vindt het merendeel (87%) van de informatiebeveiligingsincidenten binnen enkele minuten plaats, terwijl 68% van de bedrijven er maanden over doet om ze te detecteren. Dit wordt bevestigd en , volgens welke het de meeste organisaties gemiddeld 206 dagen kost om een incident te ontdekken. Op basis van ons onderzoek kunnen hackers jarenlang de infrastructuur van een bedrijf controleren zonder opgemerkt te worden. In een van de organisaties waar onze experts een onderzoek naar een informatiebeveiligingsincident uitvoerden, werd dus onthuld dat hackers de volledige infrastructuur van de organisatie volledig beheersten en regelmatig belangrijke informatie stalen. .
Stel dat u al SIEM actief heeft, dat logboeken verzamelt en gebeurtenissen analyseert, en dat er antivirusprogramma's op eindknooppunten zijn geïnstalleerd. Hoe dan ook, , net zoals het onmogelijk is om EDR-systemen voor het hele netwerk te implementeren, wat betekent dat “blinde” zones niet kunnen worden vermeden. Netwerkverkeeranalysesystemen (NTA) helpen hiermee om te gaan. Deze oplossingen detecteren de activiteit van aanvallers in de vroegste stadia van penetratie in het netwerk, maar ook tijdens pogingen om voet aan de grond te krijgen en een aanval binnen het netwerk te ontwikkelen.
Er zijn twee soorten NTA's: de ene werkt met NetFlow, de andere analyseert ruw verkeer. Het voordeel van de tweede systemen is dat ze ruwe verkeersgegevens kunnen opslaan. Hierdoor kan een informatiebeveiligingsspecialist het succes van de aanval controleren, de dreiging lokaliseren, begrijpen hoe de aanval plaatsvond en hoe een soortgelijke aanval in de toekomst kan worden voorkomen.
We laten zien hoe u met behulp van NTA direct of indirect bewijs kunt gebruiken om alle bekende aanvalstactieken te identificeren die in de kennisbank worden beschreven . We zullen het hebben over elk van de twaalf tactieken, de technieken analyseren die door het verkeer worden gedetecteerd en de detectie ervan demonstreren met behulp van ons NTA-systeem.
Over de ATT&CK Kennisbank
MITRE ATT&CK is een openbare kennisbank ontwikkeld en onderhouden door de MITRE Corporation, gebaseerd op analyse van echte APT's. Het is een gestructureerde reeks tactieken en technieken die door aanvallers worden gebruikt. Hierdoor kunnen informatiebeveiligingsprofessionals van over de hele wereld dezelfde taal spreken. De database wordt voortdurend uitgebreid en aangevuld met nieuwe kennis.
De database identificeert 12 tactieken, die zijn onderverdeeld in fasen van een cyberaanval:
- initiële toegang (initiële toegang);
- uitvoering (executie);
- consolidatie (persistentie);
- privilege escalatie;
- detectiepreventie (verdedigingsontduiking);
- het verkrijgen van inloggegevens (toegang tot inloggegevens);
- intelligentie (ontdekking);
- beweging binnen de omtrek (zijwaartse beweging);
- gegevensverzameling (verzameling);
- commando en controle;
- gegevensexfiltratie;
- invloed.
Voor elke tactiek bevat de ATT&CK Knowledge Base een lijst met technieken die aanvallers helpen hun doel te bereiken in de huidige fase van de aanval. Omdat dezelfde techniek in verschillende fasen kan worden gebruikt, kan deze betrekking hebben op verschillende tactieken.
De beschrijving van elke techniek omvat:
- identificatie;
- een lijst met tactieken waarin het wordt gebruikt;
- voorbeelden van gebruik door APT-groepen;
- maatregelen om de schade als gevolg van het gebruik ervan te verminderen;
- detectie aanbevelingen.
Informatiebeveiligingsspecialisten kunnen kennis uit de database gebruiken om informatie over huidige aanvalsmethoden te structureren en met dit in gedachten een effectief beveiligingssysteem te bouwen. Begrijpen hoe echte APT-groepen opereren, kan ook een bron van hypothesen worden voor de proactieve zoektocht naar bedreigingen binnenin .
