, маалыматтык коопсуздук инциденттеринин көпчүлүгү (87%) бир нече мүнөттүн ичинде болот, ал эми компаниялардын 68% үчүн аларды аныктоо үчүн айлар талап кылынат. Муну тастыктайт , ага ылайык, көпчүлүк уюмдар окуяны аныктоо үчүн орточо 206 күн талап кылынат. Биздин иликтөөлөрүбүздүн тажрыйбасына таянсак, хакерлер компаниянын инфраструктурасын бир нече жылдар бою аныкталбастан башкара алышат. Ошентип, биздин эксперттер маалымат коопсуздугу боюнча инцидентти иликтеген уюмдардын биринде хакерлер уюмдун бардык инфраструктурасын толугу менен көзөмөлдөп, маанилүү маалыматтарды үзгүлтүксүз уурдап турганы аныкталган. .
Сизде журналдарды чогултуучу жана окуяларды талдоочу SIEM иштеп жатат дейли жана антивирустук программа акыркы түйүндөргө орнотулган. Ошого карабастан, , бүткүл тармак боюнча EDR тутумдарын ишке ашыруу мүмкүн болбогондой эле, бул "сокур" тактарды болтурбоо мүмкүн эмес дегенди билдирет. Тармактык трафиктин анализи (NTA) системалары алар менен күрөшүүгө жардам берет. Бул чечимдер чабуулчулардын аракетин тармакка кирүүнүн эң алгачкы этаптарында, ошондой эле тармактын ичинде орун алуу жана чабуулду өнүктүрүү аракетинде аныктайт.
НТАнын эки түрү бар: айрымдары NetFlow менен иштешет, башкалары чийки трафикти талдайт. Экинчи системалардын артыкчылыгы - алар чийки трафик жазууларын сактай алат. Мунун аркасында маалыматтык коопсуздук боюнча адис чабуулдун ийгилигин текшерип, коркунучту локализациялап, кол салуу кандайча болгонун жана келечекте ушуга окшошту кантип алдын алуу керектигин түшүнө алат.
Биз билим базасында сүрөттөлгөн бардык белгилүү чабуул тактикасын аныктоо үчүн NTA аркылуу түз же кыйыр далилдерди кантип колдонсоңуз болорун көрсөтөбүз. . Биз 12 тактиканын ар бири жөнүндө сүйлөшөбүз, трафик тарабынан аныкталган ыкмаларды талдап, биздин NTA тутумубуздун жардамы менен аларды аныктоону көрсөтөбүз.
ATT&CK билим базасы жөнүндө
MITER ATT&CK - бул чыныгы жашоодогу APTтердин анализинин негизинде MITER Corporation тарабынан иштелип чыккан жана колдоого алынган коомдук билим базасы. Бул чабуулчулар колдонгон тактикалардын жана ыкмалардын структураланган жыйындысы. Бул дүйнө жүзүндөгү маалымат коопсуздугу боюнча адистерге бир тилде сүйлөөгө мүмкүнчүлүк берет. Маалыматтар базасы дайыма кеңейип, жаңы билимдер менен толукталып турат.
Маалыматтар базасы 12 тактиканы аныктайт, алар кибер чабуулдун этаптары боюнча бөлүнөт:
- баштапкы мүмкүндүк алуу;
- аткаруу;
- консолидация (туруктуу болуу);
- артыкчылыктарды жогорулатуу;
- аныктоонун алдын алуу (коргонуудан качуу);
- ишеним грамоталарын алуу (эсепке алуу мүмкүнчүлүгү);
- чалгындоо;
- периметрдин ичиндеги кыймыл (каптал кыймыл);
- маалыматтарды чогултуу (жыйноо);
- башкаруу жана башкаруу;
- маалыматтарды эксфильтрациялоо;
- таасири.
