PT Network Attack Discovery の例を使用して、MITRE ATT&CK によるトラフィック分析システムがハッカーの戦術をどのように検出するか

ベライゾンによると、情報セキュリティ インシデントの大部分 (87%) は数分以内に発生しますが、68% の企業はインシデントを検出するまでに数か月かかります。 これは確認されており、 ポネモン研究所の研究、それによると、ほとんどの組織はインシデントを発見するまでに平均 206 日かかります。 私たちの調査によれば、ハッカーは何年にもわたって検出されることなく企業のインフラを制御することができます。 そこで、当社の専門家が情報セキュリティ インシデントの調査を行った組織の XNUMX つでは、ハッカーが組織のインフラ全体を完全に制御し、定期的に重要な情報を盗んでいたことが明らかになりました。 XNUMX年間.

ログを収集してイベントを分析する SIEM がすでに実行されており、ウイルス対策ソフトウェアがエンド ノードにインストールされているとします。 それにもかかわらず、 SIEM を使用してすべてを検出できるわけではないネットワーク全体に EDR システムを実装することが不可能であるのと同様に、「ブラインド」ゾーンを回避することはできません。 ネットワーク トラフィック分析 (NTA) システムは、これらに対処するのに役立ちます。 これらのソリューションは、ネットワークへの侵入の初期段階だけでなく、ネットワーク内で足場を築いて攻撃を展開しようとしている最中にも、攻撃者の活動を検出します。

NTA には XNUMX つのタイプがあります。XNUMX つは NetFlow で動作し、もう XNUMX つは生のトラフィックを分析します。 XNUMX 番目のシステムの利点は、生のトラフィック記録を保存できることです。 このおかげで、情報セキュリティの専門家は、攻撃の成功を確認し、脅威の場所を特定し、攻撃がどのように発生したのか、そして今後同様の攻撃を防ぐ方法を理解することができます。

NTA を使用して、ナレッジ ベースに記載されているすべての既知の攻撃戦術を直接的または間接的な兆候によって識別する方法を示します。 MITER ATT＆CK。 12 のそれぞれの戦術について説明し、トラフィックによって検出されるテクニックを分析し、NTA システムを使用してその検出をデモンストレーションします。

ATT&CK ナレッジベースについて

MITRE ATT&CK は、実際の APT の分析に基づいて MITRE Corporation によって開発および維持されている公開知識ベースです。 これは、攻撃者が使用する構造化された戦術とテクニックのセットです。 これにより、世界中の情報セキュリティ専門家が同じ言語を話すことができるようになります。 データベースは常に拡張されており、新しい知識が追加されています。

データベースでは、サイバー攻撃の段階に分けられた 12 の戦術が特定されています。

• 初期アクセス (初期アクセス);
• 実行（実行）。
• 統合（永続性）。
• 特権昇格。
• 探知防止（防御回避）。
• 資格情報の取得 (資格情報へのアクセス)。
• インテリジェンス（発見）。
• 周囲内の動き（横方向の動き）。
• データ収集（収集）;
• コマンドと制御;
• データの引き出し。
• インパクト。

ATT&CK Knowledge Base には、各戦術について、攻撃の現在の段階で攻撃者が目的を達成するのに役立つテクニックのリストがリストされています。 同じテクニックを異なるステージで使用できるため、複数の戦術を参照できます。

各テクニックの説明は次のとおりです。

• 識別子;
• それが使用される戦術のリスト。
• APT グループによる使用例。
• 使用による被害を軽減するための措置。
• 検出に関する推奨事項。

情報セキュリティの専門家は、データベースの知識を使用して現在の攻撃手法に関する情報を構造化し、これを念頭に置いて効果的なセキュリティ システムを構築できます。 実際の APT グループがどのように動作するかを理解することは、APT グループ内の脅威を事前に探索するための仮説のソースにもなり得ます。 脅威狩り.

PT ネットワーク攻撃検出について

システムを使用してATT & CKマトリックスからテクニックの使用を特定します PT ネットワーク攻撃の発見 - Positive Technologies NTA システムは、ネットワークの境界および内部での攻撃を検出するように設計されています。 PT NAD は、MITRE ATT&CK マトリックスの 12 戦術すべてをさまざまな程度にカバーしています。 これは、初期アクセス、横方向の移動、および指揮制御技術の識別において最も強力です。 これらの中で、PT NAD は既知の技術の半分以上をカバーし、直接的または間接的な兆候によってその使用を検出します。

