, piraniya (87%) bûyerên ewlehiya agahdariyê di nav çend hûrdeman de diqewimin, û ji bo 68% ji pargîdaniyan ji bo tespîtkirina wan mehan hewce dike. Ev ji hêla piştrast kirin , li gorî ku ji piraniya rêxistinan bi navînî 206 rojan hewce dike ku bûyerek tespît bike. Li ser bingeha ezmûna lêkolînên me, hacker dikarin bi salan binesaziya pargîdaniyek bêyî ku werin tespît kirin kontrol bikin. Ji ber vê yekê, di yek ji rêxistinên ku pisporên me li ser bûyerek ewlehiya agahdariyê lêkolîn kirin, derket holê ku hackeran bi tevahî binesaziya rêxistinê kontrol kirine û bi rêkûpêk agahdariya girîng dizîne. .
Ka em bibêjin we berê xwedan SIEMek heye ku têketin berhev dike û bûyeran analîz dike, û nermalava antivirus li ser girêkên paşîn tê saz kirin. Lê dîsa jî, , çawa ku ne gengaz e ku pergalên EDR li seranserê tevnvîsê bicîh bikin, ku tê vê wateyê ku ji deqên "kor" nayên dûrxistin. Pergalên analîzkirina seyrûsefera torê (NTA) bi wan re dibe alîkar. Van çareserî di qonaxên destpêkê yên ketina torê de, û her weha di dema hewildanên ji bo bidestxistina lingan û pêşvebirina êrîşek di nav torê de, çalakiya êrîşkar tespît dikin.
Du celeb NTA hene: Hin bi NetFlow re dixebitin, yên din seyrûsefera xav analîz dikin. Feydeya pergalên duyemîn ev e ku ew dikarin tomarên trafîkê yên xav hilînin. Bi saya vê yekê, pisporek ewlehiya agahdarî dikare serkeftina êrîşê verast bike, xetereyê herêmî bike, fêm bike ka êrîş çawa qewimiye û meriv çawa di pêşerojê de rê li ber heman yekê bigire.
Em ê destnîşan bikin ka hûn çawa bi karanîna NTA-yê hûn dikarin delîlên rasterast an neyekser bikar bînin da ku hemî taktîkên êrîşê yên naskirî yên ku di bingeha zanînê de hatine destnîşan kirin nas bikin. . Em ê li ser her yek ji 12 taktîkan biaxivin, teknîkên ku ji hêla trafîkê ve têne kifş kirin analîz bikin, û bi karanîna pergala xweya NTA-yê vedîtina wan nîşan bidin.
Di derbarê bingeha zanîna ATT&CK de
MITER ATT&CK bingehek zanîna gelemperî ye ku ji hêla Pargîdaniya MITER ve li ser bingeha analîzkirina APT-yên cîhana rastîn hatî pêşve xistin û domandin. Ew komek sazkirî ya taktîk û teknîkan e ku ji hêla êrîşkaran ve têne bikar anîn. Ev dihêle ku pisporên ewlehiya agahdariyê ji çar aliyên cîhanê bi heman zimanî biaxivin. Database her ku diçe berfireh dibe û bi zanyariyên nû tê dagirtin.
Database 12 taktîkên ku ji hêla qonaxên êrîşa sîber ve têne dabeş kirin destnîşan dike:
- gihîştina destpêkê;
- birêverbirî;
- hevgirtin (berdewam);
- escalation privilege;
- pêşîlêgirtina tesbîtkirinê (revîna parastinê);
- wergirtina pêbaweriyê (gihîştina pêbaweriyê);
- lêkolîn;
- tevgera di nav perimeterê de (tevgera alî);
- berhevkirina daneyan (komkirin);
- ferman û kontrol;
- derxistina daneyan;
- tesîr.
