როგორ ამოიცნობს ტრაფიკის ანალიზის სისტემები MITER ATT&CK-ის ჰაკერების ტაქტიკას PT Network Attack Discovery-ის მაგალითის გამოყენებით

Verizon-ის მიხედვითინფორმაციული უსაფრთხოების ინციდენტების უმრავლესობა (87%) რამდენიმე წუთში ხდება, კომპანიების 68%-ს კი თვეები სჭირდება მათ აღმოჩენას. ამას ადასტურებს პონემონის ინსტიტუტის კვლევა, რომლის მიხედვითაც ორგანიზაციების უმეტესობას ინციდენტის გამოსავლენად საშუალოდ 206 დღე სჭირდება. ჩვენი გამოძიების გამოცდილებიდან გამომდინარე, ჰაკერებს შეუძლიათ წლების განმავლობაში გააკონტროლონ კომპანიის ინფრასტრუქტურა გამოვლენის გარეშე. ამრიგად, ერთ-ერთ ორგანიზაციაში, სადაც ჩვენმა ექსპერტებმა გამოიკვლიეს ინფორმაციული უსაფრთხოების ინციდენტი, გაირკვა, რომ ჰაკერები მთლიანად აკონტროლებდნენ ორგანიზაციის მთელ ინფრასტრუქტურას და რეგულარულად იპარავდნენ მნიშვნელოვან ინფორმაციას. რვა წლის განმავლობაში.

ვთქვათ, თქვენ უკვე გაქვთ გაშვებული SIEM, რომელიც აგროვებს ჟურნალებს და აანალიზებს მოვლენებს, ხოლო ანტივირუსული პროგრამა დაინსტალირებულია ბოლო კვანძებზე. მიუხედავად ამისა, ყველაფრის აღმოჩენა SIEM-ის გამოყენებით არ შეიძლებაისევე, როგორც შეუძლებელია EDR სისტემების დანერგვა მთელი ქსელისთვის, რაც ნიშნავს, რომ „ბრმა“ ზონების თავიდან აცილება შეუძლებელია. ქსელური ტრაფიკის ანალიზის (NTA) სისტემები მათთან გამკლავებაში დაგეხმარებათ. ეს გადაწყვეტილებები აღმოაჩენს თავდამსხმელთა აქტივობას ქსელში შეღწევის ადრეულ ეტაპებზე, ასევე ქსელის შიგნით დასაყრდენის მოპოვებისა და შეტევის განვითარების მცდელობების დროს.

არსებობს ორი ტიპის NTA: ზოგი მუშაობს NetFlow-თან, ზოგი აანალიზებს ნედლეულ ტრაფიკს. მეორე სისტემების უპირატესობა ის არის, რომ მათ შეუძლიათ შეინახონ ტრაფიკის ჩანაწერები. ამის წყალობით, ინფორმაციული უსაფრთხოების სპეციალისტს შეუძლია გადაამოწმოს თავდასხმის წარმატება, მოახდინოს საფრთხის ლოკალიზება, გაიგოს, როგორ მოხდა თავდასხმა და როგორ თავიდან აიცილოს მსგავსი შეტევა მომავალში.

ჩვენ გაჩვენებთ, თუ როგორ შეგიძლიათ NTA-ს გამოყენებით გამოიყენოთ პირდაპირი ან არაპირდაპირი მტკიცებულება ცოდნის ბაზაში აღწერილი ყველა ცნობილი თავდასხმის ტაქტიკის დასადგენად. MITER AT&CK. ჩვენ ვისაუბრებთ 12 ტაქტიკიდან თითოეულზე, გავაანალიზებთ ტექნიკებს, რომლებიც აღმოჩენილია ტრაფიკის მიერ და ვაჩვენებთ მათ გამოვლენას ჩვენი NTA სისტემის გამოყენებით.

ATT&CK ცოდნის ბაზის შესახებ

MITER ATT&CK არის საჯარო ცოდნის ბაზა, რომელიც შემუშავებულია და ინახება MITER Corporation-ის მიერ რეალური APT-ების ანალიზზე დაყრდნობით. ეს არის თავდამსხმელების მიერ გამოყენებული ტაქტიკისა და ტექნიკის სტრუქტურირებული ნაკრები. ეს საშუალებას აძლევს ინფორმაციული უსაფრთხოების პროფესიონალებს მთელი მსოფლიოდან ისაუბრონ იმავე ენაზე. მონაცემთა ბაზა მუდმივად ფართოვდება და ავსებს ახალი ცოდნით.

