maior pars (87%) de rebus securitatis informationis in rebus minutis accidunt et pro 68% societatum menses capit ut eos deprehendant. Hoc confirmatur secundum quam plurimae institutiones mediocris CCVI dierum ad res gestas deprehendendas inducuntur. Ex experientia investigationum nostrarum, hacers societatis infrastructuram per annos sine detecto regere possunt. Ita in una e Institutis, ubi periti nostri exploraverunt informationem securitatis incidentes, revelatum est totam infrastructuram organizandi hackers perfecte moderari ac semper magnas informationes subrepere. .
Dicamus te iam habere SIEM currentem qui tigna et analyses colligit eventus, et programmata antivirus in extremitatibus nodis inauguratur. attamen sicut impossibile est per totam retiaculum systemata EDR efficiendi, quod significat maculas "caecas" vitari non posse. Analysis commercii retiacula (NTA) systemata adiuvant ut eis plurimum tribuant. Hae solutiones activitatem impugnantem deprehendunt in primordiis penetrationis retis, tum in conatibus ut locum obtinere et impetum in retiaculis evolvere.
Duo genera NTAs sunt: ββalii opus cum NetFlow, alii negotiatio rudis resolvere. Commodum secundae systematis est quod tabulas negotiationis rudis condere possunt. Propter hoc, artifex securitatis informationis potest cognoscere successum oppugnationis, minas localise, intellege quomodo oppugnatio facta sit et quomodo ne simile in futuro.
Ostendemus quomodo uti NTA probationibus directis vel obliquis uti possis, ad cognoscendas omnes notas impetus rationum in scientia turpium descriptorum . Loquemur de singulis 12 artibus, technicas analyses, quae per commercium deprehenduntur, earumque detectionem demonstrabimus utentes systemate nostro NTA.
Circa ATT&CK scientia turpia
MITER ATT&CK est scientia publica basis evoluta et conservata a Miter Corporatione in analysi reali-mundi APTs. Artificia militaris et technicis ab oppugnatoribus structa est. Inde notitias securitatis professionales ex toto orbe terrarum eadem lingua loqui concedit. Datorum continenter novis cognitionibus amplificatur et suppletur.
Database rationum XII rationes agnoscit, quae gradatim oppugnationis cybri dividuntur;
- aditus initiales;
- Executio;
- solidatio (pervicacia);
- Privilegium propagationis;
- ne deprehensio (defensionis elabi);
- documentorum obtinendae (credential accessum);
- exploratio;
- motus in ambitu (motus lateralis);
- notitia collectio (collectio);
- imperium et imperium;
- data exfiltration;
- ictum.
Pro unaquaque arte, scientia basis ATT&CK album technicorum enumerat, qui oppugnatores adiuvant in praesenti oppugnationis stadio finem suum assequendum. Cum eadem ars diversis temporibus adhiberi possit, ad plures artes referri potest.
Singularum ars descriptio includit:
- identifier;
- elenchus rationum in quibus adhibetur;
- exempla usuum per APT circulos;
- remediis ex usu damnum minuere;
- commendatione deprehendatur.
Speciales notitiae securitatis scientia uti possunt a database ad informationes fabricandas de modos oppugnationis currentis et, hac ratione habita, systema securitatis efficax aedificant. Intellectus quomodo coetus reales APT operantur, etiam fons fieri potest hypothesium quae intus minas proactive quaerendo .
De TP Network Impetum Inventionis
Nos technicorum usum ex matrice ATT&CK uti systematis cognoscemus - Technologies positivi NTA systematis impetus in perimetro et intra retis deprehendere voluit. PT NAD tegit, ad varios gradus, omnes 12 rationes matricis ATT&CK. Plurimum est in technicis edendis ad accessum initialem, motum lateralem, imperium ac potestatem. In illis, PT NAD plus quam dimidium artium notarum comprehendit, applicationem earum per signa directa vel indirecta detecta.
Systema impetus detegit utens ATT&CK technicis rationibus utens deprehendendi regulas creatas a team (PT ESC), apparatus eruditionis, indices compromissi, profundi analytici et analyticae retrospectivae. Negotiatio real-time analysis cum retrospectivis coniuncta, sinit te cognoscere currentem actionem malitiosam occultam ac vectorem progressionem indagare et oppugnationum chronologiam.
plena mapping of PT NAD MITER ATT&CK matrix. Magna est pictura, ut in fenestra separata eam inspicias.