Ji bo her taktîkê, bingeha zanîna ATT&CK navnîşek teknîkan destnîşan dike ku ji êrîşkaran re dibe alîkar ku di qonaxa niha ya êrîşê de bigihîjin armanca xwe. Ji ber ku heman teknîk dikare di qonaxên cûda de were bikar anîn, ew dikare çend taktîkan vebêje.
Danasîna her teknîkê dihewîne:
- identifier;
- navnîşek taktîkên ku tê de tê bikar anîn;
- mînakên bikaranîna komên APT;
- tedbîrên ji bo kêmkirina zirara ji bikaranîna wê;
- pêşniyarên tespîtkirinê.
Pisporên ewlehiya agahdarî dikarin zanyariyên ji databasê bikar bînin da ku agahdariya li ser awayên êrişa heyî ava bikin û, vê yekê hesab bikin, pergalek ewlehiyê ya bi bandor ava bikin. Fêmkirina ka komên APT-ê çawa çawa tevdigerin jî dikare bibe çavkaniyek hîpotezê ji bo lêgerîna proaktîf li gefên di hundurê de. .
Derbarê Vedîtina Êrîşa Tora PT
Em ê karanîna teknîkên ji matrixa ATT&CK bi karanîna pergalê nas bikin - Pergala NTA ya Teknolojiyên Positive, ku ji bo tespîtkirina êrîşan li ser perimeter û hundurê torê hatî çêkirin. PT NAD, bi dereceyên cihêreng, hemî 12 taktîkên matrixa MITER ATT&CK vedigire. Ew di naskirina teknîkên ji bo gihîştina destpêkê, tevgera paşîn, û ferman û kontrolê de herî bi hêz e. Di wan de, PT NAD zêdetirî nîvê teknîkên naskirî vedigire, serîlêdana wan bi nîşanên rasterast an nerasterast vedîtîne.
Pergal êrîşan bi karanîna teknîkên ATT & CK-ê bi karanîna qaîdeyên tespîtkirinê yên ku ji hêla tîmê ve hatî afirandin, tespît dike (PT ESC), fêrbûna makîneyê, nîşaneyên lihevhatinê, analîzên kûr û analîzên paşverû. Analîzkirina trafîkê ya rast-a-rast digel paşverû dihêle hûn çalakiya xerab a veşartî ya heyî nas bikin û vektorên pêşkeftinê û kronolojiya êrîşan bişopînin.
nexşeya bêkêmasî ya PT NAD bi matrixa MITER ATT&CK. Wêne mezin e, ji ber vê yekê em pêşniyar dikin ku hûn wê di pencereyek cûda de bibînin.
Gihîştina destpêkê
Taktîkên gihîştina destpêkê teknîkên ku têkevin tora pargîdaniyekê vedihewîne. Armanca êrîşkaran di vê qonaxê de ew e ku koda xirab bigihînin pergala êrîşkar û îmkana pêkanîna wê ya din misoger bikin.
Analîza trafîkê ji PT NAD heft teknîkên ji bo bidestxistina gihîştina destpêkê eşkere dike:
1. : lihevhatina ajotinê
Teknîkîyek ku tê de mexdûr malperek vedike ku ji hêla êrîşkaran ve tê bikar anîn da ku geroka webê îstîsmar bike û nîşaneyên gihîştina serîlêdanê bistîne.
PT NAD çi dike?: Ger seyrûsefera malperê ne şîfrekirî ye, PT NAD naveroka bersivên servera HTTP kontrol dike. Van bersivan îstismarên ku dihêlin êrîşker koda keyfî di hundurê gerokê de bimeşînin hene. PT NAD bixweber bi karanîna qaîdeyên vedîtinê van îstîsmaran tespît dike.
Wekî din, PT NAD di gava berê de tehdîdê nas dike. Rêgez û nîşaneyên lihevhatinê têne destnîşan kirin ger bikarhêner serdana malperek ku wî beralî kiriye malperek bi komek îstîsmaran.