მონაცემთა ბაზა განსაზღვრავს 12 ტაქტიკას, რომლებიც იყოფა კიბერშეტევის ეტაპებზე:

• საწყისი წვდომა (საწყისი წვდომა);
• აღსრულება;
• კონსოლიდაცია (გამძლეობა);
• პრივილეგიების ესკალაცია;
• გამოვლენის პრევენცია (თავდაცვის აცილება);
• რწმუნებათა სიგელების მოპოვება (სარწმუნოების ხელმისაწვდომობა);
• ინტელექტი (აღმოჩენა);
• მოძრაობა პერიმეტრში (გვერდითი მოძრაობა);
• მონაცემთა შეგროვება (შეგროვება);
• ბრძანება და კონტროლი;
• მონაცემთა ექსფილტრაცია;
• გავლენა.

თითოეული ტაქტიკისთვის ATT&CK ცოდნის ბაზა ჩამოთვლის ტექნიკის ჩამონათვალს, რომელიც ეხმარება თავდამსხმელებს მიაღწიონ მიზნებს შეტევის მიმდინარე ეტაპზე. ვინაიდან ერთი და იგივე ტექნიკის გამოყენება შესაძლებელია სხვადასხვა ეტაპზე, ის შეიძლება ეხებოდეს რამდენიმე ტაქტიკას.

თითოეული ტექნიკის აღწერა მოიცავს:

• იდენტიფიკატორი;
• ტაქტიკის სია, რომლებშიც იგი გამოიყენება;
• APT ჯგუფების გამოყენების მაგალითები;
• ზომები მისი გამოყენების შედეგად მიყენებული ზიანის შესამცირებლად;
• გამოვლენის რეკომენდაციები.

ინფორმაციული უსაფრთხოების სპეციალისტებს შეუძლიათ გამოიყენონ ბაზიდან მიღებული ცოდნა შეტევის მიმდინარე მეთოდების შესახებ ინფორმაციის სტრუქტურირებისთვის და, ამის გათვალისწინებით, ეფექტური უსაფრთხოების სისტემის შესაქმნელად. იმის გაგება, თუ როგორ მოქმედებენ რეალური APT ჯგუფები, ასევე შეიძლება გახდეს ჰიპოთეზების წყარო საშიშროების პროაქტიული ძიებისთვის. საფრთხის ნადირობა.

PT Network Attack Discovery-ის შესახებ

ჩვენ განვსაზღვრავთ ტექნიკის გამოყენებას ATT&CK მატრიციდან სისტემის გამოყენებით PT ქსელის თავდასხმის აღმოჩენა — Positive Technologies NTA სისტემა, შექმნილია პერიმეტრზე და ქსელში შეტევების აღმოსაჩენად. PT NAD მოიცავს, სხვადასხვა ხარისხით, MITER ATT&CK მატრიცის 12-ვე ტაქტიკას. ის ყველაზე ძლიერია საწყისი წვდომის, გვერდითი მოძრაობისა და ბრძანებისა და კონტროლის ტექნიკის იდენტიფიცირებაში. მათში PT NAD მოიცავს ცნობილი ტექნიკის ნახევარზე მეტს, მათი გამოყენების გამოვლენას პირდაპირი ან არაპირდაპირი ნიშნებით.

სისტემა აღმოაჩენს შეტევებს ATT&CK ტექნიკის გამოყენებით გუნდის მიერ შექმნილი გამოვლენის წესების გამოყენებით PT ექსპერტი უსაფრთხოების ცენტრი (PT ESC), მანქანათმცოდნეობა, კომპრომისის ინდიკატორები, ღრმა ანალიტიკა და რეტროსპექტული ანალიზი. რეალურ დროში ტრაფიკის ანალიზი, რეტროსპექტივასთან ერთად, საშუალებას გაძლევთ ამოიცნოთ მიმდინარე ფარული მავნე აქტივობა და თვალყური ადევნოთ განვითარების ვექტორებს და თავდასხმის ქრონოლოგიას.

