, il-maġġoranza (87%) tal-inċidenti tas-sigurtà tal-informazzjoni jseħħu fi ftit minuti, u għal 68% tal-kumpaniji jieħdu xhur biex jiskopru. Dan huwa kkonfermat minn , skond liema ħafna organizzazzjonijiet jieħdu medja ta '206 jum biex jiskopru inċident. Ibbażat fuq l-esperjenza tal-investigazzjonijiet tagħna, il-hackers jistgħu jikkontrollaw l-infrastruttura ta 'kumpanija għal snin mingħajr ma jiġu skoperti. Għalhekk, f'waħda mill-organizzazzjonijiet fejn l-esperti tagħna investigaw inċident tas-sigurtà tal-informazzjoni, ġie żvelat li l-hackers ikkontrollaw kompletament l-infrastruttura kollha tal-organizzazzjoni u serqu regolarment informazzjoni importanti .
Ejja ngħidu li diġà għandek SIEM li qed jaħdem li jiġbor zkuk u janalizza l-avvenimenti, u softwer antivirus huwa installat fuq in-nodi tat-tarf. Madankollu, , hekk kif huwa impossibbli li jiġu implimentati sistemi EDR fin-netwerk kollu, li jfisser li spots "blind" ma jistgħux jiġu evitati. Is-sistemi tal-analiżi tat-traffiku tan-netwerk (NTA) jgħinu biex jittrattawhom. Dawn is-soluzzjonijiet jiskopru l-attività tal-attakkant fl-aktar stadji bikrija tal-penetrazzjoni tan-netwerk, kif ukoll waqt tentattivi biex jiksbu pożizzjoni u jiżviluppaw attakk fin-netwerk.
Hemm żewġ tipi ta 'NTAs: xi wħud jaħdmu ma' NetFlow, oħrajn janalizzaw it-traffiku mhux maħdum. Il-vantaġġ tat-tieni sistemi huwa li jistgħu jaħżnu rekords tat-traffiku mhux ipproċessati. Grazzi għal dan, speċjalista tas-sigurtà tal-informazzjoni jista 'jivverifika s-suċċess tal-attakk, jillokalizza t-theddida, jifhem kif seħħ l-attakk u kif jipprevjeni wieħed simili fil-futur.
Aħna ser nuru kif bl-użu ta 'NTA tista' tuża evidenza diretta jew indiretta biex tidentifika t-tattiċi ta 'attakk magħrufa kollha deskritti fil-bażi ta' għarfien . Se nitkellmu dwar kull waħda mit-12-il tattika, nanalizzaw it-tekniki li jiġu skoperti mit-traffiku, u nuru l-iskoperta tagħhom billi tuża s-sistema NTA tagħna.
Dwar il-bażi ta 'għarfien ATT&CK
MITRE ATT&CK hija bażi ta' għarfien pubbliku żviluppata u miżmuma mill-Korporazzjoni MITRE ibbażata fuq analiżi ta' APTs tad-dinja reali. Huwa sett strutturat ta 'tattiċi u tekniki użati mill-attakkanti. Dan jippermetti lill-professjonisti tas-sigurtà tal-informazzjoni minn madwar id-dinja kollha jitkellmu l-istess lingwa. Id-database qed tespandi kontinwament u supplimentata b'għarfien ġdid.
Id-database tidentifika 12-il tattika, li huma maqsuma bi stadji ta' attakk ċibernetiku:
- aċċess inizjali;
- eżekuzzjoni;
- konsolidazzjoni (persistenza);
- eskalazzjoni tal-privileġġ;
- prevenzjoni ta' skoperta (evażjoni tad-difiża);
- il-ksib ta' kredenzjali (aċċess għall-kredenzjali);
- esplorazzjoni;
- moviment fil-perimetru (moviment laterali);
- Ġbir ta' data (ġbir);
- kmand u kontroll;
- esfiltrazzjoni tad-dejta;
- impatt.
