT NAD?: gli aggressori creano tali attività, solitamente in remoto, il che significa che tali sessioni sono visibili nel traffico. PT NAD rileva automaticamente la creazione di attività sospette e le operazioni di modifica utilizzando le interfacce RPC ATSVC e ITaskSchedulerService.
8. : sceneggiatura
Esecuzione di script per automatizzare varie azioni degli aggressori.
Cosa fa PT NAD?: rileva la trasmissione di script in rete, cioè anche prima che vengano lanciati. Rileva il contenuto dello script nel traffico non elaborato e rileva la trasmissione in rete di file con estensioni corrispondenti ai linguaggi di scripting più diffusi.
9. : esecuzione del servizio
Esegui un file eseguibile, istruzioni CLI o script interagendo con i servizi Windows, come Service Control Manager (SCM).
Cosa fa PT NAD?: ispeziona il traffico SMB e rileva le richieste a SCM in base alle regole per la creazione, la modifica e l'avvio di un servizio.
La tecnica per l'avvio dei servizi può essere implementata utilizzando l'utilità di esecuzione remota dei comandi PSExec. PT NAD analizza il protocollo SMB e rileva l'utilizzo di PSExec quando utilizza il file PSEXESVC.exe o il nome del servizio standard PSEXECSVC per eseguire codice su un computer remoto. L'utente deve verificare l'elenco dei comandi eseguiti e la legittimità dell'esecuzione dei comandi remoti dall'host.
La scheda di attacco in PT NAD mostra i dati sulle tattiche e le tecniche utilizzate dalla matrice ATT&CK in modo che l'utente possa capire in quale fase dell'attacco si trovano gli aggressori, quali obiettivi perseguono e quali misure compensative adottare.
Attivazione della regola sull'utilizzo dell'utilità PSExec, che potrebbe indicare un tentativo di eseguire comandi su una macchina remota
10 : software di terze parti
Tecnica con la quale gli aggressori ottengono l'accesso al software di amministrazione remota o al sistema di distribuzione del software aziendale e li utilizzano per eseguire codice dannoso. Esempi di tali software: SCCM, VNC, TeamViewer, HBSS, Altiris.
A proposito, la tecnica è particolarmente rilevante in connessione con la massiccia transizione al lavoro remoto e, di conseguenza, la connessione di numerosi dispositivi domestici non protetti tramite dubbi canali di accesso remoto.
Cosa fa PT NAD?: rileva automaticamente il funzionamento di tale software sulla rete. Le regole vengono attivate, ad esempio, dalla connessione tramite il protocollo VNC e dall'attività del trojan EvilVNC, che installa segretamente un server VNC sull'host della vittima e lo avvia automaticamente. Inoltre, PT NAD rileva automaticamente il protocollo TeamViewer, che aiuta l'analista a trovare tutte queste sessioni utilizzando un filtro e a verificarne la legittimità.
11 : esecuzione dell'utente
Una tecnica in cui l'utente esegue file che possono causare l'esecuzione del codice. Ciò potrebbe accadere, ad esempio, se si apre un file eseguibile o si esegue un documento Office con una macro.
Cosa fa PT NAD?: vede tali file in fase di trasferimento, prima che vengano lanciati. Informazioni su di essi possono essere approfondite nella scheda delle sessioni in cui sono state trasmesse.
12 : Strumentazione gestione Windows
Utilizzando lo strumento WMI, che fornisce l'accesso locale e remoto ai componenti del sistema Windows. Utilizzando WMI, gli aggressori possono interagire con sistemi locali e remoti ed eseguire una serie di attività, come raccogliere informazioni a fini di intelligence e avviare processi in remoto durante il movimento laterale.
Cosa fa PT NAD?: Poiché le interazioni con i sistemi remoti tramite WMI sono visibili nel traffico, PT NAD rileva automaticamente le richieste di rete per stabilire sessioni WMI e controlla il traffico per verificare che vengano trasmessi script che utilizzano WMI.
13 : Gestione remota di Windows
Utilizzando un servizio e un protocollo Windows che consente all'utente di interagire con sistemi remoti.
Cosa fa PT NAD?: visualizza le connessioni di rete stabilite utilizzando Gestione remota Windows. Tali sessioni vengono rilevate automaticamente dalle regole.
14 : elaborazione di script XSL (Extensible Stylesheet Language).
Il linguaggio di markup in stile XSL viene utilizzato per descrivere l'elaborazione e il rendering dei dati nei file XML. Per supportare operazioni complesse, lo standard XSL include il supporto per script in linea in più lingue. Questi linguaggi consentono l'esecuzione di codice arbitrario, che aggira le politiche di sicurezza inserite nella whitelist.
Cosa fa PT NAD?: rileva la trasmissione di tali file in rete, cioè anche prima che vengano lanciati. Rileva automaticamente i file XSL trasmessi in rete e i file con markup XSL anomalo.
Nei seguenti materiali, esamineremo come il sistema PT Network Attack Discovery NTA trova altre tattiche e tecniche degli aggressori in conformità con MITRE ATT & CK. Rimani sintonizzato!
Autori:
- Anton Kutepov, specialista del centro esperto di sicurezza (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, addetta al marketing dei prodotti presso Positive Technologies
Fonte: habr.com