, mayoritas (87%) kedadeyan keamanan informasi kedadeyan sajrone sawetara menit, lan kanggo 68% perusahaan mbutuhake sawetara wulan kanggo ndeteksi. Iki dikonfirmasi dening , miturut sing mbutuhake umume organisasi rata-rata 206 dina kanggo ndeteksi kedadeyan. Adhedhasar pengalaman investigasi kita, peretas bisa ngontrol infrastruktur perusahaan nganti pirang-pirang taun tanpa dideteksi. Mangkono, ing salah sawijining organisasi ing ngendi para ahli kita nyelidiki kedadeyan keamanan informasi, dicethakake manawa peretas ngendhaleni kabeh infrastruktur organisasi lan ajeg nyolong informasi penting. .
Contone, sampeyan wis duwe SIEM mlaku sing ngumpulake log lan nganalisa acara, lan piranti lunak antivirus diinstal ing simpul pungkasan. Nanging, , kaya ora bisa ngleksanakake sistem EDR ing kabeh jaringan, tegese titik "buta" ora bisa dihindari. Sistem analisis lalu lintas jaringan (NTA) mbantu ngatasi. Solusi kasebut ndeteksi aktivitas panyerang ing tahap awal penetrasi jaringan, uga sajrone upaya kanggo entuk pijakan lan ngembangake serangan ing jaringan.
Ana rong jinis NTA: sawetara nggarap NetFlow, liyane nganalisa lalu lintas mentah. Kauntungan saka sistem kapindho yaiku bisa nyimpen rekaman lalu lintas mentah. Thanks kanggo iki, spesialis keamanan informasi bisa verifikasi sukses serangan, localize ancaman, ngerti carane serangan kedaden lan carane nyegah sing padha ing mangsa.
Kita bakal nuduhake carane nggunakake NTA sampeyan bisa nggunakake bukti langsung utawa ora langsung kanggo ngenali kabeh taktik serangan dikenal sing diterangake ing basis kawruh. . Kita bakal ngomong babagan saben taktik 12, nganalisa teknik sing dideteksi dening lalu lintas, lan nduduhake deteksi nggunakake sistem NTA.
Babagan dhasar kawruh ATT&CK
MITER ATT&CK minangka basis pengetahuan umum sing dikembangake lan dikelola dening MITER Corporation adhedhasar analisis APT sing nyata. Iki minangka taktik lan teknik terstruktur sing digunakake dening panyerang. Iki ngidini para profesional keamanan informasi saka kabeh ndonya bisa nganggo basa sing padha. Database kasebut terus berkembang lan ditambah karo kawruh anyar.
Basis data kasebut ngenali 12 taktik, sing dipΓ©rang miturut tahapan serangan cyber:
- akses dhisikan;
- eksekusi;
- konsolidasi (keteguhan);
- eskalasi hak istimewa;
- nyegah deteksi (evasion pertahanan);
- entuk kapercayan (akses kredensial);
- eksplorasi;
- gerakan ing keliling (gerakan lateral);
- pangumpulan data (pangumpulan);
- printah lan kontrol;
- exfiltration data;
- impact.
Kanggo saben taktik, basis pengetahuan ATT&CK nyathet dhaptar teknik sing mbantu panyerang nggayuh tujuane ing tahap serangan saiki. Amarga teknik sing padha bisa digunakake ing tahapan sing beda-beda, bisa uga ngrujuk menyang sawetara taktik.
Deskripsi saben teknik kalebu:
- pengenal;
- dhaptar taktik sing digunakake;
- conto panggunaan klompok APT;
- langkah-langkah kanggo nyuda karusakan saka panggunaan;
- Rekomendasi deteksi.
Spesialis keamanan informasi bisa nggunakake kawruh saka database kanggo struktur informasi babagan cara serangan saiki lan, njupuk menyang akun iki, mbangun sistem keamanan efektif. Ngerteni kepiye klompok APT sing nyata bisa uga dadi sumber hipotesis kanggo nggoleki ancaman kanthi proaktif. .