აქ PT NAD-ის სრული რუქა MITER ATT&CK მატრიცაზე. სურათი დიდია, ამიტომ გირჩევთ განიხილოთ იგი ცალკე ფანჯარაში.

საწყისი წვდომა

საწყისი წვდომის ტაქტიკა მოიცავს კომპანიის ქსელში შეღწევის ტექნიკას. თავდამსხმელთა მიზანი ამ ეტაპზე არის მავნე კოდის მიწოდება თავდასხმულ სისტემაში და უზრუნველყოს მისი შემდგომი შესრულება.

PT NAD-ის ტრაფიკის ანალიზი ავლენს შვიდ ტექნიკას საწყისი წვდომის მოსაპოვებლად:

1. T1189: დისკზე კომპრომისი

ტექნიკა, რომლის დროსაც მსხვერპლი ხსნის ვებსაიტს, რომელსაც იყენებენ თავდამსხმელები ვებ ბრაუზერის გამოსაყენებლად აპლიკაციის წვდომის ნიშნების მისაღებად.

რას აკეთებს PT NAD?: თუ ვებ ტრაფიკი არ არის დაშიფრული, PT NAD ამოწმებს HTTP სერვერის პასუხების შინაარსს. ეს პასუხები შეიცავს ექსპლოიტებს, რომლებიც თავდამსხმელებს საშუალებას აძლევს შეასრულონ თვითნებური კოდი ბრაუზერის შიგნით. PT NAD ავტომატურად აღმოაჩენს ასეთ ექსპლოიტებს გამოვლენის წესების გამოყენებით.

გარდა ამისა, PT NAD აღმოაჩენს საფრთხეს წინა ეტაპზე. წესები და კომპრომისის ინდიკატორები ამოქმედდება, თუ მომხმარებელი ეწვია საიტს, რომელმაც ის გადამისამართდა საიტზე ექსპლოიტების სიმრავლით.

2. T1190: გამოიყენე საჯარო აპლიკაციის გამოყენება

მოწყვლადობის გამოყენება სერვისებში, რომლებიც ხელმისაწვდომია ინტერნეტიდან.

რას აკეთებს PT NAD?: ახორციელებს ქსელის პაკეტების შიგთავსის ღრმა შემოწმებას, ანომალიური აქტივობის ნიშნების იდენტიფიცირებას. კერძოდ, არსებობს წესები, რომლებიც საშუალებას გაძლევთ გამოავლინოთ თავდასხმები ძირითადი კონტენტის მართვის სისტემებზე (CMS), ქსელური აღჭურვილობის ვებ ინტერფეისებზე და თავდასხმებს ფოსტაზე და FTP სერვერებზე.

3. T1133: გარე დისტანციური სერვისები

თავდამსხმელები იყენებენ დისტანციური წვდომის სერვისებს შიდა ქსელის რესურსებთან გარედან დასაკავშირებლად.

რას აკეთებს PT NAD?: ვინაიდან სისტემა ცნობს პროტოკოლებს არა პორტის ნომრებით, არამედ პაკეტების შიგთავსით, სისტემის მომხმარებლებს შეუძლიათ გაფილტრონ ტრაფიკი დისტანციური წვდომის პროტოკოლების ყველა სესიის მოსაძებნად და მათი ლეგიტიმურობის შესამოწმებლად.

4. T1193: spearphishing დანართი

ჩვენ ვსაუბრობთ ფიშინგ დანართების ყბადაღებულ გაგზავნაზე.

რას აკეთებს PT NAD?: ავტომატურად ამოიღებს ფაილებს ტრაფიკიდან და ამოწმებს მათ კომპრომისის ინდიკატორებთან მიმართებაში. დანართებში შესასრულებელი ფაილები გამოვლენილია წესებით, რომლებიც აანალიზებენ ფოსტის ტრაფიკის შინაარსს. კორპორატიულ გარემოში ასეთი ინვესტიცია ითვლება ანომალიურად.

