, ko te nuinga (87%) o nga maiki haumarutanga korero ka puta i roto i nga meneti, a mo te 68% o nga kamupene ka pau nga marama ki te kitea. Ka whakapumautia tenei e , e ai ki te nuinga o nga whakahaere mo te 206 nga ra ki te kite i tetahi aitua. I runga i nga wheako o a maatau rangahau, ka taea e nga kaiwhaiwhai te whakahaere i nga hanganga o te kamupene mo nga tau kaore e kitea. No reira, i roto i tetahi o nga whakahaere i tirotirohia e o maatau tohunga tetahi aitua mo te haumarutanga korero, i whakaatuhia ko nga kaiwhaiwhai te tino whakahaere i nga hanganga katoa o te whakahaere me te tahae i nga korero nui. .
Me kii kei a koe he SIEM e whakahaere ana e kohikohi ana i nga raarangi me te tātari i nga huihuinga, ka whakauruhia te rorohiko wheori ki nga waahanga mutunga. Heoi ano, , i te mea kaore e taea te whakatinana i nga punaha EDR puta noa i te whatunga katoa, ko te tikanga kaore e taea te karo i nga waahi "matapo". Ko nga punaha tātari waka whatunga (NTA) ka awhina i a raatau. Ka kitea e enei rongoa nga mahi a te kaitukino i nga waahanga tuatahi o te urunga whatunga, tae atu ki nga wa e ngana ana ki te whai turanga me te whakawhanake i tetahi whakaeke i roto i te whatunga.
E rua nga momo NTA: ko etahi e mahi ana me NetFlow, ko etahi e tarai ana i nga hokohoko mata. Ko te painga o nga punaha tuarua ka taea e ratou te penapena i nga rekoata waka. He mihi ki tenei, ka taea e tetahi tohunga mo te haumarutanga korero te manatoko i te angitu o te whakaeke, te whakamohio i te riri, te mohio ki te ahua o te whakaeke me pehea te aukati i tetahi mea penei a muri ake nei.
Ka whakaatu matou me pehea te whakamahi i te NTA ka taea e koe te whakamahi i nga taunakitanga tika, arataki ranei hei tautuhi i nga tikanga whakaeke mohio katoa e whakaahuatia ana i te turanga matauranga . Ka korero tatou mo ia o nga tikanga 12, ka tātari i nga tikanga ka kitea e nga waka, ka whakaatu i to raatau kitenga ma te whakamahi i ta maatau punaha NTA.
Mo te turanga matauranga ATT&CK
Ko te MITER ATT&CK he turanga matauranga mo te iwi i whakawhanakehia, e tiakina ana e te MITER Corporation i runga i te tātaritanga o nga APT o te ao. He huinga hangahanga o nga tikanga me nga tikanga e whakamahia ana e nga kaiwhaiwhai. Ma tenei ka taea e nga tohunga mo te haumaru korero mai i nga wa katoa o te ao ki te korero i te reo kotahi. Kei te whakawhanui tonu te papaa raraunga me te taapiri i nga matauranga hou.
Ka tautuhia e te papaarangi raraunga nga tikanga 12, ka wehewehea e nga waahanga o te whakaeke ipurangi:
- uru tuatahi;
- te whakamatenga;
- whakatōpū (te kaha);
- te whakanui ake i te mana;
- te aukati i te kitenga (te aukati i te aukati);
- te whiwhi i nga tiwhikete (whakauru mo te tiwhikete);
- torotoro;
- te neke i roto i te paenga (nekehanga taha);
- kohinga raraunga (kohinga);
- whakahau me te whakahaere;
- tangohanga raraunga;
- pānga.
Mo ia tikanga, ka whakarārangihia e te turanga matauranga ATT&CK he rarangi tikanga hei awhina i te hunga whakaeke ki te whakatutuki i o raatau whainga i te waa o te whakaeke. I te mea ka taea te whakamahi i taua tikanga i nga waahanga rereke, ka taea te korero ki etahi tikanga.
Ko te whakaahuatanga o ia hangarau ko:
- tohu tohu;
- he rarangi o nga tikanga e whakamahia ana;
- tauira o te whakamahi a nga roopu APT;
- nga tikanga hei whakaiti i te kino mai i tana whakamahinga;
- nga taunakitanga rapunga.
Ka taea e nga tohunga mo te haumaru korero te whakamahi i te matauranga mai i te paataka korero ki te hanga korero mo nga tikanga whakaeke o naianei, me te whakaaro ki tenei, ka hanga he punaha haumarutanga whai hua. Ko te maarama ki te mahi a nga roopu APT ka noho hei puna mo nga whakapae mo te rapu whakamomori i roto .