2. : sepana rûbirû ya giştî bi kar bîne
Di karûbarên ku ji Înternetê têne gihîştin de îstismarkirina qelsiyan.
PT NAD çi dike?: Vekolînek kûr a naveroka pakêtên torê pêk tîne, nîşanên çalakiya anormal nas dike. Bi taybetî, rêgez hene ku dihêle hûn êrişên li ser pergalên rêveberiya naverokê yên sereke (CMS), navgînên webê yên alavên torê, û êrişên li ser serverên nameyê û FTP-ê bibînin.
3. : xizmetên ji dûr ve derve
Êrîşkar karûbarên gihîştina dûr bikar tînin da ku ji derve bi çavkaniyên torê yên navxweyî ve girêbidin.
PT NAD çi dike?: ji ber ku pergal protokolan ne bi hejmarên portê, lê ji hêla naveroka pakêtan ve nas dike, bikarhênerên pergalê dikarin seyrûseferê fîlter bikin da ku hemî danişînên protokolên gihîştina dûr bibînin û rewabûna wan kontrol bikin.
4. : pêvekirina spearphishing
Em li ser şandina navdar a pêvekên phishing diaxivin.
PT NAD çi dike?: Bi xweber pelan ji trafîkê derdixe û wan li hember nîşaneyên lihevkirinê kontrol dike. Pelên darvekirî yên di pêvekan de ji hêla qaîdeyên ku naveroka seyrûsefera e-nameyê analîz dikin têne kifş kirin. Di hawîrdorek pargîdanî de, veberhênanek wusa anormal tê hesibandin.
5. : lînka spearphishing
Bikaranîna girêdanên phishing. Teknîkî di nav de êrîşkeran e-nameyek phishing bi zencîreyekê dişînin ku, gava were tikandin, bernameyek xirab dakêşîne. Wekî qaîdeyek, zencîre bi nivîsek ku li gorî hemî qaîdeyên endezyariya civakî hatî berhev kirin ve tê.
PT NAD çi dike?: Zencîreyên phishing bi karanîna nîşaneyên lihevhatinê tespît dike. Mînakî, di navbeynkariya PT NAD de em danişînek dibînin ku tê de pêwendiyek HTTP-ê bi girêdanek ku di navnîşa navnîşanên phishing (phishing-url) de tê de heye, heye.
Girêdana bi rêya lînka ji navnîşa nîşaneyên lihevhatina phishing-url
6. : pêwendiya pêbawer
Gihîştina tora mexdûr bi riya aliyên sêyemîn ên ku mexdûr pê re têkiliyek pêbawer ava kiriye. Êrîşkar dikarin rêxistinek pêbawer hack bikin û bi navgîniya wê ve bi tora armancê ve girêbidin. Ji bo vê yekê, ew girêdanên VPN an pêbaweriyên domainê bikar tînin, ku bi analîza seyrûseferê ve têne nas kirin.
PT NAD çi dike?: protokolên serîlêdanê pars dike û zeviyên parkirî di nav databasê de hilîne, da ku analîstek ewlehiya agahdariyê bikaribe parzûnan bikar bîne da ku hemî girêdanên VPN yên gumanbar an girêdanên xaçerê yên di databasê de bibîne.
7. : hesabên derbasdar
Bikaranîna pêbaweriyên standard, herêmî an domainê ji bo destûrnameyê li ser karûbarên derveyî û hundurîn.
PT NAD çi dike?: Ji protokolên HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos bixweber pêbaweriyan vedigire. Bi gelemperî, ev têketinek, şîfre û nîşanek pejirandina serketî ye. Ger ew hatine bikar anîn, ew di qerta danişîna têkildar de têne xuyang kirin.
