, większość (87%) incydentów związanych z bezpieczeństwem informacji ma miejsce w ciągu kilku minut, a 68% firm potrzebuje miesięcy na ich wykrycie. Jest to potwierdzone i zgodnie z którą większości organizacji wykrycie incydentu zajmuje średnio 206 dni. Z naszych badań wynika, że hakerzy mogą kontrolować infrastrukturę firmy przez lata bez wykrycia. Tak więc w jednej z organizacji, w której nasi eksperci przeprowadzili dochodzenie w sprawie incydentu związanego z bezpieczeństwem informacji, okazało się, że hakerzy całkowicie kontrolowali całą infrastrukturę organizacji i regularnie kradli ważne informacje .
Załóżmy, że masz już uruchomiony SIEM, który zbiera logi i analizuje zdarzenia, a na węzłach końcowych są zainstalowane programy antywirusowe. Niemniej jednak, tak jak nie da się wdrożyć systemów EDR dla całej sieci, co oznacza, że nie da się uniknąć „martwych” stref. Radzić sobie z nimi pomagają systemy analizy ruchu sieciowego (NTA). Rozwiązania te wykrywają aktywność atakujących już na najwcześniejszych etapach penetracji sieci, a także podczas prób zdobycia przyczółka i przeprowadzenia ataku wewnątrz sieci.
Istnieją dwa typy NTA: jeden współpracuje z NetFlow, drugi analizuje surowy ruch. Zaletą drugich systemów jest to, że mogą przechowywać surowe zapisy ruchu. Dzięki temu specjalista ds. bezpieczeństwa informacji może sprawdzić powodzenie ataku, zlokalizować zagrożenie, zrozumieć, w jaki sposób doszło do ataku i jak zapobiec podobnemu w przyszłości.
Pokażemy, jak można wykorzystać NTA do identyfikacji, za pomocą znaków bezpośrednich lub pośrednich, wszystkich znanych taktyk ataku opisanych w bazie wiedzy. . Opowiemy o każdej z 12 taktyk, przeanalizujemy techniki wykrywane przez ruch uliczny i zademonstrujemy ich wykrywanie za pomocą naszego systemu NTA.
Informacje o bazie wiedzy ATT&CK
MITER ATT&CK to publiczna baza wiedzy opracowana i utrzymywana przez korporację MITRE w oparciu o analizę rzeczywistych APT. Jest to uporządkowany zestaw taktyk i technik stosowanych przez atakujących. Dzięki temu specjaliści ds. bezpieczeństwa informacji z całego świata mogą mówić tym samym językiem. Baza jest stale rozbudowywana i uzupełniana o nową wiedzę.
Baza danych identyfikuje 12 taktyk, które podzielone są na etapy cyberataku:
- dostęp początkowy (dostęp początkowy);
- wykonanie (wykonanie);
- konsolidacja (trwałość);
- eskalacja przywilejów;
- zapobieganie wykryciu (uchylanie się od obrony);
- uzyskiwanie poświadczeń (dostęp poświadczeń);
- inteligencja (odkrycie);
- ruch w obwodzie (ruch boczny);
- zbieranie danych (gromadzenie);
- dowodzenie i kontrola;
- eksfiltracja danych;
- uderzenie.
Dla każdej taktyki w bazie wiedzy ATT&CK znajduje się lista technik, które pomagają atakującym osiągnąć swój cel na bieżącym etapie ataku. Ponieważ tę samą technikę można zastosować na różnych etapach, może ona odnosić się do kilku taktyk.
Opis każdej techniki zawiera:
- identyfikator;
- lista taktyk, w których jest stosowana;
- przykłady wykorzystania przez grupy APT;
- środki mające na celu zmniejszenie szkód spowodowanych jego użytkowaniem;
- zalecenia dotyczące wykrywania.
Specjaliści ds. bezpieczeństwa informacji mogą wykorzystać wiedzę z bazy danych do uporządkowania informacji o aktualnych metodach ataku i mając to na uwadze zbudować skuteczny system bezpieczeństwa. Zrozumienie sposobu działania prawdziwych grup APT może również stać się źródłem hipotez dotyczących proaktywnego poszukiwania zagrożeń wewnątrz nich .
