, dauguma (87 proc.) informacijos saugumo incidentų įvyksta per kelias minutes, o 68 proc. įmonių užtrunka mėnesius, kol juos nustato. Tai patvirtina ir , pagal kurią daugumai organizacijų incidentui nustatyti prireikia vidutiniškai 206 dienų. Remiantis mūsų tyrimų patirtimi, įsilaužėliai gali daugelį metų valdyti įmonės infrastruktūrą ir jų neaptikti. Taigi vienoje iš organizacijų, kurioje mūsų ekspertai tyrė informacijos saugumo incidentą, paaiškėjo, kad įsilaužėliai visiškai kontroliavo visą organizacijos infrastruktūrą ir reguliariai vogdavo svarbią informaciją. .
Tarkime, kad jau veikia SIEM, kuris renka žurnalus ir analizuoja įvykius, o antivirusinės programos yra įdiegtos galiniuose mazguose. Nepaisant to, , kaip ir neįmanoma įdiegti EDR sistemų visame tinkle, vadinasi, negalima išvengti „aklųjų“ zonų. Su jais susidoroti padeda tinklo srauto analizės (NTA) sistemos. Šie sprendimai aptinka užpuolikų aktyvumą ankstyviausiuose įsiskverbimo į tinklą etapuose, taip pat bandant įsitvirtinti ir plėtoti ataką tinklo viduje.
Yra dviejų tipų NTA: vienas veikia su NetFlow, kitas analizuoja neapdorotą srautą. Antrųjų sistemų pranašumas yra tas, kad jos gali saugoti neapdorotus srauto įrašus. Dėl to informacijos saugumo specialistas gali patikrinti atakos sėkmę, lokalizuoti grėsmę, suprasti, kaip įvyko ataka ir kaip išvengti panašios atakos ateityje.
Parodysime, kaip naudodami NTA galite naudoti tiesioginius ar netiesioginius įrodymus, kad nustatytumėte visas žinomas atakos taktikas, aprašytas žinių bazėje. . Pakalbėsime apie kiekvieną iš 12 taktikų, analizuosime eismo aptiktas technikas ir pademonstruosime jų aptikimą naudodami mūsų NTA sistemą.
Apie ATT&CK žinių bazę
MITER ATT&CK yra vieša žinių bazė, kurią sukūrė ir prižiūri MITER Corporation, remiantis realių APT analize. Tai struktūrizuotas taktikos ir technikų rinkinys, kurį naudoja užpuolikai. Tai leidžia informacijos saugumo specialistams iš viso pasaulio kalbėti ta pačia kalba. Duomenų bazė nuolat plečiama ir papildoma naujomis žiniomis.
Duomenų bazėje identifikuojama 12 taktikų, kurios suskirstytos į kibernetinės atakos etapus:
- pradinė prieiga (pradinė prieiga);
- vykdymas;
- konsolidacija (atkaklumas);
- privilegijų eskalavimas;
- aptikimo prevencija (apsaugos vengimas);
- kredencialų gavimas (prieiga prie kredencialų);
- intelektas (atradimas);
- judėjimas perimetro ribose (šoninis judėjimas);
- duomenų rinkimas (rinkimas);
- vadovavimas ir kontrolė;
- duomenų išfiltravimas;
- poveikį.
Kiekvienai taktikai ATT&CK žinių bazėje pateikiamas sąrašas metodų, padedančių užpuolikams pasiekti savo tikslą dabartinėje atakos stadijoje. Kadangi ta pati technika gali būti naudojama skirtinguose etapuose, ji gali reikšti kelias taktikas.
Kiekvienos technikos aprašymas apima:
- identifikatorius;
- taktikos, kurioje jis naudojamas, sąrašas;
- APT grupių naudojimo pavyzdžiai;
- priemonės, skirtos sumažinti žalą dėl jo naudojimo;
- aptikimo rekomendacijos.
Informacijos saugumo specialistai gali panaudoti žinias iš duomenų bazės, kad susistemintų informaciją apie dabartinius atakos būdus ir, turėdami tai omenyje, sukurti veiksmingą apsaugos sistemą. Supratimas, kaip veikia tikros APT grupės, taip pat gali tapti hipotezių šaltiniu aktyviai ieškoti grėsmių viduje. .