Babagan PT Network Attack Discovery
Kita bakal ngenali panggunaan teknik saka matriks ATT&CK nggunakake sistem kasebut - Sistem Positive Technologies NTA, dirancang kanggo ndeteksi serangan ing keliling lan ing jaringan. PT NAD nyakup, kanthi derajat sing beda-beda, kabeh 12 taktik matriks MITRE ATT&CK. Dheweke paling kuat kanggo ngenali teknik kanggo akses awal, gerakan lateral, lan komando lan kontrol. Ing dheweke, PT NAD nyakup luwih saka setengah teknik sing dikenal, ndeteksi aplikasi kasebut kanthi tandha langsung utawa ora langsung.
Sistem ndeteksi serangan nggunakake teknik ATT&CK nggunakake aturan deteksi sing digawe dening tim (PT ESC), machine learning, indikator kompromi, analisis jero lan analisis retrospektif. Analisis lalu lintas wektu nyata sing digabungake karo retrospektif ngidini sampeyan ngenali kegiatan jahat sing didhelikake saiki lan nglacak vektor pangembangan lan kronologi serangan.
pemetaan lengkap PT NAD kanggo MITRE ATT&CK matriks. Gambar kasebut gedhe, mula disaranake sampeyan ndeleng ing jendela sing kapisah.
Akses wiwitan
Taktik akses awal kalebu teknik kanggo nembus jaringan perusahaan. Tujuan saka panyerang ing tahap iki yaiku ngirim kode jahat menyang sistem sing diserang lan njamin kemungkinan eksekusi luwih lanjut.
Analisis lalu lintas saka PT NAD mbukak pitung teknik kanggo entuk akses awal:
1. : drive-by kompromi
Teknik ing ngendi korban mbukak situs web sing digunakake dening panyerang kanggo ngeksploitasi browser web lan entuk token akses aplikasi.
Apa sing ditindakake PT NAD?: Yen lalu lintas web ora dienkripsi, PT NAD mriksa isi respon server HTTP. Tanggepan kasebut ngemot eksploitasi sing ngidini panyerang nglakokake kode sewenang-wenang ing browser. PT NAD kanthi otomatis ndeteksi eksploitasi kasebut nggunakake aturan deteksi.
Kajaba iku, PT NAD ndeteksi ancaman ing langkah sadurunge. Aturan lan pratondho kompromi dipicu yen pangguna ngunjungi situs sing ngarahake dheweke menyang situs kanthi akeh eksploitasi.
2. : eksploitasi aplikasi sing diadhepi umum
Eksploitasi kerentanan ing layanan sing bisa diakses saka Internet.
Apa sing ditindakake PT NAD?: Nindakake pemeriksaan jero babagan isi paket jaringan, ngenali pratandha aktivitas anomali. Utamane, ana aturan sing ngidini sampeyan ndeteksi serangan ing sistem manajemen konten utama (CMS), antarmuka web peralatan jaringan, lan serangan ing server mail lan FTP.
3. : layanan remot eksternal
Penyerang nggunakake layanan akses remot kanggo nyambung menyang sumber jaringan internal saka njaba.
Apa sing ditindakake PT NAD?: wiwit sistem ngenali protokol ora dening nomer port, nanging isi paket, pangguna sistem bisa nyaring lalu lintas kanggo nemokake kabeh sesi protokol akses remot lan mriksa legitimasi.
4. : lampiran spearphishing
Kita ngomong babagan ngirim lampiran phishing sing kondhang.
Apa sing ditindakake PT NAD?: Ekstrak file saka lalu lintas kanthi otomatis lan mriksa menyang indikator kompromi. File eksekusi ing lampiran dideteksi dening aturan sing nganalisa isi lalu lintas mail. Ing lingkungan perusahaan, investasi kasebut dianggep anomali.