5. T1192: spearphishing ბმული

ფიშინგის ბმულების გამოყენება. ტექნიკა გულისხმობს თავდამსხმელების გაგზავნას ფიშინგ ელ.წერილს ბმულით, რომელზეც დაწკაპუნებით ჩამოტვირთავს მავნე პროგრამას. როგორც წესი, ბმულს ახლავს სოციალური ინჟინერიის ყველა წესის მიხედვით შედგენილი ტექსტი.

რას აკეთებს PT NAD?: აღმოაჩენს ფიშინგ ბმულებს კომპრომისის ინდიკატორების გამოყენებით. მაგალითად, PT NAD ინტერფეისში ჩვენ ვხედავთ სესიას, რომელშიც იყო HTTP კავშირი ფიშინგ-მისამართების სიაში შეტანილი ბმულის მეშვეობით (ფიშინგ-urls).

დაკავშირება ბმულის საშუალებით კომპრომისული ფიშინგ-urls-ის ინდიკატორების სიიდან

6. T1199: სანდო ურთიერთობა

მსხვერპლის ქსელში წვდომა მესამე პირების მეშვეობით, რომლებთანაც მსხვერპლს აქვს სანდო ურთიერთობა. თავდამსხმელებს შეუძლიათ შეაღწიონ სანდო ორგანიზაციაში და მისი მეშვეობით დაუკავშირდნენ სამიზნე ქსელს. ამისათვის ისინი იყენებენ VPN კავშირებს ან დომენის ნდობის ურთიერთობებს, რაც შეიძლება გამოვლინდეს ტრაფიკის ანალიზით.

რას აკეთებს PT NAD?: აანალიზებს აპლიკაციის პროტოკოლებს და ინახავს გაანალიზებულ ველებს მონაცემთა ბაზაში, რათა ინფორმაციული უსაფრთხოების ანალიტიკოსს შეუძლია გამოიყენოს ფილტრები მონაცემთა ბაზაში ყველა საეჭვო VPN კავშირის ან ჯვარედინი დომენური კავშირის მოსაძებნად.

7. T1078: მოქმედი ანგარიშები

გარე და შიდა სერვისებზე ავტორიზაციისთვის სტანდარტული, ლოკალური ან დომენის სერთიფიკატების გამოყენება.

რას აკეთებს PT NAD?: ავტომატურად იღებს სერთიფიკატებს HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos პროტოკოლებიდან. ზოგადად, ეს არის შესვლა, პაროლი და წარმატებული ავთენტიფიკაციის ნიშანი. თუ ისინი გამოყენებულია, ისინი ნაჩვენებია შესაბამის სესიის ბარათში.

აღსრულება

შესრულების ტაქტიკა მოიცავს ტექნიკას, რომელსაც თავდამსხმელები იყენებენ დაზიანებულ სისტემებზე კოდის შესასრულებლად. მავნე კოდის გაშვება ეხმარება თავდამსხმელებს დაამყარონ ყოფნა (მუდმივი ტაქტიკა) და გააფართოვონ წვდომა ქსელის დისტანციურ სისტემებზე პერიმეტრის შიგნით გადაადგილებით.

PT NAD საშუალებას გაძლევთ აღმოაჩინოთ 14 ტექნიკის გამოყენება, რომლებიც იყენებენ თავდამსხმელებს მავნე კოდის შესასრულებლად.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

ტაქტიკა, რომლის დროსაც თავდამსხმელები ამზადებენ სპეციალურ მავნე ინსტალაციის INF ფაილს ჩაშენებული Windows კომუნალური პროგრამისთვის CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe იღებს ფაილს პარამეტრად და აყენებს სერვისის პროფილს დისტანციური კავშირისთვის. შედეგად, CMSTP.exe შეიძლება გამოყენებულ იქნას დისტანციური სერვერებიდან დინამიური ბმულების ბიბლიოთეკების (*.dll) ან სკრიპლეტების (*.sct) ჩასატვირთად და შესასრულებლად.

რას აკეთებს PT NAD?: ავტომატურად ამოიცნობს სპეციალური ფორმის .inf ფაილების გადაცემას HTTP ტრაფიკში. გარდა ამისა, ის აღმოაჩენს მავნე სკრიპლეტებისა და დინამიური ბმულების ბიბლიოთეკების HTTP გადაცემას დისტანციური სერვერიდან.