Mo PT Whatunga Attack Discovery
Ka tautuhia e matou te whakamahinga o nga tikanga mai i te ATT&CK matrix ma te whakamahi i te punaha — Hangarau pai te punaha NTA, i hangaia hei kite i nga whakaeke i te paenga me roto i te whatunga. Ka hipokina e PT NAD, ki nga tohu rereke, nga tikanga 12 katoa o te matrix MITER ATT&CK. Ko ia te tino kaha ki te tautuhi i nga tikanga mo te uru tuatahi, te nekehanga o te taha, me te whakahau me te whakahaere. I roto i a raatau, ka kapi te PT NAD neke atu i te haurua o nga tikanga e mohiotia ana, ka kitea to raatau tono ma nga tohu tika, tohu kore ranei.
Ka kitea e te punaha nga whakaeke ma te whakamahi i nga tikanga ATT&CK ma te whakamahi i nga ture rapu i hangaia e te roopu (PT ESC), ako mihini, tohu whakararu, tātari hohonu me te tātari whakamuri. Ko te tātari waka-a-waa me te tirohanga whakamuri ka taea e koe te tautuhi i nga mahi kino huna o naianei me te whai i nga vector whanaketanga me te raupapa o nga whakaeke.
te mahere katoa o te PT NAD ki te matrix MITER ATT&CK. He nui te pikitia, no reira ka whakaaro matou kia tirohia e koe ki tetahi matapihi motuhake.
Te urunga tuatahi
Ko nga tikanga whakauru tuatahi ko nga tikanga ki te kuhu ki te whatunga o te kamupene. Ko te whainga o te hunga whakaeke i tenei wa ko te tuku i nga waehere kino ki te punaha whakaekea me te whakarite i te tupono ka mahia ano.
Ko te tātari waka mai i te PT NAD e whakaatu ana e whitu nga tikanga mo te urunga tuatahi:
1. : taraiwa-ma te taupatupatu
He tikanga e whakatuwhera ai te tangata patunga i tetahi paetukutuku e whakamahia ana e nga kaiwhaiwhai ki te whakamahi i te kaitirotiro paetukutuku me te whiwhi tohu urunga tono.
He aha te mahi a PT NAD?: Ki te kore e whakamunatia te hokohoko tukutuku, ka tirotirohia e PT NAD nga ihirangi o nga whakautu a te tūmau HTTP. Kei roto i enei whakautu nga mahi e taea ai e te hunga whakaeke te mahi i nga waehere i roto i te tirotiro. Ka kitea aunoa e PT NAD enei mahi ma te whakamahi i nga ture rapu.
Hei taapiri, ka kitea e te PT NAD te riri i te taahiraa o mua. Ko nga ture me nga tohu o te taupatupatu ka puta ki te toro atu te kaiwhakamahi ki tetahi pae i tukuna ano ia ki tetahi waahi me te maha o nga mahi.
2. : whakamahi tono e anga ana ki te iwi
Te whakamahi whakaraeraetanga i roto i nga ratonga e waatea ana mai i te Ipurangi.
He aha te mahi a PT NAD?: Ka mahia he tirohanga hohonu ki nga ihirangi o nga paatete whatunga, te tautuhi i nga tohu o te mahi kino. Ina koa, he ture e taea ai e koe te kite i nga whakaeke i runga i nga punaha whakahaere ihirangi nui (CMS), nga hononga tukutuku o nga taputapu whatunga, me nga whakaeke ki nga mēra me nga tūmau FTP.
3. : ratonga mamao waho
Ka whakamahi nga kaiwhaiwhai i nga ratonga uru mamao ki te hono atu ki nga rauemi whatunga o roto mai i waho.
He aha te mahi a PT NAD?: i te mea e mohio ana te punaha ki nga kawa ehara i nga tau tauranga, engari ma nga ihirangi o nga paatete, ka taea e nga kaiwhakamahi punaha te tarai i nga waka ki te rapu i nga waahi katoa o nga kawa uru mamao me te tirotiro i to raatau mana.
4. : te apitihanga tao
Kei te korero matou mo te tuku rongonui o nga taapiri hītinihanga.
He aha te mahi a PT NAD?: Ka tango aunoa i nga konae mai i nga waka me te tirotiro ki nga tohu o te taupatupatu. Ko nga konae kawe i roto i nga taapiri ka kitea e nga ture e tarai ana i nga ihirangi o te hokohoko mēra. I roto i te taiao rangatōpū, ko taua haumi ka kiia he mea keokeo.