5. : link spearphishing
Nggunakake pranala phishing. Teknik kasebut kalebu panyerang ngirim email phishing kanthi link sing, nalika diklik, ngundhuh program jahat. Minangka aturan, pranala kasebut diiringi teks sing disusun miturut kabeh aturan rekayasa sosial.
Apa sing ditindakake PT NAD?: Ndeteksi pranala phishing nggunakake indikator kompromi. Contone, ing antarmuka PT NAD kita ndeleng sesi sing ana sambungan HTTP liwat link sing kalebu ing dhaptar alamat phishing (phishing-url).
Sambungan liwat link saka dhaptar indikator kompromi phishing-url
6. : sesambetan dipercaya
Akses menyang jaringan korban liwat pihak katelu sing korban wis nggawe hubungan sing dipercaya. Penyerang bisa hack organisasi dipercaya lan nyambung menyang jaringan target liwat iku. Kanggo nindakake iki, dheweke nggunakake sambungan VPN utawa kepercayaan domain, sing bisa diidentifikasi liwat analisis lalu lintas.
Apa sing ditindakake PT NAD?: parses protokol aplikasi lan nyimpen kothak parsed menyang database, supaya analis keamanan informasi bisa nggunakake saringan kanggo nemokake kabeh sambungan VPN curiga utawa sambungan salib-domain ing database.
7. : akun sing sah
Nggunakake kredensial standar, lokal utawa domain kanggo wewenang layanan eksternal lan internal.
Apa sing ditindakake PT NAD?: Kanthi otomatis njupuk kredensial saka protokol HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. UmumΓ©, iki minangka login, sandhi lan tandha otentikasi sing sukses. Yen wis digunakake, ditampilake ing kertu sesi sing cocog.
eksekusi
Taktik eksekusi kalebu teknik sing digunakake panyerang kanggo nglakokake kode ing sistem sing dikompromi. Mlaku kode angkoro mbantu panyerang netepake ngarsane (taktik kegigihan) lan nggedhekake akses menyang sistem remot ing jaringan kanthi obah ing perimeter.
PT NAD ngidini sampeyan ndeteksi panggunaan 14 teknik sing digunakake para panyerang kanggo nglakokake kode ala.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktik ing ngendi panyerang nyiapake file INF instalasi angkoro khusus kanggo utilitas Windows CMSTP.exe sing dibangun (Connection Manager Profile Installer). CMSTP.exe njupuk file minangka parameter lan nginstal profil layanan kanggo sambungan remot. AkibatΓ©, CMSTP.exe bisa digunakake kanggo mbukak lan nglakokake perpustakaan link dinamis (*.dll) utawa scriptlets (*.sct) saka server remot.
Apa sing ditindakake PT NAD?: Ndeteksi otomatis transfer jinis file INF khusus ing lalu lintas HTTP. Kajaba iku, ndeteksi transmisi HTTP saka scriptlets angkoro lan perpustakaan link dinamis saka server remot.
2. : antarmuka baris printah
Interaksi karo antarmuka baris printah. Antarmuka baris printah bisa sesambungan karo lokal utawa mbatalake, contone nggunakake utilitas akses remot.
Apa sing ditindakake PT NAD?: kanthi otomatis ndeteksi ngarsane cangkang adhedhasar respon kanggo printah kanggo miwiti macem-macem keperluan baris printah, kayata ping, ifconfig.
3. : model obyek komponen lan COM mbagekke
Panggunaan teknologi COM utawa DCOM kanggo nglakokake kode ing sistem lokal utawa remot nalika pindhah ing jaringan.
Apa sing ditindakake PT NAD?: Ndeteksi telpon DCOM curiga sing biasane digunakake panyerang kanggo miwiti program.