システムは、コマンドによって作成された検出ルールを使用して、ATT&CK テクニックを使用して攻撃を検出します。 PT エキスパート セキュリティ センター (PT ESC)、機械学習、侵害の兆候、詳細な分析、遡及分析。 リアルタイムのトラフィック分析と遡及を組み合わせることで、現在の隠れた悪意のあるアクティビティを特定し、開発ベクトルと攻撃の時系列を追跡することができます。

ここに PT NAD から MITRE ATT&CK マトリックスへの完全なマッピング。 画像が大きいので別ウィンドウでご覧いただくことをお勧めします。

初期アクセス

初期アクセス戦術には、企業のネットワークに侵入する手法が含まれます。 この段階での攻撃者の目標は、攻撃対象のシステムに悪意のあるコードを配信し、それがさらに実行されるようにすることです。

PT NAD トラフィック分析により、初期アクセスを取得するための XNUMX つのテクニックが明らかになりました。

1. T1189: ドライブバイの妥協

被害者が Web ブラウザを悪用してアプリケーション アクセス トークンを取得するために攻撃者が使用する Web サイトを開く手法。

PT NADは何をしますか?: Web トラフィックが暗号化されていない場合、PT NAD は HTTP サーバー応答の内容を検査します。 これらの回答では、攻撃者がブラウザ内で任意のコードを実行できるようにするエクスプロイトが発見されています。 PT NAD は、検出ルールを使用してこのようなエクスプロイトを自動的に検出します。

さらに、PT NAD は前のステップで脅威を検出します。 ユーザーが多数のエクスプロイトを含むサイトにリダイレクトされるサイトにアクセスすると、侵害のルールとインジケーターがトリガーされます。

2. T1190: 公開アプリケーションを悪用する

インターネットからアクセスできるサービスの脆弱性の悪用。

PT NADは何をしますか?: ネットワーク パケットの内容を詳細に検査し、パケット内の異常なアクティビティの兆候を明らかにします。 特に、主要なコンテンツ管理システム (CMS)、ネットワーク機器の Web インターフェイスに対する攻撃、メールおよび FTP サーバーに対する攻撃を検出できるルールがあります。

3. T1133: 外部リモートサービス

攻撃者はリモート アクセス サービスを使用して、外部から内部ネットワーク リソースに接続します。

PT NADは何をしますか?: システムはポート番号ではなくパケットの内容によってプロトコルを認識するため、システム ユーザーはリモート アクセス プロトコルのすべてのセッションを見つけてその正当性をチェックするような方法でトラフィックをフィルタリングできます。

4. T1193: スピアフィッシング添付ファイル

悪名高いフィッシング添付ファイルの送信について話しています。

PT NADは何をしますか?: トラフィックからファイルを自動的に抽出し、侵害の兆候と照合してチェックします。 添付ファイル内の実行可能ファイルは、メール トラフィックの内容を分析するルールによって検出されます。 企業環境では、このような投資は異常とみなされます。

5. T1192: スピアフィッシングリンク

フィッシングリンクの使用。 この手法では、攻撃者がリンクを含むフィッシングメールを送信し、そのリンクをクリックすると悪意のあるプログラムがダウンロードされます。 原則として、リンクにはソーシャル エンジニアリングのすべてのルールに従って編集されたテキストが添付されます。

PT NADは何をしますか?: 侵害のインジケーターを使用してフィッシング リンクを検出します。 たとえば、PT NAD インターフェイスでは、フィッシング アドレス (フィッシング URL) のリストに含まれるリンクを介して HTTP 接続が行われたセッションが表示されます。

侵害フィッシング URL のインジケーターのリストからのリンクを介した接続

6. T1199：信頼関係

被害者と信頼関係のあるサードパーティを介して被害者のネットワークにアクセスします。 攻撃者は信頼できる組織に侵入し、そこを経由してターゲット ネットワークに接続する可能性があります。 これを行うために、VPN 接続またはドメインの信頼関係が使用されます。これらはトラフィック分析を通じて明らかにされます。

PT NADは何をしますか?: アプリケーション プロトコルを解析し、解析されたフィールドをデータベースに保存します。これにより、情報セキュリティ アナリストはフィルタを使用して、データベース内のすべての不審な VPN 接続またはクロスドメイン接続を見つけることができます。

7. T1078: 有効なアカウント

外部および内部サービスの承認に標準のローカルまたはドメインの資格情報を使用します。

PT NADは何をしますか?: HTTP、FTP、SMTP、POP3、IMAP、SMB、DCE/RPC、SOCKS5、LDAP、Kerberos プロトコルから資格情報を自動的に取得します。 一般に、これはログイン名、パスワード、および認証成功の兆候です。 使用されている場合は、対応するセッション カードに表示されます。

