, lielākā daļa (87%) informācijas drošības incidentu notiek dažu minūšu laikā, un 68% uzņēmumu to atklāšana prasa vairākus mēnešus. To apstiprina , saskaņā ar kuru lielākajai daļai organizāciju incidenta atklāšanai nepieciešamas vidēji 206 dienas. Pamatojoties uz mūsu izmeklēšanas pieredzi, hakeri var kontrolēt uzņēmuma infrastruktūru gadiem ilgi, tos neatklājot. Tādējādi vienā no organizācijām, kurā mūsu eksperti izmeklēja informācijas drošības incidentu, atklājās, ka hakeri pilnībā kontrolējuši visu organizācijas infrastruktūru un regulāri zaguši svarīgu informāciju. .
Pieņemsim, ka jums jau darbojas SIEM, kas apkopo žurnālus un analizē notikumus, un gala mezglos ir instalēta pretvīrusu programmatūra. Tomēr, , tāpat kā nav iespējams ieviest EDR sistēmas visā tīklā, kas nozīmē, ka nevar izvairīties no “aklajām” zonām. Tīkla trafika analīzes (NTA) sistēmas palīdz ar tām tikt galā. Šie risinājumi atklāj uzbrucēju darbību agrīnākajās tīkla iespiešanās stadijās, kā arī mēģinājumos nostiprināties un attīstīt uzbrukumu tīklā.
Ir divu veidu NTA: daži strādā ar NetFlow, citi analizē neapstrādātu trafiku. Otro sistēmu priekšrocība ir tā, ka tās var uzglabāt neapstrādātus satiksmes ierakstus. Pateicoties tam, informācijas drošības speciālists var pārliecināties par uzbrukuma izdošanos, lokalizēt draudus, saprast, kā noticis uzbrukums un kā novērst līdzīgu nākotnē.
Mēs parādīsim, kā, izmantojot NTA, jūs varat izmantot tiešus vai netiešus pierādījumus, lai identificētu visas zināmās uzbrukuma taktikas, kas aprakstītas zināšanu bāzē . Mēs runāsim par katru no 12 taktikām, analizēsim satiksmes noteiktos paņēmienus un demonstrēsim to noteikšanu, izmantojot mūsu NTA sistēmu.
Par ATT&CK zināšanu bāzi
MITER ATT&CK ir publiska zināšanu bāze, ko izstrādājusi un uztur MITER Corporation, pamatojoties uz reālās pasaules APT analīzi. Tas ir strukturēts taktikas un paņēmienu kopums, ko izmanto uzbrucēji. Tas ļauj informācijas drošības speciālistiem no visas pasaules runāt vienā valodā. Datubāze nepārtraukti tiek papildināta un papildināta ar jaunām zināšanām.
Datubāze identificē 12 taktikas, kas ir sadalītas pa kiberuzbrukuma posmiem:
- sākotnējā piekļuve;
- izpilde;
- konsolidācija (noturība);
- privilēģiju eskalācija;
- atklāšanas novēršana (izvairīšanās no aizsardzības);
- akreditācijas datu iegūšana (piekļuve akreditācijas datiem);
- izpēte;
- kustība perimetrā (sānu kustība);
- datu vākšana (vākšana);
- komandēšana un kontrole;
- datu eksfiltrācija;
- ietekme.
Katrai taktikai ATT&CK zināšanu bāzē ir saraksts ar paņēmieniem, kas palīdz uzbrucējiem sasniegt mērķi pašreizējā uzbrukuma stadijā. Tā kā vienu un to pašu paņēmienu var izmantot dažādos posmos, tas var attiekties uz vairākām taktikām.
Katras tehnikas apraksts ietver:
- identifikators;
- taktikas saraksts, kurā tas tiek izmantots;
- APT grupu izmantošanas piemēri;
- pasākumi, lai samazinātu tā lietošanas radītos bojājumus;
- noteikšanas ieteikumi.
Informācijas drošības speciālisti var izmantot zināšanas no datu bāzes, lai strukturētu informāciju par aktuālajām uzbrukuma metodēm un, ņemot to vērā, izveidotu efektīvu drošības sistēmu. Izpratne par to, kā darbojas reālas APT grupas, var arī kļūt par hipotēžu avotu proaktīvai draudu meklēšanai .