2. T1059: ბრძანების ხაზის ინტერფეისი

ურთიერთქმედება ბრძანების ხაზის ინტერფეისთან. ბრძანების ხაზის ინტერფეისი შეიძლება იყოს ადგილობრივად ან დისტანციურად, მაგალითად, დისტანციური წვდომის კომუნალური საშუალებების გამოყენებით.

რას აკეთებს PT NAD?: ავტომატურად ამოიცნობს ჭურვების არსებობას ბრძანებებზე პასუხების საშუალებით სხვადასხვა ბრძანების ხაზის უტილიტების გასაშვებად, როგორიცაა ping, ifconfig.

3. T1175: კომპონენტის ობიექტის მოდელი და განაწილებული COM

COM ან DCOM ტექნოლოგიების გამოყენება ლოკალურ ან დისტანციურ სისტემებზე კოდის შესასრულებლად, როდესაც ის გადის ქსელში.

რას აკეთებს PT NAD?: აღმოაჩენს საეჭვო DCOM ზარებს, რომლებსაც თავდამსხმელები ჩვეულებრივ იყენებენ პროგრამების გასაშვებად.

4. T1203: ექსპლუატაცია კლიენტის შესრულებისთვის

დაუცველობების გამოყენება სამუშაო სადგურზე თვითნებური კოდის შესასრულებლად. თავდამსხმელებისთვის ყველაზე სასარგებლო ექსპლოიტები არის ის, რაც საშუალებას აძლევს კოდის შესრულებას დისტანციურ სისტემაზე, რადგან მათ შეუძლიათ თავდამსხმელებს მისცენ წვდომა ამ სისტემაზე. ტექნიკის დანერგვა შესაძლებელია შემდეგი მეთოდების გამოყენებით: მავნე ფოსტით გაგზავნა, ვებსაიტი ბრაუზერის ექსპლოიტებით და აპლიკაციის დაუცველობის დისტანციური ექსპლუატაცია.

რას აკეთებს PT NAD?: ფოსტის ტრაფიკის ანალიზისას, PT NAD ამოწმებს მას დანართებში შესრულებადი ფაილების არსებობაზე. ავტომატურად ამოიღებს საოფისე დოკუმენტებს ელ.წერილებიდან, რომლებიც შეიძლება შეიცავდეს ექსპლოიტებს. დაუცველობების გამოყენების მცდელობები ჩანს ტრაფიკში, რომელსაც PT NAD ავტომატურად ამოიცნობს.

5. T1170: მშტა

mshta.exe უტილიტის გამოყენებით, რომელიც ახორციელებს Microsoft HTML აპლიკაციებს (HTA) .hta გაფართოებით. ვინაიდან mshta ამუშავებს ფაილებს ბრაუზერის უსაფრთხოების პარამეტრების გვერდის ავლით, თავდამსხმელებს შეუძლიათ გამოიყენონ mshta.exe მავნე HTA, JavaScript ან VBScript ფაილების შესასრულებლად.

რას აკეთებს PT NAD?: .hta ფაილები mshta-ის საშუალებით შესასრულებლად ასევე გადაიცემა ქსელში - ეს ჩანს ტრაფიკში. PT NAD ავტომატურად ამოიცნობს ასეთი მავნე ფაილების გადაცემას. ის იჭერს ფაილებს და მათ შესახებ ინფორმაცია შეგიძლიათ ნახოთ სესიის ბარათში.

6. T1086: PowerShell

PowerShell-ის გამოყენება ინფორმაციის მოსაძიებლად და მავნე კოდის შესასრულებლად.

რას აკეთებს PT NAD?: როდესაც PowerShell-ს იყენებენ თავდამსხმელები დისტანციურად, PT NAD ამოიცნობს ამას წესების გამოყენებით. ის აღმოაჩენს PowerShell ენის საკვანძო სიტყვებს, რომლებიც ყველაზე ხშირად გამოიყენება მავნე სკრიპტებში და PowerShell სკრიპტების გადაცემას SMB-ზე.

7. T1053: დაგეგმილი დავალება
გამოიყენეთ Windows Task Scheduler და სხვა კომუნალური პროგრამები პროგრამების ან სკრიპტების ავტომატურად გასაშვებად კონკრეტულ დროს.

