, ny ankamaroan'ny (87%) amin'ny tranga fiarovana ny fampahalalam-baovao dia mitranga ao anatin'ny minitra vitsy, ary ho an'ny 68% amin'ny orinasa dia mila volana maromaro vao mahita azy ireo. Manamafy izany ny , araka izany dia mila 206 andro eo ho eo ny ankamaroan'ny fikambanana vao mahita tranga iray. Miorina amin'ny traikefan'ny fanadihadianay, afaka mifehy ny fotodrafitrasan'ny orinasa mandritra ny taona maro ny hackers nefa tsy hita. Noho izany, tao amin'ny iray amin'ireo fikambanana izay nanadihadian'ny manam-pahaizana momba ny tranga iray momba ny fiarovana ny fampahalalam-baovao, dia nambara fa ireo mpijirika dia nifehy tanteraka ny fotodrafitrasa manontolon'ny fikambanana ary nangalatra tsy tapaka ny vaovao manan-danja. .
Aoka hatao hoe efa manana SIEM mandeha ianao izay manangona diary sy manadihady ny zava-mitranga, ary ny rindrambaiko antivirus dia napetraka amin'ny faran'ny node. Na izany aza, , tahaka ny tsy azo atao ny mampihatra ny rafitra EDR manerana ny tambajotra iray manontolo, izay midika fa tsy azo ialana ny “jamba”. Ny rafitra famakafakana fifamoivoizana amin'ny tambajotra (NTA) dia manampy amin'ny fiatrehana azy ireo. Ireo vahaolana ireo dia mahita ny asan'ny mpanafika amin'ny dingana voalohany amin'ny fidirana amin'ny tambajotra, ary koa mandritra ny fiezahana hahazo toerana sy hampivelatra fanafihana ao anatin'ny tambajotra.
Misy karazany roa ny NTA: ny sasany miasa miaraka amin'ny NetFlow, ny hafa mamakafaka ny fifamoivoizana manta. Ny tombony amin'ny rafitra faharoa dia ny ahafahan'izy ireo mitahiry firaketana momba ny fifamoivoizana manta. Noho izany, manam-pahaizana manokana momba ny fiarovana ny fampahalalam-baovao dia afaka manamarina ny fahombiazan'ny fanafihana, mametraka ny toerana misy ny fandrahonana, mahatakatra ny fomba nitrangan'ny fanafihana ary ny fomba hisorohana ny fanafihana toy izany amin'ny ho avy.
Hasehonay ny fomba fampiasana ny NTA ahafahanao mampiasa porofo mivantana na ankolaka hamantarana ireo tetika fanafihana fantatra rehetra voalaza ao amin'ny toby fahalalana. . Hiresaka momba ny tetika 12 tsirairay isika, hamakafaka ireo teknika tsikaritra amin'ny fifamoivoizana, ary hampiseho ny fahitana azy ireo amin'ny alàlan'ny rafitra NTA.
Momba ny fototry ny fahalalana ATT&CK
MITER ATT&CK dia toby fahalalana ho an'ny daholobe novolavolaina sy nokarakarain'ny MITER Corporation mifototra amin'ny famakafakana ireo APT tena misy. Izy io dia tetika sy teknika voarafitra ampiasain'ny mpanafika. Izany dia ahafahan'ny manam-pahaizana momba ny fiarovana ny vaovao avy amin'ny lafivalon'izao tontolo izao hiteny amin'ny fiteny iray ihany. Ny angon-drakitra dia miitatra tsy tapaka ary ampiana fahalalana vaovao.
Ny angon-drakitra dia mamaritra tetika 12, izay mizara amin'ny dingana amin'ny fanafihana an-tserasera:
- fidirana voalohany;
- famonoana;
- fanamafisana (faharetana);
- fitomboan'ny tombontsoa;
- fisorohana ny fitiliana (fiarovana fiarovana);
- fahazoana fahazoan-dàlana (fahazoan-dalana);
- fitrandrahana;
- hetsika ao anatin'ny perimeter (hetsika lateral);
- fanangonana angona (fanangonana);
- baiko sy fifehezana;
- data exfiltration;
- fiantraikany.