Par PT tīkla uzbrukuma atklāšanu
Mēs noteiksim ATT&CK matricas metožu izmantošanu, izmantojot sistēmu — Positive Technologies NTA sistēma, kas paredzēta, lai atklātu uzbrukumus tīkla perimetrā un iekšienē. PT NAD dažādās pakāpēs aptver visas 12 MITER ATT&CK matricas taktikas. Viņš ir visspēcīgākais, lai identificētu sākotnējās piekļuves, sānu kustības un komandēšanas un kontroles metodes. Tajos PT NAD aptver vairāk nekā pusi no zināmajiem paņēmieniem, atklājot to pielietojumu pēc tiešām vai netiešām pazīmēm.
Sistēma atklāj uzbrukumus, izmantojot ATT&CK metodes, izmantojot komandas izveidotos noteikšanas noteikumus (PT ESC), mašīnmācīšanās, kompromisa rādītāji, dziļa analīze un retrospektīva analīze. Reāllaika trafika analīze apvienojumā ar retrospekciju ļauj identificēt pašreizējo slēpto ļaunprātīgo darbību un izsekot attīstības vektoriem un uzbrukumu hronoloģijai.
pilna PT NAD kartēšana uz MITER ATT&CK matricu. Attēls ir liels, tāpēc iesakām to apskatīt atsevišķā logā.
Sākotnējā piekļuve
Sākotnējā piekļuves taktika ietver paņēmienus, kā iekļūt uzņēmuma tīklā. Uzbrucēju mērķis šajā posmā ir nogādāt ļaunprātīgu kodu uz uzbrukuma sistēmu un nodrošināt tā turpmākas izpildes iespēju.
Satiksmes analīze no PT NAD atklāj septiņas metodes, kā iegūt sākotnējo piekļuvi:
1. : piebraucamais kompromiss
Paņēmiens, kurā upuris atver vietni, ko uzbrucēji izmanto, lai izmantotu tīmekļa pārlūkprogrammu un iegūtu lietojumprogrammu piekļuves pilnvaras.
Ko dara PT NAD?: ja tīmekļa trafiks nav šifrēts, PT NAD pārbauda HTTP servera atbilžu saturu. Šīs atbildes satur ļaunprātīgas darbības, kas ļauj uzbrucējiem pārlūkprogrammā izpildīt patvaļīgu kodu. PT NAD automātiski nosaka šādas ļaunprātīgas darbības, izmantojot noteikšanas noteikumus.
Turklāt PT NAD nosaka draudus iepriekšējā darbībā. Noteikumi un kompromisa indikatori tiek aktivizēti, ja lietotājs apmeklēja vietni, kas viņu novirzīja uz vietni ar virkni ļaunprātīgu darbību.
2. : izmantot publiski pieejamu lietojumprogrammu
Ievainojamību izmantošana pakalpojumos, kas ir pieejami no interneta.
Ko dara PT NAD?: veic padziļinātu tīkla pakešu satura pārbaudi, identificējot anomālas darbības pazīmes. Jo īpaši ir noteikumi, kas ļauj atklāt uzbrukumus galvenajām satura pārvaldības sistēmām (CMS), tīkla aprīkojuma tīmekļa saskarnēm, kā arī uzbrukumus pasta un FTP serveriem.
3. : ārējie attālie pakalpojumi
Uzbrucēji izmanto attālās piekļuves pakalpojumus, lai izveidotu savienojumu ar iekšējiem tīkla resursiem no ārpuses.
Ko dara PT NAD?: tā kā sistēma atpazīst protokolus nevis pēc portu numuriem, bet pēc pakešu satura, sistēmas lietotāji var filtrēt trafiku, lai atrastu visas attālās piekļuves protokolu sesijas un pārbaudītu to likumību.
4. : spearphishing pielikums
Mēs runājam par bēdīgi slaveno pikšķerēšanas pielikumu sūtīšanu.
Ko dara PT NAD?: automātiski izvelk failus no trafika un pārbauda, vai tie nav apdraudēti. Izpildāmos failus pielikumos nosaka kārtulas, kas analizē pasta trafika saturu. Korporatīvā vidē šāds ieguldījums tiek uzskatīts par anomālu.