Apie PT tinklo atakų atradimą
Mes nustatysime ATT & CK matricos metodų naudojimą naudodami sistemą — Positive Technologies NTA sistema, skirta aptikti atakas perimetre ir tinklo viduje. PT NAD skirtingu mastu apima visas 12 MITER ATT&CK matricos taktikų. Jis yra galingiausias nustatydamas pradinės prieigos, šoninio judėjimo ir valdymo bei valdymo būdus. Juose PT NAD apima daugiau nei pusę žinomų technikų, aptikdama jų taikymą tiesioginiais ar netiesioginiais ženklais.
Sistema aptinka atakas naudodama ATT&CK metodus, naudodama komandos sukurtas aptikimo taisykles (PT ESC), mašininis mokymasis, kompromiso rodikliai, gili analizė ir retrospektyvinė analizė. Srauto analizė realiuoju laiku kartu su retrospektyva leidžia nustatyti esamą paslėptą kenkėjišką veiklą ir sekti vystymosi vektorius bei atakų chronologiją.
pilnas PT NAD susiejimas su MITER ATT&CK matrica. Paveikslas yra didelis, todėl siūlome jį apsvarstyti atskirame lange.
Pradinė prieiga
Pradinė prieigos taktika apima būdus, kaip įsiskverbti į įmonės tinklą. Užpuolikų tikslas šiame etape yra pateikti kenkėjišką kodą į užpultą sistemą ir užtikrinti tolesnį jo vykdymą.
Srauto analizė iš PT NAD atskleidžia septynis būdus, kaip gauti pradinę prieigą:
1. : važiavimo kompromisas
Metodas, kai auka atidaro svetainę, kurią užpuolikai naudoja norėdami išnaudoti žiniatinklio naršyklę, kad gautų programos prieigos prieigos raktus.
Ką daro PT NAD?: Jei žiniatinklio srautas nėra užšifruotas, PT NAD tikrina HTTP serverio atsakymų turinį. Būtent šiuose atsakymuose randami išnaudojimai, leidžiantys užpuolikams vykdyti savavališką kodą naršyklėje. PT NAD automatiškai aptinka tokius išnaudojimus naudodamas aptikimo taisykles.
Be to, PT NAD aptinka grėsmę ankstesniame veiksme. Kompromiso taisyklės ir indikatoriai suveikia, jei vartotojas apsilankė svetainėje, kuri nukreipė jį į svetainę su daugybe išnaudojimų.
2. : išnaudokite viešai prieinamą programą
Paslaugų, kurios pasiekiamos iš interneto, pažeidžiamumų išnaudojimas.
Ką daro PT NAD?: atlieka giluminį tinklo paketų turinio patikrinimą, atskleidžiant jame nenormalios veiklos požymius. Visų pirma, yra taisyklių, leidžiančių aptikti atakas prieš pagrindines turinio valdymo sistemas (TVS), tinklo įrangos žiniatinklio sąsajas, atakas prieš paštą ir FTP serverius.
3. : išorinės nuotolinės paslaugos
Užpuolikai naudoja nuotolinės prieigos paslaugas, kad prisijungtų prie vidinių tinklo išteklių iš išorės.
Ką daro PT NAD?: kadangi sistema protokolus atpažįsta ne pagal prievadų numerius, o pagal paketų turinį, sistemos vartotojai gali filtruoti srautą taip, kad surastų visus nuotolinės prieigos protokolų seansus ir patikrintų jų teisėtumą.
4. : spearphishing priedas
Kalbame apie liūdnai pagarsėjusį sukčiavimo priedų siuntimą.
Ką daro PT NAD?: automatiškai ištraukia failus iš srauto ir patikrina, ar nėra kompromiso. Vykdomus failus prieduose aptinka taisyklės, analizuojančios laiškų srauto turinį. Įmonės aplinkoje tokia investicija laikoma anomaalia.
