, ақпараттық қауіпсіздік оқиғаларының көпшілігі (87%) бірнеше минут ішінде орын алады, ал компаниялардың 68% үшін оларды анықтауға айлар қажет. Мұны растайды , оған сәйкес көптеген ұйымдарға оқиғаны анықтау үшін орта есеппен 206 күн қажет. Біздің зерттеулеріміздің тәжірибесіне сүйенсек, хакерлер компанияның инфрақұрылымын жылдар бойы анықталмай басқара алады. Осылайша, біздің мамандар ақпараттық қауіпсіздік оқиғасын зерттеген ұйымдардың бірінде хакерлер ұйымның барлық инфрақұрылымын толығымен бақылап, маңызды ақпаратты үнемі ұрлап отырғаны анықталды. .
Сізде журналдарды жинайтын және оқиғаларды талдайтын SIEM жұмыс істеп тұр делік және соңғы түйіндерде антивирустық бағдарламалық құрал орнатылған. Дегенмен, , сияқты EDR жүйелерін бүкіл желіде енгізу мүмкін емес, яғни «соқыр» дақтарды болдырмау мүмкін емес. Желілік трафикті талдау (NTA) жүйелері олармен күресуге көмектеседі. Бұл шешімдер желіге енудің ең ерте кезеңдерінде, сондай-ақ желіде тірек алу және шабуыл жасау әрекеттері кезінде шабуылдаушы әрекетін анықтайды.
NTA екі түрі бар: кейбіреулері NetFlow-пен жұмыс істейді, басқалары шикі трафикті талдайды. Екінші жүйелердің артықшылығы - олар шикі трафик жазбаларын сақтай алады. Осының арқасында ақпараттық қауіпсіздік маманы шабуылдың сәттілігін тексере алады, қауіпті локализациялай алады, шабуылдың қалай болғанын және болашақта осыған ұқсас шабуылды қалай болдырмау керектігін түсінеді.
Біз NTA көмегімен білім базасында сипатталған барлық белгілі шабуыл тактикасын анықтау үшін тікелей немесе жанама дәлелдерді қалай пайдалануға болатынын көрсетеміз. . Біз 12 тактиканың әрқайсысы туралы сөйлесетін боламыз, трафик арқылы анықталған әдістерді талдаймыз және біздің NTA жүйесін пайдаланып оларды анықтауды көрсетеміз.
ATT&CK білім базасы туралы
MITER ATT&CK - бұл нақты әлемдегі APT талдауына негізделген MITER корпорациясы әзірлеген және қолдайтын жалпыға ортақ білім базасы. Бұл шабуылдаушылар қолданатын тактикалар мен әдістердің құрылымдық жиынтығы. Бұл бүкіл әлемдегі ақпараттық қауіпсіздік мамандарына бір тілде сөйлеуге мүмкіндік береді. Мәліметтер қоры үнемі кеңейіп, жаңа біліммен толықтырылып отырады.
Деректер базасы кибершабуыл кезеңдері бойынша бөлінген 12 тактиканы анықтайды:
- бастапқы қол жеткізу;
- орындау;
- шоғырландыру (қажырлылық);
- артықшылықтарды арттыру;
- анықтаудың алдын алу (қорғанудан жалтару);
- тіркелгі деректерін алу (тіркеу деректеріне қол жеткізу);
- барлау;
- периметрдегі қозғалыс (бүйірлік қозғалыс);
- мәліметтерді жинау (жинау);
- басқару және басқару;
- деректерді эксфильтрациялау;
- әсер ету.
Әрбір тактика үшін ATT&CK білім базасы шабуылдаушыларға шабуылдың ағымдағы кезеңінде мақсатына жетуге көмектесетін әдістердің тізімін береді. Бір әдісті әртүрлі кезеңде қолдануға болатындықтан, ол бірнеше тактикаға сілтеме жасай алады.
Әрбір техниканың сипаттамасы мыналарды қамтиды:
- идентификатор;
- ол қолданылатын тактикалардың тізімі;
- АПТ топтарының қолдану мысалдары;
- оны пайдаланудан залалды азайту шаралары;
- анықтау бойынша ұсыныстар.
Ақпараттық қауіпсіздік мамандары деректер базасындағы білімді ағымдағы шабуыл әдістері туралы ақпаратты құрылымдау үшін пайдалана алады және осыны ескере отырып, тиімді қауіпсіздік жүйесін құра алады. Нақты APT топтарының қалай жұмыс істейтінін түсіну сонымен қатар қауіптерді белсенді түрде іздеу үшін гипотеза көзі бола алады. .