Għal kull tattika, il-bażi ta 'għarfien ATT&CK telenka lista ta' tekniki li jgħinu lill-attakkanti jilħqu l-għan tagħhom fl-istadju attwali tal-attakk. Peress li l-istess teknika tista 'tintuża fi stadji differenti, tista' tirreferi għal diversi tattiċi.
Id-deskrizzjoni ta’ kull teknika tinkludi:
- identifikatur;
- lista ta' tattiċi li fihom tintuża;
- eżempji ta' użu minn gruppi APT;
- miżuri biex titnaqqas il-ħsara mill-użu tiegħu;
- rakkomandazzjonijiet ta' skoperta.
L-ispeċjalisti tas-sigurtà tal-informazzjoni jistgħu jużaw l-għarfien mid-database biex jistrutturaw l-informazzjoni dwar il-metodi ta’ attakk attwali u, b’kont meħud ta’ dan, jibnu sistema ta’ sigurtà effettiva. Il-fehim ta’ kif joperaw il-gruppi APT reali jista’ wkoll isir sors ta’ ipoteżi għat-tiftix proattiv għal theddid fi ħdan .
Dwar PT Network Attack Discovery
Aħna se nidentifikaw l-użu ta 'tekniki mill-matriċi ATT&CK billi tuża s-sistema — Sistema NTA ta' Teknoloġiji Pożittivi, iddisinjata biex tiskopri attakki fuq il-perimetru u ġewwa n-netwerk. PT NAD tkopri, fi gradi differenti, it-12-il tattika kollha tal-matriċi MITRE ATT&CK. Huwa l-aktar qawwi fl-identifikazzjoni ta 'tekniki għall-aċċess inizjali, moviment laterali, u kmand u kontroll. Fihom, PT NAD ikopri aktar minn nofs it-tekniki magħrufa, u jiskopri l-applikazzjoni tagħhom b'sinjali diretti jew indiretti.
Is-sistema tiskopri attakki billi tuża tekniki ATT&CK billi tuża regoli ta 'skoperta maħluqa mit-tim (PT ESC), tagħlim tal-magni, indikaturi ta 'kompromess, analiżi profonda u analiżi retrospettiva. Analiżi tat-traffiku f'ħin reali flimkien ma 'retrospettiva tippermettilek tidentifika attività malizzjuża moħbija attwali u ttraċċa l-vettori tal-iżvilupp u l-kronoloġija tal-attakki.
immappjar sħiħ tal-matriċi PT NAD għal MITRE ATT&CK. L-istampa hija kbira, għalhekk nissuġġerixxu li taraha f'tieqa separata.
Aċċess inizjali
It-tattiċi ta 'aċċess inizjali jinkludu tekniki biex jippenetraw in-netwerk ta' kumpanija. L-għan tal-attakkanti f'dan l-istadju huwa li jwasslu kodiċi malizzjuż lis-sistema attakkata u jiżguraw il-possibbiltà ta 'eżekuzzjoni ulterjuri tagħha.
L-analiżi tat-traffiku minn PT NAD tiżvela seba’ tekniki biex jinkiseb aċċess inizjali:
1. : kompromess drive-by
Teknika li fiha l-vittma tiftaħ websajt li tintuża minn attakkanti biex tisfrutta l-web browser u tikseb tokens ta 'aċċess għall-applikazzjoni.
X'jagħmel PT NAD?: Jekk it-traffiku tal-web mhuwiex ikkodifikat, PT NAD jispezzjona l-kontenut tat-tweġibiet tas-server HTTP. Dawn it-tweġibiet fihom exploits li jippermettu lill-attakkanti jesegwixxu kodiċi arbitrarju ġewwa l-browser. PT NAD awtomatikament jiskopri tali sfrutti billi juża regoli ta 'skoperta.
Barra minn hekk, PT NAD jiskopri t-theddida fil-pass preċedenti. Ir-regoli u l-indikaturi ta 'kompromess jiġu attivati jekk l-utent żar sit li indirizzah mill-ġdid lejn sit b'mazz ta' sfruttamenti.