Ho an'ny tetika tsirairay, ny tobin'ny fahalalana ATT&CK dia mitanisa lisitr'ireo teknika manampy ireo mpanafika hahatratra ny tanjony amin'ny dingana ankehitriny amin'ny fanafihana. Koa satria ny teknika iray ihany dia azo ampiasaina amin'ny dingana samihafa, dia azo ilazana tetika maromaro izy io.
Ny famaritana ny teknika tsirairay dia misy:
- identifier;
- lisitry ny tetika ampiasana azy;
- ohatra fampiasan'ny vondrona APT;
- fepetra hampihenana ny fahasimbana amin'ny fampiasana azy;
- toro-hevitra momba ny fitiliana.
Ireo manam-pahaizana momba ny fiarovana ny fampahalalam-baovao dia afaka mampiasa fahalalana avy amin'ny angon-drakitra mba handrafetana vaovao momba ny fomba fanafihana amin'izao fotoana izao ary, amin'ny fiheverana izany, manangana rafitra fiarovana mahomby. Ny fahatakarana ny fomba fiasan'ny vondrona APT tena izy dia mety ho lasa loharanon-kevitra ho an'ny fitadiavana fandrahonana ao anatiny. .
Momba ny PT Network Attack Discovery
Hamantatra ny fampiasana teknika avy amin'ny matrix ATT&CK mampiasa ny rafitra isika - Positive Technologies NTA rafitra, natao hamantarana ny fanafihana amin'ny vakim-paritra sy ao anatin'ny tambajotra. Ny PT NAD dia mandrakotra, amin'ny ambaratonga samihafa, ny tetika 12 amin'ny matrice MITRE ATT&CK. Izy no mahery indrindra amin'ny famantarana ny teknika ho an'ny fidirana voalohany, ny hetsika an-damosina, ary ny baiko sy ny fanaraha-maso. Ao amin'izy ireo, ny PT NAD dia mandrakotra mihoatra ny antsasaky ny teknika fantatra, mamantatra ny fampiharana azy ireo amin'ny alàlan'ny famantarana mivantana na ankolaka.
Ny rafitra dia mahita fanafihana amin'ny fampiasana teknika ATT&CK amin'ny alàlan'ny fitsipi-pikarohana noforonin'ny ekipa (PT ESC), fianarana milina, famantarana ny marimaritra iraisana, fanadihadiana lalina ary famakafakana retrospective. Ny famakafakana fifamoivoizana amin'ny fotoana tena izy miaraka amin'ny retrospective dia ahafahanao mamantatra ny asa ratsy miafina ankehitriny ary manara-maso ireo vectors amin'ny fampandrosoana sy ny fizotry ny fanafihana.
sarintany feno an'ny PT NAD mankany amin'ny matrix MITER ATT&CK. Lehibe ny sary, ka manoro hevitra anao izahay hijery azy amin'ny varavarankely mitokana.
Fidirana voalohany
Ny tetika fidirana voalohany dia ahitana teknika hidirana amin'ny tambajotran'ny orinasa. Ny tanjon'ny mpanafika amin'ity dingana ity dia ny handefa kaody ratsy amin'ny rafitra voatafika ary hiantohana ny mety hisian'ny famonoana azy bebe kokoa.
Ny fanadihadiana momba ny fifamoivoizana avy amin'ny PT NAD dia manambara teknika fito hahazoana fidirana voalohany:
1. : marimaritra iraisana
Teknika iray ahafahan'ilay niharam-boina manokatra tranonkala iray ampiasain'ny mpanafika hanararaotra ny navigateur web sy hahazoana mari-pamantarana fidirana amin'ny fampiharana.
Inona no atao hoe PT NAD?: Raha tsy voarakotra ny fifamoivoizana amin'ny Internet, ny PT NAD dia manara-maso ny votoatin'ny valin'ny mpizara HTTP. Ireo valinteny ireo dia misy fanararaotana ahafahan'ny mpanafika manatanteraka kaody tsy misy dikany ao anatin'ny navigateur. Ny PT NAD dia mahita ny fanararaotana toy izany amin'ny alàlan'ny fitsipi-pikarohana.
Fanampin'izany, ny PT NAD dia mahita ny fandrahonana amin'ny dingana teo aloha. Ny fitsipika sy ny tondron'ny marimaritra iraisana dia mipoitra raha nitsidika vohikala iray izay navitrika azy tany amin'ny vohikala misy fanararaotana maro ny mpampiasa.