4. : eksploitasi kanggo eksekusi klien
Eksploitasi kerentanan kanggo nglakokake kode sewenang-wenang ing stasiun kerja. Eksploitasi sing paling migunani kanggo panyerang yaiku sing ngidini kode dieksekusi ing sistem remot, amarga bisa ngidini panyerang entuk akses menyang sistem kasebut. Teknik kasebut bisa ditindakake kanthi nggunakake cara ing ngisor iki: mailing ala, situs web kanthi eksploitasi browser, lan eksploitasi jarak jauh saka kerentanan aplikasi.
Apa sing ditindakake PT NAD?: Nalika ngurai lalu lintas surat, PT NAD mriksa manawa ana file eksekusi ing lampiran. Ekstrak dokumen kantor kanthi otomatis saka email sing bisa ngemot eksploitasi. Usaha kanggo ngeksploitasi kerentanan katon ing lalu lintas, sing dideteksi PT NAD kanthi otomatis.
5. : mshta
Gunakake sarana mshta.exe, sing nganggo aplikasi Microsoft HTML (HTA) kanthi ekstensi .hta. Amarga mshta ngolah file ngliwati setelan keamanan browser, panyerang bisa nggunakake mshta.exe kanggo nglakokake file HTA, JavaScript, utawa VBScript sing ala.
Apa sing ditindakake PT NAD?: .file hta kanggo eksekusi liwat mshta uga ditularakΓ© liwat jaringan - iki bisa katon ing lalu lintas. PT NAD ndeteksi transfer file jahat kasebut kanthi otomatis. Iki njupuk file, lan informasi babagan bisa dideleng ing kertu sesi.
6. : PowerShell
Nggunakake PowerShell kanggo nemokake informasi lan nglakokake kode ala.
Apa sing ditindakake PT NAD?: Nalika PowerShell digunakake dening panyerang remot, PT NAD ndeteksi iki nggunakake aturan. Ndeteksi tembung kunci basa PowerShell sing paling kerep digunakake ing skrip jahat lan transmisi skrip PowerShell liwat protokol SMB.
7. : tugas dijadwal
Nggunakake Windows Task Scheduler lan utilitas liyane kanggo mbukak program utawa skrip kanthi otomatis ing wektu tartamtu.
Apa sing ditindakake PT NAD?: panyerang nggawe tugas kuwi, biasane mbatalake, kang tegese sesi kuwi katon ing lalu lintas. PT NAD kanthi otomatis ndeteksi operasi nggawe lan modifikasi tugas sing curiga nggunakake antarmuka RPC ATSVC lan ITaskSchedulerService.
8. : skripsi
Eksekusi skrip kanggo ngotomatisasi macem-macem tumindak panyerang.
Apa sing ditindakake PT NAD?: ndeteksi transmisi skrip liwat jaringan, yaiku, sadurunge diluncurake. Ndeteksi konten skrip ing lalu lintas mentah lan ndeteksi transmisi file jaringan kanthi ekstensi sing cocog karo basa skrip populer.
9. : eksekusi layanan
Jalanake file eksekusi, instruksi antarmuka baris perintah, utawa skrip kanthi sesambungan karo layanan Windows, kayata Service Control Manager (SCM).
Apa sing ditindakake PT NAD?: mriksa lalu lintas SMB lan ndeteksi akses kanggo SCM karo aturan kanggo nggawe, ngganti lan miwiti layanan.
Teknik wiwitan layanan bisa ditindakake nggunakake sarana eksekusi perintah remot PSExec. PT NAD nganalisa protokol SMB lan ndeteksi panggunaan PSExec nalika nggunakake file PSEXESVC.exe utawa jeneng layanan PSEXECSVC standar kanggo nglakokake kode ing mesin remot. Pangguna kudu mriksa dhaptar perintah sing dieksekusi lan legitimasi eksekusi perintah remot saka host.
Kertu serangan ing PT NAD nampilake data babagan taktik lan teknik sing digunakake miturut matriks ATT&CK supaya pangguna bisa ngerti tahapan serangan sing ditindakake para penyerang, tujuan apa sing ditindakake, lan langkah-langkah ganti rugi sing kudu ditindakake.