Over detectie van PT-netwerkaanvallen
We zullen het gebruik van technieken uit de ATT & CK-matrix identificeren met behulp van het systeem - Positive Technologies NTA-systeem ontworpen om aanvallen op de perimeter en binnen het netwerk te detecteren. PT NAD bestrijkt in verschillende mate alle twaalf tactieken van de MITRE ATT&CK-matrix. Het is het sterkst in het identificeren van initiële toegang, laterale beweging en commando- en controletechnieken. Daarin bestrijkt PT NAD meer dan de helft van de bekende technieken, waarbij het gebruik ervan wordt gedetecteerd door directe of indirecte signalen.
Het systeem detecteert aanvallen met behulp van ATT&CK-technieken met behulp van detectieregels die door het team zijn opgesteld (PT ESC), machinaal leren, indicatoren van compromissen, diepgaande analyses en retrospectieve analyse. Met realtime verkeersanalyse, gecombineerd met retrospectieve analyse, kunt u huidige verborgen kwaadaardige activiteiten identificeren en ontwikkelingsvectoren volgen en de chronologie van aanvallen volgen.
volledige mapping van PT NAD naar MITRE ATT&CK-matrix. De afbeelding is groot, dus we raden u aan deze in een apart venster te bekijken.
Eerste toegang
De tactieken voor initiële toegang omvatten technieken om het netwerk van een bedrijf te infiltreren. Het doel van aanvallers in deze fase is om kwaadaardige code aan het aangevallen systeem te leveren en de verdere uitvoering ervan te garanderen.
PT NAD-verkeersanalyse onthult zeven technieken voor het verkrijgen van initiële toegang:
1. : drive-by-compromis
Een techniek waarbij het slachtoffer een website opent die door aanvallers wordt gebruikt om een webbrowser te misbruiken om toegangstokens voor applicaties te verkrijgen.
Wat doet PT NAD?: Als het webverkeer niet is gecodeerd, inspecteert PT NAD de inhoud van de HTTP-serverreacties. In deze antwoorden worden exploits gevonden waarmee aanvallers willekeurige code in de browser kunnen uitvoeren. PT NAD detecteert dergelijke exploits automatisch met behulp van detectieregels.
Bovendien detecteert PT NAD de dreiging in de vorige stap. Regels en indicatoren voor compromissen worden geactiveerd als de gebruiker een site bezoekt die hem doorverwijst naar een site met een heleboel exploits.
2. : exploiteren van openbare toepassingen
Exploitatie van kwetsbaarheden in diensten die toegankelijk zijn via internet.
Wat doet PT NAD?: voert een diepgaande inspectie uit van de inhoud van netwerkpakketten en onthult tekenen van abnormale activiteit daarin. Er zijn met name regels waarmee u aanvallen op de belangrijkste contentmanagementsystemen (CMS), webinterfaces van netwerkapparatuur, aanvallen op mail- en FTP-servers kunt detecteren.
3. : externe externe diensten
Aanvallers gebruiken diensten voor externe toegang om van buitenaf verbinding te maken met interne netwerkbronnen.
Wat doet PT NAD?: aangezien het systeem protocollen niet herkent aan de hand van poortnummers, maar aan de hand van de inhoud van pakketten, kunnen systeemgebruikers het verkeer zodanig filteren dat alle sessies van protocollen voor externe toegang worden gevonden en hun legitimiteit wordt gecontroleerd.
4. : spearphishing-bijlage
We hebben het over de beruchte verzending van phishing-bijlagen.
Wat doet PT NAD?: Haalt automatisch bestanden uit het verkeer en controleert ze op tekenen van compromis. Uitvoerbare bestanden in bijlagen worden gedetecteerd door regels die de inhoud van e-mailverkeer analyseren. In een bedrijfsomgeving wordt een dergelijke investering als abnormaal beschouwd.
