ProHoster > Блог > Whakahaerenga > Me pehea e kitea ai e nga punaha tātari waka nga tikanga hacker ma te whakamahi i te MITER ATT&CK ma te whakamahi i te tauira o PT Network Attack Discovery
Me pehea e kitea ai e nga punaha tātari waka nga tikanga hacker ma te whakamahi i te MITER ATT&CK ma te whakamahi i te tauira o PT Network Attack Discovery
E ai ki a Verizon, ko te nuinga (87%) o nga maiki haumarutanga korero ka puta i roto i nga meneti, a mo te 68% o nga kamupene ka pau nga marama ki te kitea. Ka whakapumautia tenei e Ponemon Institute rangahau, e ai ki te nuinga o nga whakahaere mo te 206 nga ra ki te kite i tetahi aitua. I runga i nga wheako o a maatau rangahau, ka taea e nga kaiwhaiwhai te whakahaere i nga hanganga o te kamupene mo nga tau kaore e kitea. No reira, i roto i tetahi o nga whakahaere i tirotirohia e o maatau tohunga tetahi aitua mo te haumarutanga korero, i whakaatuhia ko nga kaiwhaiwhai te tino whakahaere i nga hanganga katoa o te whakahaere me te tahae i nga korero nui. mo te waru tau.
Me kii kei a koe he SIEM e whakahaere ana e kohikohi ana i nga raarangi me te tātari i nga huihuinga, ka whakauruhia te rorohiko wheori ki nga waahanga mutunga. Heoi ano, kaore nga mea katoa e kitea ma te whakamahi i te SIEM, i te mea kaore e taea te whakatinana i nga punaha EDR puta noa i te whatunga katoa, ko te tikanga kaore e taea te karo i nga waahi "matapo". Ko nga punaha tātari waka whatunga (NTA) ka awhina i a raatau. Ka kitea e enei rongoa nga mahi a te kaitukino i nga waahanga tuatahi o te urunga whatunga, tae atu ki nga wa e ngana ana ki te whai turanga me te whakawhanake i tetahi whakaeke i roto i te whatunga.
E rua nga momo NTA: ko etahi e mahi ana me NetFlow, ko etahi e tarai ana i nga hokohoko mata. Ko te painga o nga punaha tuarua ka taea e ratou te penapena i nga rekoata waka. He mihi ki tenei, ka taea e tetahi tohunga mo te haumarutanga korero te manatoko i te angitu o te whakaeke, te whakamohio i te riri, te mohio ki te ahua o te whakaeke me pehea te aukati i tetahi mea penei a muri ake nei.
Ka whakaatu matou me pehea te whakamahi i te NTA ka taea e koe te whakamahi i nga taunakitanga tika, arataki ranei hei tautuhi i nga tikanga whakaeke mohio katoa e whakaahuatia ana i te turanga matauranga MITER ATT&CK. Ka korero tatou mo ia o nga tikanga 12, ka tātari i nga tikanga ka kitea e nga waka, ka whakaatu i to raatau kitenga ma te whakamahi i ta maatau punaha NTA.
Mo te turanga matauranga ATT&CK
Ko te MITER ATT&CK he turanga matauranga mo te iwi i whakawhanakehia, e tiakina ana e te MITER Corporation i runga i te tātaritanga o nga APT o te ao. He huinga hangahanga o nga tikanga me nga tikanga e whakamahia ana e nga kaiwhaiwhai. Ma tenei ka taea e nga tohunga mo te haumaru korero mai i nga wa katoa o te ao ki te korero i te reo kotahi. Kei te whakawhanui tonu te papaa raraunga me te taapiri i nga matauranga hou.
Ka tautuhia e te papaarangi raraunga nga tikanga 12, ka wehewehea e nga waahanga o te whakaeke ipurangi:
uru tuatahi;
te whakamatenga;
whakatōpū (te kaha);
te whakanui ake i te mana;
te aukati i te kitenga (te aukati i te aukati);
te whiwhi i nga tiwhikete (whakauru mo te tiwhikete);
torotoro;
te neke i roto i te paenga (nekehanga taha);
kohinga raraunga (kohinga);
whakahau me te whakahaere;
tangohanga raraunga;
pānga.
Mo ia tikanga, ka whakarārangihia e te turanga matauranga ATT&CK he rarangi tikanga hei awhina i te hunga whakaeke ki te whakatutuki i o raatau whainga i te waa o te whakaeke. I te mea ka taea te whakamahi i taua tikanga i nga waahanga rereke, ka taea te korero ki etahi tikanga.