実行

実行戦術には、攻撃者が侵害されたシステム上でコードを実行するために使用する手法が含まれます。 悪意のあるコードを実行すると、攻撃者がプレゼンスを確立し (永続戦術)、境界内に移動してネットワーク上のリモート システムへのアクセスを拡大するのに役立ちます。

PT NAD を使用すると、攻撃者が悪意のあるコードを実行するために使用する 14 のテクニックの使用を特定できます。

1. T1191: CMSTP (Microsoft 接続マネージャー プロファイル インストーラー)

攻撃者が組み込みの Windows CMSTP.exe ユーティリティ (接続マネージャー プロファイル インストーラー) 用に特別に作成した悪意のある .inf インストール ファイルを準備する戦術。 CMSTP.exe はファイルをパラメータとして受け取り、リモート接続用のサービス プロファイルをインストールします。 その結果、CMSTP.exe を使用して、リモート サーバーからダイナミック リンク ライブラリ (*.dll) またはスクリプトレット (*.sct) をダウンロードして実行できます。

PT NADは何をしますか?: HTTP トラフィック内の特殊形式の .inf ファイルの送信を自動的に検出します。 さらに、リモート サーバーからの悪意のあるスクリプトレットやダイナミック リンク ライブラリの HTTP 転送も検出します。

2. T1059: コマンドラインインターフェース

コマンドラインインターフェースとの対話。 コマンド ライン インターフェイスは、ローカルまたはリモート (リモート アクセス ユーティリティなど) で操作できます。

PT NADは何をしますか?: ping、ifconfig などのさまざまなコマンド ライン ユーティリティを起動するコマンドに応答して、シェルの存在を自動的に検出します。

3. T1175: コンポーネントオブジェクトモデルと分散COM

COM または DCOM テクノロジを使用して、ネットワークを通過するときにローカルまたはリモート システム上でコードを実行します。

PT NADは何をしますか?: 攻撃者がプログラムを起動するためによく使用する不審な DCOM 呼び出しを検出します。

4. T1203: クライアント実行のための悪用

脆弱性を悪用してワークステーション上で任意のコードを実行する。 攻撃者にとって最も有用なエクスプロイトは、リモート システムへのアクセスを取得するために攻撃者が使用できるため、リモート システム上でコードの実行を可能にするものです。 この技術は、悪意のあるメーリング リスト、ブラウザを悪用した Web サイト、およびアプリケーションの脆弱性をリモートで悪用する方法によって実装される可能性があります。

PT NADは何をしますか?: PT NAD は、メール トラフィックの解析中に、添付ファイルに実行可能ファイルが存在するかどうかをチェックします。 エクスプロイトが含まれる可能性のある電子メールからオフィス文書を自動的に抽出します。 脆弱性を悪用する試みはトラフィックに表示され、PT NAD が自動的に検出します。

5. T1170: ムシュタ

mshta.exe ユーティリティを使用すると、.hta 拡張子を持つ Microsoft HTML アプリケーション (HTA) が実行されます。 mshta はブラウザのセキュリティ設定をバイパスしてファイルを処理するため、攻撃者は mshta.exe を使用して悪意のある HTA、JavaScript、または VBScript ファイルを実行する可能性があります。

PT NADは何をしますか?: mshta を介して実行される .hta ファイルはネットワーク経由でも送信されます。これはトラフィックで確認できます。 PT NAD は、このような悪意のあるファイルの送信を自動的に検出します。 ファイルをキャプチャし、それらに関する情報をセッション カードで表示できます。

6. T1086： パワーシェル

PowerShell を使用して情報を検索し、悪意のあるコードを実行します。

PT NADは何をしますか?: 攻撃者によって PowerShell がリモートで使用されると、PT NAD はルールを使用してこれを検出します。 悪意のあるスクリプトで最も一般的に使用される PowerShell 言語キーワードと、SMB 経由の PowerShell スクリプトの送信を検出します。

7. T1053: スケジュールされたタスク
Windows タスク スケジューラやその他のユーティリティを使用して、特定の時間にプログラムやスクリプトを自動的に実行します。

PT NADは何をしますか?: 攻撃者は通常、そのようなタスクをリモートで作成します。これは、そのようなセッションがトラフィックに表示されることを意味します。 PT NAD は、ATSVC および ITaskSchedulerService RPC インターフェイスを使用して、不審なタスクの作成および変更操作を自動的に検出します。

8. T1064: スクリプト

攻撃者のさまざまなアクションを自動化するスクリプトの実行。

PT NADは何をしますか?: ネットワーク上でのスクリプトの送信を、つまりスクリプトが起動される前でも検出します。 未処理のトラフィック内のスクリプト コンテンツを検出し、一般的なスクリプト言語に対応する拡張子を持つファイルのネットワーク送信を検出します。