5. : spearphishing saite
Pikšķerēšanas saišu izmantošana. Šis paņēmiens paredz, ka uzbrucēji nosūta pikšķerēšanas e-pasta ziņojumu ar saiti, uz kuras noklikšķinot, tiek lejupielādēta ļaunprātīga programma. Parasti saitei ir pievienots teksts, kas sastādīts saskaņā ar visiem sociālās inženierijas noteikumiem.
Ko dara PT NAD?: nosaka pikšķerēšanas saites, izmantojot kompromisa rādītājus. Piemēram, PT NAD saskarnē mēs redzam sesiju, kurā bija HTTP savienojums, izmantojot saiti, kas iekļauta pikšķerēšanas adrešu sarakstā (phishing-url).
Savienojums, izmantojot saiti no apdraudējuma pikšķerēšanas URL indikatoru saraksta
6. : uzticamas attiecības
Piekļuve cietušā tīklam, izmantojot trešās puses, ar kurām cietušajam ir izveidojušās uzticamas attiecības. Uzbrucēji var uzlauzt uzticamu organizāciju un caur to izveidot savienojumu ar mērķa tīklu. Lai to izdarītu, viņi izmanto VPN savienojumus vai domēna trastus, ko var identificēt, izmantojot trafika analīzi.
Ko dara PT NAD?: parsē lietojumprogrammu protokolus un saglabā parsētos laukus datu bāzē, lai informācijas drošības analītiķis varētu izmantot filtrus, lai datu bāzē atrastu visus aizdomīgos VPN savienojumus vai starpdomēnu savienojumus.
7. : derīgi konti
Standarta, vietējo vai domēna akreditācijas datu izmantošana autorizācijai ārējos un iekšējos pakalpojumos.
Ko dara PT NAD?: automātiski izgūst akreditācijas datus no HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokoliem. Kopumā tas ir pieteikšanās vārds, parole un veiksmīgas autentifikācijas pazīme. Ja tie ir izmantoti, tie tiek parādīti attiecīgajā sesijas kartē.
Izpilde
Izpildes taktika ietver paņēmienus, ko uzbrucēji izmanto, lai izpildītu kodu apdraudētās sistēmās. Ļaunprātīga koda palaišana palīdz uzbrucējiem noteikt klātbūtni (noturības taktika) un paplašināt piekļuvi attālajām sistēmām tīklā, pārvietojoties pa perimetru.
PT NAD ļauj atklāt 14 paņēmienus, ko uzbrucēji izmanto ļaunprātīga koda izpildei.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktika, kurā uzbrucēji sagatavo īpašu ļaunprātīgas instalācijas INF failu iebūvētajai Windows utilītai CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe izmanto failu kā parametru un instalē attālā savienojuma pakalpojuma profilu. Rezultātā CMSTP.exe var izmantot, lai ielādētu un izpildītu dinamisko saišu bibliotēkas (*.dll) vai skriptus (*.sct) no attāliem serveriem.
Ko dara PT NAD?: automātiski nosaka īpašu veidu INF failu pārsūtīšanu HTTP trafikā. Papildus tam tas nosaka ļaunprātīgu skriptu un dinamisko saišu bibliotēku HTTP pārraidi no attālā servera.
2. : komandrindas interfeiss
Mijiedarbība ar komandrindas interfeisu. Ar komandrindas saskarni var mijiedarboties lokāli vai attālināti, piemēram, izmantojot attālās piekļuves utilītas.
Ko dara PT NAD?: automātiski nosaka čaulu klātbūtni, pamatojoties uz atbildēm uz komandām, lai palaistu dažādas komandrindas utilītas, piemēram, ping, ifconfig.
3. : komponentu objekta modelis un izplatīts COM
COM vai DCOM tehnoloģiju izmantošana, lai izpildītu kodu vietējās vai attālās sistēmās, pārvietojoties tīklā.
Ko dara PT NAD?: nosaka aizdomīgus DCOM zvanus, ko uzbrucēji parasti izmanto programmu palaišanai.