2. : manararaotra ny fampiharana atrehan'ny besinimaro
Fanararaotana ny vulnerability amin'ny serivisy azo idirana amin'ny Internet.
Inona no atao hoe PT NAD?: Manao fitsirihana lalina ny ao anatin'ny fonosan'ny tambazotra, hamantarana ireo famantarana misy hetsika tsy mety. Indrindra indrindra, misy fitsipika mamela anao hamantatra ny fanafihana amin'ny rafitra fitantanana votoaty lehibe (CMS), ny fifandraisana amin'ny tranonkalan'ny fitaovan'ny tambajotra, ary ny fanafihana amin'ny serivisy mailaka sy FTP.
3. : serivisy lavitra ivelany
Mampiasa serivisy fidirana lavitra ny mpanafika mba hifandraisana amin'ny loharanon-tambajotra anatiny avy any ivelany.
Inona no atao hoe PT NAD?: satria ny rafitra dia manaiky ny protocols fa tsy amin'ny laharan'ny seranan-tsambo, fa amin'ny votoatin'ny fonosana, ny mpampiasa rafitra dia afaka manivana ny fifamoivoizana mba hahitana ny fotoam-pivoriana rehetra amin'ny protocols amin'ny fidirana lavitra ary manamarina ny maha-ara-dalàna azy ireo.
4. : fametahana lefona
Miresaka momba ny fandefasana fametahana phishing malaza isika.
Inona no atao hoe PT NAD?: Manala ho azy ireo rakitra avy amin'ny fifamoivoizana ary manamarina azy ireo amin'ny famantarana ny marimaritra iraisana. Ny rakitra azo tanterahana amin'ny attachments dia tsikaritra amin'ny alàlan'ny fitsipika mandinika ny votoatin'ny fifamoivoizana mailaka. Ao amin'ny tontolon'ny orinasa, ny fampiasam-bola toy izany dia heverina ho tsy misy dikany.
5. : rohin'ny spearphishing
Mampiasa rohy phishing. Ny teknika dia misy mpanafika mandefa mailaka phishing miaraka amin'ny rohy izay, rehefa kitihina, dia misintona programa ratsy. Amin'ny ankapobeny, ny rohy dia miaraka amin'ny lahatsoratra natambatra mifanaraka amin'ny fitsipika rehetra momba ny injeniera sosialy.
Inona no atao hoe PT NAD?: Mamantatra rohy phishing amin'ny alalan'ny famantarana ny marimaritra iraisana. Ohatra, ao amin'ny seha-pifaneraserana PT NAD dia mahita fivoriana misy fifandraisana HTTP amin'ny alàlan'ny rohy misy ny lisitry ny adiresy phishing (phishing-urls).
Fifandraisana amin'ny alalan'ny rohy avy amin'ny lisitry ny tondro ny phishing-urls
6. : fifandraisana azo itokisana
Fidirana amin'ny tambajotran'ilay niharam-boina amin'ny alalan'ny antoko fahatelo izay nametrahan'ilay niharam-boina fifandraisana azo itokisana. Ny mpanafika dia afaka mijirika fikambanana azo itokisana ary mifandray amin'ny tambajotra kendrena amin'ny alalan'izany. Mba hanaovana izany dia mampiasa fifandraisana VPN na fitokisana amin'ny sehatra izy ireo, izay azo fantarina amin'ny alàlan'ny famakafakana ny fifamoivoizana.
Inona no atao hoe PT NAD?: mamakafaka ireo protocole fampiharana ary mitahiry ireo saha voasivana ao anaty angon-drakitra, mba hahafahan'ny mpandinika ny fiarovana ny vaovao mampiasa sivana hahitana ireo fifandraisana VPN mampiahiahy rehetra na fifandraisana miampita sehatra ao amin'ny tahiry.
7. : kaonty manankery
Mampiasa fahazoan-dàlana mahazatra, eo an-toerana na sehatra hahazoana alalana amin'ny serivisy ivelany sy anatiny.