რას აკეთებს PT NAD?: თავდამსხმელები ქმნიან ასეთ დავალებებს, ჩვეულებრივ დისტანციურად, რაც ნიშნავს, რომ ასეთი სესიები ჩანს ტრაფიკში. PT NAD ავტომატურად ამოიცნობს საეჭვო დავალების შექმნისა და მოდიფიკაციის ოპერაციებს ATSVC და ITaskSchedulerService RPC ინტერფეისების გამოყენებით.

8. T1064: სკრიპტირება

სკრიპტების შესრულება თავდამსხმელთა სხვადასხვა მოქმედებების ავტომატიზაციისთვის.

რას აკეთებს PT NAD?: აღმოაჩენს სკრიპტების გადაცემას ქსელში, ანუ მათ გაშვებამდეც კი. ის ამოიცნობს სკრიპტის შინაარსს ნედლეულ ტრაფიკში და აღმოაჩენს ფაილების ქსელურ გადაცემას გაფართოებებით, რომლებიც შეესაბამება პოპულარულ სკრიპტირების ენებს.

9. T1035: სერვისის შესრულება

გაუშვით შესრულებადი ფაილი, ბრძანების ხაზის ინტერფეისის ინსტრუქციები ან სკრიპტი Windows სერვისებთან ურთიერთქმედებით, როგორიცაა Service Control Manager (SCM).

რას აკეთებს PT NAD?: ამოწმებს SMB ტრაფიკს და აღმოაჩენს მოთხოვნებს SCM-ის მიმართ სერვისის შექმნის, შეცვლისა და დაწყების წესების მიხედვით.

სერვისის გაშვების ტექნიკა შეიძლება განხორციელდეს დისტანციური ბრძანების შესრულების პროგრამის PSExec გამოყენებით. PT NAD აანალიზებს SMB პროტოკოლს და ამოიცნობს PSExec-ის გამოყენებას, როდესაც ის იყენებს PSEXESVC.exe ფაილს ან სტანდარტულ PSEXECSVC სერვისის სახელს დისტანციურ მანქანაზე კოდის შესასრულებლად. მომხმარებელმა უნდა შეამოწმოს შესრულებული ბრძანებების სია და მასპინძლისგან დისტანციური ბრძანების შესრულების ლეგიტიმურობა.

თავდასხმის ბარათი PT NAD-ში აჩვენებს მონაცემებს ATT&CK მატრიცის მიხედვით გამოყენებული ტაქტიკისა და ტექნიკის შესახებ, რათა მომხმარებელმა გაიგოს თავდასხმის რომელ ეტაპზე იმყოფებიან თავდამსხმელები, რა მიზნებს ისწრაფვიან და რა კომპენსაციის ზომები უნდა მიიღოს.

PSExec უტილიტის გამოყენების წესის გააქტიურება, რომელიც შეიძლება მიუთითებდეს დისტანციურ მანქანაზე ბრძანებების შესრულების მცდელობაზე.

10. T1072: მესამე მხარის პროგრამული უზრუნველყოფა

ტექნიკა, რომლის დროსაც თავდამსხმელები იღებენ წვდომას დისტანციური ადმინისტრირების პროგრამაზე ან კორპორატიული პროგრამული უზრუნველყოფის განლაგების სისტემაზე და იყენებენ მას მავნე კოდის გასაშვებად. ასეთი პროგრამული უზრუნველყოფის მაგალითები: SCCM, VNC, TeamViewer, HBSS, Altiris.
სხვათა შორის, ტექნიკა განსაკუთრებით აქტუალურია დისტანციურ სამუშაოზე მასიურ გადასვლასთან დაკავშირებით და, შედეგად, მრავალი დაუცველი სახლის მოწყობილობის დაკავშირება საეჭვო დისტანციური წვდომის არხებით.