PT Network Attack Discovery туралы
Біз жүйені пайдалана отырып, ATT&CK матрицасынан әдістерді қолдануды анықтаймыз — Периметрдегі және желі ішіндегі шабуылдарды анықтауға арналған Positive Technologies NTA жүйесі. PT NAD әртүрлі дәрежеде MITER ATT&CK матрицасының барлық 12 тактикасын қамтиды. Ол бастапқы қол жеткізу, бүйірлік қозғалыс және басқару мен басқару әдістерін анықтауда ең күшті. Оларда PT NAD белгілі әдістердің жартысынан көбін қамтиды, олардың қолданылуын тікелей немесе жанама белгілермен анықтайды.
Жүйе топ жасаған анықтау ережелерін пайдалана отырып, ATT&CK әдістерін пайдаланып шабуылдарды анықтайды (PT ESC), машиналық оқыту, компромисс көрсеткіштері, терең аналитика және ретроспективті талдау. Ретроспективпен біріктірілген нақты уақыттағы трафикті талдау ағымдағы жасырын зиянды әрекетті анықтауға және даму векторлары мен шабуылдардың хронологиясын қадағалауға мүмкіндік береді.
PT NAD-ты MITER ATT&CK матрицасына толық салыстыру. Сурет үлкен, сондықтан оны бөлек терезеде қарауды ұсынамыз.
Бастапқы қол жеткізу
Бастапқы қол жеткізу тактикасы компанияның желісіне ену әдістерін қамтиды. Бұл кезеңдегі шабуылдаушылардың мақсаты - шабуыл жасалған жүйеге зиянды кодты жеткізу және оны одан әрі орындау мүмкіндігін қамтамасыз ету.
PT NAD трафик талдауы бастапқы қол жеткізудің жеті әдісін көрсетеді:
1. : көлікпен ымыраға келу
Жәбірленуші шабуылдаушылар веб-шолғышты пайдалану және қолданбаға кіру белгілерін алу үшін пайдаланатын веб-сайтты ашатын әдіс.
PT NAD не істейді?: Егер веб-трафик шифрланбаса, PT NAD HTTP сервер жауаптарының мазмұнын тексереді. Бұл жауаптарда шабуылдаушыларға браузер ішінде ерікті кодты орындауға мүмкіндік беретін эксплуатациялар бар. PT NAD анықтау ережелері арқылы мұндай эксплуаттарды автоматты түрде анықтайды.
Сонымен қатар, PT NAD алдыңғы қадамда қауіпті анықтайды. Ережелер мен компромисс көрсеткіштері, егер пайдаланушы оны көптеген эксплойттар бар сайтқа қайта бағыттаған сайтқа кірген болса, іске қосылады.
2. : көпшілікке арналған қолданбаны пайдалану
Интернеттен қолжетімді қызметтердегі осалдықтарды пайдалану.
PT NAD не істейді?: Аномальдық белсенділік белгілерін анықтай отырып, желілік пакеттердің мазмұнын терең тексеруді жүзеге асырады. Атап айтқанда, негізгі мазмұнды басқару жүйелеріне (CMS), желілік жабдықтың веб-интерфейстеріне, пошта және FTP серверлеріне шабуылдарды анықтауға мүмкіндік беретін ережелер бар.
3. : сыртқы қашықтағы қызметтер
Шабуылшылар ішкі желі ресурстарына сырттан қосылу үшін қашықтан қол жеткізу қызметтерін пайдаланады.
PT NAD не істейді?: жүйе протоколдарды порт нөмірлері бойынша емес, пакеттердің мазмұны бойынша танитындықтан, жүйе пайдаланушылары қашықтан қол жеткізу хаттамаларының барлық сеанстарын табу және олардың заңдылығын тексеру үшін трафикті сүзе алады.
4. : спирфишинг қосымшасы
Біз фишингтік тіркемелерді атышулы жіберу туралы айтып отырмыз.
PT NAD не істейді?: файлдарды трафиктен автоматты түрде шығарып, оларды компромисс көрсеткіштерімен тексереді. Қосымшалардағы орындалатын файлдар пошта трафигінің мазмұнын талдайтын ережелер арқылы анықталады. Корпоративтік ортада мұндай инвестиция аномальды болып саналады.
