, de fleste (87 %) av informasjonssikkerhetshendelsene skjer i løpet av få minutter, og for 68 % av selskapene tar det måneder å oppdage dem. Dette bekreftes av , ifølge hvilken det tar de fleste organisasjoner i gjennomsnitt 206 dager å oppdage en hendelse. Basert på erfaringene fra undersøkelsene våre kan hackere kontrollere et selskaps infrastruktur i årevis uten å bli oppdaget. I en av organisasjonene der våre eksperter undersøkte en informasjonssikkerhetshendelse, ble det derfor avslørt at hackere fullstendig kontrollerte hele organisasjonens infrastruktur og regelmessig stjal viktig informasjon .
La oss si at du allerede har en SIEM kjørende som samler inn logger og analyserer hendelser, og antivirusprogramvare er installert på sluttnodene. Likevel, , akkurat som det er umulig å implementere EDR-systemer i hele nettverket, noe som betyr at "blinde" flekker ikke kan unngås. Systemer for analyse av nettverkstrafikk (NTA) hjelper til med å håndtere dem. Disse løsningene oppdager angriperaktivitet på de tidligste stadiene av nettverkspenetrasjon, så vel som under forsøk på å få fotfeste og utvikle et angrep i nettverket.
Det finnes to typer NTAer: noen jobber med NetFlow, andre analyserer råtrafikk. Fordelen med de andre systemene er at de kan lagre rå trafikkregistreringer. Takket være dette kan en informasjonssikkerhetsspesialist verifisere suksessen til angrepet, lokalisere trusselen, forstå hvordan angrepet skjedde og hvordan man kan forhindre et lignende i fremtiden.
Vi vil vise hvordan du ved å bruke NTA kan bruke direkte eller indirekte bevis for å identifisere alle kjente angrepstaktikker beskrevet i kunnskapsbasen . Vi vil snakke om hver av de 12 taktikkene, analysere teknikkene som oppdages av trafikk, og demonstrere deres deteksjon ved hjelp av vårt NTA-system.
Om ATT&CK kunnskapsbase
MITER ATT&CK er en offentlig kunnskapsbase utviklet og vedlikeholdt av MITER Corporation basert på analyser av virkelige APT-er. Det er et strukturert sett med taktikker og teknikker som brukes av angripere. Dette gjør at informasjonssikkerhetseksperter fra hele verden kan snakke samme språk. Databasen utvides stadig og suppleres med ny kunnskap.
Databasen identifiserer 12 taktikker, som er delt inn etter stadier av et cyberangrep:
- innledende tilgang;
- henrettelse;
- konsolidering (utholdenhet);
- eskalering av privilegier;
- forebygging av deteksjon (forsvarsunndragelse);
- innhenting av legitimasjon (legitimasjonstilgang);
- utforskning;
- bevegelse innenfor omkretsen (lateral bevegelse);
- datainnsamling (innsamling);
- kommandere og kontrollere;
- dataeksfiltrering;
- innvirkning.
For hver taktikk viser ATT&CK-kunnskapsbasen en liste over teknikker som hjelper angripere å nå målet sitt på det nåværende stadiet av angrepet. Siden samme teknikk kan brukes på forskjellige stadier, kan det referere til flere taktikker.
Beskrivelse av hver teknikk inkluderer:
- identifikator;
- en liste over taktikker den brukes i;
- eksempler på bruk av APT-grupper;
- tiltak for å redusere skade fra bruk;
- deteksjonsanbefalinger.
Informasjonssikkerhetsspesialister kan bruke kunnskap fra databasen til å strukturere informasjon om gjeldende angrepsmetoder og, tatt i betraktning, bygge et effektivt sikkerhetssystem. Å forstå hvordan ekte APT-grupper fungerer kan også bli en kilde til hypoteser for proaktivt leting etter trusler innenfor .
Om PT Network Attack Discovery
Vi vil identifisere bruken av teknikker fra ATT&CK-matrisen ved hjelp av systemet — Positive Technologies NTA-system, designet for å oppdage angrep på omkretsen og inne i nettverket. PT NAD dekker, i varierende grad, alle de 12 taktikkene i MITER ATT&CK-matrisen. Han er sterkest når det gjelder å identifisere teknikker for innledende tilgang, sidebevegelse og kommando og kontroll. I dem dekker PT NAD mer enn halvparten av de kjente teknikkene, og oppdager deres anvendelse ved direkte eller indirekte tegn.