Informacje o wykrywaniu ataków sieciowych PT
Za pomocą systemu zidentyfikujemy zastosowanie technik z macierzy ATT i CK - System NTA firmy Positive Technologies przeznaczony do wykrywania ataków na obwodzie i wewnątrz sieci. PT NAD obejmuje w różnym stopniu wszystkie 12 taktyk matrycy MITRE ATT&CK. Jest najsilniejszy w identyfikowaniu początkowego dostępu, ruchu bocznego oraz technik dowodzenia i kontroli. W nich PT NAD obejmuje ponad połowę znanych technik, wykrywając ich użycie za pomocą znaków bezpośrednich lub pośrednich.
System wykrywa ataki wykorzystując techniki ATT&CK wykorzystując reguły detekcji utworzone przez polecenie (PT ESC), uczenie maszynowe, wskaźniki kompromisu, głęboka analityka i analiza retrospektywna. Analiza ruchu w czasie rzeczywistym w połączeniu z retrospektywą umożliwia identyfikację bieżącej ukrytej szkodliwej aktywności oraz śledzenie wektorów rozwoju i chronologii ataków.
pełne mapowanie PT NAD na macierz MITRE ATT&CK. Obraz jest duży, dlatego sugerujemy rozważenie go w osobnym oknie.
Wstępny dostęp
Taktyka początkowego dostępu obejmuje techniki infiltracji sieci firmowej. Celem atakujących na tym etapie jest dostarczenie szkodliwego kodu do zaatakowanego systemu i zapewnienie jego dalszego wykonania.
Analiza ruchu PT NAD ujawnia siedem technik uzyskiwania wstępnego dostępu:
1. : kompromis w drodze do samochodu
Technika, w której ofiara otwiera stronę internetową, która jest wykorzystywana przez osoby atakujące do wykorzystania przeglądarki internetowej w celu uzyskania tokenów dostępu do aplikacji.
Co robi PT NAD?: Jeśli ruch sieciowy nie jest szyfrowany, PT NAD sprawdza treść odpowiedzi serwera HTTP. To właśnie w tych odpowiedziach znajdują się exploity, które umożliwiają atakującym wykonanie dowolnego kodu w przeglądarce. PT NAD automatycznie wykrywa takie exploity, korzystając z reguł wykrywania.
Dodatkowo PT NAD wykrywa zagrożenie w poprzednim kroku. Reguły i wskaźniki naruszenia są uruchamiane, jeśli użytkownik odwiedził witrynę, która przekierowała go do witryny zawierającej wiele exploitów.
2. : wykorzystanie aplikacji dostępnej publicznie
Wykorzystanie luk w usługach dostępnych z Internetu.
Co robi PT NAD?: przeprowadza głęboką kontrolę zawartości pakietów sieciowych, ujawniając w nich oznaki nietypowej aktywności. W szczególności istnieją reguły, które pozwalają wykryć ataki na główne systemy zarządzania treścią (CMS), interfejsy WWW urządzeń sieciowych, ataki na serwery pocztowe i FTP.
3. : zewnętrzne usługi zdalne
Osoby atakujące korzystają z usług dostępu zdalnego, aby połączyć się z wewnętrznymi zasobami sieciowymi z zewnątrz.
Co robi PT NAD?: ponieważ system rozpoznaje protokoły nie po numerach portów, ale po zawartości pakietów, użytkownicy systemu mogą filtrować ruch w taki sposób, aby znaleźć wszystkie sesje protokołów zdalnego dostępu i sprawdzić ich legalność.
4. : załącznik do phishingu podwodnego
Mówimy o notorycznym wysyłaniu załączników phishingowych.
Co robi PT NAD?: automatycznie wyodrębnia pliki z ruchu i sprawdza je pod kątem wskaźników zagrożenia. Pliki wykonywalne w załącznikach są wykrywane przez reguły analizujące zawartość ruchu pocztowego. W środowisku korporacyjnym taka inwestycja jest uważana za anomalię.