5. : sukčiavimo nuoroda
Sukčiavimo nuorodų naudojimas. Taikant šią techniką, užpuolikai siunčia sukčiavimo el. laišką su nuoroda, kurią spustelėjus atsisiunčiama kenkėjiška programa. Paprastai prie nuorodos pridedamas tekstas, sudarytas pagal visas socialinės inžinerijos taisykles.
Ką daro PT NAD?: aptinka sukčiavimo nuorodas naudodamas kompromiso rodiklius. Pavyzdžiui, PT NAD sąsajoje matome seansą, kuriame buvo HTTP ryšys per nuorodą, įtrauktą į sukčiavimo adresų sąrašą (phishing-url).
Prisijungimas per nuorodą iš sukčiavimo URL indikatorių sąrašo
6. : pasitikėjimo santykiai
Prieiga prie aukos tinklo per trečiąsias šalis, su kuriomis auka palaiko patikimus santykius. Užpuolikai gali įsilaužti į patikimą organizaciją ir per ją prisijungti prie tikslinio tinklo. Norėdami tai padaryti, jie naudoja VPN ryšius arba domeno pasitikėjimo ryšius, kuriuos galima atskleisti atliekant srauto analizę.
Ką daro PT NAD?: analizuoja taikomųjų programų protokolus ir išsaugo analizuotus laukus duomenų bazėje, kad informacijos saugos analitikas galėtų naudoti filtrus, kad nustatytų visus įtartinus VPN ryšius arba kryžminius domenų ryšius duomenų bazėje.
7. : galiojančios sąskaitos
Standartinių, vietinių arba domeno kredencialų naudojimas išorinėms ir vidinėms paslaugoms autorizuoti.
Ką daro PT NAD?: automatiškai nuskaito kredencialus iš HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokolų. Paprastai tai yra prisijungimo vardas, slaptažodis ir sėkmingo autentifikavimo ženklas. Jei jie buvo naudojami, jie rodomi atitinkamoje seanso kortelėje.
Vykdymas
Vykdymo taktika apima metodus, kuriuos užpuolikai naudoja norėdami vykdyti kodą pažeistose sistemose. Kenkėjiško kodo vykdymas padeda užpuolikams nustatyti buvimą (išlikimo taktika) ir išplėsti prieigą prie nuotolinių tinklo sistemų judant per perimetrą.
PT NAD leidžia aptikti 14 metodų, kuriuos užpuolikai naudoja kenkėjiškam kodui vykdyti.
1. : CMSTP („Microsoft Connection Manager Profile Installer“)
Taktika, kai užpuolikai parengia specialiai sukurtą kenkėjišką .inf diegimo failą, skirtą integruotai Windows CMSTP.exe programai (Connection Manager Profile Installer). CMSTP.exe paima failą kaip parametrą ir įdiegia nuotolinio ryšio paslaugų profilį. Dėl to CMSTP.exe galima atsisiųsti ir vykdyti dinaminių saitų bibliotekas (*.dll) arba scenarijus (*.sct) iš nuotolinių serverių.
Ką daro PT NAD?: automatiškai aptinka specialios formos .inf failų perdavimą HTTP sraute. Be to, jis aptinka kenkėjiškų scenarijus ir dinaminių saitų bibliotekų HTTP perdavimą iš nuotolinio serverio.
2. : komandinės eilutės sąsaja
Sąveika su komandinės eilutės sąsaja. Komandinės eilutės sąsaja gali būti naudojama vietoje arba nuotoliniu būdu, pavyzdžiui, naudojant nuotolinės prieigos priemones.
Ką daro PT NAD?: automatiškai aptinka apvalkalų buvimą pagal atsakymus į komandas paleisti įvairias komandų eilutės programas, tokias kaip ping, ifconfig.
3. : komponentinio objekto modelis ir paskirstytas COM
COM arba DCOM technologijų naudojimas kodui vykdyti vietinėse arba nuotolinėse sistemose, kai jis kerta tinklą.
Ką daro PT NAD?: aptinka įtartinus DCOM skambučius, kuriuos užpuolikai dažniausiai naudoja programoms paleisti.