Systemet oppdager angrep ved å bruke ATT&CK-teknikker ved å bruke deteksjonsregler laget av teamet (PT ESC), maskinlæring, kompromissindikatorer, dyp analyse og retrospektiv analyse. Trafikkanalyse i sanntid kombinert med et retrospektiv lar deg identifisere gjeldende skjult ondsinnet aktivitet og spore utviklingsvektorer og kronologien til angrep.
full kartlegging av PT NAD til MITER ATT&CK matrise. Bildet er stort, så vi foreslår at du ser det i et eget vindu.
Innledende tilgang
Innledende tilgangstaktikker inkluderer teknikker for å trenge inn i et selskaps nettverk. Målet til angripere på dette stadiet er å levere ondsinnet kode til det angrepne systemet og sikre muligheten for videre kjøring.
Trafikkanalyse fra PT NAD avslører syv teknikker for å få innledende tilgang:
1. : drive-by-kompromiss
En teknikk der offeret åpner et nettsted som brukes av angripere til å utnytte nettleseren og få tilgangstokener for applikasjoner.
Hva gjør PT NAD?: Hvis nettrafikken ikke er kryptert, inspiserer PT NAD innholdet i HTTP-serversvarene. Disse svarene inneholder utnyttelser som lar angripere kjøre vilkårlig kode i nettleseren. PT NAD oppdager automatisk slike utnyttelser ved hjelp av deteksjonsregler.
I tillegg oppdager PT NAD trusselen i forrige trinn. Regler og indikatorer for kompromiss utløses hvis brukeren besøkte et nettsted som omdirigerte ham til et nettsted med en haug med utnyttelser.
2. : utnytte offentlig-vendt applikasjon
Utnyttelse av sårbarheter i tjenester som er tilgjengelige fra Internett.
Hva gjør PT NAD?: Utfører en dyp inspeksjon av innholdet i nettverkspakker, og identifiserer tegn på unormal aktivitet. Spesielt er det regler som lar deg oppdage angrep på store innholdsstyringssystemer (CMS), nettgrensesnitt til nettverksutstyr og angrep på e-post- og FTP-servere.
3. : eksterne eksterne tjenester
Angripere bruker fjerntilgangstjenester for å koble til interne nettverksressurser utenfra.
Hva gjør PT NAD?: Siden systemet gjenkjenner protokoller ikke etter portnumre, men etter innholdet i pakker, kan systembrukere filtrere trafikk for å finne alle økter med fjerntilgangsprotokoller og kontrollere deres legitimitet.
4. : spearphishing vedlegg
Vi snakker om den beryktede sendingen av phishing-vedlegg.
Hva gjør PT NAD?: Trekker automatisk ut filer fra trafikk og sjekker dem mot indikatorer på kompromiss. Kjørbare filer i vedlegg oppdages av regler som analyserer innholdet i e-posttrafikk. I et bedriftsmiljø anses en slik investering som unormal.
5. : spearphishing-lenke
Bruker phishing-lenker. Teknikken innebærer at angripere sender en phishing-e-post med en lenke som, når de klikkes, laster ned et skadelig program. Som regel er lenken ledsaget av en tekst satt sammen i samsvar med alle reglene for sosial ingeniørkunst.
Hva gjør PT NAD?: Oppdager phishing-koblinger ved å bruke indikatorer på kompromiss. For eksempel, i PT NAD-grensesnittet ser vi en økt der det var en HTTP-tilkobling via en lenke inkludert i listen over phishing-adresser (phishing-urls).
Tilkobling via en lenke fra listen over indikatorer på kompromitterte phishing-nettadresser
6. : pålitelig forhold
Tilgang til offerets nettverk gjennom tredjeparter som offeret har etablert et tillitsforhold til. Angripere kan hacke en pålitelig organisasjon og koble seg til målnettverket gjennom den. For å gjøre dette bruker de VPN-tilkoblinger eller domenetruster, som kan identifiseres gjennom trafikkanalyse.
Hva gjør PT NAD?: analyserer applikasjonsprotokoller og lagrer de analyserte feltene i databasen, slik at en informasjonssikkerhetsanalytiker kan bruke filtre for å finne alle mistenkelige VPN-tilkoblinger eller tilkoblinger på tvers av domener i databasen.
7. : gyldige kontoer
Bruk av standard, lokal eller domenelegitimasjon for autorisasjon på eksterne og interne tjenester.
Hva gjør PT NAD?: Henter automatisk legitimasjon fra HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos-protokoller. Generelt er dette en pålogging, passord og et tegn på vellykket autentisering. Hvis de har blitt brukt, vises de på det tilsvarende øktkortet.
