🥇איך מערכות ניתוח תעבורה מזהות טקטיקות האקרים באמצעות MITER ATT&CK באמצעות הדוגמה של PT Network Attack Discovery

לפי Verizon, רוב (87%) של אירועי אבטחת המידע מתרחשים תוך דקות ספורות, ול-68% מהחברות לוקח חודשים לגלות אותם. זה מאושר על ידי מחקר של מכון פונמון, לפיה לוקח לרוב הארגונים 206 ימים בממוצע כדי לזהות אירוע. בהתבסס על הניסיון של החקירות שלנו, האקרים יכולים לשלוט בתשתית של חברה במשך שנים מבלי להתגלות. כך, באחד הארגונים שבהם חקרו המומחים שלנו אירוע אבטחת מידע, התגלה כי האקרים שלטו לחלוטין בכל תשתית הארגון וגנבו מידע חשוב באופן קבוע. במשך שמונה שנים.

נניח שכבר פועל SIEM שאוסף יומנים ומנתח אירועים, ותוכנת אנטי וירוס מותקנת בצמתי הקצה. על כל פנים, לא הכל ניתן לזיהוי באמצעות SIEM, בדיוק כפי שאי אפשר להטמיע מערכות EDR בכל הרשת, מה שאומר שלא ניתן להימנע מנקודות עיוורות. מערכות ניתוח תעבורת רשת (NTA) עוזרות להתמודד איתן. פתרונות אלו מזהים פעילות תוקפים בשלבים המוקדמים ביותר של חדירת הרשת, וכן במהלך ניסיונות להשיג דריסת רגל ולפתח התקפה בתוך הרשת.

ישנם שני סוגים של NTAs: חלקם עובדים עם NetFlow, אחרים מנתחים תעבורה גולמית. היתרון של המערכות השניות הוא שהן יכולות לאחסן רשומות תנועה גולמיות. הודות לכך, מומחה אבטחת מידע יכול לוודא את הצלחת התקיפה, למקם את האיום, להבין כיצד התרחשה התקיפה וכיצד למנוע מתקפה דומה בעתיד.

אנו נראה כיצד באמצעות NTA אתה יכול להשתמש בראיות ישירות או עקיפות כדי לזהות את כל טקטיקות ההתקפה המוכרות המתוארות במאגר הידע MITER ATT & CK. נדבר על כל אחת מ-12 הטקטיקות, ננתח את הטכניקות שמתגלות על ידי תנועה, ונדגים את זיהוין באמצעות מערכת ה-NTA שלנו.

על בסיס הידע של ATT&CK

MITER ATT&CK הוא בסיס ידע ציבורי שפותח ומתוחזק על ידי MITER Corporation המבוסס על ניתוח של APTs מהחיים האמיתיים. זוהי מערכת מובנית של טקטיקות וטכניקות המשמשות תוקפים. זה מאפשר לאנשי אבטחת מידע מכל העולם לדבר באותה שפה. מאגר הנתונים מתרחב כל הזמן ומתווסף בידע חדש.

מסד הנתונים מזהה 12 טקטיקות, המחולקות לפי שלבים של מתקפת סייבר:

גישה ראשונית;
ביצוע;
קונסולידציה (התמדה);
הסלמה של זכויות יתר;
מניעת גילוי (התחמקות מהגנה);
השגת אישורים (גישה לאישורים);
חֲקִירָה;
תנועה בתוך ההיקף (תנועה לרוחב);
איסוף נתונים (איסוף);
פיקוד ובקרה;
חילוץ נתונים;
פְּגִיעָה.

עבור כל טקטיקה, בסיס הידע של ATT&CK מפרט רשימה של טכניקות שעוזרות לתוקפים להשיג את מטרתם בשלב הנוכחי של ההתקפה. מכיוון שניתן להשתמש באותה טכניקה בשלבים שונים, היא יכולה להתייחס למספר טקטיקות.

תיאור כל טכניקה כולל:

מזהה;
רשימה של טקטיקות שבהן נעשה שימוש;
דוגמאות לשימוש על ידי קבוצות APT;
אמצעים לצמצום נזקים מהשימוש בו;
המלצות איתור.