5. : фишингтік сілтеме
Фишингтік сілтемелерді пайдалану. Бұл әдіс басылған кезде зиянды бағдарламаны жүктеп алатын сілтемесі бар фишингтік электрондық поштаны жіберуді қамтиды. Әдетте, сілтеме әлеуметтік инженерияның барлық ережелеріне сәйкес құрастырылған мәтінмен бірге жүреді.
PT NAD не істейді?: Компромисс көрсеткіштерін пайдаланып фишингтік сілтемелерді анықтайды. Мысалы, PT NAD интерфейсінде фишинг мекенжайларының (фишинг-url) тізіміне енгізілген сілтеме арқылы HTTP қосылымы болған сеансты көреміз.
Компромисстік фишинг-url көрсеткіштерінің тізімінен сілтеме арқылы қосылу
6. : сенімді қарым-қатынас
Жәбірленушінің желісіне жәбірленуші сенімді қарым-қатынас орнатқан үшінші тұлғалар арқылы қол жеткізу. Шабуылшылар сенімді ұйымды бұзып, ол арқылы мақсатты желіге қосыла алады. Ол үшін олар VPN қосылымдарын немесе трафикті талдау арқылы анықтауға болатын домен сенімдерін пайдаланады.
PT NAD не істейді?: қолданба хаттамаларын талдайды және талданған өрістерді дерекқорға сақтайды, осылайша ақпараттық қауіпсіздік талдаушысы дерекқордағы барлық күдікті VPN қосылымдарын немесе доменаралық қосылымдарды табу үшін сүзгілерді пайдалана алады.
7. : жарамды тіркелгілер
Сыртқы және ішкі қызметтерде авторизациялау үшін стандартты, жергілікті немесе домен тіркелгі деректерін пайдалану.
PT NAD не істейді?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos протоколдарынан тіркелгі деректерін автоматты түрде шығарады. Жалпы алғанда, бұл логин, пароль және сәтті аутентификацияның белгісі. Егер олар пайдаланылған болса, олар сәйкес сеанс картасында көрсетіледі.
Орындау
Орындау тактикасына шабуылдаушылар бұзылған жүйелерде кодты орындау үшін қолданатын әдістер кіреді. Зиянды кодты іске қосу шабуылдаушыларға қатысуды анықтауға (тұрақтылық тактикасы) және периметр ішінде жылжу арқылы желідегі қашықтағы жүйелерге қолжетімділікті кеңейтуге көмектеседі.
PT NAD зиянды кодты орындау үшін шабуылдаушылар пайдаланатын 14 әдісті пайдалануды анықтауға мүмкіндік береді.
1. : CMSTP (Microsoft Connection Manager профилін орнату құралы)
Қауіптілер кірістірілген Windows утилитасы CMSTP.exe (Connection Manager профилін орнату құралы) үшін арнайы зиянды орнату INF файлын дайындайтын тактика. CMSTP.exe файлды параметр ретінде қабылдайды және қашықтағы қосылым үшін қызмет профилін орнатады. Нәтижесінде, CMSTP.exe қашықтағы серверлерден динамикалық сілтеме кітапханаларын (*.dll) немесе сценарийлерді (*.sct) жүктеу және орындау үшін пайдаланылуы мүмкін.
PT NAD не істейді?: HTTP трафигінде INF файлдарының арнайы түрлерін тасымалдауды автоматты түрде анықтайды. Бұған қоса, ол қашықтағы серверден зиянды сценарийлер мен динамикалық сілтеме кітапханаларының HTTP жіберуін анықтайды.
2. : пәрмен жолы интерфейсі
Пәрмен жолы интерфейсімен әрекеттесу. Пәрмен жолы интерфейсімен жергілікті немесе қашықтан әрекеттесуге болады, мысалы қашықтан қол жеткізу утилиталарын пайдалану.
PT NAD не істейді?: ping, ifconfig сияқты әртүрлі пәрмен жолы утилиталарын іске қосу пәрмендеріне жауаптар негізінде қабықшалардың болуын автоматты түрде анықтайды.
3. : компоненттік нысан моделі және таратылған COM
Желі бойынша қозғалу кезінде жергілікті немесе қашықтағы жүйелерде кодты орындау үшін COM немесе DCOM технологияларын пайдалану.
PT NAD не істейді?: шабуылдаушылар әдетте бағдарламаларды іске қосу үшін пайдаланатын күдікті DCOM қоңырауларын анықтайды.