9. T1035: サービスの実行

Service Control Manager (SCM) などの Windows サービスと対話して、実行可能ファイル、CLI 命令、またはスクリプトを実行します。

PT NADは何をしますか?: SMB トラフィックを検査し、サービスの作成、変更、開始のルールによって SCM へのリクエストを検出します。

サービスを開始する手法は、リモート コマンド実行ユーティリティ PSExec を使用して実装できます。 PT NAD は、PSEXESVC.exe ファイルまたは PSEXECSVC 標準サービス名を使用してリモート マシン上でコードを実行するときに、SMB プロトコルを解析し、PSExec の使用を検出します。 ユーザーは、実行されたコマンドの一覧と、ホストからのリモートコマンド実行の正当性を確認する必要があります。

PT NAD の攻撃カードには、ATT&CK マトリックスで使用される戦術とテクニックに関するデータが表示されるため、ユーザーは攻撃者が攻撃のどの段階にあり、どのような目標を追求し、どのような代償措置を講じるべきかを理解できます。

PSExec ユーティリティの使用に関するルールのアクティブ化。リモート マシン上でコマンドを実行しようとする試みを示す可能性があります。

10. T1072: サードパーティ製ソフトウェア

攻撃者がリモート管理ソフトウェアまたは企業ソフトウェア展開システムにアクセスし、それらを使用して悪意のあるコードを実行する手法。 このようなソフトウェアの例: SCCM、VNC、TeamViewer、HBSS、Altiris。
ちなみに、この技術は、リモートワークへの大規模な移行と、その結果として、疑わしいリモートアクセスチャネルを介して保護されていない多数の家庭用デバイスが接続されることに特に関連しています。

PT NADは何をしますか?：ネットワーク上でのソフトウェアの動作を自動で検知します。 たとえば、ルールは、VNC プロトコルを介した接続の事実と、被害者のホストに密かに VNC サーバーをインストールして自動的に起動する EvilVNC トロイの木馬のアクティビティによってトリガーされます。 また、PT NAD は TeamViewer プロトコルを自動的に検出します。これにより、アナリストはフィルターを使用してそのようなセッションをすべて見つけ、その正当性を確認できます。

11. T1204: ユーザー実行

コードを実行させる可能性のあるファイルをユーザーが実行する手法。 たとえば、実行可能ファイルを開いたり、マクロを含む Office ドキュメントを実行したりする場合がこれに該当します。

PT NADは何をしますか?: 起動前の転送段階でそのようなファイルを確認します。 それらに関する情報は、それらが送信されたセッションのカードで確認できます。

12. T1047: Windows 管理インストルメンテーション

Windows システム コンポーネントへのローカルおよびリモート アクセスを提供する WMI ツールの使用。 WMI を使用すると、攻撃者はローカル システムやリモート システムと対話し、インテリジェンス目的の情報収集や水平方向の移動中にプロセスをリモートで起動するなど、さまざまなタスクを実行できます。

PT NADは何をしますか?: WMI を介したリモート システムとの対話はトラフィックに表示されるため、PT NAD は WMI セッションを確立するためのネットワーク要求を自動的に検出し、WMI を使用するスクリプトが送信されているかどうかトラフィックをチェックします。

13. T1028: Windows リモート管理

ユーザーがリモート システムと対話できるようにする Windows サービスとプロトコルを使用します。

PT NADは何をしますか?: Windows リモート管理を使用して確立されたネットワーク接続を表示します。 このようなセッションはルールによって自動的に検出されます。

14. T1220: XSL (Extensible Stylesheet Language) スクリプト処理

XSL スタイルのマークアップ言語は、XML ファイル内のデータの処理とレンダリングを記述するために使用されます。 複雑な操作をサポートするために、XSL 標準には複数の言語でのインライン スクリプトのサポートが含まれています。 これらの言語では、ホワイトリストに登録されたセキュリティ ポリシーをバイパスする任意のコードの実行が許可されます。

PT NADは何をしますか?: ネットワーク上でのそのようなファイルの送信を、つまりファイルが起動される前であっても検出します。 ネットワーク上で送信されている XSL ファイルと、異常な XSL マークアップを持つファイルを自動的に検出します。

次の資料では、PT Network Attack Discovery NTA システムが MITRE ATT & CK に従って攻撃者の他の戦術やテクニックをどのように検出するかを見ていきます。 乞うご期待！

著者:

• Anton Kutepov 氏、エキスパート セキュリティ センター (PT Expert Security Center) のスペシャリスト Positive Technologies
• Natalia Kazankova 氏、Positive Technologies の製品マーケティング担当者

出所： habr.com