מומחי אבטחת מידע יכולים להשתמש בידע ממסד הנתונים כדי לבנות מידע על שיטות תקיפה נוכחיות, ובהתחשב בכך לבנות מערכת אבטחה יעילה. ההבנה כיצד פועלות קבוצות APT אמיתיות יכולה גם להפוך למקור להשערות לחיפוש יזום אחר איומים בתוך ציד איומים.

אודות גילוי תקיפות רשת PT

נזהה שימוש בטכניקות ממטריצת ATT&CK באמצעות המערכת גילוי התקפות רשת PT — מערכת Positive Technologies NTA, שנועדה לזהות התקפות על ההיקף ובתוך הרשת. PT NAD מכסה, בדרגות שונות, את כל 12 הטקטיקות של מטריצת MITER ATT&CK. הוא החזק ביותר בזיהוי טכניקות לגישה ראשונית, תנועה צידית ופיקוד ובקרה. בהם, PT NAD מכסה יותר ממחצית מהטכניקות הידועות, ומזהה את היישום שלהן על ידי סימנים ישירים או עקיפים.

המערכת מזהה התקפות באמצעות טכניקות ATT&CK באמצעות כללי זיהוי שנוצרו על ידי הצוות מרכז אבטחה מומחה PT (PT ESC), למידת מכונה, אינדיקטורים של פשרה, ניתוח עמוק וניתוח רטרוספקטיבי. ניתוח תנועה בזמן אמת בשילוב עם רטרוספקטיבה מאפשרת לזהות פעילות זדונית נסתרת נוכחית ולעקוב אחר וקטורי התפתחות וכרונולוגיה של התקפות.

כאן מיפוי מלא של PT NAD למטריצת MITER ATT&CK. התמונה גדולה, אז אנו מציעים לך לצפות בה בחלון נפרד.

גישה ראשונית

טקטיקות גישה ראשוניות כוללות טכניקות לחדור לרשת של חברה. המטרה של התוקפים בשלב זה היא להעביר קוד זדוני למערכת המותקפת ולהבטיח אפשרות להמשך ביצועו.

ניתוח תנועה מ-PT NAD חושף שבע טכניקות להשגת גישה ראשונית:

1. T1189: פשרה בנסיעה

טכניקה שבה הקורבן פותח אתר אינטרנט המשמש תוקפים כדי לנצל את דפדפן האינטרנט ולהשיג אסימוני גישה לאפליקציות.

מה עושה PT NAD?: אם תעבורת האינטרנט אינה מוצפנת, PT NAD בודק את התוכן של תגובות שרת HTTP. תגובות אלו מכילות ניצולים המאפשרים לתוקפים לבצע קוד שרירותי בתוך הדפדפן. PT NAD מזהה אוטומטית ניצול כזה באמצעות כללי זיהוי.

בנוסף, PT NAD מזהה את האיום בשלב הקודם. כללים ואינדיקטורים של פשרה מופעלים אם המשתמש ביקר באתר שהפנה אותו לאתר עם שלל ניצולים.

2. T1190: נצל יישום הפונה לציבור

ניצול נקודות תורפה בשירותים הנגישים מהאינטרנט.

מה עושה PT NAD?: מבצע בדיקה מעמיקה של התוכן של מנות רשת, מזהה סימנים לפעילות חריגה. בפרט, ישנם כללים המאפשרים לך לזהות התקפות על מערכות ניהול תוכן (CMS) גדולות, ממשקי אינטרנט של ציוד רשת והתקפות על שרתי דואר ו-FTP.

3. T1133: שירותים מרוחקים חיצוניים

תוקפים משתמשים בשירותי גישה מרחוק כדי להתחבר למשאבי רשת פנימיים מבחוץ.

מה עושה PT NAD?: מכיוון שהמערכת מזהה פרוטוקולים לא לפי מספרי יציאה, אלא לפי תוכן החבילות, משתמשי המערכת יכולים לסנן תעבורה כדי למצוא את כל הפעלות של פרוטוקולי גישה מרחוק ולבדוק את הלגיטימיות שלהם.

4. T1193: קובץ מצורף לחנית

אנחנו מדברים על השליחה הידועה לשמצה של קבצי דיוג מצורפים.

מה עושה PT NAD?: מחלץ אוטומטית קבצים מהתנועה ובודק אותם מול אינדיקטורים של פשרה. קבצים הניתנים להפעלה בקבצים מצורפים מזוהים על ידי כללים המנתחים את תוכן תעבורת הדואר. בסביבה ארגונית, השקעה כזו נחשבת לאנומלית.