4. : клиентті орындау үшін пайдалану
Жұмыс станциясында еркін кодты орындау үшін осалдықтарды пайдалану. Шабуылдаушылар үшін ең пайдалы эксплойттер қашықтағы жүйеде кодты орындауға мүмкіндік беретін эксплойттар болып табылады, өйткені олар шабуылдаушыларға сол жүйеге қол жеткізуге мүмкіндік береді. Әдістеме келесі әдістерді қолдану арқылы жүзеге асырылуы мүмкін: зиянды жіберу, шолғыш эксплойттері бар веб-сайт және қолданбаның осалдықтарын қашықтан пайдалану.
PT NAD не істейді?: Пошта трафигін талдау кезінде PT NAD оны тіркемелерде орындалатын файлдардың бар-жоғын тексереді. Эксплуаттарды қамтуы мүмкін электрондық пошталардан кеңсе құжаттарын автоматты түрде шығарады. PT NAD автоматты түрде анықтайтын трафикте осалдықтарды пайдалану әрекеттері көрінеді.
5. : мшта
.hta кеңейтімі бар Microsoft HTML қолданбаларын (HTA) іске қосатын mshta.exe утилитасын пайдаланыңыз. mshta браузердің қауіпсіздік параметрлерін айналып өтетін файлдарды өңдейтіндіктен, шабуылдаушылар зиянды HTA, JavaScript немесе VBScript файлдарын орындау үшін mshta.exe файлын пайдалана алады.
PT NAD не істейді?: mshta арқылы орындауға арналған .hta файлдары да желі арқылы тасымалданады - бұл трафиктен көрінеді. PT NAD мұндай зиянды файлдардың тасымалдануын автоматты түрде анықтайды. Ол файлдарды түсіреді және олар туралы ақпаратты сеанс картасында көруге болады.
6. : PowerShell
Ақпаратты табу және зиянды кодты орындау үшін PowerShell пайдалану.
PT NAD не істейді?: PowerShell-ді қашықтағы шабуылдаушылар пайдаланған кезде, PT NAD мұны ережелер арқылы анықтайды. Ол зиянды сценарийлерде жиі қолданылатын PowerShell тілінің кілт сөздерін және PowerShell сценарийлерін SMB протоколы арқылы тасымалдауды анықтайды.
7. : жоспарланған тапсырма
Бағдарламаларды немесе сценарийлерді белгілі бір уақытта автоматты түрде іске қосу үшін Windows Task Scheduler және басқа утилиталарды пайдалану.
PT NAD не істейді?: шабуылдаушылар мұндай тапсырмаларды әдетте қашықтан жасайды, яғни мұндай сеанстар трафикте көрінеді. PT NAD ATSVC және ITaskSchedulerService RPC интерфейстерін пайдаланып күдікті тапсырманы жасау және өзгерту әрекеттерін автоматты түрде анықтайды.
8. : сценарий жазу
Шабуылшылардың әртүрлі әрекеттерін автоматтандыру үшін сценарийлерді орындау.
PT NAD не істейді?: сценарийлерді желі арқылы жіберуді, яғни олар іске қосылмай тұрып-ақ анықтайды. Ол өңделмеген трафиктегі сценарий мазмұнын анықтайды және танымал сценарий тілдеріне сәйкес кеңейтімдері бар файлдардың желілік тасымалдануын анықтайды.
9. : қызметтің орындалуы
Қызметті басқару менеджері (SCM) сияқты Windows қызметтерімен әрекеттесу арқылы орындалатын файлды, пәрмен жолы интерфейсінің нұсқауларын немесе сценарийді іске қосыңыз.
PT NAD не істейді?: SMB трафигін тексереді және қызметті жасау, өзгерту және іске қосу ережелері бар SCM жүйесіне кіруді анықтайды.
Қызметті іске қосу техникасын PSExec қашықтан пәрменді орындау утилитасы арқылы жүзеге асыруға болады. PT NAD қашықтағы компьютерде кодты орындау үшін PSEXESVC.exe файлын немесе стандартты PSEXECSVC қызмет атауын пайдаланған кезде SMB протоколын талдайды және PSExec пайдалануын анықтайды. Пайдаланушы орындалатын пәрмендер тізімін және хосттан қашықтан пәрменді орындаудың заңдылығын тексеруі керек.
PT NAD жүйесіндегі шабуыл картасы ATT&CK матрицасына сәйкес қолданылатын тактикалар мен әдістер туралы деректерді көрсетеді, осылайша пайдаланушы шабуылдаушылар шабуылдың қай сатысында екенін, олар қандай мақсаттарды көздейтінін және қандай өтемақы шараларын қабылдау керектігін түсінуі үшін.