Coepi accessum
Initialis accessus rationum artes includunt ad reticulum societatis penetrandum. Propositum oppugnantium hac in re est malignum codicem tradere rationi oppugnanti et facultatem ulterioris exsecutionis curare.
Analysis negotiationis e PT NAD septem artificia revelat ad accessum initialem obtinendum:
1. : Coegi-per compromissum
Artificium in quo victimae locum aperit, qui ab oppugnatoribus utitur ad navigatri telam uti et signa applicationis aditum obtinet.
Quid PT NAD facit?: Si negocii interretialis encryptus non est, PT NAD contentum responsa HTTP servo inspicit. Hae responsiones res gestas continent, quae oppugnatores ad codicem arbitrarium intra navigatorem exercendum permittunt. PT NAD tales res gestas statim detegit utens praecepta deprehendendi.
Accedit PT NAD comminationem in priore gradu detegit. Regulae et indices compromissi Urguet si usor visitavit locum qui eum ad locum cum fasciculo rerum redigit.
2. : Facis publici-factionis application
Abusio vulnerabilities in officiis pervia quae interreti sunt.
Quid PT NAD facit?: Peragit profundam inspectionem contentorum retis facis, signa identitatis anomalae notificat. Praesertim exstant regulae quae permittunt ut impetus in maioribus contentis systematis administratione deprehendere (CMS), interfaces retis instrumentorum, et impetus in mail et FTP servientibus.
3. : externa officia remota
Impugnatores remotae accessus operas utuntur ad facultates retis internae connectendi ab extra.
Quid PT NAD facit?Cum systema protocolla non per numeros portus, sed per contenta fasciculorum agnoscat, negotiationes utentes systematis possunt spargere ut omnes sessiones remotarum accessuum protocolla inveniant et eorum legitimam inspiciant.
4. : Hastae affixum
Loquimur de notoria missione attachiamenta hamatorum.
Quid PT NAD facit?: Automatarie limas ex mercatura extrahit et coercet contra indices compromissi. Files exsecutabilis in attachiationibus deteguntur regulis quae materiam negotiationis electronicae resolvent. In ambitu corporato, talis collocatio anomala censetur.
5. : hasta nexus
Phishing nexus utens. Ars involvit oppugnatores mittendi inscriptio hamatae cum nexu quod, cum coniuctionem, programmatum malitiosum downloads. Pro regula, nexum cum textu exarato secundum omnes regulas machinationis socialis.
Quid PT NAD facit?: Phishing nexus detecte utentes indicibus compromissi. Exempli gratia, in instrumento PT NAD videmus sessionem in qua nexus HTTP per nexus inclusa est in inscriptionum phishing (phishing-urls).
Nexum per nexum e indice indicium compromissi illus-urls
6. : Confidebat necessitudinem
Accessus ad retiacula victima per tres partes quibuscum victima fiducialem necessitudinem instituit. Impugnatores organizationem creditam caedere possunt et ad clypeum retis per eam coniungere. Ad hoc VPN nexus vel regiones fideicommissos utuntur, quae per analysim negotiationis inveniuntur.
Quid PT NAD facit?: Parse applicationis protocolla et parsed agros in datorum servat, ut indicio securitatis analytica filtra uti possit ut omnes suspectos VPN nexus vel nexus transversis limitibus in datorum inveniant.
7. : Rationes validas
Vexillum utens, documentorum localis vel dominii pro concessione erga officia externa et interna.
Quid PT NAD facit?: Automatarie documenta rettulit ex HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocolla. In genere, hoc est login, tessera et signum felicis authenticationis. Si adhibita fuerint, in sessio correspondente exhibeantur.
Supplicium
Executionis ratio includunt artes quae oppugnatores utuntur ad exsequendum codicem in systematibus aedilibus. Codicem malignum currens adiuvat oppugnatores praesentiam (perstantiam artis) et accessum dilatare ad systemata remota in retis intra ambitum movendo.