4. : išnaudojimas kliento vykdymui
Pažeidžiamumų išnaudojimas, norint vykdyti savavališką kodą darbo vietoje. Užpuolikams naudingiausi išnaudojimai yra tie, kurie leidžia vykdyti kodą nuotolinėje sistemoje, nes juos užpuolikai gali naudoti norėdami pasiekti tokią sistemą. Šią techniką galima įgyvendinti šiais būdais: kenkėjiškas adresų sąrašas, svetainė su naršyklių išnaudojimais ir nuotolinis programų pažeidžiamumų išnaudojimas.
Ką daro PT NAD?: analizuodamas pašto srautą, PT NAD patikrina, ar prieduose nėra vykdomųjų failų. Automatiškai ištraukia biuro dokumentus iš el. laiškų, kuriuose gali būti išnaudojimų. Bandymai išnaudoti pažeidžiamumą matomi sraute, kurį PT NAD aptinka automatiškai.
5. : mshta
Naudojant mshta.exe paslaugų programą, kuri vykdo Microsoft HTML programas (HTA) su plėtiniu .hta. Kadangi mshta apdoroja failus apeinant naršyklės saugos nustatymus, užpuolikai gali naudoti mshta.exe, kad paleistų kenkėjiškus HTA, JavaScript arba VBScript failus.
Ką daro PT NAD?: .hta failai, skirti vykdyti per mshta, taip pat perduodami tinkle – tai matyti sraute. PT NAD automatiškai aptinka tokių kenkėjiškų failų perdavimą. Jis fiksuoja failus, o informaciją apie juos galima peržiūrėti seanso kortelėje.
6. : powershell
„PowerShell“ naudojimas norint ieškoti informacijos ir vykdyti kenkėjišką kodą.
Ką daro PT NAD?: Kai užpuolikai nuotoliniu būdu naudoja PowerShell, PT NAD tai aptinka naudodamas taisykles. Jis aptinka „PowerShell“ kalbos raktinius žodžius, dažniausiai naudojamus kenkėjiškuose scenarijuose ir „PowerShell“ scenarijų perdavimui per SMB.
7. : suplanuota užduotis
„Windows Task Scheduler“ ir kitų paslaugų naudojimas automatiškai paleisti programas arba scenarijus tam tikru laiku.
Ką daro PT NAD?: užpuolikai sukuria tokias užduotis, dažniausiai nuotoliniu būdu, o tai reiškia, kad tokios sesijos matomos sraute. PT NAD automatiškai aptinka įtartinas užduočių kūrimo ir modifikavimo operacijas naudodamas ATSVC ir ITaskSchedulerService RPC sąsajas.
8. : scenarijus
Scenarijų, skirtų automatizuoti įvairius užpuolikų veiksmus, vykdymas.
Ką daro PT NAD?: aptinka faktą, kad scenarijai perduodami tinkle, ty dar prieš juos paleidžiant. Jis aptinka scenarijų turinį neapdorotame sraute ir aptinka failų, kurių plėtiniai atitinka populiarias scenarijų kalbas, perdavimą tinkle.
9. : paslaugos vykdymas
Paleiskite vykdomąjį failą, CLI instrukcijas arba scenarijų sąveikaudami su „Windows“ paslaugomis, pvz., „Service Control Manager“ (SCM).
Ką daro PT NAD?: tikrina SMB srautą ir aptinka užklausas SCM pagal paslaugos kūrimo, keitimo ir paleidimo taisykles.
Paslaugų paleidimo techniką galima įdiegti naudojant nuotolinio komandų vykdymo įrankį PSExec. PT NAD analizuoja SMB protokolą ir aptinka PSExec naudojimą, kai naudoja PSEXESVC.exe failą arba PSEXECSVC standartinį paslaugos pavadinimą, kad vykdytų kodą nuotoliniame kompiuteryje. Vartotojas turi patikrinti vykdomų komandų sąrašą ir nuotolinio komandų vykdymo iš pagrindinio kompiuterio teisėtumą.
PT NAD atakos kortelėje rodomi duomenys apie ATT&CK matricos naudojamą taktiką ir metodus, kad vartotojas suprastų, kuriame atakos etape yra užpuolikai, kokių tikslų jie siekia ir kokių kompensuojamųjų priemonių imtis.