Ko te whakaahuatanga o ia hangarau ko:
tohu tohu;
he rarangi o nga tikanga e whakamahia ana;
tauira o te whakamahi a nga roopu APT;
nga tikanga hei whakaiti i te kino mai i tana whakamahinga;
nga taunakitanga rapunga.
Ka taea e nga tohunga mo te haumaru korero te whakamahi i te matauranga mai i te paataka korero ki te hanga korero mo nga tikanga whakaeke o naianei, me te whakaaro ki tenei, ka hanga he punaha haumarutanga whai hua. Ko te maarama ki te mahi a nga roopu APT ka noho hei puna mo nga whakapae mo te rapu whakamomori i roto te hopu riri.
Mo PT Whatunga Attack Discovery
Ka tautuhia e matou te whakamahinga o nga tikanga mai i te ATT&CK matrix ma te whakamahi i te punaha PT Whatunga Attack Discovery — Hangarau pai te punaha NTA, i hangaia hei kite i nga whakaeke i te paenga me roto i te whatunga. Ka hipokina e PT NAD, ki nga tohu rereke, nga tikanga 12 katoa o te matrix MITER ATT&CK. Ko ia te tino kaha ki te tautuhi i nga tikanga mo te uru tuatahi, te nekehanga o te taha, me te whakahau me te whakahaere. I roto i a raatau, ka kapi te PT NAD neke atu i te haurua o nga tikanga e mohiotia ana, ka kitea to raatau tono ma nga tohu tika, tohu kore ranei.
Ka kitea e te punaha nga whakaeke ma te whakamahi i nga tikanga ATT&CK ma te whakamahi i nga ture rapu i hangaia e te roopu Te Pokapū Haumaru Tohunga PT (PT ESC), ako mihini, tohu whakararu, tātari hohonu me te tātari whakamuri. Ko te tātari waka-a-waa me te tirohanga whakamuri ka taea e koe te tautuhi i nga mahi kino huna o naianei me te whai i nga vector whanaketanga me te raupapa o nga whakaeke.
I konei te mahere katoa o te PT NAD ki te matrix MITER ATT&CK. He nui te pikitia, no reira ka whakaaro matou kia tirohia e koe ki tetahi matapihi motuhake.
Te urunga tuatahi
Ko nga tikanga whakauru tuatahi ko nga tikanga ki te kuhu ki te whatunga o te kamupene. Ko te whainga o te hunga whakaeke i tenei wa ko te tuku i nga waehere kino ki te punaha whakaekea me te whakarite i te tupono ka mahia ano.
Ko te tātari waka mai i te PT NAD e whakaatu ana e whitu nga tikanga mo te urunga tuatahi:
He tikanga e whakatuwhera ai te tangata patunga i tetahi paetukutuku e whakamahia ana e nga kaiwhaiwhai ki te whakamahi i te kaitirotiro paetukutuku me te whiwhi tohu urunga tono.
He aha te mahi a PT NAD?: Ki te kore e whakamunatia te hokohoko tukutuku, ka tirotirohia e PT NAD nga ihirangi o nga whakautu a te tūmau HTTP. Kei roto i enei whakautu nga mahi e taea ai e te hunga whakaeke te mahi i nga waehere i roto i te tirotiro. Ka kitea aunoa e PT NAD enei mahi ma te whakamahi i nga ture rapu.
Hei taapiri, ka kitea e te PT NAD te riri i te taahiraa o mua. Ko nga ture me nga tohu o te taupatupatu ka puta ki te toro atu te kaiwhakamahi ki tetahi pae i tukuna ano ia ki tetahi waahi me te maha o nga mahi.
Te whakamahi whakaraeraetanga i roto i nga ratonga e waatea ana mai i te Ipurangi.
He aha te mahi a PT NAD?: Ka mahia he tirohanga hohonu ki nga ihirangi o nga paatete whatunga, te tautuhi i nga tohu o te mahi kino. Ina koa, he ture e taea ai e koe te kite i nga whakaeke i runga i nga punaha whakahaere ihirangi nui (CMS), nga hononga tukutuku o nga taputapu whatunga, me nga whakaeke ki nga mēra me nga tūmau FTP.
Ka whakamahi nga kaiwhaiwhai i nga ratonga uru mamao ki te hono atu ki nga rauemi whatunga o roto mai i waho.