Ар бир тактика үчүн ATT&CK билим базасы чабуулчуларга чабуулдун учурдагы этабында өз максатына жетүүгө жардам берген ыкмалардын тизмесин келтирет. Бир эле техника ар кандай этаптарда колдонулушу мүмкүн болгондуктан, ал бир нече тактикага кайрылышы мүмкүн.
Ар бир техниканын сүрөттөлүшү төмөнкүлөрдү камтыйт:
- идентификатор;
- ал колдонулган тактикалардын тизмеси;
- APT топторунун колдонуу мисалдары;
- аны пайдалануудан келтирилген зыянды азайтуу боюнча чаралар;
- аныктоо боюнча сунуштар.
Маалыматтык коопсуздук боюнча адистер маалымат базасынан алынган билимди учурдагы чабуул ыкмалары жөнүндө маалыматты түзүүдө колдоно алышат жана муну эске алуу менен эффективдүү коопсуздук системасын түзө алышат. Чыныгы APT топторунун кандайча иштээрин түшүнүү коркунучтарды активдүү издөө үчүн гипотезалардын булагы болуп калышы мүмкүн. .
PT Network Attack Discovery жөнүндө
Биз системаны колдонуу менен ATT&CK матрицасында техникалардын колдонулушун аныктайбыз — Positive Technologies NTA системасы, периметрде жана тармактын ичиндеги чабуулдарды аныктоо үчүн иштелип чыккан. PT NAD ар кандай даражада MITER ATT&CK матрицасынын бардык 12 тактикасын камтыйт. Ал баштапкы кирүү, каптал кыймылы жана буйрук жана башкаруу ыкмаларын аныктоодо эң күчтүү. Аларда PT NAD белгилүү ыкмалардын жарымынан көбүн камтыйт, алардын колдонулушун түз же кыйыр белгилер менен аныктайт.
Система команда тарабынан түзүлгөн аныктоо эрежелерин колдонуу менен ATT&CK ыкмаларын колдонуу менен чабуулдарды аныктайт (PT ESC), машинаны үйрөнүү, компромисстин көрсөткүчтөрү, терең аналитика жана ретроспективдүү талдоо. Ретроспектив менен айкалышкан реалдуу убакыт режиминдеги трафиктин анализи учурдагы жашыруун зыяндуу аракеттерди аныктоого жана өнүгүү векторлоруна жана чабуулдардын хронологиясына көз салууга мүмкүндүк берет.
PT NADды MITER ATT&CK матрицасына толук карталоо. Сүрөт чоң, андыктан аны өзүнчө терезеден көрүүнү сунуштайбыз.
Алгачкы мүмкүнчүлүк
Алгачкы кирүү тактикасы компаниянын тармагына кирүү ыкмаларын камтыйт. Бул этапта чабуулчулардын максаты – кол салынган системага зыяндуу кодду жеткирүү жана аны андан ары ишке ашыруу мүмкүнчүлүгүн камсыз кылуу.
PT NAD трафиктин анализи алгачкы мүмкүнчүлүк алуу үчүн жети ыкманы ачып берет:
1. : дискуссиялык компромисс
Жабырлануучу веб-браузерди эксплуатациялоо жана колдонмонун кирүү белгилерин алуу үчүн чабуулчулар тарабынан колдонулган веб-сайтты ачкан ыкма.
PT NAD эмне кылат?: Эгерде веб-трафик шифрленбесе, PT NAD HTTP серверинин жоопторунун мазмунун текшерет. Бул жооптор чабуулчуларга браузердин ичинде каалаган кодду аткарууга мүмкүндүк берген эксплуатацияларды камтыйт. PT NAD автоматтык түрдө аныктоо эрежелерин колдонуп, мындай эксплуатацияларды аныктайт.
Мындан тышкары, PT NAD мурунку кадамда коркунучту аныктайт. Эрежелер жана компромисс индикаторлору, эгерде колдонуучу аны бир топ эксплуатациялары бар сайтка багыттаган сайтка кирген болсо, ишке кирет.