Henrettelse
Utførelsestaktikker inkluderer teknikker som angripere bruker for å kjøre kode på kompromitterte systemer. Å kjøre ondsinnet kode hjelper angripere med å etablere en tilstedeværelse (utholdenhetstaktikk) og utvide tilgangen til eksterne systemer på nettverket ved å bevege seg innenfor omkretsen.
PT NAD lar deg oppdage bruken av 14 teknikker som brukes av angripere for å utføre ondsinnet kode.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
En taktikk der angripere forbereder en spesiell ondsinnet INF-installasjonsfil for det innebygde Windows-verktøyet CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe tar filen som en parameter og installerer tjenesteprofilen for den eksterne tilkoblingen. Som et resultat kan CMSTP.exe brukes til å laste og kjøre dynamiske koblingsbiblioteker (*.dll) eller scriptlets (*.sct) fra eksterne servere.
Hva gjør PT NAD?: Oppdager automatisk overføring av spesielle typer INF-filer i HTTP-trafikk. I tillegg til dette, oppdager den HTTP-overføring av ondsinnede skriptletter og dynamiske koblingsbiblioteker fra en ekstern server.
2. : kommandolinjegrensesnitt
Interaksjon med kommandolinjegrensesnittet. Kommandolinjegrensesnittet kan samhandles med lokalt eller eksternt, for eksempel ved hjelp av fjerntilgangsverktøy.
Hva gjør PT NAD?: oppdager automatisk tilstedeværelsen av skjell basert på svar på kommandoer for å starte forskjellige kommandolinjeverktøy, for eksempel ping, ifconfig.
3. : komponentobjektmodell og distribuert COM
Bruk av COM- eller DCOM-teknologier for å kjøre kode på lokale eller eksterne systemer mens du beveger deg over et nettverk.
Hva gjør PT NAD?: Oppdager mistenkelige DCOM-anrop som angripere vanligvis bruker for å starte programmer.
4. : utnyttelse for klientutførelse
Utnyttelse av sårbarheter for å utføre vilkårlig kode på en arbeidsstasjon. De mest nyttige utnyttelsene for angripere er de som lar kode kjøres på et eksternt system, da de kan tillate angripere å få tilgang til det systemet. Teknikken kan implementeres ved hjelp av følgende metoder: ondsinnet e-post, et nettsted med nettleserutnyttelse og ekstern utnyttelse av applikasjonssårbarheter.
Hva gjør PT NAD?: Når du analyserer e-posttrafikk, sjekker PT NAD den for tilstedeværelse av kjørbare filer i vedlegg. Trekker automatisk ut kontordokumenter fra e-poster som kan inneholde utnyttelser. Forsøk på å utnytte sårbarheter er synlige i trafikken, som PT NAD oppdager automatisk.
5. : mshta
Bruk mshta.exe-verktøyet, som kjører Microsoft HTML-applikasjoner (HTA) med .hta-utvidelsen. Fordi mshta behandler filer som omgår nettleserens sikkerhetsinnstillinger, kan angripere bruke mshta.exe til å kjøre ondsinnede HTA-, JavaScript- eller VBScript-filer.
Hva gjør PT NAD?: .hta-filer for kjøring via mshta overføres også over nettverket - dette kan sees i trafikken. PT NAD oppdager overføringen av slike ondsinnede filer automatisk. Den fanger opp filer, og informasjon om dem kan sees på sesjonskortet.
6. : Kraftskall
Bruke PowerShell til å finne informasjon og kjøre ondsinnet kode.
Hva gjør PT NAD?: Når PowerShell brukes av eksterne angripere, oppdager PT NAD dette ved hjelp av regler. Den oppdager PowerShell-språknøkkelord som oftest brukes i ondsinnede skript og overføring av PowerShell-skript over SMB-protokollen.
7. : planlagt oppgave
Bruke Windows Task Scheduler og andre verktøy for å kjøre programmer eller skript automatisk til bestemte tider.
Hva gjør PT NAD?: angripere oppretter slike oppgaver, vanligvis eksternt, noe som betyr at slike økter er synlige i trafikken. PT NAD oppdager automatisk mistenkelige oppgaveopprettelse og modifikasjonsoperasjoner ved å bruke ATSVC- og ITaskSchedulerService RPC-grensesnittene.
8. : skripting
Utførelse av skript for å automatisere ulike handlinger av angripere.
Hva gjør PT NAD?: oppdager overføring av skript over nettverket, det vil si selv før de startes. Den oppdager skriptinnhold i råtrafikk og oppdager nettverksoverføring av filer med utvidelser som tilsvarer populære skriptspråk.