Birêverbirî
Taktîkên darvekirinê teknîkên ku êrîşkar bikar tînin ji bo pêkanîna kodê li ser pergalên lihevhatî dihewîne. Rêvekirina koda xerab ji êrîşkaran re dibe alîkar ku hebûna xwe (taktîka domdariyê) saz bikin û bi tevgerîna li hundurê perimeterê gihîştina pergalên dûr ên li ser torê berfireh bikin.
PT NAD destûrê dide te ku hûn karanîna 14 teknîkên ku ji hêla êrîşkaran ve têne bikar anîn ji bo pêkanîna koda xirab nas bikin.
1. : CMSTP (Sazkarê Profîla Rêvebirê Têkiliya Microsoft)
Taktîkek ku tê de êrîşkar pelek INF-a sazkirina xirab a taybetî ji bo amûra Windows-ê ya çêkirî CMSTP.exe (Sazkarê Profîla Rêvebirê Têkiliyê) amade dikin. CMSTP.exe pelê wekî pîvanek digire û ji bo pêwendiya dûr profîla karûbarê saz dike. Wekî encamek, CMSTP.exe dikare were bikar anîn da ku pirtûkxaneyên girêdana dînamîkî (*.dll) an nivîsarên (*.sct) ji pêşkêşkerên dûr ve were barkirin û bicîhkirin.
PT NAD çi dike?: Veguheztina celebên taybetî yên pelên INF-ê di seyrûsefera HTTP de bixweber vedigire. Digel vê yekê, ew veguheztina HTTP-ya nivîsarên xerab û pirtûkxaneyên girêdana dînamîkî ji serverek dûr destnîşan dike.
2. : pêwendiya rêza fermanê
Têkiliya bi navgîniya rêza fermanê re. Têkiliya rêzika fermanê dikare bi herêmî an ji dûr ve were têkilî kirin, mînakî karanîna karûbarên gihîştina dûr.
PT NAD çi dike?: bixweber hebûna şêlan li ser bingeha bersivên fermanan ji bo destpêkirina karûbarên cûda yên rêza fermanê, wek ping, ifconfig, destnîşan dike.
3. : modela hêmanên pêkhatî û COM-ya belavkirî
Bikaranîna teknolojiyên COM an DCOM ji bo pêkanîna kodê li ser pergalên herêmî an dûr dema ku li seranserê torê digerin.
PT NAD çi dike?: Bangên gumanbar ên DCOM-ê yên ku êrîşkar bi gelemperî ji bo destpêkirina bernameyan bikar tînin destnîşan dike.
4. : îstismarkirin ji bo îdamkirina xerîdar
Kêmkirina qelsiyan ji bo pêkanîna kodek keyfî li ser stasyonek xebatê. Karûbarên herî bikêr ji bo êrîşkaran ew in ku destûrê didin kodê ku li ser pergalek dûr were darve kirin, ji ber ku ew dikarin bihêlin ku êrîşkar bigihîjin wê pergalê. Teknîkî dikare bi karanîna van rêbazên jêrîn were sepandin: şandina nameya xirab, malperek bi îstîsmarên gerokê, û îstismarkirina ji dûr a qelsiyên serîlêdanê.
PT NAD çi dike?: Dema ku seyrûsefera e-nameyê pars dike, PT NAD wê ji bo hebûna pelên îcrakar di pêvekan de kontrol dike. Otomatîk belgeyên nivîsgehê ji e-nameyên ku dibe ku îstismar dihewîne derxîne. Hewldanên îstismarkirina qelsiyan di trafîkê de têne xuyang kirin, ku PT NAD bixweber destnîşan dike.
5. : mshta
Alîkariya mshta.exe bikar bînin, ku serîlêdanên Microsoft HTML (HTA) bi dirêjkirina .hta dimeşîne. Ji ber ku mshta pelan li gorî mîhengên ewlehiyê yên gerokê derbas dike, êrîşkar dikarin mshta.exe bikar bînin da ku pelên HTA, JavaScript, an VBScript-ê yên xerab pêk bînin.