2. : jisfruttaw applikazzjoni li tiffaċċja l-pubbliku
L-isfruttament ta' vulnerabbiltajiet f'servizzi li huma aċċessibbli mill-Internet.
X'jagħmel PT NAD?: Twettaq spezzjoni profonda tal-kontenut tal-pakketti tan-netwerk, li tidentifika sinjali ta 'attività anomala. B'mod partikolari, hemm regoli li jippermettulek tiskopri attakki fuq sistemi ewlenin ta 'ġestjoni tal-kontenut (CMS), interfaces tal-web ta' tagħmir tan-netwerk, u attakki fuq servers tal-posta u FTP.
3. : servizzi remoti esterni
L-attakkanti jużaw servizzi ta’ aċċess mill-bogħod biex jikkonnettjaw ma’ riżorsi interni tan-netwerk minn barra.
X'jagħmel PT NAD?: peress li s-sistema tirrikonoxxi protokolli mhux bin-numri tal-port, iżda mill-kontenut tal-pakketti, l-utenti tas-sistema jistgħu jiffiltraw it-traffiku biex isibu s-sessjonijiet kollha tal-protokolli ta 'aċċess mill-bogħod u jiċċekkjaw il-leġittimità tagħhom.
4. : sekwestru spearphishing
Qed nitkellmu dwar il-bgħit notorji ta 'attachments tal-phishing.
X'jagħmel PT NAD?: Awtomatikament estratti fajls mit-traffiku u jiċċekkjahom ma' indikaturi ta' kompromess. Fajls eżegwibbli fl-annessi huma skoperti minn regoli li janalizzaw il-kontenut tat-traffiku tal-posta. F'ambjent korporattiv, investiment bħal dan jitqies bħala anomali.
5. : rabta spearphishing
Uża links tal-phishing. It-teknika tinvolvi l-attakkanti li jibagħtu email ta’ phishing b’link li, meta tagħfas, iniżżel programm malizzjuż. Bħala regola, il-link hija akkumpanjata minn test miġbur skont ir-regoli kollha tal-inġinerija soċjali.
X'jagħmel PT NAD?: Jiskopri links ta' phishing billi juża indikaturi ta' kompromess. Pereżempju, fl-interface PT NAD naraw sessjoni li fiha kien hemm konnessjoni HTTP permezz ta 'link inkluża fil-lista ta' indirizzi ta 'phishing (phishing-urls).
Konnessjoni permezz ta 'link mil-lista ta' indikaturi ta 'kompromess phishing-urls
6. : relazzjoni ta' fiduċja
Aċċess għan-netwerk tal-vittma permezz ta' partijiet terzi li magħhom il-vittma stabbiliet relazzjoni ta' fiduċja. L-attakkanti jistgħu hack organizzazzjoni fdata u jgħaqqdu man-netwerk fil-mira permezz tagħha. Biex jagħmlu dan, huma jużaw konnessjonijiet VPN jew trusts ta 'dominju, li jistgħu jiġu identifikati permezz ta' analiżi tat-traffiku.
X'jagħmel PT NAD?: janalizza l-protokolli tal-applikazzjoni u jiffranka l-oqsma parsed fid-database, sabiex analista tas-sigurtà tal-informazzjoni jkun jista 'juża filtri biex isib il-konnessjonijiet VPN suspettużi kollha jew il-konnessjonijiet bejn id-dominji fid-database.
7. : kontijiet validi
L-użu ta' kredenzjali standard, lokali jew tad-dominju għall-awtorizzazzjoni fuq servizzi esterni u interni.
X'jagħmel PT NAD?: Jiġbor awtomatikament il-kredenzjali minn HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, protokolli Kerberos. B'mod ġenerali, dan huwa login, password u sinjal ta 'awtentikazzjoni b'suċċess. Jekk intużaw, jintwerew fil-karta tas-sessjoni korrispondenti.