Inona no atao hoe PT NAD?: Maka ho azy ny fahazoan-dàlana avy amin'ny HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocols. Amin'ny ankapobeny dia fidirana, tenimiafina ary mariky ny fanamarinana mahomby izany. Raha efa nampiasaina izy ireo dia aseho amin'ny karatra fivoriana mifanaraka amin'izany.
famonoana
Ny tetika famonoana dia ahitana teknika ampiasain'ny mpanafika mba hampiharana kaody amin'ny rafitra simba. Ny fampandehanana kaody ratsy dia manampy ireo mpanafika hametraka fanatrehana (tetika maharitra) ary manitatra ny fidirana amin'ireo rafitra lavitra ao amin'ny tambajotra amin'ny alàlan'ny fifindrana ao anaty vakim-paritra.
Ny PT NAD dia mamela anao hamantatra ny fampiasana teknika 14 ampiasain'ny mpanafika mba hampiharana kaody ratsy.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Tetika iray ahafahan'ny mpanafika hanomana fisie INF fametrahana mampidi-doza manokana ho an'ny Windows utility CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe dia maka ny rakitra ho toy ny paramètre ary mametraka ny mombamomba ny serivisy ho an'ny fifandraisana lavitra. Vokatr'izany, ny CMSTP.exe dia azo ampiasaina hametahana sy hanatontosana ireo tranomboky rohy mavitrika (*.dll) na scriptlets (*.sct) avy amin'ireo mpizara lavitra.
Inona no atao hoe PT NAD?: Mamantatra ho azy ny famindrana karazana rakitra INF manokana amin'ny fifamoivoizana HTTP. Ho fanampin'izany, dia mahita ny fifindran'ny HTTP ny scriptlets ratsy sy ny tranomboky rohy mavitrika avy amin'ny mpizara lavitra.
2. : interface tsara andalana
Fifandraisana amin'ny interface tsara andalana. Afaka mifandray amin'ny eo an-toerana na lavitra ny interface tsara andalana baiko, ohatra amin'ny fampiasana fitaovana fidirana lavitra.
Inona no atao hoe PT NAD?: hamantatra ho azy ny fisian'ny akorandriaka mifototra amin'ny valin'ny baiko handefasana komandy andalana samihafa, toy ny ping, ifconfig.
3. : maodely zavatra singa ary COM zaraina
Fampiasana teknolojia COM na DCOM mba hanatanterahana ny kaody amin'ny rafitra eo an-toerana na lavitra rehefa mandeha amin'ny tambajotra.
Inona no atao hoe PT NAD?: Mahita antso DCOM mampiahiahy izay ampiasain'ny mpanafika amin'ny fandefasana programa.
4. : fitrandrahana ho an'ny famonoana mpanjifa
Fanararaotana ny vulnerabilities mba hampiharana kaody tsy misy dikany amin'ny toeram-piasana. Ny fanararaotana mahasoa indrindra ho an'ny mpanafika dia ireo izay mamela ny code ho tanterahina amin'ny rafitra lavitra, satria ahafahan'ny mpanafika mahazo miditra amin'io rafitra io. Ny teknika dia azo ampiharina amin'ny fampiasana ireto fomba manaraka ireto: mailaka maloto, tranokala misy fitrandrahana navigateur, ary fitrandrahana lavitra ny vulnerability amin'ny fampiharana.
Inona no atao hoe PT NAD?: Rehefa mamakafaka ny fifamoivoizana amin'ny mailaka, ny PT NAD dia manamarina izany amin'ny fisian'ny rakitra azo tanterahana ao amin'ny attachments. Manala ho azy ireo antontan-taratasy birao amin'ny mailaka mety misy fanararaotana. Ny fiezahana hanararaotra ny vulnerability dia hita amin'ny fifamoivoizana, izay hitan'ny PT NAD ho azy.
5. : mshta
Ampiasao ny fampiasa mshta.exe, izay mampandeha ny rindranasa Microsoft HTML (HTA) miaraka amin'ny fanitarana .hta. Satria ny mshta dia manodina ny rakitra amin'ny alàlan'ny filaharan'ny fiarovana amin'ny navigateur, ny mpanafika dia afaka mampiasa mshta.exe hanatanteraka rakitra HTA, JavaScript, na VBScript ratsy.