PT NAD çi dike?: Pelên .hta yên ji bo darvekirinê bi riya mshta jî li ser torê têne şandin - ev dikare di trafîkê de were dîtin. PT NAD veguheztina pelên weha xirab bixweber kifş dike. Ew pelan digire, û agahdariya li ser wan dikare di qerta danişînê de were dîtin.
6. : PowerShell
PowerShell-ê bikar tîne da ku agahdarî bibîne û koda xirab bimeşîne.
PT NAD çi dike?: Dema ku PowerShell ji hêla êrîşkerên dûr ve tê bikar anîn, PT NAD bi karanîna qaîdeyan vê yekê nas dike. Ew peyvên sereke yên zimanê PowerShell-ê yên ku pir caran di nivîsarên xerab de têne bikar anîn û veguheztina nivîsarên PowerShell-ê li ser protokola SMB-ê nas dike.
7. : Karê plankirî
Bikaranîna Windows Task Scheduler û karûbarên din ên ku bixweber di demên taybetî de bername an nivîsan dimeşînin.
PT NAD çi dike?: êrîşkar karên weha, bi gelemperî ji dûr ve diafirînin, ku tê vê wateyê ku danişînên weha di trafîkê de têne xuyang kirin. PT NAD bixweber bi karanîna navberên ATSVC û ITaskSchedulerService RPC-ê operasyonên çêkirina peywir û guheztinê yên gumanbar tespît dike.
8. : nivîsandin
Pêkanîna senaryoyan ji bo otomatîkkirina çalakiyên cihêreng ên êrîşkaran.
PT NAD çi dike?: veguheztina senaryoyan li ser torê, ango, berî ku ew werin destpêkirin jî tespît dike. Ew naveroka nivîsarê di seyrûsefera xav de nas dike û veguheztina torê ya pelan bi pêvekên ku bi zimanên nivîsandinê yên populer re têkildar in vedigire.
9. : pêkanîna xizmetê
Bi danûstandina bi karûbarên Windows-ê re, wek Rêvebirê Kontrola Karûbarê (SCM) pelek îcrakar, rêwerzên navbeynkariya rêza fermanê, an skrîptê bimeşînin.
PT NAD çi dike?: seyrûsefera SMB teftîş dike û gihîştina SCM-ê bi qaîdeyên ji bo çêkirin, guhertin û destpêkirina karûbarek nas dike.
Teknîka destpêkirina karûbarê dikare bi karanîna karûbarê darvekirina fermana dûr PSExec were sepandin. PT NAD protokola SMB analîz dike û dema ku ew pelê PSEXESVC.exe an navê karûbarê standard PSEXECSVC bikar tîne da ku kodê li ser makîneyek dûr bixebite, karanîna PSExec destnîşan dike. Bikarhêner pêdivî ye ku navnîşa fermanên darvekirî û rewabûna pêkanîna fermana dûr ji mêvandar kontrol bike.
Karta êrîşê ya di PT NAD de daneyên li ser taktîk û teknîkên ku li gorî matrixa ATT&CK têne bikar anîn destnîşan dike da ku bikarhêner bikaribe fêm bike ku êrîşkar di kîjan qonaxa êrîşê de ne, ew li pey kîjan armancan in, û çi tedbîrên tezmînatê digirin.
Qaîdeya di derbarê karanîna kargêriya PSExec de tête destnîşan kirin, ku dibe ku hewldanek ji bo pêkanîna fermanan li ser makîneyek dûr destnîşan bike.
10. : nermalava sêyemîn
Teknîkîyek ku tê de êrîşkar xwe bigihînin nermalava rêveberiya dûr an pergalek nermalava pargîdanî ya pargîdanî û wê bikar bînin da ku koda xirab bimeşînin. Nimûneyên nermalava weha: SCCM, VNC, TeamViewer, HBSS, Altiris.