4. : izmantošana klienta izpildei
Ievainojamību izmantošana, lai darbstacijā izpildītu patvaļīgu kodu. Uzbrucējiem visnoderīgākie ir tie, kas ļauj izpildīt kodu attālā sistēmā, jo tie var ļaut uzbrucējiem piekļūt šai sistēmai. Šo paņēmienu var ieviest, izmantojot šādas metodes: ļaunprātīga pasta sūtīšana, vietne ar pārlūkprogrammas izmantošanu un lietojumprogrammu ievainojamību attālināta izmantošana.
Ko dara PT NAD?: analizējot pasta trafiku, PT NAD pārbauda, vai pielikumos nav izpildāmu failu. Automātiski izvelk biroja dokumentus no e-pasta ziņojumiem, kuros var būt ļaunprātīgas darbības. Mēģinājumi izmantot ievainojamības ir redzami satiksmē, ko PT NAD nosaka automātiski.
5. : mshta
Izmantojiet utilītu mshta.exe, kas darbina Microsoft HTML lietojumprogrammas (HTA) ar paplašinājumu .hta. Tā kā mshta apstrādā failus, apejot pārlūkprogrammas drošības iestatījumus, uzbrucēji var izmantot mshta.exe, lai izpildītu ļaunprātīgus HTA, JavaScript vai VBScript failus.
Ko dara PT NAD?: .hta faili izpildei, izmantojot mshta, tiek pārsūtīti arī tīklā - to var redzēt trafikā. PT NAD automātiski nosaka šādu ļaunprātīgu failu pārsūtīšanu. Tas uztver failus, un informāciju par tiem var skatīt sesijas kartē.
6. : PowerShell
PowerShell izmantošana, lai atrastu informāciju un izpildītu ļaunprātīgu kodu.
Ko dara PT NAD?: Ja attālie uzbrucēji izmanto PowerShell, PT NAD to nosaka, izmantojot noteikumus. Tas nosaka PowerShell valodas atslēgvārdus, kas visbiežāk tiek izmantoti ļaunprātīgos skriptos un PowerShell skriptu pārsūtīšanai, izmantojot SMB protokolu.
7. : ieplānotais uzdevums
Windows uzdevumu plānotāja un citu utilītu izmantošana, lai noteiktā laikā automātiski palaistu programmas vai skriptus.
Ko dara PT NAD?: uzbrucēji izveido šādus uzdevumus, parasti attālināti, kas nozīmē, ka šādas sesijas ir redzamas satiksmē. PT NAD automātiski nosaka aizdomīgas uzdevumu izveides un modifikācijas darbības, izmantojot ATSVC un ITaskSchedulerService RPC saskarnes.
8. : skriptu veidošana
Skriptu izpilde, lai automatizētu dažādas uzbrucēju darbības.
Ko dara PT NAD?: nosaka skriptu pārsūtīšanu tīklā, tas ir, pat pirms to palaišanas. Tā nosaka skripta saturu neapstrādātā trafikā un nosaka tādu failu pārsūtīšanu tīklā, kuru paplašinājumi atbilst populārām skriptu valodām.
9. : pakalpojuma izpilde
Palaidiet izpildāmo failu, komandrindas interfeisa instrukcijas vai skriptu, mijiedarbojoties ar Windows pakalpojumiem, piemēram, Service Control Manager (SCM).
Ko dara PT NAD?: pārbauda SMB trafiku un nosaka piekļuvi SCM, izmantojot pakalpojuma izveides, mainīšanas un palaišanas noteikumus.
Pakalpojuma startēšanas paņēmienu var ieviest, izmantojot attālās komandu izpildes utilītu PSExec. PT NAD analizē SMB protokolu un nosaka PSExec izmantošanu, kad tas izmanto failu PSEXESVC.exe vai standarta PSEXECSVC pakalpojuma nosaukumu, lai izpildītu kodu attālā datorā. Lietotājam ir jāpārbauda izpildīto komandu saraksts un attālās komandas izpildes leģitimitāte no resursdatora.
PT NAD uzbrukuma karte parāda datus par taktiku un paņēmieniem, kas tiek izmantoti saskaņā ar ATT&CK matricu, lai lietotājs varētu saprast, kurā uzbrukuma stadijā atrodas uzbrucēji, kādus mērķus viņi tiecas un kādus kompensācijas pasākumus veikt.