5. : spearphishing-link
Het gebruik van phishing-links. Bij deze techniek sturen aanvallers een phishing-e-mail met een link die, wanneer erop wordt geklikt, een kwaadaardig programma downloadt. In de regel gaat de link vergezeld van een tekst die is samengesteld volgens alle regels van social engineering.
Wat doet PT NAD?: Detecteert phishing-links met behulp van indicatoren van compromissen. In de PT NAD-interface zien we bijvoorbeeld een sessie waarin er een HTTP-verbinding was via een link die is opgenomen in de lijst met phishing-adressen (phishing-urls).
Verbinding via een link uit de lijst met indicatoren van gecompromitteerde phishing-urls
6. : vertrouwensrelatie
Toegang tot het netwerk van het slachtoffer via derden met wie het slachtoffer een vertrouwensrelatie heeft. Aanvallers kunnen inbreken in een vertrouwde organisatie en via deze organisatie verbinding maken met het doelnetwerk. Om dit te doen, gebruiken ze VPN-verbindingen of domeinvertrouwensrelaties, die aan het licht kunnen komen via verkeersanalyse.
Wat doet PT NAD?: parseert applicatieprotocollen en slaat de geparseerde velden op in de database, zodat de informatiebeveiligingsanalist filters kan gebruiken om alle verdachte VPN-verbindingen of domeinoverschrijdende verbindingen in de database te vinden.
7. : geldige accounts
Gebruik van standaard-, lokale of domeinreferenties voor autorisatie op externe en interne services.
Wat doet PT NAD?: haalt automatisch inloggegevens op van HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos-protocollen. In het algemeen is dit een login, wachtwoord en een teken van succesvolle authenticatie. Als ze gebruikt zijn, worden ze weergegeven op de bijbehorende sessiekaart.
Executie
Uitvoeringstactieken omvatten technieken die aanvallers gebruiken om code uit te voeren op gecompromitteerde systemen. Het uitvoeren van kwaadaardige code helpt aanvallers hun aanwezigheid te vestigen (persistence-tactiek) en de toegang tot externe systemen op het netwerk uit te breiden door zich binnen de perimeter te verplaatsen.
Met PT NAD kunt u het gebruik van 14 technieken identificeren die door aanvallers worden gebruikt om kwaadaardige code uit te voeren.
1. : CMSTP (Microsoft Connection Manager-profielinstallatieprogramma)
Een tactiek waarbij aanvallers een speciaal vervaardigd kwaadaardig .inf-installatiebestand voorbereiden voor het ingebouwde Windows CMSTP.exe-hulpprogramma (Connection Manager Profile Installer). CMSTP.exe neemt een bestand als parameter en installeert een serviceprofiel voor de externe verbinding. Als gevolg hiervan kan CMSTP.exe worden gebruikt voor het downloaden en uitvoeren van dynamische linkbibliotheken (*.dll) of scriptlets (*.sct) van externe servers.
Wat doet PT NAD?: Detecteert automatisch de overdracht van .inf-bestanden in speciale vorm in HTTP-verkeer. Bovendien detecteert het HTTP-overdrachten van kwaadaardige scriptlets en dynamische linkbibliotheken vanaf een externe server.
2. : opdrachtregelinterface
Interactie met de opdrachtregelinterface. De opdrachtregelinterface kan lokaal of op afstand worden gebruikt, bijvoorbeeld met behulp van hulpprogramma's voor externe toegang.
Wat doet PT NAD?: detecteert automatisch de aanwezigheid van shells door te reageren op opdrachten om verschillende opdrachtregelhulpprogramma's te starten, zoals ping, ifconfig.
3. : componentobjectmodel en gedistribueerde COM
COM- of DCOM-technologieën gebruiken om code uit te voeren op lokale of externe systemen terwijl deze het netwerk doorkruist.
Wat doet PT NAD?: Detecteert verdachte DCOM-oproepen die aanvallers vaak gebruiken om programma's te starten.