PT NAD permittit vos deprehendere usui 14 artificiorum ab oppugnatoribus adhibitis ad codicem malignum exequendum.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Ratio militaris in qua oppugnatores specialem maliciam institutionem INF fasciculi praeparant ad utilitatem aedificatam in Fenestra CMSTP.exe (Connection Procurator Profile Installer). CMSTP.exe tabellam parametri accipit et servitium profile in nexu remoto instituit. Quam ob rem, CMSTP.exe adhiberi possunt ad onerandas et dynamicas paginas bibliothecarum (*.dll) vel scriptorum (*.sct) a servientibus remotis.
Quid PT NAD facit?: Automatarie translationem specialium generum INF imaginum in HTTP negotiationis detegit. Praeter hoc, HTTP transmissionem detegit scriptorum malignorum et dynamicorum librariorum nexus a servo remoto.
2. : imperium-linea interface
Commercium cum order versus interface. Praeceptum interfaciei linea cum localiter vel remoto interactio potest, exempli gratia cum utilitate remotis accessus.
Quid PT NAD facit?: automatice praesentiam testarum ex responsis ad mandata detegit ut varias iussus lineas utilitates emittat, ut ping, ifconfig.
3. : componens exemplar et distribuit COM
Usus COM vel DCOM technologiae ad exsequendam codicem in systematibus localibus vel remotis dum trans retis ferebatur.
Quid PT NAD facit?: Detegit suspectum DCOM vocat oppugnatores typice utentes ad programmata deducenda.
4. : Abusionem ad clientem supplicium
Abusio vulnerabilium ad faciendum arbitrarium codicem in workstation. Utilissimae res oppugnatoribus sunt, qui codicem in systemate remoto exsecutioni mandare permittunt, cum oppugnatores ad illam rationem accedere possunt. Ars perfici potest his modis uti: malitiosa mailing, pagina cum navigatro res gestas et abusus applicationis vulnerabilitates remota.
Quid PT NAD facit?: Cum parsing electronicarum commercii, PT NAD eam coercet pro praesentia imaginum exsecutabilium in attachiationibus. Automatarie documenta muneris ex electronicis excerpit quae res gestas continere possunt. Conatus faciendi vulnerabilitates in commercio apparent, quod PT NAD detegit automatice.
5. : mshta
Utere mshta.exe utilitate quae Microsoft HTML applicationes (HTA) cum extensione .hta decurrit. Quia mshta processuum lima praeteriens occasus securitatis navigatri, oppugnatores mshta.exe uti possunt ad maleficia HTA, JavaScript, vel VBScript lima exsequi.
Quid PT NAD facit?: .hta fasciculi ad executionem per mshta traducuntur etiam per reticulum - hoc in negotiatione videri potest. PT NAD translationem tam malignorum imaginum ipso facto detegit. Files capit et informationes de illis in card sessione spectari potest.
6. : PowerShell
PowerShell utens informationes invenire et facere malitiosa codice.
Quid PT NAD facit?: Cum PowerShell a remotis oppugnatoribus adhibetur, PT NAD hoc regulas utens detegit. PowerShell linguarum keywords detegit quae saepissime in scriptoribus malignis adhibita sunt et scripta PowerShell transmissio super protocollum SMB.
7. : Negotium accedant
Fenestra Task Scheduler aliaeque utilitates utentes ad programmata vel scripta certis temporibus automatice currunt.
Quid PT NAD facit?: oppugnatores talia munia efficiunt, plerumque remotius, quod significat tales sessiones in mercatura apparentes. automatice PT NAD suspectum opus creationis et modificationis operationes detegit utentes interfaces ATSVC et ITaskSchedulerService RPC.
8. : scripting
Supplicium scriptorum ad automatandum varias impugnantium actiones.
Quid PT NAD facit?traductionem scriptorum in retiaculis detegit, id est antequam iaciat. Scriptum contentum in rudi commercio detegit ac detegit transmissionem imaginum retis cum extensionibus correspondentibus linguarum scriptionum vulgarium.
9. : supplicium
Curre documentum exsecutabile, mandatum linea interface instructiones, vel litteras mutuas cum Fenestra operas, ut servitii Procurator Imperium (SCM).