He aha te mahi a PT NAD?: i te mea e mohio ana te punaha ki nga kawa ehara i nga tau tauranga, engari ma nga ihirangi o nga paatete, ka taea e nga kaiwhakamahi punaha te tarai i nga waka ki te rapu i nga waahi katoa o nga kawa uru mamao me te tirotiro i to raatau mana.
Kei te korero matou mo te tuku rongonui o nga taapiri hītinihanga.
He aha te mahi a PT NAD?: Ka tango aunoa i nga konae mai i nga waka me te tirotiro ki nga tohu o te taupatupatu. Ko nga konae kawe i roto i nga taapiri ka kitea e nga ture e tarai ana i nga ihirangi o te hokohoko mēra. I roto i te taiao rangatōpū, ko taua haumi ka kiia he mea keokeo.
Te whakamahi hononga hītinihanga. Ko te tikanga ko te hunga whakaeke te tuku imeera hītinihanga me te hono, ka paatohia, ka tango i tetahi papatono kino. Hei tikanga, ka haere tahi te hono me tetahi tuhinga kua whakaemihia kia rite ki nga ture katoa o te hangarau hapori.
He aha te mahi a PT NAD?: Ka kitea nga hononga hītinihanga ma te whakamahi i nga tohu whakaraerae. Hei tauira, i roto i te atanga PT NAD ka kite tatou i tetahi huihuinga i reira he hononga HTTP ma te hono i whakauruhia ki te rarangi o nga wahitau hītinihanga (phishing-urls).
Hononga ma te hono mai i te rarangi tohu mo nga URL hītinihanga whakararu
Te uru atu ki te whatunga o te patunga na roto i nga roopu tuatoru kua whakatauhia e te patunga he hononga pono. Ka taea e nga kaiwhaiwhai te tarai i tetahi whakahaere pono ka hono atu ki te whatunga whaainga ma roto. Ki te mahi i tenei, ka whakamahi ratou i nga hononga VPN, i nga whakawhirinaki rohe ranei, ka taea te tautuhi ma te tātari waka.
He aha te mahi a PT NAD?: ka poroporoaki i nga kawa tono me te penapena i nga mara kua pahemo ki roto i te paataka raraunga, kia taea ai e te kaitirotiro haumarutanga korero te whakamahi i nga whiriwhiringa ki te kimi i nga hononga VPN whakapae katoa, i nga hononga whakawhiti-rohe ranei i roto i te papaarangi.
Te whakamahi i nga tohu paerewa, rohe, rohe ranei mo te whakamanatanga mo nga ratonga o waho me o roto.
He aha te mahi a PT NAD?: Tikina aunoatia nga taipitopito tuakiri mai i te HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos kawa. I te nuinga o te waa, he takiuru tenei, he kupuhipa me te tohu o te motuhēhēnga angitu. Mena kua whakamahia, ka whakaatuhia ki te kaari waahi e pa ana.
Whakamate
Kei roto i nga tikanga whakahaere nga tikanga e whakamahia ana e te hunga whakaeke ki te mahi waehere ki runga i nga punaha taupatupatu. Ko te whakahaere i nga waehere kino ka awhina i nga kaiwhaiwhai ki te whakarite i te aroaro (te tikanga tohe) me te whakawhanui i te uru ki nga punaha mamao i runga i te whatunga ma te neke ki roto i te paenga.
Ma te PT NAD ka taea e koe te kite i te whakamahinga o nga tikanga 14 e whakamahia ana e nga kaiwhaiwhai ki te mahi i nga waehere kino.
He tikanga e takatu ai nga kaiwhaiwhai i tetahi konae INF whakaurunga kino motuhake mo te taputapu Windows CMSTP.exe (Kaiwhakahaere Profile Kaiwhakahaere Hononga). Ka tangohia e CMSTP.exe te konae hei tawhā me te whakauru i te tohu ratonga mo te hononga mamao. Ko te mutunga, ka taea te whakamahi CMSTP.exe ki te uta me te whakahaere i nga whare pukapuka hono hihiri (*.dll) me nga tuhinga iti (*.sct) mai i nga tūmau mamao.
He aha te mahi a PT NAD?: Ka kitea aunoatia te whakawhitinga o nga momo motuhake o nga konae INF i roto i te hokohoko HTTP. I tua atu i tenei, ka kitea e ia te tuku HTTP o nga tuhinga tuhi kino me nga whare pukapuka hono hihiri mai i te tūmau mamao.