Inona no atao hoe PT NAD?: Ny rakitra .hta ho an'ny famonoana amin'ny alàlan'ny mshta dia alefa amin'ny tambajotra ihany koa - hita amin'ny fifamoivoizana izany. Ny PT NAD dia mahita ny famindrana ho azy ireo rakitra maloto toy izany. Maka rakitra izy io, ary azo jerena ao amin'ny karatra fivoriana ny fampahalalana momba azy ireo.
6. : PowerShell
Mampiasa PowerShell hitadiavana vaovao sy hanatanteraka kaody ratsy.
Inona no atao hoe PT NAD?: Rehefa ampiasain'ny mpanafika lavitra ny PowerShell, dia hitan'ny PT NAD amin'ny fampiasana fitsipika izany. Izy io dia mahita ny teny fanalahidy amin'ny fiteny PowerShell izay matetika ampiasaina amin'ny sora-baventy ratsy sy ny fandefasana ny sora-baventy PowerShell amin'ny protocol SMB.
7. : asa voalahatra
Mampiasa Windows Task Scheduler sy fitaovana hafa hampandehanana programa na script amin'ny fotoana voafaritra.
Inona no atao hoe PT NAD?: Ny mpanafika dia mamorona asa toy izany, matetika lavitra, izay midika fa ny fivoriana toy izany dia hita amin'ny fifamoivoizana. Ny PT NAD dia mahita ho azy ny famoronana asa mampiahiahy sy ny asa fanovana amin'ny alàlan'ny fifandraisana ATSVC sy ITaskSchedulerService RPC.
8. : fanoratana
Fampiharana ny sora-baventy mba handrindrana ny hetsika isan-karazany ataon'ny mpanafika.
Inona no atao hoe PT NAD?: mamantatra ny fifindran'ny script amin'ny tambazotra, izany hoe alohan'ny hanombohany azy. Izy io dia mahita ny votoatin'ny script amin'ny fifamoivoizana manta ary mahita ny fifindran'ny rakitra amin'ny tambajotra misy fanitarana mifanaraka amin'ny fiteny fanoratana malaza.
9. : fanatanterahana asa fanompoana
Manaova rakitra azo tanterahana, torolalana amin'ny interface andalana baiko, na script amin'ny fifandraisana amin'ny serivisy Windows, toy ny Service Control Manager (SCM).
Inona no atao hoe PT NAD?: manara-maso ny fifamoivoizana SMB ary mahita ny fidirana amin'ny SCM miaraka amin'ny fitsipika momba ny famoronana, fanovana ary fanombohana serivisy.
Ny teknikan'ny fanombohana serivisy dia azo ampiharina amin'ny alàlan'ny fampandehanana ny baiko lavitra PSExec. Ny PT NAD dia manadihady ny protocole SMB ary mahita ny fampiasana PSExec rehefa mampiasa ny rakitra PSEXESVC.exe na ny anaran'ny serivisy PSEXECSVC mahazatra mba hanatanterahana ny kaody amin'ny milina lavitra. Ny mpampiasa dia mila manamarina ny lisitry ny baiko vita sy ny maha-ara-dalàna ny fanatanterahana baiko lavitra avy amin'ny mpampiantrano.
Ny karatra fanafihana ao amin'ny PT NAD dia mampiseho angon-drakitra momba ny tetika sy ny teknika ampiasaina araka ny ATT&CK matrix mba hahafahan'ny mpampiasa hahatakatra ny dingana amin'ny fanafihana izay misy ny mpanafika, inona ny tanjona tadiaviny, ary inona ny fepetra fanonerana tokony horaisina.
Ny fitsipika momba ny fampiasana ny fampiasa PSExec dia mipoitra, izay mety manondro fanandramana manatanteraka baiko amin'ny milina lavitra.
10. : logiciel an'ny antoko fahatelo
Teknika ahafahan'ny mpanafika miditra amin'ny rindrankajy fitantanana lavitra na rafitra fanaparitahana lozisialy orinasa ary hampiasa azy io hampandehanana kaody ratsy. Ohatra amin'ny rindrambaiko toy izany: SCCM, VNC, TeamViewer, HBSS, Altiris.