5. : hononga phishing
Te whakamahi hononga hītinihanga. Ko te tikanga ko te hunga whakaeke te tuku imeera hītinihanga me te hono, ka paatohia, ka tango i tetahi papatono kino. Hei tikanga, ka haere tahi te hono me tetahi tuhinga kua whakaemihia kia rite ki nga ture katoa o te hangarau hapori.
He aha te mahi a PT NAD?: Ka kitea nga hononga hītinihanga ma te whakamahi i nga tohu whakaraerae. Hei tauira, i roto i te atanga PT NAD ka kite tatou i tetahi huihuinga i reira he hononga HTTP ma te hono i whakauruhia ki te rarangi o nga wahitau hītinihanga (phishing-urls).
Hononga ma te hono mai i te rarangi tohu mo nga URL hītinihanga whakararu
6. : hononga whakawhirinaki
Te uru atu ki te whatunga o te patunga na roto i nga roopu tuatoru kua whakatauhia e te patunga he hononga pono. Ka taea e nga kaiwhaiwhai te tarai i tetahi whakahaere pono ka hono atu ki te whatunga whaainga ma roto. Ki te mahi i tenei, ka whakamahi ratou i nga hononga VPN, i nga whakawhirinaki rohe ranei, ka taea te tautuhi ma te tātari waka.
He aha te mahi a PT NAD?: ka poroporoaki i nga kawa tono me te penapena i nga mara kua pahemo ki roto i te paataka raraunga, kia taea ai e te kaitirotiro haumarutanga korero te whakamahi i nga whiriwhiringa ki te kimi i nga hononga VPN whakapae katoa, i nga hononga whakawhiti-rohe ranei i roto i te papaarangi.
7. : nga kaute whaimana
Te whakamahi i nga tohu paerewa, rohe, rohe ranei mo te whakamanatanga mo nga ratonga o waho me o roto.
He aha te mahi a PT NAD?: Tikina aunoatia nga taipitopito tuakiri mai i te HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos kawa. I te nuinga o te waa, he takiuru tenei, he kupuhipa me te tohu o te motuhēhēnga angitu. Mena kua whakamahia, ka whakaatuhia ki te kaari waahi e pa ana.
Whakamate
Kei roto i nga tikanga whakahaere nga tikanga e whakamahia ana e te hunga whakaeke ki te mahi waehere ki runga i nga punaha taupatupatu. Ko te whakahaere i nga waehere kino ka awhina i nga kaiwhaiwhai ki te whakarite i te aroaro (te tikanga tohe) me te whakawhanui i te uru ki nga punaha mamao i runga i te whatunga ma te neke ki roto i te paenga.
Ma te PT NAD ka taea e koe te kite i te whakamahinga o nga tikanga 14 e whakamahia ana e nga kaiwhaiwhai ki te mahi i nga waehere kino.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
He tikanga e takatu ai nga kaiwhaiwhai i tetahi konae INF whakaurunga kino motuhake mo te taputapu Windows CMSTP.exe (Kaiwhakahaere Profile Kaiwhakahaere Hononga). Ka tangohia e CMSTP.exe te konae hei tawhā me te whakauru i te tohu ratonga mo te hononga mamao. Ko te mutunga, ka taea te whakamahi CMSTP.exe ki te uta me te whakahaere i nga whare pukapuka hono hihiri (*.dll) me nga tuhinga iti (*.sct) mai i nga tūmau mamao.
He aha te mahi a PT NAD?: Ka kitea aunoatia te whakawhitinga o nga momo motuhake o nga konae INF i roto i te hokohoko HTTP. I tua atu i tenei, ka kitea e ia te tuku HTTP o nga tuhinga tuhi kino me nga whare pukapuka hono hihiri mai i te tūmau mamao.
2. : atanga raina-whakahau
Te taunekeneke me te atanga raina whakahau. Ka taea te taunekeneke te atanga raina whakahau ki te rohe, ki tawhiti ranei, hei tauira ma te whakamahi i nga taputapu uru mamao.
He aha te mahi a PT NAD?: ka kitea aunoa i te aroaro o nga anga i runga i nga whakautu ki nga whakahau ki te whakarewa i nga momo taputapu raina whakahau, penei i te ping, ifconfig.
3. : tauira ahanoa wae me te COM tohatoha
Te whakamahi i nga hangarau COM, DCOM ranei hei mahi waehere ki runga i nga punaha a-rohe, mamao ranei i te wa e neke haere ana i te whatunga.
He aha te mahi a PT NAD?: Ka kitea nga waea whakapae a DCOM e whakamahia ana e nga kaiwhaiwhai ki te whakarewa i nga kaupapa.