Suveikia PSExec įrankio naudojimo taisyklė, kuri gali reikšti bandymą vykdyti komandas nuotoliniame kompiuteryje
10. : trečiosios šalies programinė įranga
Metodas, kai užpuolikai gauna prieigą prie nuotolinio administravimo programinės įrangos arba įmonės programinės įrangos diegimo sistemos ir naudoja juos kenkėjiškam kodui paleisti. Tokios programinės įrangos pavyzdžiai: SCCM, VNC, TeamViewer, HBSS, Altiris.
Beje, ši technika ypač aktuali masiniam perėjimui prie nuotolinio darbo ir dėl to daugybės neapsaugotų namų įrenginių prijungimo abejotinais nuotolinės prieigos kanalais.
Ką daro PT NAD?: automatiškai nustato tokios programinės įrangos veikimą tinkle. Pavyzdžiui, taisykles suveikia prisijungimo per VNC protokolą faktai ir EvilVNC Trojos arklys veikla, kuri aukos pagrindiniame kompiuteryje slapta įdiegia VNC serverį ir automatiškai jį paleidžia. Be to, PT NAD automatiškai aptinka TeamViewer protokolą, kuris padeda analitikui surasti visus tokius seansus naudojant filtrą ir patikrinti jų teisėtumą.
11. : vartotojo vykdymas
Metodas, kai vartotojas paleidžia failus, kurie gali sukelti kodo vykdymą. Tai gali būti, pavyzdžiui, atidarius vykdomąjį failą arba paleidžiant biuro dokumentą su makrokomandomis.
Ką daro PT NAD?: mato tokius failus perdavimo etape, prieš juos paleidžiant. Informaciją apie juos galima ištirti seansų, kuriuose jie buvo perduoti, kortelėje.
12. : Windows valdymo instrumentai
Naudojant WMI įrankį, kuris suteikia vietinę ir nuotolinę prieigą prie „Windows“ sistemos komponentų. Naudodami WMI, užpuolikai gali sąveikauti su vietinėmis ir nuotolinėmis sistemomis ir atlikti įvairias užduotis, pavyzdžiui, rinkti informaciją žvalgybos tikslais ir nuotoliniu būdu paleisti procesus šoninio judėjimo metu.
Ką daro PT NAD?: Kadangi sąveika su nuotolinėmis sistemomis per WMI matoma sraute, PT NAD automatiškai aptinka tinklo užklausas sukurti WMI seansus ir tikrina scenarijų, naudojančių WMI, srautą.
13. : „Windows“ nuotolinis valdymas
Naudojant „Windows“ paslaugą ir protokolą, leidžiantį vartotojui bendrauti su nuotolinėmis sistemomis.
Ką daro PT NAD?: mato tinklo ryšius, užmegztus naudojant „Windows Remote Management“. Tokius seansus automatiškai nustato taisyklės.
14. : XSL (Extensible Stylesheet Language) scenarijų apdorojimas
XSL stiliaus žymėjimo kalba naudojama apibūdinti duomenų apdorojimą ir atvaizdavimą XML failuose. Siekiant palaikyti sudėtingas operacijas, XSL standartas apima įterptųjų scenarijų palaikymą keliomis kalbomis. Šios kalbos leidžia vykdyti savavališką kodą, kuris apeina į baltąjį sąrašą įtrauktas saugos strategijas.
Ką daro PT NAD?: aptinka tokių failų perdavimą tinkle, ty dar prieš juos paleidžiant. Jis automatiškai aptinka tinklu perduodamus XSL failus ir failus su anomaliu XSL žymėjimu.
Toliau pateiktoje medžiagoje apžvelgsime, kaip PT Network Attack Discovery NTA sistema randa kitas užpuolikų taktikas ir metodus pagal MITER ATT & CK. Sekite naujienas!
Autoriai:
- Antonas Kutepovas, PT ekspertų apsaugos centro pozityviųjų technologijų specialistas
- Natalija Kazankova, „Positive Technologies“ produktų rinkodaros specialistė
Šaltinis: www.habr.com