9. : tjenesteutførelse
Kjør en kjørbar fil, kommandolinjegrensesnittinstruksjoner eller skript ved å samhandle med Windows-tjenester, for eksempel Service Control Manager (SCM).
Hva gjør PT NAD?: inspiserer SMB-trafikk og oppdager tilgang til SCM med regler for å opprette, endre og starte en tjeneste.
Tjenesteoppstartsteknikken kan implementeres ved å bruke verktøyet PSExec for ekstern kommandoutførelse. PT NAD analyserer SMB-protokollen og oppdager bruken av PSExec når den bruker PSEXESVC.exe-filen eller standard PSEXECSVC-tjenestenavn for å kjøre kode på en ekstern maskin. Brukeren må sjekke listen over utførte kommandoer og legitimiteten til ekstern kommandokjøring fra verten.
Angrepskortet i PT NAD viser data om taktikken og teknikkene som brukes i henhold til ATT&CK-matrisen slik at brukeren kan forstå hvilket stadium av angrepet angriperne befinner seg på, hvilke mål de forfølger og hvilke kompenserende tiltak som skal iverksettes.
Regelen om bruk av PSExec-verktøyet utløses, noe som kan indikere et forsøk på å utføre kommandoer på en ekstern maskin
10. : tredjepartsprogramvare
En teknikk der angripere får tilgang til fjernadministrasjonsprogramvare eller et distribusjonssystem for bedriftens programvare og bruker det til å kjøre skadelig kode. Eksempler på slik programvare: SCCM, VNC, TeamViewer, HBSS, Altiris.
Teknikken er forresten spesielt relevant i forbindelse med den massive overgangen til eksternt arbeid og som et resultat tilkoblingen av mange ubeskyttede hjemmeenheter gjennom tvilsomme fjerntilgangskanaler
Hva gjør PT NAD?: oppdager automatisk driften av slik programvare på nettverket. For eksempel utløses reglene av tilkoblinger via VNC-protokollen og aktiviteten til EvilVNC Trojan, som i hemmelighet installerer en VNC-server på offerets vert og automatisk starter den. Dessuten oppdager PT NAD automatisk TeamViewer-protokollen, dette hjelper analytikeren ved å bruke et filter til å finne alle slike økter og sjekke deres legitimitet.
11. : brukerutførelse
En teknikk der brukeren kjører filer som kan føre til kodekjøring. Dette kan for eksempel være hvis han åpner en kjørbar fil eller kjører et kontordokument med en makro.
Hva gjør PT NAD?: ser slike filer på overføringsstadiet, før de lanseres. Informasjon om dem kan studeres på kortet til øktene der de ble overført.
12. :Windows Management Instrumentation
Bruk av WMI-verktøyet, som gir lokal og ekstern tilgang til Windows-systemkomponenter. Ved å bruke WMI kan angripere samhandle med lokale og eksterne systemer og utføre en rekke oppgaver, som å samle informasjon for rekognoseringsformål og fjernstarte prosesser mens de beveger seg sideveis.
Hva gjør PT NAD?: Siden interaksjoner med eksterne systemer via WMI er synlige i trafikken, oppdager PT NAD automatisk nettverksforespørsler om å etablere WMI-økter og sjekker trafikken for skript som bruker WMI.
13. : Windows fjernadministrasjon
Bruke en Windows-tjeneste og -protokoll som lar brukeren samhandle med eksterne systemer.
Hva gjør PT NAD?: Ser nettverkstilkoblinger opprettet ved hjelp av Windows Remote Management. Slike økter oppdages automatisk av reglene.
14. : XSL (Extensible Stylesheet Language) skriptbehandling
Markeringsspråk i XSL-stil brukes til å beskrive behandlingen og visualiseringen av data i XML-filer. For å støtte komplekse operasjoner inkluderer XSL-standarden støtte for innebygde skript på forskjellige språk. Disse språkene tillater utførelse av vilkårlig kode, noe som fører til omgåelse av sikkerhetspolicyer basert på hvitelister.
Hva gjør PT NAD?: oppdager overføring av slike filer over nettverket, det vil si selv før de blir lansert. Den oppdager automatisk XSL-filer som overføres over nettverket og filer med unormal XSL-markering.
I det følgende materialet vil vi se på hvordan PT Network Attack Discovery NTA-systemet finner andre angripertaktikker og teknikker i samsvar med MITER ATT&CK. Følg med!
Forfattere:
- Anton Kutepov, spesialist ved PT Expert Security Center, Positive Technologies
- Natalia Kazankova, produktmarkedsfører i Positive Technologies
Kilde: www.habr.com