Eżekuzzjoni
It-tattiċi ta' eżekuzzjoni jinkludu tekniki li l-attakkanti jużaw biex jeżegwixxu kodiċi fuq sistemi kompromessi. It-tħaddim ta 'kodiċi malizzjuż jgħin lill-attakkanti jistabbilixxu preżenza (tattika ta' persistenza) u jespandu l-aċċess għal sistemi remoti fuq in-netwerk billi jimxu ġewwa l-perimetru.
PT NAD jippermettilek li tiskopri l-użu ta '14-il teknika użata minn attakkanti biex tesegwixxi kodiċi malizzjuż.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Tattika li fiha l-attakkanti jippreparaw fajl INF ta’ installazzjoni malizzjuż speċjali għall-utilità CMSTP.exe integrata tal-Windows (Connection Manager Profile Installer). CMSTP.exe jieħu l-fajl bħala parametru u jinstalla l-profil tas-servizz għall-konnessjoni remota. Bħala riżultat, CMSTP.exe jista 'jintuża biex jgħabbi u tesegwixxi libreriji ta' links dinamiċi (*.dll) jew scriptlets (*.sct) minn servers remoti.
X'jagħmel PT NAD?: Jiskopri awtomatikament it-trasferiment ta 'tipi speċjali ta' fajls INF fit-traffiku HTTP. Minbarra dan, jiskopri t-trażmissjoni HTTP ta 'scriptlets malizzjużi u libreriji ta' links dinamiċi minn server remot.
2. : interface tal-linja tal-kmand
Interazzjoni mal-interface tal-linja tal-kmand. L-interface tal-linja tal-kmand tista 'tiġi interazzjoni ma' lokalment jew mill-bogħod, pereżempju bl-użu ta 'utilitajiet ta' aċċess remot.
X'jagħmel PT NAD?: awtomatikament jiskopri l-preżenza ta 'qxur ibbażati fuq tweġibiet għall-kmandi biex iniedu diversi utilitajiet tal-linja tal-kmand, bħal ping, ifconfig.
3. : mudell oġġett komponent u COM distribwit
Użu ta 'teknoloġiji COM jew DCOM biex tesegwixxi kodiċi fuq sistemi lokali jew remoti waqt li tiċċaqlaq minn netwerk.
X'jagħmel PT NAD?: Jiskopri sejħiet DCOM suspettużi li l-attakkanti tipikament jużaw biex iniedu programmi.
4. : sfruttament għall-eżekuzzjoni tal-klijent
L-isfruttament tal-vulnerabbiltajiet biex tesegwixxi kodiċi arbitrarju fuq workstation. L-aktar sfruttati utli għall-attakkanti huma dawk li jippermettu li jiġi esegwit kodiċi fuq sistema remota, peress li jistgħu jippermettu lill-attakkanti jiksbu aċċess għal dik is-sistema. It-teknika tista 'tiġi implimentata bl-użu tal-metodi li ġejjin: posta malizzjuża, websajt bl-isfruttament tal-browser, u sfruttament remot tal-vulnerabbiltajiet tal-applikazzjoni.
X'jagħmel PT NAD?: Meta janalizza t-traffiku tal-posta, PT NAD jiċċekkjah għall-preżenza ta 'fajls eżekutibbli f'annessi. Awtomatikament estratti dokumenti tal-uffiċċju minn emails li jista 'jkun fihom exploits. It-tentattivi biex jiġu sfruttati l-vulnerabbiltajiet huma viżibbli fit-traffiku, li PT NAD jiskopri awtomatikament.
5. : mshta
Uża l-utilità mshta.exe, li tħaddem applikazzjonijiet Microsoft HTML (HTA) bl-estensjoni .hta. Minħabba li mshta tipproċessa fajls billi taqbeż is-settings tas-sigurtà tal-browser, l-attakkanti jistgħu jużaw mshta.exe biex jesegwixxu fajls HTA, JavaScript jew VBScript malizzjużi.
X'jagħmel PT NAD?: Fajls .hta għall-eżekuzzjoni permezz ta 'mshta huma wkoll trażmessi fuq in-netwerk - dan jista' jidher fit-traffiku. PT NAD jiskopri t-trasferiment ta' tali fajls malizzjużi awtomatikament. Jiġbor fajls, u l-informazzjoni dwarhom tista 'tara fil-biljett tas-sessjoni.