5. T1192: קישור לחנית

שימוש בקישורי פישינג. הטכניקה כוללת תוקפים שליחת דוא"ל דיוג עם קישור שלוחצים עליו, מוריד תוכנה זדונית. ככלל, הקישור מלווה בטקסט שנערך בהתאם לכל כללי ההנדסה החברתית.

מה עושה PT NAD?: מזהה קישורי דיוג באמצעות אינדיקטורים של פשרה. לדוגמה, בממשק PT NAD אנו רואים הפעלה בה היה חיבור HTTP דרך קישור שנכלל ברשימת כתובות הדיוג (phishing-urls).

חיבור דרך קישור מרשימת האינדיקטורים של כתובות דיוג מתפשרות

6. T1199: מערכת יחסים מהימנה

גישה לרשת של הנפגע באמצעות צדדים שלישיים עימם יצר הנפגע יחסי אמון. תוקפים יכולים לפרוץ ארגון מהימן ולהתחבר לרשת היעד באמצעותו. לשם כך, הם משתמשים בחיבורי VPN או אמון תחום, אותם ניתן לזהות באמצעות ניתוח תעבורה.

מה עושה PT NAD?: מנתח פרוטוקולים של יישומים ושומר את השדות המנותחים במסד הנתונים, כך שמנתח אבטחת מידע יכול להשתמש במסננים כדי למצוא את כל חיבורי ה-VPN החשודים או חיבורים חוצי-דומיינים במסד הנתונים.

7. T1078: חשבונות חוקיים

שימוש באישורים סטנדרטיים, מקומיים או דומיינים להרשאה בשירותים חיצוניים ופנימיים.

מה עושה PT NAD?: מאחזר אוטומטית אישורים מפרוטוקולי HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. באופן כללי, מדובר בכניסה, סיסמה וסימן לאימות מוצלחת. אם נעשה בהם שימוש, הם מוצגים בכרטיס הפגישה המתאים.

ביצוע

טקטיקות ביצוע כוללות טכניקות שבהן משתמשים התוקפים כדי להפעיל קוד במערכות שנפרצות. הפעלת קוד זדוני עוזרת לתוקפים לבסס נוכחות (טקטיקת התמדה) ולהרחיב את הגישה למערכות מרוחקות ברשת על ידי מעבר בתוך ההיקף.

PT NAD מאפשר לך לזהות שימוש ב-14 טכניקות המשמשות תוקפים לביצוע קוד זדוני.

1. T1191: CMSTP (מתקין פרופילי מנהל החיבורים של Microsoft)

טקטיקה שבה תוקפים מכינים קובץ INF מיוחד להתקנה זדונית עבור כלי השירות המובנה של Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe לוקח את הקובץ כפרמטר ומתקין את פרופיל השירות עבור החיבור המרוחק. כתוצאה מכך, ניתן להשתמש ב-CMSTP.exe כדי לטעון ולהפעיל ספריות קישורים דינמיות (*.dll) או סקריפטים (*.sct) משרתים מרוחקים.

מה עושה PT NAD?: מזהה אוטומטית העברה של סוגים מיוחדים של קבצי INF בתעבורת HTTP. בנוסף לכך, הוא מזהה שידור HTTP של סקריפטים זדוניים וספריות קישורים דינמיים משרת מרוחק.

2. T1059: ממשק שורת פקודה

אינטראקציה עם ממשק שורת הפקודה. ניתן ליצור אינטראקציה עם ממשק שורת הפקודה באופן מקומי או מרחוק, למשל באמצעות כלי עזר לגישה מרחוק.

מה עושה PT NAD?: מזהה אוטומטית נוכחות של קונכיות בהתבסס על תגובות לפקודות כדי להפעיל כלי שירות שונים של שורת הפקודה, כגון ping, ifconfig.

3. T1175: מודל אובייקט רכיב ו-COM מבוזר

שימוש בטכנולוגיות COM או DCOM לביצוע קוד במערכות מקומיות או מרוחקות בזמן מעבר ברשת.

מה עושה PT NAD?: מזהה קריאות DCOM חשודות שתוקפים משתמשים בהן בדרך כלל כדי להפעיל תוכניות.