4. : exploitatie voor uitvoering door client
Exploitatie van kwetsbaarheden om willekeurige code op een werkstation uit te voeren. De nuttigste exploits voor aanvallers zijn exploits die het mogelijk maken dat code wordt uitgevoerd op een systeem op afstand, aangezien deze door aanvallers kunnen worden gebruikt om toegang te krijgen tot een dergelijk systeem. De techniek kan op de volgende manieren worden geïmplementeerd: kwaadaardige mailinglijst, website met exploits voor browsers en misbruik op afstand van kwetsbaarheden in applicaties.
Wat doet PT NAD?: tijdens het parseren van e-mailverkeer controleert PT NAD het op de aanwezigheid van uitvoerbare bestanden in de bijlage. Haalt automatisch kantoordocumenten uit e-mails die mogelijk exploits bevatten. Pogingen om kwetsbaarheden te misbruiken zijn zichtbaar in het verkeer, dat PT NAD automatisch detecteert.
5. : mshta
Met behulp van het hulpprogramma mshta.exe, dat Microsoft HTML-toepassingen (HTA) uitvoert met de extensie .hta. Omdat mshta bestanden verwerkt waarbij de beveiligingsinstellingen van de browser worden omzeild, kunnen aanvallers mshta.exe gebruiken om kwaadaardige HTA-, JavaScript- of VBScript-bestanden uit te voeren.
Wat doet PT NAD?: .hta-bestanden voor uitvoering via mshta worden ook via het netwerk verzonden - dit is te zien aan het verkeer. PT NAD detecteert de overdracht van dergelijke kwaadaardige bestanden automatisch. Het legt bestanden vast en informatie daarover kan worden bekeken op de sessiekaart.
6. : Powershell
PowerShell gebruiken om informatie te zoeken en kwaadaardige code uit te voeren.
Wat doet PT NAD?: Wanneer PowerShell wordt gebruikt door externe aanvallers, detecteert PT NAD dit met behulp van regels. Het detecteert PowerShell-sleutelwoorden die het vaakst worden gebruikt in kwaadaardige scripts en de overdracht van PowerShell-scripts via het SMB-protocol.
7. : geplande taak
Gebruik de Windows Task Scheduler en andere hulpprogramma's om programma's of scripts automatisch op specifieke tijden uit te voeren.
Wat doet PT NAD?: aanvallers creëren dergelijke taken, meestal op afstand, wat betekent dat dergelijke sessies zichtbaar zijn in het verkeer. PT NAD detecteert automatisch verdachte bewerkingen voor het maken en wijzigen van taken met behulp van de ATSVC- en ITaskSchedulerService RPC-interfaces.
8. : scripting
Uitvoering van scripts om verschillende acties van aanvallers te automatiseren.
Wat doet PT NAD?: detecteert de overdracht van scripts via het netwerk, dat wil zeggen zelfs voordat ze worden gelanceerd. Het detecteert scriptinhoud in onbewerkt verkeer en detecteert netwerkoverdracht van bestanden met extensies die overeenkomen met populaire scripttalen.
9. : uitvoering van diensten
Voer een uitvoerbaar bestand, CLI-instructies of script uit door interactie met Windows-services, zoals Service Control Manager (SCM).
Wat doet PT NAD?: inspecteert SMB-verkeer en detecteert verzoeken aan SCM aan de hand van regels voor het maken, wijzigen en starten van een service.
De service-opstarttechniek kan worden geïmplementeerd met behulp van het hulpprogramma voor het uitvoeren van externe opdrachten PSExec. PT NAD analyseert het SMB-protocol en detecteert het gebruik van PSExec wanneer het het bestand PSEXESVC.exe of de standaard PSEXECSVC-servicenaam gebruikt om code uit te voeren op een externe machine. De gebruiker moet de lijst met uitgevoerde opdrachten en de legitimiteit van de uitvoering van opdrachten op afstand vanaf de host controleren.