Tiek aktivizēts noteikums par utilīta PSExec izmantošanu, kas var norādīt uz mēģinājumu izpildīt komandas attālā mašīnā
10. : trešās puses programmatūra
Paņēmiens, ar kuru uzbrucēji iegūst piekļuvi attālās administrēšanas programmatūrai vai korporatīvajai programmatūras izvietošanas sistēmai un izmanto to, lai palaistu ļaunprātīgu kodu. Šādas programmatūras piemēri: SCCM, VNC, TeamViewer, HBSS, Altiris.
Starp citu, tehnika ir īpaši svarīga saistībā ar masveida pāreju uz attālo darbu un līdz ar to daudzu neaizsargātu mājas ierīču savienošanu, izmantojot apšaubāmus attālās piekļuves kanālus.
Ko dara PT NAD?: automātiski nosaka šādas programmatūras darbību tīklā. Piemēram, noteikumus iedarbina savienojumi, izmantojot VNC protokolu, un EvilVNC Trojas zirga darbība, kas upura resursdatorā slepeni instalē VNC serveri un automātiski to palaiž. Turklāt PT NAD automātiski nosaka TeamViewer protokolu, kas palīdz analītiķim, izmantojot filtru, atrast visas šādas sesijas un pārbaudīt to likumību.
11. : lietotāja izpilde
Paņēmiens, kurā lietotājs palaiž failus, kas var novest pie koda izpildes. Tas varētu būt, piemēram, ja viņš atver izpildāmo failu vai palaiž biroja dokumentu ar makro.
Ko dara PT NAD?: redz šādus failus pārsūtīšanas stadijā, pirms tie tiek palaisti. Informāciju par tiem var izpētīt to sesiju kartē, kurās tie tika pārraidīti.
12. : Windows pārvaldības instrumenti
WMI rīka izmantošana, kas nodrošina lokālu un attālu piekļuvi Windows sistēmas komponentiem. Izmantojot WMI, uzbrucēji var mijiedarboties ar vietējām un attālām sistēmām un veikt dažādus uzdevumus, piemēram, apkopot informāciju izlūkošanas nolūkos un attālināti palaist procesus, pārvietojoties uz sāniem.
Ko dara PT NAD?: Tā kā datplūsmā ir redzama mijiedarbība ar attālām sistēmām, izmantojot WMI, PT NAD automātiski nosaka tīkla pieprasījumus izveidot WMI sesijas un pārbauda skriptu trafiku, kas izmanto WMI.
13. : Windows attālā pārvaldība
Izmantojot Windows pakalpojumu un protokolu, kas ļauj lietotājam mijiedarboties ar attālām sistēmām.
Ko dara PT NAD?: redz tīkla savienojumus, kas izveidoti, izmantojot Windows attālo pārvaldību. Šādas sesijas tiek automātiski noteiktas saskaņā ar noteikumiem.
14. : XSL (Extensible Stylesheet Language) skriptu apstrāde
XSL stila iezīmēšanas valoda tiek izmantota, lai aprakstītu datu apstrādi un vizualizāciju XML failos. Lai atbalstītu sarežģītas darbības, XSL standarts ietver atbalstu iegultiem skriptiem dažādās valodās. Šīs valodas ļauj izpildīt patvaļīgu kodu, kā rezultātā tiek apietas drošības politikas, kuru pamatā ir baltie saraksti.
Ko dara PT NAD?: nosaka šādu failu pārsūtīšanu tīklā, tas ir, pat pirms to palaišanas. Tas automātiski nosaka XSL failus, kas tiek pārsūtīti tīklā, un failus ar anomālu XSL marķējumu.
Turpmākajos materiālos apskatīsim, kā PT Network Attack Discovery NTA sistēma atrod citas uzbrucēju taktikas un paņēmienus saskaņā ar MITER ATT&CK. Sekojiet līdzi!
Autori:
- Antons Kutepovs, PT ekspertu drošības centra pozitīvo tehnoloģiju speciālists
- Natālija Kazankova, Positive Technologies produktu tirgotāja
Avots: www.habr.com