4. T1203: ניצול לביצוע לקוח

ניצול נקודות תורפה לביצוע קוד שרירותי בתחנת עבודה. הניצול השימושי ביותר עבור תוקפים הוא אלו המאפשרים להפעיל קוד על מערכת מרוחקת, מכיוון שהם יכולים לאפשר לתוקפים לקבל גישה למערכת זו. ניתן ליישם את הטכניקה באמצעות השיטות הבאות: דיוור זדוני, אתר אינטרנט עם ניצול דפדפן וניצול מרחוק של פגיעויות יישומים.

מה עושה PT NAD?: בעת ניתוח תעבורת דואר, PT NAD בודק את נוכחותם של קבצי הפעלה בקבצים מצורפים. מחלץ אוטומטית מסמכים משרדיים ממיילים שעלולים להכיל ניצול. ניסיונות לנצל פגיעויות גלויים בתעבורה, ש-PT NAD מזהה באופן אוטומטי.

5. T1170: mshta

השתמש בכלי השירות mshta.exe, המריץ יישומי HTML של Microsoft (HTA) עם סיומת .hta. מכיוון ש-mshta מעבד קבצים עוקפים את הגדרות האבטחה של הדפדפן, תוקפים יכולים להשתמש ב-mshta.exe כדי לבצע קבצי HTA, JavaScript או VBScript זדוניים.

מה עושה PT NAD?: קבצי .hta לביצוע באמצעות mshta משודרים גם ברשת - ניתן לראות זאת בתעבורה. PT NAD מזהה העברת קבצים זדוניים כאלה באופן אוטומטי. הוא לוכד קבצים, וניתן לצפות במידע עליהם בכרטיס הפגישה.

6. T1086: פגז כוח

שימוש ב- PowerShell כדי למצוא מידע ולהפעיל קוד זדוני.

מה עושה PT NAD?: כאשר PowerShell משמש תוקפים מרוחקים, PT NAD מזהה זאת באמצעות כללים. הוא מזהה מילות מפתח בשפת PowerShell המשמשות לרוב בסקריפטים זדוניים ושידור של סקריפטים של PowerShell על פני פרוטוקול SMB.

7. T1053: משימה מתוזמנת
שימוש ב-Windows Task Scheduler וכלי שירות אחרים כדי להפעיל אוטומטית תוכניות או סקריפטים בזמנים ספציפיים.

מה עושה PT NAD?: תוקפים יוצרים משימות כאלה, בדרך כלל מרחוק, כלומר הפעלות כאלה גלויות בתנועה. PT NAD מזהה אוטומטית פעולות יצירת ושינוי משימות חשודות באמצעות ממשקי ATSVC ו-ITaskSchedulerService RPC.

8. T1064: סקריפטים

ביצוע סקריפטים לאוטומציה של פעולות שונות של תוקפים.

מה עושה PT NAD?: מזהה שידור של סקריפטים ברשת, כלומר עוד לפני השקתם. הוא מזהה תוכן סקריפט בתעבורה גולמית ומזהה שידור רשת של קבצים עם הרחבות המתאימות לשפות סקריפט פופולריות.

9. T1035: ביצוע שירות

הפעל קובץ הפעלה, הוראות ממשק שורת פקודה או סקריפט על ידי אינטראקציה עם שירותי Windows, כגון Service Control Manager (SCM).

מה עושה PT NAD?: בודק תעבורת SMB ומזהה גישה ל-SCM עם כללים ליצירה, שינוי והתחלת שירות.

ניתן ליישם את טכניקת הפעלת השירות באמצעות כלי השירות לביצוע פקודות מרחוק PSExec. PT NAD מנתח את פרוטוקול SMB ומזהה את השימוש ב-PSExec כאשר הוא משתמש בקובץ PSEXESVC.exe או בשם השירות הסטנדרטי PSEXECSVC כדי להפעיל קוד במחשב מרוחק. המשתמש צריך לבדוק את רשימת הפקודות המבוצעות ואת הלגיטימיות של ביצוע פקודות מרחוק מהמארח.

כרטיס ההתקפה ב-PT NAD מציג נתונים על הטקטיקות והטכניקות המשמשות לפי מטריצת ATT&CK כך שהמשתמש יכול להבין באיזה שלב של ההתקפה נמצאים התוקפים, לאילו מטרות הם רודפים, ואילו אמצעי פיצוי לנקוט.

