, majoriti (87%) insiden keselamatan maklumat berlaku dalam masa beberapa minit, dan untuk 68% syarikat mengambil masa berbulan-bulan untuk mengesannya. Ini disahkan oleh , mengikut mana kebanyakan organisasi mengambil masa purata 206 hari untuk mengesan kejadian. Berdasarkan pengalaman penyiasatan kami, penggodam boleh mengawal infrastruktur syarikat selama bertahun-tahun tanpa dikesan. Oleh itu, dalam salah satu organisasi di mana pakar kami menyiasat insiden keselamatan maklumat, didapati bahawa penggodam mengawal sepenuhnya keseluruhan infrastruktur organisasi dan kerap mencuri maklumat penting. .
Katakan anda sudah menjalankan SIEM yang mengumpul log dan menganalisis peristiwa, dan perisian antivirus dipasang pada nod akhir. Namun begitu, , sama seperti adalah mustahil untuk melaksanakan sistem EDR di seluruh rangkaian, yang bermaksud bahawa titik "buta" tidak dapat dielakkan. Sistem analisis trafik rangkaian (NTA) membantu menanganinya. Penyelesaian ini mengesan aktiviti penyerang pada peringkat terawal penembusan rangkaian, serta semasa percubaan untuk bertapak dan membangunkan serangan dalam rangkaian.
Terdapat dua jenis NTA: sesetengahnya berfungsi dengan NetFlow, yang lain menganalisis trafik mentah. Kelebihan sistem kedua ialah mereka boleh menyimpan rekod trafik mentah. Terima kasih kepada ini, pakar keselamatan maklumat boleh mengesahkan kejayaan serangan, menyetempatkan ancaman, memahami bagaimana serangan itu berlaku dan cara mencegah serangan serupa pada masa hadapan.
Kami akan menunjukkan cara menggunakan NTA anda boleh menggunakan bukti langsung atau tidak langsung untuk mengenal pasti semua taktik serangan yang diketahui yang diterangkan dalam pangkalan pengetahuan . Kami akan membincangkan setiap satu daripada 12 taktik, menganalisis teknik yang dikesan oleh trafik dan menunjukkan pengesanannya menggunakan sistem NTA kami.
Mengenai pangkalan pengetahuan ATT&CK
MITER ATT&CK ialah pangkalan pengetahuan awam yang dibangunkan dan diselenggara oleh Perbadanan MITER berdasarkan analisis APT kehidupan sebenar. Ia adalah satu set taktik dan teknik berstruktur yang digunakan oleh penyerang. Ini membolehkan profesional keselamatan maklumat dari seluruh dunia bercakap bahasa yang sama. Pangkalan data sentiasa berkembang dan ditambah dengan pengetahuan baharu.
Pangkalan data mengenal pasti 12 taktik, yang dibahagikan mengikut peringkat serangan siber:
- akses awal;
- pelaksanaan;
- penyatuan (kegigihan);
- peningkatan keistimewaan;
- pencegahan pengesanan (pengelak pertahanan);
- mendapatkan kelayakan (akses kelayakan);
- penerokaan;
- pergerakan dalam perimeter (pergerakan sisi);
- pengumpulan data (pengumpulan);
- perintah dan kawalan;
- exfiltration data;
- kesan.
Untuk setiap taktik, pangkalan pengetahuan ATT&CK menyenaraikan senarai teknik yang membantu penyerang mencapai matlamat mereka pada peringkat serangan semasa. Memandangkan teknik yang sama boleh digunakan pada peringkat yang berbeza, ia boleh merujuk kepada beberapa taktik.
Penerangan setiap teknik termasuk:
- pengecam;
- senarai taktik di mana ia digunakan;
- contoh penggunaan kumpulan APT;
- langkah-langkah untuk mengurangkan kerosakan daripada penggunaannya;
- cadangan pengesanan.
Pakar keselamatan maklumat boleh menggunakan pengetahuan daripada pangkalan data untuk menstruktur maklumat tentang kaedah serangan semasa dan, dengan mengambil kira perkara ini, membina sistem keselamatan yang berkesan. Memahami cara kumpulan APT sebenar beroperasi juga boleh menjadi sumber hipotesis untuk mencari ancaman secara proaktif dalam .
