ProHoster > ΠΠ»ΠΎΠ³ > Administrasi > Cara sistem analisis lalu lintas ndeteksi taktik peretas nggunakake MITER ATT&CK nggunakake conto PT Network Attack Discovery
Cara sistem analisis lalu lintas ndeteksi taktik peretas nggunakake MITER ATT&CK nggunakake conto PT Network Attack Discovery
Miturut Verizon, mayoritas (87%) kedadeyan keamanan informasi kedadeyan sajrone sawetara menit, lan kanggo 68% perusahaan mbutuhake sawetara wulan kanggo ndeteksi. Iki dikonfirmasi dening Riset Institut Ponemon, miturut sing mbutuhake umume organisasi rata-rata 206 dina kanggo ndeteksi kedadeyan. Adhedhasar pengalaman investigasi kita, peretas bisa ngontrol infrastruktur perusahaan nganti pirang-pirang taun tanpa dideteksi. Mangkono, ing salah sawijining organisasi ing ngendi para ahli kita nyelidiki kedadeyan keamanan informasi, dicethakake manawa peretas ngendhaleni kabeh infrastruktur organisasi lan ajeg nyolong informasi penting. wolung taun.
Contone, sampeyan wis duwe SIEM mlaku sing ngumpulake log lan nganalisa acara, lan piranti lunak antivirus diinstal ing simpul pungkasan. Nanging, ora kabeh bisa dideteksi nggunakake SIEM, kaya ora bisa ngleksanakake sistem EDR ing kabeh jaringan, tegese titik "buta" ora bisa dihindari. Sistem analisis lalu lintas jaringan (NTA) mbantu ngatasi. Solusi kasebut ndeteksi aktivitas panyerang ing tahap awal penetrasi jaringan, uga sajrone upaya kanggo entuk pijakan lan ngembangake serangan ing jaringan.
Ana rong jinis NTA: sawetara nggarap NetFlow, liyane nganalisa lalu lintas mentah. Kauntungan saka sistem kapindho yaiku bisa nyimpen rekaman lalu lintas mentah. Thanks kanggo iki, spesialis keamanan informasi bisa verifikasi sukses serangan, localize ancaman, ngerti carane serangan kedaden lan carane nyegah sing padha ing mangsa.
Kita bakal nuduhake carane nggunakake NTA sampeyan bisa nggunakake bukti langsung utawa ora langsung kanggo ngenali kabeh taktik serangan dikenal sing diterangake ing basis kawruh. MITER AT&CK. Kita bakal ngomong babagan saben taktik 12, nganalisa teknik sing dideteksi dening lalu lintas, lan nduduhake deteksi nggunakake sistem NTA.
Babagan dhasar kawruh ATT&CK
MITER ATT&CK minangka basis pengetahuan umum sing dikembangake lan dikelola dening MITER Corporation adhedhasar analisis APT sing nyata. Iki minangka taktik lan teknik terstruktur sing digunakake dening panyerang. Iki ngidini para profesional keamanan informasi saka kabeh ndonya bisa nganggo basa sing padha. Database kasebut terus berkembang lan ditambah karo kawruh anyar.
Kanggo saben taktik, basis pengetahuan ATT&CK nyathet dhaptar teknik sing mbantu panyerang nggayuh tujuane ing tahap serangan saiki. Amarga teknik sing padha bisa digunakake ing tahapan sing beda-beda, bisa uga ngrujuk menyang sawetara taktik.
Deskripsi saben teknik kalebu:
pengenal;
dhaptar taktik sing digunakake;
conto panggunaan klompok APT;
langkah-langkah kanggo nyuda karusakan saka panggunaan;
Rekomendasi deteksi.
Spesialis keamanan informasi bisa nggunakake kawruh saka database kanggo struktur informasi babagan cara serangan saiki lan, njupuk menyang akun iki, mbangun sistem keamanan efektif. Ngerteni kepiye klompok APT sing nyata bisa uga dadi sumber hipotesis kanggo nggoleki ancaman kanthi proaktif. mburu ancaman.