PSExec утилитасын пайдалану ережесі іске қосылды, ол қашықтағы компьютерде пәрмендерді орындау әрекетін көрсетуі мүмкін.
10. : үшінші тарап бағдарламалық құралы
Қауіптілер қашықтан басқару бағдарламалық құралына немесе корпоративтік бағдарламалық құралды орналастыру жүйесіне қол жеткізе алатын және оны зиянды кодты іске қосу үшін пайдаланатын әдіс. Мұндай бағдарламалық қамтамасыз етудің мысалдары: SCCM, VNC, TeamViewer, HBSS, Altiris.
Айтпақшы, бұл әдіс әсіресе қашықтан жұмыс істеуге жаппай көшумен және соның салдарынан күмәнді қашықтан қол жеткізу арналары арқылы көптеген қорғалмаған үй құрылғыларын қосумен байланысты.
PT NAD не істейді?: желідегі осындай бағдарламалық құралдың жұмысын автоматты түрде анықтайды. Мысалы, ережелер VNC протоколы арқылы қосылымдар және VNC серверін жәбірленушінің хостына жасырын орнатып, оны автоматты түрде іске қосатын EvilVNC троянының белсенділігі арқылы іске қосылады. Сондай-ақ, PT NAD TeamViewer протоколын автоматты түрде анықтайды, бұл талдаушыға сүзгіні пайдаланып, барлық осындай сеанстарды табуға және олардың заңдылығын тексеруге көмектеседі.
11. : пайдаланушының орындалуы
Пайдаланушы кодты орындауға әкелетін файлдарды іске қосатын әдіс. Бұл, мысалы, ол орындалатын файлды ашса немесе кеңсе құжатын макроспен іске қосса болуы мүмкін.
PT NAD не істейді?: мұндай файлдарды тасымалдау сатысында, олар іске қосылмай тұрып көреді. Олар туралы ақпаратты олар берілген сеанстардың картасында зерделеуге болады.
12. :Windows басқару құралдары
Windows жүйесінің құрамдастарына жергілікті және қашықтан қол жеткізуді қамтамасыз ететін WMI құралын пайдалану. WMI көмегімен шабуылдаушылар жергілікті және қашықтағы жүйелермен өзара әрекеттесе алады және барлау мақсатында ақпарат жинау және бүйірлік қозғалыс кезінде процестерді қашықтан іске қосу сияқты әртүрлі тапсырмаларды орындай алады.
PT NAD не істейді?: WMI арқылы қашықтағы жүйелермен өзара әрекеттесу трафикте көрінетіндіктен, PT NAD WMI сеанстарын орнату үшін желілік сұрауларды автоматты түрде анықтайды және WMI қолданатын сценарийлер үшін трафикті тексереді.
13. : Windows қашықтан басқару
Пайдаланушыға қашықтағы жүйелермен өзара әрекеттесуге мүмкіндік беретін Windows қызметі мен протоколын пайдалану.
PT NAD не істейді?: Windows қашықтан басқару арқылы орнатылған желі қосылымдарын көреді. Мұндай сеанстар ережелер бойынша автоматты түрде анықталады.
14. : XSL (Extensible Stylesheet Language) сценарийін өңдеу
XSL мәнері белгілеу тілі XML файлдарындағы деректерді өңдеу және визуализациялауды сипаттау үшін пайдаланылады. Күрделі операцияларды қолдау үшін XSL стандарты әртүрлі тілдердегі ендірілген сценарийлерді қолдауды қамтиды. Бұл тілдер ақ тізімдерге негізделген қауіпсіздік саясатын айналып өтуге әкелетін еркін кодты орындауға мүмкіндік береді.
PT NAD не істейді?: мұндай файлдардың желі арқылы тасымалдануын, яғни олар іске қосылғанға дейін анықтайды. Ол желі арқылы тасымалданатын XSL файлдарын және аномальды XSL белгілеулері бар файлдарды автоматты түрде анықтайды.
Келесі материалдарда біз PT Network Attack Discovery NTA жүйесі MITER ATT&CK сәйкес басқа шабуылдаушылардың тактикасы мен әдістерін қалай табатынын қарастырамыз. Бізбен бірге қалыңыз!
авторлар:
- Антон Кутепов, PT Expert Security Center, Positive Technologies маманы
- Наталья Казанкова, Positive Technologies компаниясының өнім маркетологы
Ақпарат көзі: www.habr.com