De aanvalskaart in PT NAD geeft gegevens weer over de tactieken en technieken die door de ATT&CK-matrix worden gebruikt, zodat de gebruiker kan begrijpen in welk stadium van de aanval de aanvallers zich bevinden, welke doelen ze nastreven en welke compenserende maatregelen ze moeten nemen.
Activering van de regel over het gebruik van het PSExec-hulpprogramma, wat kan duiden op een poging om opdrachten uit te voeren op een externe machine
10. : derde partij software
Een techniek waarbij aanvallers toegang krijgen tot software voor extern beheer of een bedrijfssoftware-implementatiesysteem en deze gebruiken om kwaadaardige code uit te voeren. Voorbeelden van dergelijke software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Overigens is de techniek vooral relevant in verband met de massale transitie naar werken op afstand en, als gevolg daarvan, de verbinding van talloze onbeschermde thuisapparaten via dubieuze kanalen voor externe toegang.
Wat doet PT NAD?: Detecteert automatisch de werking van dergelijke software op het netwerk. De regels worden bijvoorbeeld geactiveerd door de feiten van het verbinden via het VNC-protocol en de activiteit van de EvilVNC Trojan, die in het geheim een VNC-server op de host van het slachtoffer installeert en deze automatisch start. Bovendien detecteert PT NAD automatisch het TeamViewer-protocol, waardoor de analist al dergelijke sessies kan vinden met behulp van een filter en de legitimiteit ervan kan controleren.
11. : gebruikersuitvoering
Een techniek waarbij de gebruiker bestanden uitvoert die ervoor kunnen zorgen dat code wordt uitgevoerd. Dit kan bijvoorbeeld zijn als het een uitvoerbaar bestand opent of een Office-document met een macro uitvoert.
Wat doet PT NAD?: ziet dergelijke bestanden in de overdrachtsfase, voordat ze worden gestart. Informatie over hen kan worden bestudeerd op de kaart van de sessies waarin ze zijn verzonden.
12. : Windows-beheerinstrumentatie
Met behulp van de WMI-tool, die lokale en externe toegang biedt tot Windows-systeemcomponenten. Met behulp van WMI kunnen aanvallers communiceren met lokale en externe systemen en een verscheidenheid aan taken uitvoeren, zoals het verzamelen van informatie voor inlichtingendoeleinden en het op afstand starten van processen tijdens zijwaartse beweging.
Wat doet PT NAD?: Omdat interacties met externe systemen via WMI zichtbaar zijn in het verkeer, detecteert PT NAD automatisch netwerkverzoeken om WMI-sessies tot stand te brengen en controleert het verkeer op het feit dat er scripts worden verzonden die WMI gebruiken.
13. : Windows-beheer op afstand
Met behulp van een Windows-service en -protocol waarmee de gebruiker kan communiceren met externe systemen.
Wat doet PT NAD?: Ziet netwerkverbindingen die tot stand zijn gebracht met behulp van Windows Remote Management. Dergelijke sessies worden automatisch door de regels gedetecteerd.
14. : XSL-scriptverwerking (Extensible Stylesheet Language).
De opmaaktaal in XSL-stijl wordt gebruikt om de verwerking en weergave van gegevens in XML-bestanden te beschrijven. Ter ondersteuning van complexe bewerkingen omvat de XSL-standaard ondersteuning voor inline-scripts in meerdere talen. Deze talen maken de uitvoering van willekeurige code mogelijk, waardoor het beveiligingsbeleid op de witte lijst wordt omzeild.
Wat doet PT NAD?: detecteert de overdracht van dergelijke bestanden via het netwerk, dat wil zeggen zelfs voordat ze worden gestart. Het detecteert automatisch de verzending van XSL-bestanden via het netwerk en bestanden met afwijkende XSL-markeringen.
In de volgende materialen zullen we bekijken hoe het PT Network Attack Discovery NTA-systeem andere tactieken en technieken van aanvallers vindt in overeenstemming met MITRE ATT & CK. Blijf kijken!
Auteurs:
- Anton Kutepov, specialist van het deskundige beveiligingscentrum (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, productmarketeer bij Positive Technologies
Bron: www.habr.com