Babagan PT Network Attack Discovery
Kita bakal ngenali panggunaan teknik saka matriks ATT&CK nggunakake sistem kasebut PT Network Attack Discovery - Sistem Positive Technologies NTA, dirancang kanggo ndeteksi serangan ing keliling lan ing jaringan. PT NAD nyakup, kanthi derajat sing beda-beda, kabeh 12 taktik matriks MITRE ATT&CK. Dheweke paling kuat kanggo ngenali teknik kanggo akses awal, gerakan lateral, lan komando lan kontrol. Ing dheweke, PT NAD nyakup luwih saka setengah teknik sing dikenal, ndeteksi aplikasi kasebut kanthi tandha langsung utawa ora langsung.
Sistem ndeteksi serangan nggunakake teknik ATT&CK nggunakake aturan deteksi sing digawe dening tim Pusat Keamanan Pakar PT (PT ESC), machine learning, indikator kompromi, analisis jero lan analisis retrospektif. Analisis lalu lintas wektu nyata sing digabungake karo retrospektif ngidini sampeyan ngenali kegiatan jahat sing didhelikake saiki lan nglacak vektor pangembangan lan kronologi serangan.
kene pemetaan lengkap PT NAD kanggo MITRE ATT&CK matriks. Gambar kasebut gedhe, mula disaranake sampeyan ndeleng ing jendela sing kapisah.
Akses wiwitan
Taktik akses awal kalebu teknik kanggo nembus jaringan perusahaan. Tujuan saka panyerang ing tahap iki yaiku ngirim kode jahat menyang sistem sing diserang lan njamin kemungkinan eksekusi luwih lanjut.
Analisis lalu lintas saka PT NAD mbukak pitung teknik kanggo entuk akses awal:
Teknik ing ngendi korban mbukak situs web sing digunakake dening panyerang kanggo ngeksploitasi browser web lan entuk token akses aplikasi.
Apa sing ditindakake PT NAD?: Yen lalu lintas web ora dienkripsi, PT NAD mriksa isi respon server HTTP. Tanggepan kasebut ngemot eksploitasi sing ngidini panyerang nglakokake kode sewenang-wenang ing browser. PT NAD kanthi otomatis ndeteksi eksploitasi kasebut nggunakake aturan deteksi.
Kajaba iku, PT NAD ndeteksi ancaman ing langkah sadurunge. Aturan lan pratondho kompromi dipicu yen pangguna ngunjungi situs sing ngarahake dheweke menyang situs kanthi akeh eksploitasi.
Eksploitasi kerentanan ing layanan sing bisa diakses saka Internet.
Apa sing ditindakake PT NAD?: Nindakake pemeriksaan jero babagan isi paket jaringan, ngenali pratandha aktivitas anomali. Utamane, ana aturan sing ngidini sampeyan ndeteksi serangan ing sistem manajemen konten utama (CMS), antarmuka web peralatan jaringan, lan serangan ing server mail lan FTP.
Penyerang nggunakake layanan akses remot kanggo nyambung menyang sumber jaringan internal saka njaba.
Apa sing ditindakake PT NAD?: wiwit sistem ngenali protokol ora dening nomer port, nanging isi paket, pangguna sistem bisa nyaring lalu lintas kanggo nemokake kabeh sesi protokol akses remot lan mriksa legitimasi.
Kita ngomong babagan ngirim lampiran phishing sing kondhang.
Apa sing ditindakake PT NAD?: Ekstrak file saka lalu lintas kanthi otomatis lan mriksa menyang indikator kompromi. File eksekusi ing lampiran dideteksi dening aturan sing nganalisa isi lalu lintas mail. Ing lingkungan perusahaan, investasi kasebut dianggep anomali.
Nggunakake pranala phishing. Teknik kasebut kalebu panyerang ngirim email phishing kanthi link sing, nalika diklik, ngundhuh program jahat. Minangka aturan, pranala kasebut diiringi teks sing disusun miturut kabeh aturan rekayasa sosial.
Apa sing ditindakake PT NAD?: Ndeteksi pranala phishing nggunakake indikator kompromi. Contone, ing antarmuka PT NAD kita ndeleng sesi sing ana sambungan HTTP liwat link sing kalebu ing dhaptar alamat phishing (phishing-url).
Sambungan liwat link saka dhaptar indikator kompromi phishing-url
Akses menyang jaringan korban liwat pihak katelu sing korban wis nggawe hubungan sing dipercaya. Penyerang bisa hack organisasi dipercaya lan nyambung menyang jaringan target liwat iku. Kanggo nindakake iki, dheweke nggunakake sambungan VPN utawa kepercayaan domain, sing bisa diidentifikasi liwat analisis lalu lintas.