Te taunekeneke me te atanga raina whakahau. Ka taea te taunekeneke te atanga raina whakahau ki te rohe, ki tawhiti ranei, hei tauira ma te whakamahi i nga taputapu uru mamao.
He aha te mahi a PT NAD?: ka kitea aunoa i te aroaro o nga anga i runga i nga whakautu ki nga whakahau ki te whakarewa i nga momo taputapu raina whakahau, penei i te ping, ifconfig.
Te whakamahi i nga whakaraeraetanga ki te whakahaere i te waehere i runga i te teihana mahi. Ko nga mahi tino pai mo te hunga whakaeke ko nga mea e tuku ana i te waehere kia mahia ki runga i te punaha mamao, na te mea ka taea e nga kaiwhaiwhai te uru atu ki taua punaha. Ka taea te whakatinana i te tikanga ma te whakamahi i nga tikanga e whai ake nei: te mēra kino, te paetukutuku me nga mahi tirotiro, me te whakamahi mamao i nga whakaraeraetanga tono.
He aha te mahi a PT NAD?: I te wa e tarai ana i nga hokohoko mēra, ka tirohia e PT NAD mo te noho o nga konae ka taea te whakahaere i roto i nga taapiri. Ka tango aunoa i nga tuhinga tari mai i nga imeera kei roto pea nga mahi. Ko nga ngana ki te whakamahi whakaraeraetanga ka kitea i roto i nga waka, ka kitea aunoatia e PT NAD.
Whakamahia te whaipainga mshta.exe, e whakahaere ana i nga tono Microsoft HTML (HTA) me te toronga .hta. Na te mea ka mahi a mshta i nga konae e takahi ana i nga tautuhinga haumarutanga tirotiro, ka taea e nga kaiwhaiwhai te whakamahi mshta.exe ki te whakahaere i nga konae HTA, JavaScript, VBScript ranei.
He aha te mahi a PT NAD?: Ko nga konae .hta mo te mahi ma te mshta ka tukuna ano i runga i te whatunga - ka kitea tenei i roto i nga waka. Ka kitea e PT NAD te whakawhiti aunoa i aua konae kino. Ka mau i nga konae, ka taea te kite i nga korero mo ratou ki te kaari waahi.
Ma te whakamahi i te PowerShell ki te rapu korero me te mahi waehere kino.
He aha te mahi a PT NAD?: Ina whakamahia ana a PowerShell e nga kaiwhaiwhai mamao, ka kitea e PT NAD tenei ma te whakamahi i nga ture. Ka kitea nga kupumatua reo PowerShell e whakamahia ana i roto i nga tuhinga kino me te tuku i nga tuhinga PowerShell i runga i te kawa SMB.
7. T1053: mahi kua whakaritea
Ma te whakamahi i te Kaihōtaka Mahi Windows me etahi atu taputapu hei whakahaere aunoa i nga papatono, tuhinga tuhi ranei i nga waa motuhake.
He aha te mahi a PT NAD?: ka hangaia e nga kaiwhaiwhai nga mahi penei, i te nuinga o te waa, ko te tikanga ka kitea nga waahi i roto i nga waka. Ka kite aunoa a PT NAD i nga mahi hangahanga me nga mahi whakarereke ma te whakamahi i nga atanga ATSVC me ITaskSchedulerService RPC.
Te whakatinana i nga tuhinga hei whakaaunoa i nga momo mahi a te hunga whakaeke.
He aha te mahi a PT NAD?: ka kitea te tukunga o nga tuhinga i runga i te whatunga, ara, i mua i te whakarewatanga. Ka kitea nga ihirangi tuhinga i roto i nga hokohoko mata, ka kitea te tuku whatunga o nga konae me nga taapiri e rite ana ki nga reo tuhi rongonui.
Whakahaerehia he konae ka taea te whakahaere, he tohutohu atanga raina whakahau, he tuhinga ranei ma te mahi tahi me nga ratonga Windows, penei i te Kaiwhakahaere Mana Whakahaere (SCM).
He aha te mahi a PT NAD?: ka tirotiro i nga hokohoko SMB me te kite i te uru ki te SCM me nga ture mo te hanga, te whakarereke me te tiimata i te ratonga.
Ka taea te whakatinana i te tikanga whakaoho ratonga ma te whakamahi i te taputapu mahi whakahau mamao PSExec. Ka tātarihia e PT NAD te kawa SMB me te kite i te whakamahinga o te PSExec ina whakamahi ana i te konae PSEXESVC.exe, te ingoa ratonga PSEXECSVC paerewa ranei hei mahi waehere ki runga miihini mamao. Me tirohia e te kaiwhakamahi te rarangi o nga whakahau kua mahia me te tika o te mahi whakahau mamao mai i te kaihautu.