Mengenai Penemuan Serangan Rangkaian PT
Kami akan mengenal pasti penggunaan teknik daripada matriks ATT&CK menggunakan sistem β Sistem NTA Positive Technologies, direka untuk mengesan serangan pada perimeter dan di dalam rangkaian. PT NAD merangkumi, pada tahap yang berbeza-beza, kesemua 12 taktik matriks MITRE ATT&CK. Dia paling berkuasa dalam mengenal pasti teknik untuk akses awal, pergerakan sisi, dan arahan dan kawalan. Di dalamnya, PT NAD merangkumi lebih separuh daripada teknik yang diketahui, mengesan penggunaannya melalui tanda langsung atau tidak langsung.
Sistem mengesan serangan menggunakan teknik ATT&CK menggunakan peraturan pengesanan yang dibuat oleh pasukan (PT ESC), pembelajaran mesin, penunjuk kompromi, analisis mendalam dan analisis retrospektif. Analisis trafik masa nyata digabungkan dengan retrospektif membolehkan anda mengenal pasti aktiviti hasad tersembunyi semasa dan menjejaki vektor pembangunan serta kronologi serangan.
pemetaan penuh PT NAD kepada matriks MITER ATT&CK. Gambar itu besar, jadi kami cadangkan anda melihatnya dalam tetingkap yang berasingan.
Akses awal
Taktik akses awal termasuk teknik untuk menembusi rangkaian syarikat. Matlamat penyerang pada peringkat ini adalah untuk menghantar kod berniat jahat kepada sistem yang diserang dan memastikan kemungkinan pelaksanaan selanjutnya.
Analisis trafik daripada PT NAD mendedahkan tujuh teknik untuk mendapatkan akses awal:
1. : kompromi memandu
Teknik di mana mangsa membuka tapak web yang digunakan oleh penyerang untuk mengeksploitasi pelayar web dan mendapatkan token akses aplikasi.
Apa yang PT NAD lakukan?: Jika trafik web tidak disulitkan, PT NAD memeriksa kandungan respons pelayan HTTP. Respons ini mengandungi eksploitasi yang membenarkan penyerang melaksanakan kod sewenang-wenangnya di dalam penyemak imbas. PT NAD secara automatik mengesan eksploitasi tersebut menggunakan peraturan pengesanan.
Selain itu, PT NAD mengesan ancaman dalam langkah sebelumnya. Peraturan dan penunjuk kompromi dicetuskan jika pengguna melawat tapak yang mengubah halanya ke tapak dengan banyak eksploitasi.
2. : mengeksploitasi aplikasi yang dihadapi oleh orang ramai
Eksploitasi kelemahan dalam perkhidmatan yang boleh diakses daripada Internet.
Apa yang PT NAD lakukan?: Melakukan pemeriksaan mendalam terhadap kandungan paket rangkaian, mengenal pasti tanda-tanda aktiviti anomali. Khususnya, terdapat peraturan yang membolehkan anda mengesan serangan pada sistem pengurusan kandungan utama (CMS), antara muka web peralatan rangkaian, dan serangan ke atas mel dan pelayan FTP.
3. : perkhidmatan jauh luaran
Penyerang menggunakan perkhidmatan capaian jauh untuk menyambung kepada sumber rangkaian dalaman dari luar.
Apa yang PT NAD lakukan?: memandangkan sistem mengiktiraf protokol bukan dengan nombor port, tetapi dengan kandungan paket, pengguna sistem boleh menapis trafik untuk mencari semua sesi protokol akses jauh dan menyemak kesahihannya.
4. : lampiran spearphishing
Kami bercakap tentang penghantaran lampiran pancingan data yang terkenal.
Apa yang PT NAD lakukan?: Mengekstrak fail secara automatik daripada trafik dan menyemaknya terhadap penunjuk kompromi. Fail boleh laku dalam lampiran dikesan oleh peraturan yang menganalisis kandungan trafik mel. Dalam persekitaran korporat, pelaburan sedemikian dianggap sebagai anomali.