Bi awayê, teknîk bi taybetî bi veguheztina girseyî ya ji bo xebata dûr ve têkildar e û, wekî encamek, girêdana gelek amûrên malê yên neparastî bi kanalên gihîştina dûr a gumanbar re têkildar e.
PT NAD çi dike?: bixweber xebata nermalava weha li ser torê destnîşan dike. Mînakî, rêgez ji hêla girêdanên bi protokola VNC û çalakiya EvilVNC Trojan ve têne rêve kirin, ku bi dizî serverek VNC li ser mêvandarê mexdûr saz dike û wê bixweber dest pê dike. Di heman demê de, PT NAD bixweber protokola TeamViewer nas dike, ev ji analîstê re dibe alîkar ku parzûnek bikar bîne, hemî danişînên weha bibîne û rewabûna wan kontrol bike.
11. : pêkanîna bikarhêner
Teknîkîyek ku tê de bikarhêner pelên ku dikare bibe sedema darvekirina kodê dimeşîne. Ev dibe ku, mînakî, heke ew pelek îcrakar veke an belgeyek nivîsgehê bi makroyekê dimeşîne.
PT NAD çi dike?: pelên weha di qonaxa veguheztinê de, berî ku werin destpêkirin, dibîne. Agahdariya li ser wan dikare di qerta danişînên ku tê de hatine şandin de were lêkolîn kirin.
12. : Instrumentation Management Windows
Bikaranîna amûra WMI, ku gihîştina herêmî û ji dûr ve ji pêkhateyên pergala Windows-ê re peyda dike. Bi karanîna WMI, êrîşkar dikarin bi pergalên herêmî û dûr re têkilî daynin û cûrbecûr peywiran pêk bînin, wek mînak berhevkirina agahdarî ji bo mebestên keşfê û destpêkirina pêvajoyên ji dûr ve dema ku bi alîkî ve diçin.
PT NAD çi dike?: Ji ber ku danûstendinên bi pergalên dûr ve bi navgîniya WMI ve di trafîkê de têne xuyang kirin, PT NAD bixweber daxwazên torê ji bo sazkirina danişînên WMI nas dike û seyrûseferê ji bo nivîsarên ku WMI bikar tînin kontrol dike.
13. : Rêveberiya Dûr a Windows
Bikaranîna karûbar û protokola Windows-ê ku destûrê dide bikarhêner ku bi pergalên dûr re têkilî daynin.
PT NAD çi dike?: Têkiliyên torê yên ku bi karanîna Rêvebiriya Dûr a Windows-ê hatine damezrandin dibîne. Danişînên weha bixweber ji hêla rêbazan ve têne destnîşankirin.
14. : XSL (Extensible Stylesheet Language) Çêkirina nivîsê
Zimanê nîşankirina şêwaza XSL ji bo danasîna hilberandin û dîtina daneyan di pelên XML de tê bikar anîn. Ji bo piştgirîkirina operasyonên tevlihev, standarda XSL piştgirî ji bo nivîsarên pêvekirî yên bi zimanên cihêreng vedihewîne. Van zimanan rê didin pêkanîna kodek keyfî, ku rê li ber derbaskirina polîtîkayên ewlehiyê yên li ser navnîşên spî digire.
PT NAD çi dike?: veguheztina pelên weha li ser torê, ango, berî ku ew werin destpêkirin jî nas dike. Ew bixweber pelên XSL-ê yên ku li ser torê û pelên bi nîşana XSL-ya anormal têne veguheztin nas dike.
Di materyalên jêrîn de, em ê binihêrin ka pergala PT Network Attack Discovery NTA çawa taktîk û teknîkên din ên êrîşkar li gorî MITER ATT&CK dibîne. Li bendê bin!
Nivîskar:
- Anton Kutepov, pispor li Navenda Ewlekariya Pisporê PT, Teknolojiyên Positive
- Natalia Kazankova, bazirganê hilberê li Teknolojiyên Positive
Source: www.habr.com