2. : жалпыга ачык колдонмону пайдалануу
Интернеттен жеткиликтүү болгон кызматтардын кемчиликтерин пайдалануу.
PT NAD эмне кылат?: Тармак пакеттеринин мазмунун терең текшерип, аномалдуу активдүүлүктүн белгилерин аныктайт. Атап айтканда, негизги мазмунду башкаруу системаларына (CMS), тармактык жабдуулардын веб-интерфейстерине, почта жана FTP серверлерине чабуулдарды аныктоого мүмкүндүк берген эрежелер бар.
3. : тышкы алыскы кызматтар
Чабуулчулар сырттан ички тармак ресурстарына туташуу үчүн алыстан кирүү кызматтарын колдонушат.
PT NAD эмне кылат?: система протоколдорду порт номерлери боюнча эмес, пакеттердин мазмуну боюнча тааныгандыктан, системанын колдонуучулары аралыктан кирүү протоколдорунун бардык сессияларын таап, алардын мыйзамдуулугун текшерүү үчүн трафикти чыпкалай алышат.
4. : spearphishing тиркеме
Кеп фишингдик тиркемелердин чуулгандуу жөнөтүлүшү жөнүндө болуп жатат.
PT NAD эмне кылат?: Автоматтык түрдө трафиктен файлдарды чыгарып, аларды компромисстин көрсөткүчтөрүнө каршы текшерет. Тиркемелердеги аткарылуучу файлдар почта трафигинин мазмунун талдоочу эрежелер менен аныкталат. Корпоративдик чөйрөдө мындай инвестиция аномалдуу деп эсептелет.
5. : spearphishing шилтемеси
Фишинг шилтемелерин колдонуу. Техника чабуулчуларга шилтемеси бар фишинг электрондук катын жөнөтүүнү камтыйт, ал басылганда зыяндуу программаны жүктөп алат. Эреже катары, шилтеме коомдук инженериянын бардык эрежелерине ылайык түзүлгөн текст менен коштолот.
PT NAD эмне кылат?: Компромисстин индикаторлорунун жардамы менен фишингдик шилтемелерди аныктайт. Мисалы, PT NAD интерфейсинде фишинг даректеринин (фишинг-url) тизмесине кирген шилтеме аркылуу HTTP байланышы болгон сессияны көрөбүз.
Компромисс фишинг-url индикаторлорунун тизмесинен шилтеме аркылуу туташуу
6. : ишенимдүү мамиле
Жабырлануучу ишенимдүү мамиле түзгөн үчүнчү жактар аркылуу жабырлануучунун тармагына кирүү. Чабуулчулар ишенимдүү уюмду бузуп, ал аркылуу максаттуу тармакка туташа алышат. Бул үчүн, алар трафиктин анализи аркылуу аныктала турган VPN туташууларын же домен ишенимдерин колдонушат.
PT NAD эмне кылат?: тиркеме протоколдорун талдайт жана талданган талааларды маалымат базасына сактайт, андыктан маалымат коопсуздугу боюнча талдоочу бардык шектүү VPN байланыштарын же маалымат базасынан кайчылаш домендик байланыштарды табуу үчүн чыпкаларды колдоно алат.
7. : жарактуу эсептер
Тышкы жана ички кызматтарга авторизациялоо үчүн стандарттык, жергиликтүү же домендик эсептик дайындарды колдонуу.
PT NAD эмне кылат?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos протоколдорунан эсептик дайындарды автоматтык түрдө чыгарат. Жалпысынан алганда, бул логин, сырсөз жана ийгиликтүү аутентификациянын белгиси. Алар колдонулган болсо, алар тиешелүү сеанс картасында көрсөтүлөт.