6. : PowerShell
Tuża PowerShell biex issib informazzjoni u tesegwixxi kodiċi malizzjuż.
X'jagħmel PT NAD?: Meta PowerShell jintuża minn attakkanti remoti, PT NAD jiskopri dan billi juża r-regoli. Jiskopri kliem prinċipali tal-lingwa PowerShell li huma l-aktar użati fi skripts malizzjużi u t-trażmissjoni ta 'skripts PowerShell fuq il-protokoll SMB.
7. : kompitu skedat
L-użu tal-Windows Task Scheduler u utilitajiet oħra biex awtomatikament iħaddem programmi jew skripts f'ħinijiet speċifiċi.
X'jagħmel PT NAD?: l-attakkanti joħolqu kompiti bħal dawn, ġeneralment mill-bogħod, li jfisser sessjonijiet bħal dawn huma viżibbli fit-traffiku. PT NAD awtomatikament jiskopri operazzjonijiet ta' ħolqien u modifika ta' kompiti suspettużi bl-użu tal-interfaces ATSVC u ITaskSchedulerService RPC.
8. : skriptjar
Eżekuzzjoni ta 'skripts biex jiġu awtomatizzati diversi azzjonijiet ta' attakkanti.
X'jagħmel PT NAD?: jiskopri t-trażmissjoni ta 'skripts fuq in-netwerk, jiġifieri, anki qabel ma jiġu mnedija. Jiskopri kontenut ta' skript fit-traffiku mhux ipproċessat u jiskopri t-trażmissjoni tan-netwerk ta' fajls b'estensjonijiet li jikkorrispondu għal lingwi ta' skript popolari.
9. : eżekuzzjoni tas-servizz
Mexxi fajl eżekutibbli, istruzzjonijiet tal-interface tal-linja tal-kmand, jew skript billi jinteraġixxi mas-servizzi tal-Windows, bħal Service Control Manager (SCM).
X'jagħmel PT NAD?: jispezzjona t-traffiku SMB u jiskopri aċċess għal SCM b'regoli għall-ħolqien, il-bidla u l-bidu ta' servizz.
It-teknika tal-istartjar tas-servizz tista 'tiġi implimentata bl-użu tal-utilità tal-eżekuzzjoni tal-kmand remot PSExec. PT NAD janalizza l-protokoll SMB u jiskopri l-użu ta’ PSExec meta juża l-fajl PSEXESVC.exe jew l-isem standard tas-servizz PSEXECSVC biex jesegwixxi kodiċi fuq magna remota. L-utent jeħtieġ li jiċċekkja l-lista tal-kmandi esegwiti u l-leġittimità tal-eżekuzzjoni tal-kmand remot mill-host.
Il-karta tal-attakk f'PT NAD turi data dwar it-tattiċi u t-tekniki użati skont il-matriċi ATT&CK sabiex l-utent ikun jista' jifhem f'liema stadju tal-attakk jinsabu l-attakkanti, liema għanijiet qed isegwu, u liema miżuri ta' kumpens għandu jieħu.
Ir-regola dwar l-użu tal-utilità PSExec hija attivata, li tista 'tindika tentattiv biex tesegwixxi kmandi fuq magna remota
10. : softwer ta' partijiet terzi
Teknika li fiha l-attakkanti jiksbu aċċess għal softwer ta' amministrazzjoni mill-bogħod jew sistema ta' skjerament ta' softwer korporattiv u jużawha biex imexxu kodiċi malizzjuż. Eżempji ta' softwer bħal dan: SCCM, VNC, TeamViewer, HBSS, Altiris.