რას აკეთებს PT NAD?: ავტომატურად ამოიცნობს ასეთი პროგრამული უზრუნველყოფის მუშაობას ქსელში. მაგალითად, წესები გამოწვეულია VNC პროტოკოლით დაკავშირების ფაქტებით და EvilVNC ტროას აქტივობით, რომელიც ფარულად აყენებს VNC სერვერს მსხვერპლის ჰოსტზე და ავტომატურად იწყებს მას. ასევე, PT NAD ავტომატურად ამოიცნობს TeamViewer პროტოკოლს, რომელიც ანალიტიკოსს ეხმარება ყველა ასეთი სესია ფილტრის გამოყენებით მოძებნოს და შეამოწმოს მათი ლეგიტიმაცია.

11. T1204: მომხმარებლის შესრულება

ტექნიკა, რომლის დროსაც მომხმარებელი აწარმოებს ფაილებს, რომლებმაც შეიძლება გამოიწვიოს კოდის შესრულება. ეს შეიძლება იყოს, მაგალითად, თუ ის ხსნის შესრულებად ფაილს ან აწარმოებს საოფისე დოკუმენტს მაკროთი.

რას აკეთებს PT NAD?: ხედავს ასეთ ფაილებს გადაცემის ეტაპზე, მათ გაშვებამდე. მათ შესახებ ინფორმაციის შესწავლა შესაძლებელია იმ სესიების ბარათში, რომლებშიც ისინი გადაეცა.

12. T1047: Windows მართვის ინსტრუმენტაცია

WMI ინსტრუმენტის გამოყენება, რომელიც უზრუნველყოფს ლოკალურ და დისტანციურ წვდომას Windows სისტემის კომპონენტებზე. WMI-ს გამოყენებით თავდამსხმელებს შეუძლიათ ურთიერთქმედება ადგილობრივ და დისტანციურ სისტემებთან და შეასრულონ სხვადასხვა დავალება, როგორიცაა ინფორმაციის შეგროვება სადაზვერვო მიზნებისთვის და პროცესების გაშვება დისტანციურად, ხოლო გვერდითი მოძრაობით.

რას აკეთებს PT NAD?: ვინაიდან WMI-ის საშუალებით დისტანციურ სისტემებთან ურთიერთქმედება ჩანს ტრაფიკში, PT NAD ავტომატურად ამოიცნობს ქსელის მოთხოვნებს WMI სესიების დასამყარებლად და ამოწმებს ტრაფიკს სკრიპტებისთვის, რომლებიც იყენებენ WMI-ს.

13. T1028: Windows დისტანციური მართვა

Windows სერვისისა და პროტოკოლის გამოყენება, რომელიც მომხმარებელს საშუალებას აძლევს ურთიერთქმედება დისტანციურ სისტემებთან.

რას აკეთებს PT NAD?: ხედავს Windows დისტანციური მართვის გამოყენებით დამყარებულ ქსელურ კავშირებს. ასეთი სესიები ავტომატურად ვლინდება წესებით.

14. T1220: XSL (Extensible Stylesheet Language) სკრიპტის დამუშავება

XSL სტილის მარკირების ენა გამოიყენება XML ფაილებში მონაცემთა დამუშავებისა და ვიზუალიზაციის აღსაწერად. რთული ოპერაციების მხარდასაჭერად, XSL სტანდარტი მოიცავს სხვადასხვა ენაზე ჩაშენებული სკრიპტების მხარდაჭერას. ეს ენები იძლევა თვითნებური კოდის აღსრულების საშუალებას, რაც იწვევს თეთრ სიებზე დაფუძნებული უსაფრთხოების პოლიტიკის გვერდის ავლით.

რას აკეთებს PT NAD?: აღმოაჩენს ასეთი ფაილების გადატანას ქსელში, ანუ მათ გაშვებამდეც კი. ის ავტომატურად ამოიცნობს XSL ფაილებს, რომლებიც გადაიცემა ქსელში და ფაილებს ანომალიური XSL მარკირებით.

შემდეგ მასალებში განვიხილავთ, თუ როგორ პოულობს PT Network Attack Discovery NTA სისტემა თავდამსხმელის სხვა ტაქტიკასა და ტექნიკას MITER ATT&CK-ის შესაბამისად. Ადევნეთ თვალყური!

ავტორები:

• ანტონ კუტეპოვი, PT Expert Security Center, Positive Technologies
• ნატალია კაზანკოვა, Positive Technologies-ის პროდუქტის მარკეტინგი

წყარო: www.habr.com