Аткаруу
Аткаруу тактикасына чабуулчулар бузулган системаларда кодду аткаруу үчүн колдонгон ыкмалар кирет. Зыяндуу кодду иштетүү чабуулчуларга бар экендигин аныктоого (туруктуу болуу тактикасын) жана периметрдин ичинде жылып, тармактагы алыскы системаларга кирүү мүмкүнчүлүгүн кеңейтүүгө жардам берет.
PT NAD зыяндуу кодду ишке ашыруу үчүн чабуулчулар колдонгон 14 ыкманы колдонууну аныктоого мүмкүндүк берет.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Чабуулчулар орнотулган Windows утилитасы CMSTP.exe (Connection Manager Profile Installer) үчүн атайын зыяндуу орнотуу INF файлын даярдаган тактика. CMSTP.exe файлды параметр катары кабыл алып, алыстан туташуу үчүн кызмат профилин орнотот. Натыйжада, CMSTP.exe алыскы серверлерден динамикалык шилтеме китепканаларын (*.dll) же скрипттерди (*.sct) жүктөө жана аткаруу үчүн колдонулушу мүмкүн.
PT NAD эмне кылат?: HTTP трафигинде INF файлдарынын өзгөчө түрлөрүн которууну автоматтык түрдө аныктайт. Мындан тышкары, ал алыскы серверден зыяндуу скрипттердин жана динамикалык шилтеме китепканаларынын HTTP өткөрүлүшүн аныктайт.
2. : буйрук сабынын интерфейси
Буйрук сабынын интерфейси менен өз ара аракеттенүү. Буйрук сабынын интерфейси менен жергиликтүү же алыстан иштешсе болот, мисалы, алыстан кирүү утилиталарын колдонуу.
PT NAD эмне кылат?: ping, ifconfig сыяктуу ар кандай буйрук сабынын утилиталарын ишке киргизүү үчүн буйруктарга жооптордун негизинде снаряддардын бар экенин автоматтык түрдө аныктайт.
3. : компоненттик объект модели жана бөлүштүрүлгөн COM
COM же DCOM технологияларын колдонуу, тармак боюнча көчүп жатканда локалдык же алыскы системаларда кодду аткаруу.
PT NAD эмне кылат?: Демейде чабуулчулар программаларды ишке киргизүү үчүн колдонгон шектүү DCOM чалууларын аныктайт.
4. : кардар аткаруу үчүн пайдалануу
Жумуш станциясында ыктыярдуу кодду аткаруу үчүн алсыздыктарды пайдалануу. Чабуулчулар үчүн эң пайдалуу эксплойттар бул кодду алыскы системада аткарууга мүмкүндүк бергендер, анткени алар чабуулчуларга ошол системага кирүү мүмкүнчүлүгүн берет. Техника төмөнкү ыкмаларды колдонуу менен ишке ашырылышы мүмкүн: зыяндуу почта жөнөтүү, браузердин эксплуатациялары бар веб-сайт жана тиркеменин кемчиликтерин алыстан пайдалануу.
PT NAD эмне кылат?: Почта трафигин талдоодо PT NAD аны тиркемелерде аткарылуучу файлдардын бар-жоктугун текшерет. Эксплуаттарды камтышы мүмкүн болгон электрондук каттардан кеңсе документтерин автоматтык түрдө чыгарат. PT NAD автоматтык түрдө аныктаган трафикте аялуу жерлерди пайдалануу аракеттери көрүнүп турат.
5. : мшта
mshta.exe утилитасын колдонуңуз, ал .hta кеңейтүүсү менен Microsoft HTML тиркемелерин (HTA) иштетет. mshta браузердин коопсуздук жөндөөлөрүн кыйгап өтүп файлдарды иштеткендиктен, чабуулчулар зыяндуу HTA, JavaScript же VBScript файлдарын аткаруу үчүн mshta.exe файлын колдоно алышат.