הכלל לגבי השימוש בכלי השירות PSExec מופעל, מה שעשוי להצביע על ניסיון לבצע פקודות במחשב מרוחק

10. T1072: תוכנת צד שלישי

טכניקה שבה תוקפים מקבלים גישה לתוכנת ניהול מרחוק או למערכת פריסת תוכנה ארגונית ומשתמשים בה כדי להפעיל קוד זדוני. דוגמאות לתוכנות כאלה: SCCM, VNC, TeamViewer, HBSS, Altiris.
אגב, הטכניקה רלוונטית במיוחד בקשר עם המעבר המאסיבי לעבודה מרחוק, וכתוצאה מכך, חיבור של מכשירים ביתיים לא מוגנים רבים דרך ערוצי גישה מרחוק מפוקפקים.

מה עושה PT NAD?: מזהה אוטומטית את הפעולה של תוכנה כזו ברשת. לדוגמה, הכללים מופעלים על ידי חיבורים באמצעות פרוטוקול VNC ופעילותו של ה-EvilVNC Trojan, שמתקין בסתר שרת VNC על המארח של הקורבן ומשיק אותו אוטומטית. כמו כן, PT NAD מזהה אוטומטית את פרוטוקול TeamViewer, זה עוזר לאנליסט, באמצעות מסנן, למצוא את כל הפעלות כאלה ולבדוק את הלגיטימיות שלהן.

11. T1204: ביצוע משתמש

טכניקה שבה המשתמש מריץ קבצים שיכולים להוביל לביצוע קוד. זה יכול להיות, למשל, אם הוא פותח קובץ הפעלה או מריץ מסמך אופיס עם מאקרו.

מה עושה PT NAD?: רואה קבצים כאלה בשלב ההעברה, לפני שהם מושקים. מידע עליהם ניתן ללמוד בכרטיס המפגשים שבהם הם שודרו.

12. T1047: מכשור ניהול Windows

שימוש בכלי WMI, המספק גישה מקומית ומרוחקת לרכיבי מערכת Windows. באמצעות WMI, התוקפים יכולים ליצור אינטראקציה עם מערכות מקומיות ומרוחקות ולבצע מגוון משימות, כגון איסוף מידע למטרות סיור והפעלת תהליכים מרחוק תוך כדי תנועה לרוחב.

מה עושה PT NAD?: מכיוון שאינטראקציות עם מערכות מרוחקות באמצעות WMI גלויות בתעבורה, PT NAD מזהה אוטומטית בקשות רשת ליצירת הפעלות WMI ובודק את התעבורה עבור סקריפטים המשתמשים ב-WMI.

13. T1028: ניהול מרחוק של Windows

שימוש בשירות ופרוטוקול של Windows המאפשרים למשתמש אינטראקציה עם מערכות מרוחקות.

מה עושה PT NAD?: רואה חיבורי רשת שנוצרו באמצעות ניהול מרחוק של Windows. הפעלות כאלה מזוהות באופן אוטומטי על ידי הכללים.

14. T1220: עיבוד סקריפט XSL (שפת גיליון סגנונות הרחבה).

שפת סימון בסגנון XSL משמשת לתיאור העיבוד וההדמיה של נתונים בקובצי XML. כדי לתמוך בפעולות מורכבות, תקן XSL כולל תמיכה בסקריפטים משובצים בשפות שונות. שפות אלו מאפשרות ביצוע של קוד שרירותי, מה שמוביל לעקיפה של מדיניות אבטחה המבוססת על רשימות לבנות.

מה עושה PT NAD?: מזהה העברה של קבצים כאלה דרך הרשת, כלומר עוד לפני השקתם. זה מזהה אוטומטית קבצי XSL המועברים ברשת וקבצים עם סימון XSL חריג.

בחומרים הבאים, נבחן כיצד מערכת PT Network Attack Discovery NTA מוצאת טקטיקות וטכניקות תוקפים אחרות בהתאם ל-MITER ATT&CK. המשך לעקוב!

מחברים:

אנטון קוטפוב, מומחה במרכז האבטחה PT Expert, Positive Technologies
נטליה קזנקובה, משווקת מוצרים בחברת Positive Technologies

מקור: www.habr.com

כיצד מערכות ניתוח תעבורה מזהות טקטיקות האקרים באמצעות MITER ATT&CK באמצעות הדוגמה של PT Network Attack Discovery