5. : link do spearphishingu
Korzystanie z linków phishingowych. Technika ta polega na wysyłaniu przez atakujących wiadomości e-mail phishingowej zawierającej łącze, którego kliknięcie powoduje pobranie szkodliwego programu. Z reguły do linku dołączany jest tekst opracowany zgodnie ze wszystkimi zasadami socjotechniki.
Co robi PT NAD?: wykrywa linki phishingowe na podstawie wskaźników naruszenia bezpieczeństwa. Przykładowo w interfejsie PT NAD widzimy sesję, w której nastąpiło połączenie HTTP poprzez odnośnik znajdujący się na liście adresów phishingowych (phishing-urls).
Połączenie poprzez link z listy wskaźników zainfekowanych adresów phishingowych
6. : relacja zaufania
Dostęp do sieci ofiary za pośrednictwem stron trzecich, z którymi ofiara ma zaufane relacje. Atakujący mogą włamać się do zaufanej organizacji i połączyć się za jej pośrednictwem z siecią docelową. W tym celu wykorzystują połączenia VPN lub relacje zaufania domeny, które można ujawnić poprzez analizę ruchu.
Co robi PT NAD?: analizuje protokoły aplikacji i zapisuje przeanalizowane pola w bazie danych, dzięki czemu analityk bezpieczeństwa informacji może użyć filtrów w celu znalezienia w bazie danych wszystkich podejrzanych połączeń VPN lub połączeń międzydomenowych.
7. : ważne konta
Używanie poświadczeń standardowych, lokalnych lub domenowych do autoryzacji w usługach zewnętrznych i wewnętrznych.
Co robi PT NAD?: automatycznie pobiera dane uwierzytelniające z protokołów HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. W ogólnym przypadku jest to login, hasło i znak pomyślnego uwierzytelnienia. Jeśli zostały wykorzystane, są one wyświetlane na odpowiedniej karcie sesji.
Wykonanie
Taktyki wykonania obejmują techniki stosowane przez osoby atakujące w celu wykonania kodu w zaatakowanych systemach. Uruchomienie złośliwego kodu pomaga atakującym ustalić obecność (taktyka trwałości) i rozszerzyć dostęp do zdalnych systemów w sieci poprzez poruszanie się wewnątrz obwodu.
PT NAD pozwala zidentyfikować wykorzystanie 14 technik stosowanych przez atakujących w celu wykonania złośliwego kodu.
1. : CMSTP (Instalator profilu Menedżera połączeń Microsoft)
Taktyka polegająca na tym, że osoby atakujące przygotowują specjalnie spreparowany złośliwy plik instalacyjny .inf dla wbudowanego narzędzia Windows CMSTP.exe (Instalator profilu Menedżera połączeń). CMSTP.exe przyjmuje plik jako parametr i instaluje profil usługi dla połączenia zdalnego. W rezultacie plik CMSTP.exe może służyć do pobierania i wykonywania bibliotek dołączanych dynamicznie (*.dll) lub skryptletów (*.sct) ze zdalnych serwerów.
Co robi PT NAD?: Automatycznie wykrywa transmisję plików .inf w specjalnym formacie w ruchu HTTP. Ponadto wykrywa transfery HTTP złośliwych skryptletów i bibliotek dołączanych dynamicznie ze zdalnego serwera.
2. : interfejs linii komend
Interakcja z interfejsem wiersza poleceń. Z interfejsem wiersza poleceń można wchodzić w interakcję lokalnie lub zdalnie, na przykład za pomocą narzędzi zdalnego dostępu.
Co robi PT NAD?: automatycznie wykrywa obecność powłok poprzez odpowiedzi na polecenia uruchamiania różnych narzędzi wiersza poleceń, takich jak ping, ifconfig.
3. : model obiektowy komponentów i rozproszony model COM
Używanie technologii COM lub DCOM do wykonywania kodu w systemach lokalnych lub zdalnych podczas jego przechodzenia przez sieć.
Co robi PT NAD?: wykrywa podejrzane wywołania DCOM, których napastnicy często używają do uruchamiania programów.