PT NAD эмне кылат?: mshta аркылуу аткаруу үчүн .hta файлдары да тармак аркылуу өткөрүлөт - муну трафиктен көрүүгө болот. PT NAD мындай зыяндуу файлдарды которууну автоматтык түрдө аныктайт. Ал файлдарды тартат жана алар жөнүндө маалыматты сеанс картасынан көрүүгө болот.
6. : PowerShell
Маалымат табуу жана зыяндуу кодду ишке ашыруу үчүн PowerShellди колдонуу.
PT NAD эмне кылат?: PowerShell алыскы чабуулчулар тарабынан колдонулганда, PT NAD муну эрежелерди колдонуу менен аныктайт. Ал көбүнчө зыяндуу скрипттерде колдонулган PowerShell ачкыч сөздөрүн жана PowerShell скрипттерин SMB протоколу аркылуу өткөрүүдө аныктайт.
7. : пландаштырылган тапшырма
Белгилүү бир убакта программаларды же скрипттерди автоматтык түрдө иштетүү үчүн Windows Task Scheduler жана башка утилиталарды колдонуу.
PT NAD эмне кылат?: чабуулчулар мындай тапшырмаларды, адатта, алыстан түзүшөт, демек, мындай сеанстар трафикте көрүнүп турат. PT NAD ATSVC жана ITaskSchedulerService RPC интерфейстерин колдонуу менен шектүү тапшырмаларды түзүү жана өзгөртүү операцияларын автоматтык түрдө аныктайт.
8. : сценарий жазуу
Кол салуучулардын ар кандай аракеттерин автоматташтыруу үчүн сценарийлерди аткаруу.
PT NAD эмне кылат?: скрипттердин тармак аркылуу берилишин, башкача айтканда, алар ишке киргизилгенге чейин аныктайт. Ал чийки трафиктеги скрипт мазмунун аныктайт жана популярдуу скрипт тилдерине туура келген кеңейтүүлөр менен файлдардын тармактык өткөрүлүшүн аныктайт.
9. : кызматтын аткарылышы
Кызматты башкаруу менеджери (SCM) сыяктуу Windows кызматтары менен өз ара аракеттенүү аркылуу аткарылуучу файлды, буйрук сабынын интерфейсинин нускамаларын же скриптти иштетиңиз.
PT NAD эмне кылат?: SMB трафикти текшерет жана кызматты түзүү, өзгөртүү жана баштоо эрежелери менен SCMге кирүү мүмкүнчүлүгүн аныктайт.
Кызматты баштоо техникасы PSExec алыскы буйруктарды аткаруу утилитасын колдонуу менен ишке ашырылышы мүмкүн. PT NAD SMB протоколун талдайт жана алыскы машинада кодду аткаруу үчүн PSEXESVC.exe файлын же стандарттык PSEXECSVC кызмат атын пайдаланганда PSExecтин колдонулушун аныктайт. Колдонуучу аткарылган буйруктардын тизмесин жана хосттон алыскы буйрукту аткаруунун мыйзамдуулугун текшериши керек.
PT NADдагы чабуул картасы ATT&CK матрицасына ылайык колдонулган тактикалар жана ыкмалар жөнүндө маалыматтарды көрсөтөт, ошондо колдонуучу чабуулчулар чабуулдун кайсы баскычында экенин, алар кандай максаттарды көздөп жатканын жана кандай компенсациялоочу чараларды көрүү керектигин түшүнө алат.
PSExec утилитасын колдонуу эрежеси иштетилди, ал алыскы машинада буйруктарды аткаруу аракетин көрсөтүшү мүмкүн
10. : үчүнчү тараптын программалык камсыздоосу
Чабуулчулар алыстан башкаруу программасына же корпоративдик программаны жайылтуу тутумуна жетүү жана аны зыяндуу кодду иштетүү үчүн колдонгон ыкма. Мындай программалык камсыздоонун мисалдары: SCCM, VNC, TeamViewer, HBSS, Altiris.