5. : pautan spearphishing
Menggunakan pautan pancingan data. Teknik ini melibatkan penyerang menghantar e-mel pancingan data dengan pautan yang, apabila diklik, memuat turun program berniat jahat. Sebagai peraturan, pautan itu disertakan dengan teks yang disusun mengikut semua peraturan kejuruteraan sosial.
Apa yang PT NAD lakukan?: Mengesan pautan pancingan data menggunakan penunjuk kompromi. Contohnya, dalam antara muka PT NAD kita melihat sesi di mana terdapat sambungan HTTP melalui pautan yang disertakan dalam senarai alamat pancingan data (url pancingan data).
Sambungan melalui pautan daripada senarai penunjuk url pancingan data kompromi
6. : hubungan yang dipercayai
Akses kepada rangkaian mangsa melalui pihak ketiga yang mangsa telah menjalinkan hubungan yang dipercayai. Penyerang boleh menggodam organisasi yang dipercayai dan menyambung ke rangkaian sasaran melaluinya. Untuk melakukan ini, mereka menggunakan sambungan VPN atau amanah domain, yang boleh dikenal pasti melalui analisis trafik.
Apa yang PT NAD lakukan?: menghuraikan protokol aplikasi dan menyimpan medan yang dihuraikan ke dalam pangkalan data, supaya penganalisis keselamatan maklumat boleh menggunakan penapis untuk mencari semua sambungan VPN yang mencurigakan atau sambungan merentas domain dalam pangkalan data.
7. : akaun yang sah
Menggunakan kelayakan standard, tempatan atau domain untuk kebenaran pada perkhidmatan luaran dan dalaman.
Apa yang PT NAD lakukan?: Mengambil semula bukti kelayakan secara automatik daripada protokol HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Secara umum, ini adalah log masuk, kata laluan dan tanda pengesahan yang berjaya. Jika ia telah digunakan, ia dipaparkan dalam kad sesi yang sepadan.
Perlaksanaan
Taktik pelaksanaan termasuk teknik yang digunakan penyerang untuk melaksanakan kod pada sistem yang terjejas. Menjalankan kod berniat jahat membantu penyerang mewujudkan kehadiran (taktik kegigihan) dan mengembangkan akses kepada sistem jauh pada rangkaian dengan bergerak di dalam perimeter.
PT NAD membolehkan anda mengesan penggunaan 14 teknik yang digunakan oleh penyerang untuk melaksanakan kod berniat jahat.
1. : CMSTP (Pemasang Profil Pengurus Sambungan Microsoft)
Taktik di mana penyerang menyediakan fail INF pemasangan berniat jahat khas untuk utiliti Windows terbina dalam CMSTP.exe (Pemasang Profil Pengurus Sambungan). CMSTP.exe mengambil fail sebagai parameter dan memasang profil perkhidmatan untuk sambungan jauh. Akibatnya, CMSTP.exe boleh digunakan untuk memuatkan dan melaksanakan perpustakaan pautan dinamik (*.dll) atau skrip (*.sct) daripada pelayan jauh.
Apa yang PT NAD lakukan?: Secara automatik mengesan pemindahan jenis khas fail INF dalam trafik HTTP. Di samping itu, ia mengesan penghantaran HTTP skriplet berniat jahat dan perpustakaan pautan dinamik daripada pelayan jauh.
2. : antara muka baris arahan
Interaksi dengan antara muka baris arahan. Antara muka baris arahan boleh berinteraksi dengan tempatan atau jauh, contohnya menggunakan utiliti capaian jauh.
Apa yang PT NAD lakukan?: secara automatik mengesan kehadiran cengkerang berdasarkan respons kepada arahan untuk melancarkan pelbagai utiliti baris arahan, seperti ping, ifconfig.
3. : model objek komponen dan COM yang diedarkan
Penggunaan teknologi COM atau DCOM untuk melaksanakan kod pada sistem tempatan atau jauh semasa bergerak merentasi rangkaian.
Apa yang PT NAD lakukan?: Mengesan panggilan DCOM yang mencurigakan yang biasanya digunakan oleh penyerang untuk melancarkan program.