Mill-mod, it-teknika hija speċjalment rilevanti b'rabta mat-tranżizzjoni massiva għal xogħol remot u, bħala riżultat, il-konnessjoni ta 'diversi apparati tad-dar mhux protetti permezz ta' kanali dubjużi ta 'aċċess remot
X'jagħmel PT NAD?: awtomatikament jiskopri l-operat ta 'tali softwer fuq in-netwerk. Pereżempju, ir-regoli huma attivati minn konnessjonijiet permezz tal-protokoll VNC u l-attività tat-Trojan EvilVNC, li segretament jinstalla server VNC fuq l-host tal-vittma u jniedih awtomatikament. Ukoll, PT NAD awtomatikament jiskopri l-protokoll TeamViewer, dan jgħin lill-analista, billi juża filtru, isib is-sessjonijiet kollha bħal dawn u jiċċekkja l-leġittimità tagħhom.
11. : eżekuzzjoni tal-utent
Teknika li fiha l-utent imexxi fajls li jistgħu jwasslu għall-eżekuzzjoni tal-kodiċi. Dan jista 'jkun, pereżempju, jekk jiftaħ fajl eżekutibbli jew imexxi dokument tal-uffiċċju b'makro.
X'jagħmel PT NAD?: jara tali fajls fl-istadju tat-trasferiment, qabel ma jiġu mnedija. Informazzjoni dwarhom tista’ tiġi studjata fil-card tas-sessjonijiet li fihom ġew trażmessi.
12. : Strumentazzjoni tal-Ġestjoni tal-Windows
Użu tal-għodda WMI, li tipprovdi aċċess lokali u remot għall-komponenti tas-sistema Windows. Bl-użu tal-WMI, l-attakkanti jistgħu jinteraġixxu ma 'sistemi lokali u remoti u jwettqu varjetà ta' kompiti, bħal ġbir ta 'informazzjoni għal skopijiet ta' tkixxif u tnedija ta 'proċessi mill-bogħod waqt li jiċċaqilqu lateralment.
X'jagħmel PT NAD?: Peress li l-interazzjonijiet ma' sistemi remoti permezz tal-WMI huma viżibbli fit-traffiku, PT NAD awtomatikament jiskopri talbiet tan-netwerk biex jistabbilixxu sessjonijiet WMI u jiċċekkja t-traffiku għal skripts li jużaw WMI.
13. : Ġestjoni mill-bogħod tal-Windows
L-użu ta' servizz u protokoll tal-Windows li jippermetti lill-utent jinteraġixxi ma' sistemi remoti.
X'jagħmel PT NAD?: Ara l-konnessjonijiet tan-netwerk stabbiliti bl-użu tal-Windows Remote Management. Sessjonijiet bħal dawn jiġu skoperti awtomatikament mir-regoli.
14. : Iskrittura XSL (Extensible Stylesheet Language) ipproċessar tal-iskript
Il-lingwa tal-markup tal-istil XSL tintuża biex tiddeskrivi l-ipproċessar u l-viżwalizzazzjoni tad-dejta f'fajls XML. Biex jappoġġja operazzjonijiet kumplessi, l-istandard XSL jinkludi appoġġ għal skripts inkorporati f'diversi lingwi. Dawn il-lingwi jippermettu l-eżekuzzjoni ta 'kodiċi arbitrarju, li jwassal għal bypass ta' politiki ta 'sigurtà bbażati fuq listi bojod.
X'jagħmel PT NAD?: jiskopri t-trasferiment ta 'fajls bħal dawn fuq in-netwerk, jiġifieri, anki qabel ma jiġu mnedija. Jiskopri awtomatikament fajls XSL li qed jiġu trażmessi fuq in-netwerk u fajls b'markup XSL anomalu.
Fil-materjali li ġejjin, se nħarsu lejn kif is-sistema PT Network Attack Discovery NTA ssib tattiċi u tekniki oħra tal-attakkant skont MITRE ATT&CK. Ibqa' sintonizzat!
Awturi:
- Anton Kutepov, speċjalista fiċ-Ċentru tas-Sigurtà tal-Esperti PT, Teknoloġiji Pożittivi
- Natalia Kazankova, negozjant tal-prodott f'Teknoloġiji Pożittivi
Sors: www.habr.com