Apa sing ditindakake PT NAD?: parses protokol aplikasi lan nyimpen kothak parsed menyang database, supaya analis keamanan informasi bisa nggunakake saringan kanggo nemokake kabeh sambungan VPN curiga utawa sambungan salib-domain ing database.
Taktik eksekusi kalebu teknik sing digunakake panyerang kanggo nglakokake kode ing sistem sing dikompromi. Mlaku kode angkoro mbantu panyerang netepake ngarsane (taktik kegigihan) lan nggedhekake akses menyang sistem remot ing jaringan kanthi obah ing perimeter.
PT NAD ngidini sampeyan ndeteksi panggunaan 14 teknik sing digunakake para panyerang kanggo nglakokake kode ala.
Apa sing ditindakake PT NAD?: Ndeteksi otomatis transfer jinis file INF khusus ing lalu lintas HTTP. Kajaba iku, ndeteksi transmisi HTTP saka scriptlets angkoro lan perpustakaan link dinamis saka server remot.
Interaksi karo antarmuka baris printah. Antarmuka baris printah bisa sesambungan karo lokal utawa mbatalake, contone nggunakake utilitas akses remot.
Apa sing ditindakake PT NAD?: kanthi otomatis ndeteksi ngarsane cangkang adhedhasar respon kanggo printah kanggo miwiti macem-macem keperluan baris printah, kayata ping, ifconfig.
Eksploitasi kerentanan kanggo nglakokake kode sewenang-wenang ing stasiun kerja. Eksploitasi sing paling migunani kanggo panyerang yaiku sing ngidini kode dieksekusi ing sistem remot, amarga bisa ngidini panyerang entuk akses menyang sistem kasebut. Teknik kasebut bisa ditindakake kanthi nggunakake cara ing ngisor iki: mailing ala, situs web kanthi eksploitasi browser, lan eksploitasi jarak jauh saka kerentanan aplikasi.
Apa sing ditindakake PT NAD?: Nalika ngurai lalu lintas surat, PT NAD mriksa manawa ana file eksekusi ing lampiran. Ekstrak dokumen kantor kanthi otomatis saka email sing bisa ngemot eksploitasi. Usaha kanggo ngeksploitasi kerentanan katon ing lalu lintas, sing dideteksi PT NAD kanthi otomatis.
Gunakake sarana mshta.exe, sing nganggo aplikasi Microsoft HTML (HTA) kanthi ekstensi .hta. Amarga mshta ngolah file ngliwati setelan keamanan browser, panyerang bisa nggunakake mshta.exe kanggo nglakokake file HTA, JavaScript, utawa VBScript sing ala.
Nggunakake PowerShell kanggo nemokake informasi lan nglakokake kode ala.
Apa sing ditindakake PT NAD?: Nalika PowerShell digunakake dening panyerang remot, PT NAD ndeteksi iki nggunakake aturan. Ndeteksi tembung kunci basa PowerShell sing paling kerep digunakake ing skrip jahat lan transmisi skrip PowerShell liwat protokol SMB.
7. T1053: tugas dijadwal
Nggunakake Windows Task Scheduler lan utilitas liyane kanggo mbukak program utawa skrip kanthi otomatis ing wektu tartamtu.
Apa sing ditindakake PT NAD?: panyerang nggawe tugas kuwi, biasane mbatalake, kang tegese sesi kuwi katon ing lalu lintas. PT NAD kanthi otomatis ndeteksi operasi nggawe lan modifikasi tugas sing curiga nggunakake antarmuka RPC ATSVC lan ITaskSchedulerService.
Eksekusi skrip kanggo ngotomatisasi macem-macem tumindak panyerang.
Apa sing ditindakake PT NAD?: ndeteksi transmisi skrip liwat jaringan, yaiku, sadurunge diluncurake. Ndeteksi konten skrip ing lalu lintas mentah lan ndeteksi transmisi file jaringan kanthi ekstensi sing cocog karo basa skrip populer.
Jalanake file eksekusi, instruksi antarmuka baris perintah, utawa skrip kanthi sesambungan karo layanan Windows, kayata Service Control Manager (SCM).