4. : eksploitasi untuk pelaksanaan klien
Eksploitasi kelemahan untuk melaksanakan kod sewenang-wenangnya pada stesen kerja. Eksploitasi yang paling berguna untuk penyerang ialah yang membenarkan kod dilaksanakan pada sistem jauh, kerana ia boleh membenarkan penyerang mendapat akses kepada sistem tersebut. Teknik ini boleh dilaksanakan menggunakan kaedah berikut: mel berniat jahat, tapak web dengan eksploitasi penyemak imbas, dan eksploitasi jauh terhadap kelemahan aplikasi.
Apa yang PT NAD lakukan?: Apabila menghuraikan trafik mel, PT NAD menyemaknya untuk kehadiran fail boleh laku dalam lampiran. Mengekstrak dokumen pejabat secara automatik daripada e-mel yang mungkin mengandungi eksploitasi. Percubaan untuk mengeksploitasi kelemahan kelihatan dalam trafik, yang dikesan oleh PT NAD secara automatik.
5. : mshta
Gunakan utiliti mshta.exe, yang menjalankan aplikasi Microsoft HTML (HTA) dengan sambungan .hta. Oleh kerana mshta memproses fail yang memintas tetapan keselamatan penyemak imbas, penyerang boleh menggunakan mshta.exe untuk melaksanakan fail HTA, JavaScript atau VBScript yang berniat jahat.
Apa yang PT NAD lakukan?: Fail .hta untuk pelaksanaan melalui mshta juga dihantar melalui rangkaian - ini boleh dilihat dalam trafik. PT NAD mengesan pemindahan fail berniat jahat tersebut secara automatik. Ia menangkap fail, dan maklumat tentangnya boleh dilihat dalam kad sesi.
6. : PowerShell
Menggunakan PowerShell untuk mencari maklumat dan melaksanakan kod hasad.
Apa yang PT NAD lakukan?: Apabila PowerShell digunakan oleh penyerang jauh, PT NAD mengesan ini menggunakan peraturan. Ia mengesan kata kunci bahasa PowerShell yang paling kerap digunakan dalam skrip berniat jahat dan penghantaran skrip PowerShell melalui protokol SMB.
7. : tugas yang dijadualkan
Menggunakan Windows Task Scheduler dan utiliti lain untuk menjalankan program atau skrip secara automatik pada masa tertentu.
Apa yang PT NAD lakukan?: penyerang mencipta tugas sedemikian, biasanya dari jauh, yang bermaksud sesi sedemikian kelihatan dalam trafik. PT NAD secara automatik mengesan penciptaan tugas yang mencurigakan dan operasi pengubahsuaian menggunakan antara muka RPC ATSVC dan ITaskSchedulerService.
8. : skrip
Pelaksanaan skrip untuk mengautomasikan pelbagai tindakan penyerang.
Apa yang PT NAD lakukan?: mengesan penghantaran skrip melalui rangkaian, iaitu, sebelum ia dilancarkan. Ia mengesan kandungan skrip dalam trafik mentah dan mengesan penghantaran rangkaian fail dengan sambungan yang sepadan dengan bahasa skrip popular.
9. : pelaksanaan perkhidmatan
Jalankan fail boleh laku, arahan antara muka baris perintah atau skrip dengan berinteraksi dengan perkhidmatan Windows, seperti Pengurus Kawalan Perkhidmatan (SCM).
Apa yang PT NAD lakukan?: memeriksa trafik SMB dan mengesan akses kepada SCM dengan peraturan untuk mencipta, menukar dan memulakan perkhidmatan.
Teknik permulaan perkhidmatan boleh dilaksanakan menggunakan utiliti pelaksanaan arahan jauh PSExec. PT NAD menganalisis protokol SMB dan mengesan penggunaan PSExec apabila ia menggunakan fail PSEXESVC.exe atau nama perkhidmatan PSEXECSVC standard untuk melaksanakan kod pada mesin jauh. Pengguna perlu menyemak senarai perintah yang dilaksanakan dan kesahihan pelaksanaan arahan jauh daripada hos.
Kad serangan dalam PT NAD memaparkan data tentang taktik dan teknik yang digunakan mengikut matriks ATT&CK supaya pengguna dapat memahami tahap serangan yang sedang dilakukan oleh penyerang, matlamat yang mereka kejar dan langkah pampasan yang perlu diambil.