Quid PT NAD facit?: mercaturam SMB inspicit et aditum ad SCM detegit cum regulis faciendis, mutandi et serviendi incipiens.
Ministerium artificii startup impleri potest utens exsecutionis mandati remotis utilitas PSExec. PT NAD protocollum SMB effingit et usum PSExec detegit cum PSEXESVC.exe fasciculi vel vexillum PSEXECSVC servitii nomen ad codicem in machina remota exsequendum adhibet. Usoris album mandatorum exsecutorum reprimere debet et legitimam mandatorum remotiorem exsecutionem ab hospite.
Impugnatio chartae in PT NAD notitias artis et technicarum artium secundum ATT&CK matricis adhibitas ostendit ut utentis intelligat quid status oppugnationis oppugnantium sint, quos fines persequantur, et quid sarciendi consilia capiant.
Regula de utendo utilitate PSExec utitur, quae conatum in machina remota imperata facere potest
10. : Tertia pars software
Ars qua oppugnatores aditus ad remotum administrationem programmatum vel ad programmatum software corporatum accessum accedunt et eo utuntur ad codicem malignum currendum. Exempla programmatis talis: SCCM, VNC, TeamViewer, HBSS, Altiris.
Obiter artificium maxime pertinet in nexu cum ingenti transitu ad opus remotum et, consequenter, nexus plurium indefensorum domus machinarum per dubios longinquos accessus canales.
Quid PT NAD facit?: automatice operationem talis programmatibus in retiaculis detegit. Exempli causa, regulae a nexus per VNC protocollum et actionem EvilVNC Troiani urgent, quae latenter a VNC server in hospitem victimae inaugurat et automatice eam movet. Item, PT NAD automatice protocollum TeamViewer detegit, hoc analyticum adiuvat, filtro utens, omnes eiusmodi sessiones inveniat et earum legitimam reprehendo.
11. : user supplicium
Artificium in quo usor fasciculi incurrit qui ad supplicium ducere potest. Hoc esse potest, exempli gratia, si documentum exsecutabile aperit vel officium documenti cum macro currit.
Quid PT NAD facit?: videt tales fasciculos in scaena translationis, antequam emittantur. Informationes de illis inspici possunt in schedula sessionum in quibus transmissae sunt.
12. : Windows Management Instrumentation
Usus instrumenti WMI, quod accessum localem et remotum in Fenestra systematis componentibus praebet. Utentes WMI, oppugnatores cum systematibus localibus et remotis se occurrunt et varios labores exercere possunt, ut notitias colligendi causa explorandi et processuum deducendi longius dum lateraliter movendo.
Quid PT NAD facit?: Cum interationes cum remotis systematibus per WMI in commercio apparent, PT NAD petitiones retis sponte detegit ad sessiones WMI constituendas ac negotiationem pro scriptoribus qui usu WMI sistit.
13. : Fenestra Longinquus Management
Fenestra opera usus et protocollum quod user ad penitus cum systematibus remotis permittit.
Quid PT NAD facit?: coniunctiones retis videt utens Fenestra Longinquus Management. Sessiones tales a regulis ipso facto deprehenduntur.
14. : XSL (Extensible Stylesheet Language) script processing
XSL vestigium lingua stili usus est ad describendas processus et visualizationes notitiarum in XML lima. Ad operationes multiplices fulciendas vexillum XSL subsidia in variis linguis scripta includit. Hae linguae exsecutionem Codicis arbitrarii permittunt, quod praeterire adinventiones securitatis ex albo indicem.
Quid PT NAD facit?: translationem talium imaginum super reticulum detegit, id est etiam antequam iactum fuerit. Ipso facto tabellas XSL detegit traditas per reticulum ac fasciculos cum anomalo XSL markup.
In sequentibus materiis videbimus quomodo oppugnatio Inventionis TA systematis PT Network alias artes et artes oppugnatorem invenit secundum MITER ATT&CK. Mane suavi!
auctores:
- Anton Kutepov, artifex PT Periti Securitatis, technologiae affirmativae
- Natalia Kazankova, technologiarum positiuum producto venalicium
Source: www.habr.com