Apa sing ditindakake PT NAD?: mriksa lalu lintas SMB lan ndeteksi akses kanggo SCM karo aturan kanggo nggawe, ngganti lan miwiti layanan.
Teknik wiwitan layanan bisa ditindakake nggunakake sarana eksekusi perintah remot PSExec. PT NAD nganalisa protokol SMB lan ndeteksi panggunaan PSExec nalika nggunakake file PSEXESVC.exe utawa jeneng layanan PSEXECSVC standar kanggo nglakokake kode ing mesin remot. Pangguna kudu mriksa dhaptar perintah sing dieksekusi lan legitimasi eksekusi perintah remot saka host.
Kertu serangan ing PT NAD nampilake data babagan taktik lan teknik sing digunakake miturut matriks ATT&CK supaya pangguna bisa ngerti tahapan serangan sing ditindakake para penyerang, tujuan apa sing ditindakake, lan langkah-langkah ganti rugi sing kudu ditindakake.
Aturan babagan nggunakake utilitas PSExec dipicu, sing bisa uga nuduhake upaya kanggo nglakokake perintah ing mesin remot
Teknik ing ngendi panyerang entuk akses menyang piranti lunak administrasi remot utawa sistem panyebaran piranti lunak perusahaan lan digunakake kanggo mbukak kode ala. Conto piranti lunak kasebut: SCCM, VNC, TeamViewer, HBSS, Altiris.
Miturut cara, teknik kasebut cocog banget karo transisi gedhe menyang karya remot lan, minangka asil, sambungan akeh piranti omah sing ora dilindhungi liwat saluran akses remot sing ragu.
Apa sing ditindakake PT NAD?: kanthi otomatis ndeteksi operasi piranti lunak kasebut ing jaringan. Contone, aturan kasebut dipicu dening sambungan liwat protokol VNC lan kegiatan EvilVNC Trojan, sing kanthi rahasia nginstal server VNC ing host korban lan kanthi otomatis diluncurake. Uga, PT NAD kanthi otomatis ndeteksi protokol TeamViewer, iki mbantu analis, nggunakake saringan, nemokake kabeh sesi kasebut lan mriksa legitimasi.
Teknik ing ngendi pangguna mbukak file sing bisa nyebabake eksekusi kode. Iki bisa uga, contone, yen mbukak file eksekusi utawa mbukak dokumen kantor kanthi makro.
Apa sing ditindakake PT NAD?: ndeleng file kuwi ing tataran transfer, sadurunge padha dibukak. Informasi babagan dheweke bisa disinaoni ing kertu sesi sing ditularake.
Gunakake alat WMI, sing nyedhiyakake akses lokal lan remot menyang komponen sistem Windows. Nggunakake WMI, panyerang bisa sesambungan karo sistem lokal lan remot lan nindakake macem-macem tugas, kayata ngumpulake informasi kanggo tujuan pengintaian lan ngluncurake proses saka jarak adoh nalika obah ing sisih.
Apa sing ditindakake PT NAD?: Wiwit interaksi karo sistem remot liwat WMI katon ing lalu lintas, PT NAD otomatis ndeteksi panjalukan jaringan kanggo netepake sesi WMI lan mriksa lalu lintas kanggo script sing nggunakake WMI.
Nggunakake layanan lan protokol Windows sing ngidini pangguna sesambungan karo sistem remot.
Apa sing ditindakake PT NAD?: Deleng sambungan jaringan sing digawe nggunakake Windows Remote Management. Sesi kasebut dideteksi kanthi otomatis dening aturan.
Apa sing ditindakake PT NAD?: ndeteksi transfer file kasebut liwat jaringan, yaiku, sadurunge diluncurake. Kanthi otomatis ndeteksi file XSL sing ditularake liwat jaringan lan file kanthi markup XSL anomali.
Ing materi ing ngisor iki, kita bakal ndeleng carane sistem PT Network Attack Discovery NTA nemokake taktik lan teknik penyerang liyane sing cocog karo MITER ATT&CK. Tetep dirungokake!
penulis:
Anton Kutepov, spesialis ing PT Expert Security Center, Positive Technologies
Natalia Kazankova, pemasar produk ing Positive Technologies