Raha ny tokony ho izy, ny teknika dia manan-danja indrindra amin'ny fifindrana goavana mankany amin'ny asa lavitra ary, vokatr'izany, ny fampifandraisana ireo fitaovana an-trano tsy voaaro amin'ny alàlan'ny fantsona fidirana lavitra mampiahiahy.
Inona no atao hoe PT NAD?: mamantatra ho azy ny fiasan'ny logiciel toy izany eo amin'ny tambajotra. Ohatra, ny fitsipika dia ateraky ny fifandraisana amin'ny alàlan'ny protocol VNC sy ny asan'ny EvilVNC Trojan, izay mametraka miafina mpizara VNC amin'ny mpampiantrano ilay niharam-boina ary manomboka azy ho azy. Ary koa, ny PT NAD dia mahita ho azy ny protocol TeamViewer, manampy ny mpandinika izany, amin'ny fampiasana sivana, hahita ny fivoriana rehetra ary hanamarina ny maha-ara-dalàna azy ireo.
11. : famonoana mpampiasa
Teknika iray ahafahan'ny mpampiasa mitantana rakitra izay mety hitarika amin'ny famonoana kaody. Mety ho izany, ohatra, raha manokatra rakitra azo tanterahana izy na mitantana antontan-taratasy birao misy macro.
Inona no atao hoe PT NAD?: mahita ny rakitra toy izany amin'ny dingana famindrana, alohan'ny handefasana azy ireo. Ny fampahalalana momba azy ireo dia azo ianarana ao amin'ny karatry ny fotoam-pivoriana nampitaina azy ireo.
12. : Windows Management Instrumentation
Fampiasana ny fitaovana WMI, izay manome fidirana eo an-toerana sy lavitra amin'ireo singa rafitra Windows. Amin'ny fampiasana WMI, ny mpanafika dia afaka mifandray amin'ny rafitra eo an-toerana sy lavitra ary manao asa isan-karazany, toy ny fanangonana vaovao ho an'ny tanjona fitsikilovana sy ny fanombohana ny dingana lavitra rehefa mihetsika amin'ny sisiny.
Inona no atao hoe PT NAD?: Satria ny fifandraisana amin'ny rafitra lavitra amin'ny alàlan'ny WMI dia hita ao amin'ny fifamoivoizana, ny PT NAD dia mahita ho azy ny fangatahana amin'ny tambajotra hananganana fotoam-pivoriana WMI ary manamarina ny fifamoivoizana amin'ny script izay mampiasa WMI.
13. : Windows Remote Management
Mampiasa serivisy sy protocol Windows izay ahafahan'ny mpampiasa mifandray amin'ny rafitra lavitra.
Inona no atao hoe PT NAD?: Mahita ny fifandraisana amin'ny tambajotra napetraka amin'ny fampiasana Windows Remote Management. Ny fivoriana toy izany dia voamariky ny fitsipika ho azy.
14. : XSL (Extensible Stylesheet Language) fanodinana script
Ny fiteny marika amin'ny endrika XSL dia ampiasaina hamaritana ny fanodinana sy ny fijerena ny angona amin'ny rakitra XML. Mba hanohanana ny asa sarotra, ny fenitra XSL dia ahitana ny fanohanana ireo sora-baventy tafiditra amin'ny fiteny samihafa. Ireo fiteny ireo dia mamela ny famonoana ny kaody tsy misy dikany, izay mitarika amin'ny fandalovan'ny politika fiarovana mifototra amin'ny lisitra fotsy.
Inona no atao hoe PT NAD?: mamantatra ny famindrana rakitra toy izany amin'ny tambajotra, izany hoe alohan'ny hanombohan'izy ireo. Izy io dia mahita ho azy ny rakitra XSL ampitaina amin'ny tambajotra sy ny rakitra misy marika XSL tsy misy dikany.
Amin'ireto fitaovana manaraka ireto dia hojerentsika ny fomba hitan'ny rafitra PT Network Attack Discovery NTA ny tetika sy teknika mpanafika hafa mifanaraka amin'ny MITER ATT&CK. Maharaha vaovao!
mpanoratra:
- Anton Kutepov, manam-pahaizana manokana ao amin'ny PT Expert Security Center, Positive Technologies
- Natalia Kazankova, mpivarotra vokatra ao amin'ny Positive Technologies
Source: www.habr.com