Ko te kaari whakaeke i roto i te PT NAD e whakaatu ana i nga raraunga mo nga tikanga me nga tikanga e whakamahia ana i runga i te ATT&CK matrix kia mohio ai te kaiwhakamahi he aha te waahi o te whakaekenga kei te whakaekehia e nga kaiwhaiwhai, he aha nga whainga e whaia ana e ratou, he aha nga tikanga utu hei mahi.
Ko te ture mo te whakamahi i te whaipainga PSExec ka puta, ka tohu pea he ngana ki te whakahaere whakahau i runga miihini mamao.
He tikanga e uru ai te hunga whakaeke ki te rorohiko whakahaere mamao, ki te punaha tuku rorohiko rangatōpū ranei me te whakamahi hei whakahaere i nga waehere kino. Ko nga tauira o taua rorohiko: SCCM, VNC, TeamViewer, HBSS, Altiris.
Ma te ara, he mea tino tika te tikanga mo te whakawhitinga nui ki te mahi mamao, a, na te mea, ko te hononga o nga tini taputapu kaainga kore maataki na roto i nga huarahi uru mamao.
He aha te mahi a PT NAD?: ka kite aunoa i te mahi o taua rorohiko i runga i te whatunga. Hei tauira, ko nga ture e whakaohohia ana e nga hononga ma te kawa VNC me te mahi a te EvilVNC Trojan, e whakauru puku ana i te tūmau VNC ki runga i te kaihautu o te patunga, me te whakarewa aunoa. Ano hoki, ka kitea aunoa e te PT NAD te kawa TeamViewer, ka awhina tenei i te kaitātari, ma te whakamahi i te tātari, ki te kimi i nga huihuinga katoa me te tirotiro i to raatau mana.
He tikanga e whakahaere ai te kaiwhakamahi i nga konae ka arahi ki te mahi waehere. Ka penei pea, hei tauira, mena ka whakatuwherahia e ia he konae ka taea te whakahaere, ka whakahaere ranei i tetahi tuhinga tari me te tonotono.
He aha te mahi a PT NAD?: ka kite i nga konae penei i te wa whakawhiti, i mua i te whakarewatanga. Ko nga korero mo ratou ka taea te ako ki te kaari o nga huihuinga i tukuna ai.
Te whakamahi i te taputapu WMI, e whakarato ana i te urunga rohe me te mamao ki nga waahanga punaha Windows. Ma te whakamahi i te WMI, ka taea e nga kaiwhaiwhai te mahi tahi me nga punaha o te rohe me nga punaha mamao me te mahi i nga momo mahi, penei i te kohi korero mo nga kaupapa tirotiro me te whakarewa i nga tukanga i tawhiti i te wa e neke haere ana.
He aha te mahi a PT NAD?: I te mea ka kitea nga taunekeneke me nga punaha mamao ma te WMI i roto i nga waka, ka kitea aunoa e PT NAD nga tono whatunga ki te whakatu i nga waahi WMI me te tirotiro i nga waka mo nga tuhinga e whakamahi ana i te WMI.
Ka whakamahia te reo tohu ahua XSL ki te whakaahua i te tukatuka me te tirohanga o nga raraunga i roto i nga konae XML. Hei tautoko i nga mahi uaua, kei roto i te paerewa XSL te tautoko mo nga tuhinga whakauru ki nga reo rereke. Ka taea e enei reo te whakamahi i nga waehere koretake, e arai ana i nga kaupapa here haumaru i runga i nga rarangi ma.
He aha te mahi a PT NAD?: ka kitea te whakawhitinga o aua konae i runga i te whatunga, ara, i mua i te whakarewatanga. Ka kite aunoa i nga konae XSL e tukuna ana i runga i te whatunga me nga konae he tohu tohu XSL rerekee.
I roto i nga rauemi e whai ake nei, ka titiro tatou me pehea te rapu a te punaha PT Network Attack Discovery NTA i etahi atu tikanga me nga tikanga whakaeke i runga i te MITER ATT&CK. Kia mau tonu!
Kaitito:
Anton Kutepov, tohunga i te PT Expert Security Center, Positive Technologies
Natalia Kazankova, kaihokohoko hua i Positive Technologies