Aturan babagan nggunakake utilitas PSExec dipicu, sing bisa uga nuduhake upaya kanggo nglakokake perintah ing mesin remot
10. : lunak pihak katelu
Teknik ing ngendi panyerang entuk akses menyang piranti lunak administrasi remot utawa sistem panyebaran piranti lunak perusahaan lan digunakake kanggo mbukak kode ala. Conto piranti lunak kasebut: SCCM, VNC, TeamViewer, HBSS, Altiris.
Miturut cara, teknik kasebut cocog banget karo transisi gedhe menyang karya remot lan, minangka asil, sambungan akeh piranti omah sing ora dilindhungi liwat saluran akses remot sing ragu.
Apa sing ditindakake PT NAD?: kanthi otomatis ndeteksi operasi piranti lunak kasebut ing jaringan. Contone, aturan kasebut dipicu dening sambungan liwat protokol VNC lan kegiatan EvilVNC Trojan, sing kanthi rahasia nginstal server VNC ing host korban lan kanthi otomatis diluncurake. Uga, PT NAD kanthi otomatis ndeteksi protokol TeamViewer, iki mbantu analis, nggunakake saringan, nemokake kabeh sesi kasebut lan mriksa legitimasi.
11. : eksekusi pangguna
Teknik ing ngendi pangguna mbukak file sing bisa nyebabake eksekusi kode. Iki bisa uga, contone, yen mbukak file eksekusi utawa mbukak dokumen kantor kanthi makro.
Apa sing ditindakake PT NAD?: ndeleng file kuwi ing tataran transfer, sadurunge padha dibukak. Informasi babagan dheweke bisa disinaoni ing kertu sesi sing ditularake.
12. : Instrumentasi Manajemen Windows
Gunakake alat WMI, sing nyedhiyakake akses lokal lan remot menyang komponen sistem Windows. Nggunakake WMI, panyerang bisa sesambungan karo sistem lokal lan remot lan nindakake macem-macem tugas, kayata ngumpulake informasi kanggo tujuan pengintaian lan ngluncurake proses saka jarak adoh nalika obah ing sisih.
Apa sing ditindakake PT NAD?: Wiwit interaksi karo sistem remot liwat WMI katon ing lalu lintas, PT NAD otomatis ndeteksi panjalukan jaringan kanggo netepake sesi WMI lan mriksa lalu lintas kanggo script sing nggunakake WMI.
13. : Windows Remote Management
Nggunakake layanan lan protokol Windows sing ngidini pangguna sesambungan karo sistem remot.
Apa sing ditindakake PT NAD?: Deleng sambungan jaringan sing digawe nggunakake Windows Remote Management. Sesi kasebut dideteksi kanthi otomatis dening aturan.
14. : Pemrosesan skrip XSL (Extensible Stylesheet Language).
Basa markup gaya XSL digunakake kanggo njlèntrèhaké pangolahan lan visualisasi data ing file XML. Kanggo ndhukung operasi rumit, standar XSL kalebu dhukungan kanggo skrip sing dipasang ing macem-macem basa. Basa kasebut ngidini eksekusi kode sewenang-wenang, sing nyebabake kabijakan keamanan adhedhasar dhaptar putih.
Apa sing ditindakake PT NAD?: ndeteksi transfer file kasebut liwat jaringan, yaiku, sadurunge diluncurake. Kanthi otomatis ndeteksi file XSL sing ditularake liwat jaringan lan file kanthi markup XSL anomali.
Ing materi ing ngisor iki, kita bakal ndeleng carane sistem PT Network Attack Discovery NTA nemokake taktik lan teknik penyerang liyane sing cocog karo MITER ATT&CK. Tetep dirungokake!
penulis:
- Anton Kutepov, spesialis ing PT Expert Security Center, Positive Technologies
- Natalia Kazankova, pemasar produk ing Positive Technologies
Source: www.habr.com