4. : te whakamahi mo te mahi a te kiritaki
Te whakamahi i nga whakaraeraetanga ki te whakahaere i te waehere i runga i te teihana mahi. Ko nga mahi tino pai mo te hunga whakaeke ko nga mea e tuku ana i te waehere kia mahia ki runga i te punaha mamao, na te mea ka taea e nga kaiwhaiwhai te uru atu ki taua punaha. Ka taea te whakatinana i te tikanga ma te whakamahi i nga tikanga e whai ake nei: te mēra kino, te paetukutuku me nga mahi tirotiro, me te whakamahi mamao i nga whakaraeraetanga tono.
He aha te mahi a PT NAD?: I te wa e tarai ana i nga hokohoko mēra, ka tirohia e PT NAD mo te noho o nga konae ka taea te whakahaere i roto i nga taapiri. Ka tango aunoa i nga tuhinga tari mai i nga imeera kei roto pea nga mahi. Ko nga ngana ki te whakamahi whakaraeraetanga ka kitea i roto i nga waka, ka kitea aunoatia e PT NAD.
5. : mshta
Whakamahia te whaipainga mshta.exe, e whakahaere ana i nga tono Microsoft HTML (HTA) me te toronga .hta. Na te mea ka mahi a mshta i nga konae e takahi ana i nga tautuhinga haumarutanga tirotiro, ka taea e nga kaiwhaiwhai te whakamahi mshta.exe ki te whakahaere i nga konae HTA, JavaScript, VBScript ranei.
He aha te mahi a PT NAD?: Ko nga konae .hta mo te mahi ma te mshta ka tukuna ano i runga i te whatunga - ka kitea tenei i roto i nga waka. Ka kitea e PT NAD te whakawhiti aunoa i aua konae kino. Ka mau i nga konae, ka taea te kite i nga korero mo ratou ki te kaari waahi.
6. : PowerShell
Ma te whakamahi i te PowerShell ki te rapu korero me te mahi waehere kino.
He aha te mahi a PT NAD?: Ina whakamahia ana a PowerShell e nga kaiwhaiwhai mamao, ka kitea e PT NAD tenei ma te whakamahi i nga ture. Ka kitea nga kupumatua reo PowerShell e whakamahia ana i roto i nga tuhinga kino me te tuku i nga tuhinga PowerShell i runga i te kawa SMB.
7. : mahi kua whakaritea
Ma te whakamahi i te Kaihōtaka Mahi Windows me etahi atu taputapu hei whakahaere aunoa i nga papatono, tuhinga tuhi ranei i nga waa motuhake.
He aha te mahi a PT NAD?: ka hangaia e nga kaiwhaiwhai nga mahi penei, i te nuinga o te waa, ko te tikanga ka kitea nga waahi i roto i nga waka. Ka kite aunoa a PT NAD i nga mahi hangahanga me nga mahi whakarereke ma te whakamahi i nga atanga ATSVC me ITaskSchedulerService RPC.
8. : tuhi
Te whakatinana i nga tuhinga hei whakaaunoa i nga momo mahi a te hunga whakaeke.
He aha te mahi a PT NAD?: ka kitea te tukunga o nga tuhinga i runga i te whatunga, ara, i mua i te whakarewatanga. Ka kitea nga ihirangi tuhinga i roto i nga hokohoko mata, ka kitea te tuku whatunga o nga konae me nga taapiri e rite ana ki nga reo tuhi rongonui.
9. : mahi mahi
Whakahaerehia he konae ka taea te whakahaere, he tohutohu atanga raina whakahau, he tuhinga ranei ma te mahi tahi me nga ratonga Windows, penei i te Kaiwhakahaere Mana Whakahaere (SCM).
He aha te mahi a PT NAD?: ka tirotiro i nga hokohoko SMB me te kite i te uru ki te SCM me nga ture mo te hanga, te whakarereke me te tiimata i te ratonga.
Ka taea te whakatinana i te tikanga whakaoho ratonga ma te whakamahi i te taputapu mahi whakahau mamao PSExec. Ka tātarihia e PT NAD te kawa SMB me te kite i te whakamahinga o te PSExec ina whakamahi ana i te konae PSEXESVC.exe, te ingoa ratonga PSEXECSVC paerewa ranei hei mahi waehere ki runga miihini mamao. Me tirohia e te kaiwhakamahi te rarangi o nga whakahau kua mahia me te tika o te mahi whakahau mamao mai i te kaihautu.
Ko te kaari whakaeke i roto i te PT NAD e whakaatu ana i nga raraunga mo nga tikanga me nga tikanga e whakamahia ana i runga i te ATT&CK matrix kia mohio ai te kaiwhakamahi he aha te waahi o te whakaekenga kei te whakaekehia e nga kaiwhaiwhai, he aha nga whainga e whaia ana e ratou, he aha nga tikanga utu hei mahi.