4. : wykorzystanie do wykonania klienta
Wykorzystanie luk w celu wykonania dowolnego kodu na stacji roboczej. Najbardziej przydatne dla atakujących exploity to te, które umożliwiają wykonanie kodu w systemie zdalnym, ponieważ atakujący mogą je wykorzystać w celu uzyskania dostępu do takiego systemu. Technikę tę można wdrożyć za pomocą następujących metod: złośliwa lista mailingowa, witryna internetowa zawierająca exploity dla przeglądarek oraz zdalne wykorzystanie luk w zabezpieczeniach aplikacji.
Co robi PT NAD?: podczas analizowania ruchu pocztowego PT NAD sprawdza go pod kątem obecności plików wykonywalnych w załączniku. Automatycznie wyodrębnia dokumenty biurowe z wiadomości e-mail, które mogą zawierać exploity. Próby wykorzystania luk są widoczne w ruchu, który PT NAD wykrywa automatycznie.
5. : mshta
Korzystanie z narzędzia mshta.exe, które uruchamia aplikacje Microsoft HTML (HTA) z rozszerzeniem .hta. Ponieważ mshta przetwarza pliki z pominięciem ustawień zabezpieczeń przeglądarki, osoby atakujące mogą użyć mshta.exe do uruchomienia złośliwych plików HTA, JavaScript lub VBScript.
Co robi PT NAD?: Pliki .hta do wykonania przez mshta są również przesyłane przez sieć - widać to w ruchu. PT NAD automatycznie wykrywa transmisję takich złośliwych plików. Przechwytuje pliki, a informacje o nich można przeglądać na karcie sesji.
6. : powłoka mocy
Używanie programu PowerShell do wyszukiwania informacji i wykonywania złośliwego kodu.
Co robi PT NAD?: Gdy atakujący korzystają zdalnie z programu PowerShell, PT NAD wykrywa to za pomocą reguł. Wykrywa słowa kluczowe języka PowerShell najczęściej używane w złośliwych skryptach oraz transmisję skryptów PowerShell przez SMB.
7. : zaplanowane zadanie
Użyj Harmonogramu zadań systemu Windows i innych narzędzi, aby automatycznie uruchamiać programy lub skrypty o określonych porach.
Co robi PT NAD?: atakujący tworzą takie zadania, zwykle zdalnie, co oznacza, że takie sesje są widoczne w ruchu. PT NAD automatycznie wykrywa podejrzane operacje tworzenia i modyfikacji zadań przy użyciu interfejsów RPC ATSVC i ITaskSchedulerService.
8. : skrypt
Wykonywanie skryptów automatyzujących różne działania atakujących.
Co robi PT NAD?: wykrywa transmisję skryptów w sieci, czyli jeszcze przed ich uruchomieniem. Wykrywa zawartość skryptów w nieprzetworzonym ruchu oraz wykrywa transmisję sieciową plików z rozszerzeniami odpowiadającymi popularnym językom skryptowym.
9. : wykonanie usługi
Uruchom plik wykonywalny, instrukcje CLI lub skrypt, wchodząc w interakcję z usługami systemu Windows, takimi jak Menedżer kontroli usług (SCM).
Co robi PT NAD?: sprawdza ruch SMB i wykrywa żądania kierowane do SCM na podstawie reguł tworzenia, modyfikowania i uruchamiania usługi.
Technikę uruchamiania usług można wdrożyć za pomocą narzędzia do zdalnego wykonywania poleceń PSExec. PT NAD analizuje protokół SMB i wykrywa użycie PSExec, gdy używa pliku PSEXESVC.exe lub standardowej nazwy usługi PSEXECSVC do wykonania kodu na zdalnym komputerze. Użytkownik musi sprawdzić listę wykonanych poleceń i legalność zdalnego wykonania poleceń z hosta.
Karta ataku w PT NAD wyświetla dane dotyczące taktyk i technik stosowanych przez macierz ATT&CK, dzięki czemu użytkownik może zrozumieć, na jakim etapie ataku znajdują się atakujący, jakie cele realizują i jakie środki kompensacyjne należy podjąć.