Peraturan tentang menggunakan utiliti PSExec dicetuskan, yang mungkin menunjukkan percubaan untuk melaksanakan arahan pada mesin jauh
10. : perisian pihak ketiga
Teknik di mana penyerang mendapat akses kepada perisian pentadbiran jauh atau sistem penggunaan perisian korporat dan menggunakannya untuk menjalankan kod berniat jahat. Contoh perisian tersebut: SCCM, VNC, TeamViewer, HBSS, Altiris.
Ngomong-ngomong, teknik ini sangat relevan berkaitan dengan peralihan besar-besaran ke kerja jauh dan, akibatnya, sambungan banyak peranti rumah yang tidak dilindungi melalui saluran akses jauh yang meragukan
Apa yang PT NAD lakukan?: secara automatik mengesan operasi perisian tersebut pada rangkaian. Sebagai contoh, peraturan dicetuskan oleh sambungan melalui protokol VNC dan aktiviti EvilVNC Trojan, yang secara rahsia memasang pelayan VNC pada hos mangsa dan melancarkannya secara automatik. Selain itu, PT NAD secara automatik mengesan protokol TeamViewer, ini membantu penganalisis, menggunakan penapis, mencari semua sesi tersebut dan menyemak kesahihannya.
11. : pelaksanaan pengguna
Teknik di mana pengguna menjalankan fail yang boleh membawa kepada pelaksanaan kod. Ini mungkin, sebagai contoh, jika dia membuka fail boleh laku atau menjalankan dokumen pejabat dengan makro.
Apa yang PT NAD lakukan?: melihat fail sedemikian pada peringkat pemindahan, sebelum ia dilancarkan. Maklumat tentang mereka boleh dikaji dalam kad sesi di mana ia dihantar.
12. : Instrumentasi Pengurusan Windows
Penggunaan alat WMI, yang menyediakan akses tempatan dan jauh kepada komponen sistem Windows. Menggunakan WMI, penyerang boleh berinteraksi dengan sistem tempatan dan jauh dan melakukan pelbagai tugas, seperti mengumpul maklumat untuk tujuan peninjauan dan melancarkan proses dari jauh sambil bergerak ke sisi.
Apa yang PT NAD lakukan?: Memandangkan interaksi dengan sistem jauh melalui WMI boleh dilihat dalam trafik, PT NAD secara automatik mengesan permintaan rangkaian untuk mewujudkan sesi WMI dan menyemak trafik untuk skrip yang menggunakan WMI.
13. : Pengurusan Jauh Windows
Menggunakan perkhidmatan dan protokol Windows yang membolehkan pengguna berinteraksi dengan sistem jauh.
Apa yang PT NAD lakukan?: Melihat sambungan rangkaian diwujudkan menggunakan Pengurusan Jauh Windows. Sesi sedemikian dikesan secara automatik oleh peraturan.
14. : Pemprosesan skrip XSL (Extensible Stylesheet Language).
Bahasa penanda gaya XSL digunakan untuk menerangkan pemprosesan dan visualisasi data dalam fail XML. Untuk menyokong operasi yang kompleks, standard XSL termasuk sokongan untuk skrip terbenam dalam pelbagai bahasa. Bahasa-bahasa ini membenarkan pelaksanaan kod sewenang-wenangnya, yang membawa kepada memintas dasar keselamatan berdasarkan senarai putih.
Apa yang PT NAD lakukan?: mengesan pemindahan fail tersebut melalui rangkaian, iaitu, sebelum ia dilancarkan. Ia secara automatik mengesan fail XSL yang dihantar melalui rangkaian dan fail dengan penanda XSL anomali.
Dalam bahan berikut, kita akan melihat bagaimana sistem PT Network Attack Discovery NTA mencari taktik dan teknik penyerang lain mengikut MITRE ATT&CK. Nantikan!
Authors:
- Anton Kutepov, pakar di Pusat Keselamatan Pakar PT, Teknologi Positif
- Natalia Kazankova, pemasar produk di Positive Technologies
Sumber: www.habr.com