Ko te ture mo te whakamahi i te whaipainga PSExec ka puta, ka tohu pea he ngana ki te whakahaere whakahau i runga miihini mamao.
10. : pūmanawa tuatoru-rōpū
He tikanga e uru ai te hunga whakaeke ki te rorohiko whakahaere mamao, ki te punaha tuku rorohiko rangatōpū ranei me te whakamahi hei whakahaere i nga waehere kino. Ko nga tauira o taua rorohiko: SCCM, VNC, TeamViewer, HBSS, Altiris.
Ma te ara, he mea tino tika te tikanga mo te whakawhitinga nui ki te mahi mamao, a, na te mea, ko te hononga o nga tini taputapu kaainga kore maataki na roto i nga huarahi uru mamao.
He aha te mahi a PT NAD?: ka kite aunoa i te mahi o taua rorohiko i runga i te whatunga. Hei tauira, ko nga ture e whakaohohia ana e nga hononga ma te kawa VNC me te mahi a te EvilVNC Trojan, e whakauru puku ana i te tūmau VNC ki runga i te kaihautu o te patunga, me te whakarewa aunoa. Ano hoki, ka kitea aunoa e te PT NAD te kawa TeamViewer, ka awhina tenei i te kaitātari, ma te whakamahi i te tātari, ki te kimi i nga huihuinga katoa me te tirotiro i to raatau mana.
11. : mahi kaiwhakamahi
He tikanga e whakahaere ai te kaiwhakamahi i nga konae ka arahi ki te mahi waehere. Ka penei pea, hei tauira, mena ka whakatuwherahia e ia he konae ka taea te whakahaere, ka whakahaere ranei i tetahi tuhinga tari me te tonotono.
He aha te mahi a PT NAD?: ka kite i nga konae penei i te wa whakawhiti, i mua i te whakarewatanga. Ko nga korero mo ratou ka taea te ako ki te kaari o nga huihuinga i tukuna ai.
12. : Taputapu Whakahaere Windows
Te whakamahi i te taputapu WMI, e whakarato ana i te urunga rohe me te mamao ki nga waahanga punaha Windows. Ma te whakamahi i te WMI, ka taea e nga kaiwhaiwhai te mahi tahi me nga punaha o te rohe me nga punaha mamao me te mahi i nga momo mahi, penei i te kohi korero mo nga kaupapa tirotiro me te whakarewa i nga tukanga i tawhiti i te wa e neke haere ana.
He aha te mahi a PT NAD?: I te mea ka kitea nga taunekeneke me nga punaha mamao ma te WMI i roto i nga waka, ka kitea aunoa e PT NAD nga tono whatunga ki te whakatu i nga waahi WMI me te tirotiro i nga waka mo nga tuhinga e whakamahi ana i te WMI.
13. : Whakahaere Mamao Windows
Ma te whakamahi i te ratonga Windows me te kawa e taea ai e te kaiwhakamahi te taunekeneke me nga punaha mamao.
He aha te mahi a PT NAD?: Ka kite i nga hononga whatunga kua whakaritea ma te Whakahaere Mamao Windows. Ko enei huihuinga ka kitea aunoa e nga ture.
14. : Tukatuka tuhinga tuhi XSL (Te Reo Rauaahua Whakanuia).
Ka whakamahia te reo tohu ahua XSL ki te whakaahua i te tukatuka me te tirohanga o nga raraunga i roto i nga konae XML. Hei tautoko i nga mahi uaua, kei roto i te paerewa XSL te tautoko mo nga tuhinga whakauru ki nga reo rereke. Ka taea e enei reo te whakamahi i nga waehere koretake, e arai ana i nga kaupapa here haumaru i runga i nga rarangi ma.
He aha te mahi a PT NAD?: ka kitea te whakawhitinga o aua konae i runga i te whatunga, ara, i mua i te whakarewatanga. Ka kite aunoa i nga konae XSL e tukuna ana i runga i te whatunga me nga konae he tohu tohu XSL rerekee.
I roto i nga rauemi e whai ake nei, ka titiro tatou me pehea te rapu a te punaha PT Network Attack Discovery NTA i etahi atu tikanga me nga tikanga whakaeke i runga i te MITER ATT&CK. Kia mau tonu!
Kaitito:
- Anton Kutepov, tohunga i te PT Expert Security Center, Positive Technologies
- Natalia Kazankova, kaihokohoko hua i Positive Technologies
Source: will.com