Aktywacja reguły o korzystaniu z narzędzia PSExec, która może sygnalizować próbę wykonania poleceń na zdalnej maszynie
10. : oprogramowanie innych firm
Technika, dzięki której osoby atakujące uzyskują dostęp do oprogramowania do zdalnej administracji lub systemu wdrażania oprogramowania korporacyjnego i wykorzystują je do uruchomienia szkodliwego kodu. Przykłady takiego oprogramowania: SCCM, VNC, TeamViewer, HBSS, Altiris.
Nawiasem mówiąc, technika ta jest szczególnie istotna w związku z masowym przejściem na pracę zdalną, a co za tym idzie, podłączeniem wielu niezabezpieczonych urządzeń domowych za pośrednictwem wątpliwych kanałów zdalnego dostępu.
Co robi PT NAD?: Automatycznie wykrywa działanie takiego oprogramowania w sieci. Na przykład reguły są uruchamiane na podstawie faktu połączenia się za pośrednictwem protokołu VNC i aktywności trojana EvilVNC, który potajemnie instaluje serwer VNC na hoście ofiary i automatycznie go uruchamia. Ponadto PT NAD automatycznie wykrywa protokół TeamViewer, co pomaga analitykowi znaleźć wszystkie takie sesje za pomocą filtra i sprawdzić ich legalność.
11. : wykonanie użytkownika
Technika, w której użytkownik uruchamia pliki, które mogą spowodować wykonanie kodu. Może to mieć na przykład miejsce, jeśli otworzy plik wykonywalny lub uruchomi dokument biurowy z makrem.
Co robi PT NAD?: widzi takie pliki na etapie przesyłania, przed ich uruchomieniem. Informacje o nich można przestudiować w karcie sesji, podczas których zostały przekazane.
12. : Instrumentacja zarządzania Windows
Korzystanie z narzędzia WMI, które zapewnia lokalny i zdalny dostęp do komponentów systemu Windows. Korzystając z WMI, osoby atakujące mogą wchodzić w interakcję z systemami lokalnymi i zdalnymi oraz wykonywać różnorodne zadania, takie jak zbieranie informacji do celów wywiadowczych i zdalne uruchamianie procesów podczas ruchu bocznego.
Co robi PT NAD?: Ponieważ interakcje ze zdalnymi systemami poprzez WMI są widoczne w ruchu, PT NAD automatycznie wykrywa żądania sieciowe w celu ustanowienia sesji WMI i sprawdza ruch pod kątem transmisji skryptów korzystających z WMI.
13. : Zdalne zarządzanie systemem Windows
Korzystanie z usługi i protokołu systemu Windows, które umożliwiają użytkownikowi interakcję z systemami zdalnymi.
Co robi PT NAD?: Wyświetla połączenia sieciowe nawiązane przy użyciu funkcji Zdalne zarządzanie systemem Windows. Takie sesje są automatycznie wykrywane przez reguły.
14. : Przetwarzanie skryptów XSL (Extensible Stylesheet Language).
Język znaczników w stylu XSL służy do opisu przetwarzania i renderowania danych w plikach XML. Aby obsługiwać złożone operacje, standard XSL obejmuje obsługę skryptów wbudowanych w wielu językach. Języki te umożliwiają wykonanie dowolnego kodu, który omija zasady bezpieczeństwa znajdujące się na białej liście.
Co robi PT NAD?: wykrywa transmisję takich plików w sieci, to znaczy jeszcze przed ich uruchomieniem. Automatycznie wykrywa transmisję plików XSL w sieci oraz plików z nieprawidłowymi znacznikami XSL.
W poniższych materiałach przyjrzymy się, w jaki sposób system PT Network Attack Discovery NTA znajduje inne taktyki i techniki atakujących zgodnie z MITRE ATT & CK. Czekać na dalsze informacje!
Autorzy:
- Anton Kutepov, specjalista eksperckiego centrum bezpieczeństwa (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, marketer produktów w Positive Technologies
Źródło: www.habr.com