Айтмакчы, техника алыстан иштөөгө массалык түрдө өтүүгө жана анын натыйжасында көптөгөн корголбогон үй түзүлүштөрүн шектүү алыстан кирүү каналдары аркылуу туташтырууга байланыштуу өзгөчө актуалдуу.
PT NAD эмне кылат?: тармактагы мындай программалык камсыздоонун иштешин автоматтык түрдө аныктайт. Мисалы, эрежелер VNC протоколу аркылуу туташуулардан жана жабырлануучунун хостуна VNC серверин жашыруун орнотуп, аны автоматтык түрдө ишке киргизген EvilVNC троянынын активдүүлүгү менен шартталган. Ошондой эле, PT NAD автоматтык түрдө TeamViewer протоколун аныктайт, бул аналитикке фильтрди колдонуп, ушундай сессиялардын баарын таап, алардын мыйзамдуулугун текшерүүгө жардам берет.
11. : колдонуучунун аткарылышы
Колдонуучу коддун аткарылышына алып келе турган файлдарды иштеткен техника. Бул, мисалы, ал аткарылуучу файлды ачса же макрос менен кеңсе документин иштетсе.
PT NAD эмне кылат?: мындай файлдарды өткөрүп берүү стадиясында, алар ишке киргизилгенге чейин көрөт. Алар женундегу маалыматтарды алар еткерул-ген сессиялардын карта-сында уйренууге болот.
12. :Windows башкаруу куралдары
Windows системасынын компоненттерине жергиликтүү жана алыскы кирүү мүмкүнчүлүгүн камсыз кылган WMI куралын колдонуу. WMIди колдонуу менен чабуулчулар жергиликтүү жана алыскы системалар менен өз ара аракеттенип, чалгындоо максатында маалымат чогултуу жана капталдан жылып жатканда процесстерди алыстан ишке киргизүү сыяктуу түрдүү тапшырмаларды аткара алышат.
PT NAD эмне кылат?: WMI аркылуу алыскы системалар менен өз ара аракеттенүү трафикте көрүнүп тургандыктан, PT NAD WMI сеанстарын түзүү үчүн тармак сурамдарын автоматтык түрдө аныктайт жана WMI колдонгон скрипттердин трафикти текшерет.
13. : Windows Remote Management
Колдонуучуга алыскы системалар менен иштешүүгө мүмкүндүк берген Windows кызматын жана протоколун колдонуу.
PT NAD эмне кылат?: Windows Remote Management аркылуу орнотулган тармак байланыштарын көрөт. Мындай сессиялар эрежелер боюнча автоматтык түрдө аныкталат.
14. : XSL (Extensible Stylesheet Language) сценарийин иштетүү
XSL стилиндеги белгилөө тили XML файлдарындагы маалыматтарды иштетүүнү жана визуалдаштырууну сүрөттөө үчүн колдонулат. Татаал операцияларды колдоо үчүн XSL стандарты ар кандай тилдердеги камтылган скрипттерди колдоону камтыйт. Бул тилдер эркин кодду аткарууга мүмкүндүк берет, бул ак тизмелердин негизинде коопсуздук саясатын айланып өтүүгө алып келет.
PT NAD эмне кылат?: мындай файлдарды тармак аркылуу өткөрүп берүүнү, башкача айтканда, алар ишке киргизилгенге чейин аныктайт. Ал автоматтык түрдө тармак аркылуу өткөрүлүп жаткан XSL файлдарын жана аномалдуу XSL белгилөөчү файлдарды аныктайт.
Кийинки материалдарда биз PT Network Attack Discovery NTA системасы MITER ATT&CK ылайык башка чабуулчулардын тактикасын жана ыкмаларын кантип табаарын карап чыгабыз. Байланыштуу болуңуз!
Authors:
- Антон Кутепов, PT Expert Security Center, Positive Technologies адиси
- Наталья Казанкова, Positive Technologies компаниясынын продукт маркетологу
Source: www.habr.com