, a maioria (87%) dos incidentes de segurança da informação ocorre em questão de minutos e, para 68% das empresas, leva meses para detectá-los. Isto é confirmado por , segundo o qual a maioria das organizações leva em média 206 dias para detectar um incidente. Com base na experiência das nossas investigações, os hackers podem controlar a infraestrutura de uma empresa durante anos sem serem detectados. Assim, numa das organizações onde os nossos especialistas investigaram um incidente de segurança da informação, foi revelado que os hackers controlavam completamente toda a infraestrutura da organização e roubavam regularmente informações importantes. .
Digamos que você já tenha um SIEM em execução que coleta logs e analise eventos, e um software antivírus esteja instalado nos nós finais. No entanto, , assim como é impossível implementar sistemas EDR para toda a rede, o que significa que as zonas “cegas” não podem ser evitadas. Os sistemas de análise de tráfego de rede (NTA) ajudam a lidar com eles. Essas soluções detectam a atividade dos invasores nos estágios iniciais de penetração na rede, bem como durante as tentativas de se firmar e desenvolver um ataque dentro da rede.
Existem dois tipos de NTAs: alguns trabalham com NetFlow, outros analisam o tráfego bruto. A vantagem dos segundos sistemas é que eles podem armazenar registros brutos de tráfego. Graças a isso, um especialista em segurança da informação pode verificar o sucesso do ataque, localizar a ameaça, entender como ocorreu o ataque e como prevenir outro semelhante no futuro.
Mostraremos como o NTA pode ser usado para identificar, por sinais diretos ou indiretos, todas as táticas de ataque conhecidas descritas na base de conhecimento. . Falaremos sobre cada uma das 12 táticas, analisaremos as técnicas que são detectadas pelo tráfego e demonstraremos sua detecção utilizando nosso sistema NTA.
Sobre a base de conhecimento da ATT&CK
MITRE ATT&CK é uma base de conhecimento pública desenvolvida e mantida pela MITRE Corporation com base na análise de APTs reais. É um conjunto estruturado de táticas e técnicas utilizadas pelos invasores. Isso permite que profissionais de segurança da informação de todo o mundo falem a mesma língua. O banco de dados está em constante expansão e complementado com novos conhecimentos.
O banco de dados identifica 12 táticas, que são divididas em etapas de um ataque cibernético:
- acesso inicial (acesso inicial);
- execução (execução);
- consolidação (persistência);
- escalada de privilégios;
- prevenção de detecção (evasão de defesa);
- obtenção de credenciais (acesso credencial);
- inteligência (descoberta);
- movimento dentro do perímetro (movimento lateral);
- coleta de dados (coleta);
- comando e controle;
- exfiltração de dados;
- impacto.
Para cada tática, a base de conhecimento da ATT&CK lista uma lista de técnicas que ajudam os invasores a atingir seu objetivo no estágio atual do ataque. Como a mesma técnica pode ser usada em diferentes estágios, ela pode referir-se a diversas táticas.
A descrição de cada técnica inclui:
- identificador;
- uma lista de táticas em que é aplicado;
- exemplos de utilização por grupos APT;
- medidas para reduzir os danos decorrentes do seu uso;
- recomendações de detecção.
Os especialistas em segurança da informação podem utilizar o conhecimento do banco de dados para estruturar informações sobre os métodos de ataque atuais e, levando isso em consideração, construir um sistema de segurança eficaz. Compreender como os grupos APT reais operam também pode se tornar uma fonte de hipóteses para a busca proativa de ameaças dentro .
Sobre a descoberta de ataques à rede PT
Identificaremos o uso de técnicas da matriz ATT & CK utilizando o sistema — Sistema NTA da Positive Technologies, projetado para detectar ataques no perímetro e dentro da rede. O PT NAD cobre, em vários graus, todas as 12 táticas da matriz MITRE ATT&CK. Ele é mais poderoso na identificação de técnicas de acesso inicial, movimento lateral e comando e controle. Neles, o PT NAD abrange mais de metade das técnicas conhecidas, detectando a sua aplicação por sinais diretos ou indiretos.
O sistema detecta ataques usando técnicas ATT&CK usando regras de detecção criadas pela equipe (PT ESC), machine learning, indicadores de comprometimento, deep analytics e análise retrospectiva. A análise de tráfego em tempo real, combinada com a retrospectiva, permite identificar atividades maliciosas ocultas atuais e rastrear vetores de desenvolvimento e cronologia de ataque.
mapeamento completo de PT NAD para matriz MITRE ATT&CK. A imagem é grande, por isso sugerimos que você a considere em uma janela separada.
Acesso inicial
As táticas de acesso inicial incluem técnicas para penetrar na rede de uma empresa. O objetivo dos invasores nesta fase é entregar código malicioso ao sistema atacado e garantir a possibilidade de sua execução posterior.
A análise de tráfego PT NAD revela sete técnicas para obter acesso inicial:
1. : compromisso drive-by
Técnica em que a vítima abre um site que é usado pelos invasores para explorar o navegador da Web e obter tokens de acesso ao aplicativo.
O que o PT NAD faz?: Se o tráfego da web não estiver criptografado, o PT NAD inspeciona o conteúdo das respostas do servidor HTTP. É nessas respostas que são encontradas explorações que permitem que invasores executem código arbitrário dentro do navegador. O PT NAD detecta automaticamente tais explorações usando regras de detecção.
Além disso, o PT NAD detecta a ameaça na etapa anterior. Regras e indicadores de comprometimento são acionados se o usuário visitar um site que o redirecionou para um site com vários exploits.
2. : explorar aplicativos voltados ao público
Exploração de vulnerabilidades em serviços acessíveis pela Internet.
O que o PT NAD faz?: realiza uma inspeção profunda do conteúdo dos pacotes de rede, identificando sinais de atividade anômala. Em particular, existem regras que permitem detectar ataques aos principais sistemas de gerenciamento de conteúdo (CMS), interfaces web de equipamentos de rede e ataques a servidores de correio e FTP.
3. : serviços remotos externos
Os invasores usam serviços de acesso remoto para se conectarem externamente a recursos de rede internos.
O que o PT NAD faz?: como o sistema reconhece os protocolos não pelos números das portas, mas pelo conteúdo dos pacotes, os usuários do sistema podem filtrar o tráfego de forma a encontrar todas as sessões dos protocolos de acesso remoto e verificar sua legitimidade.
4. : anexo de caça submarina
Estamos falando do notório envio de anexos de phishing.
O que o PT NAD faz?: extrai automaticamente arquivos do tráfego e os verifica em relação a indicadores de comprometimento. Arquivos executáveis em anexos são detectados por regras que analisam o conteúdo do tráfego de correio. Num ambiente corporativo, tal investimento é considerado anômalo.
5. : link de spearphishing
Usando links de phishing. A técnica envolve invasores enviando um e-mail de phishing com um link que, ao ser clicado, baixa um programa malicioso. Via de regra, o link vem acompanhado de um texto elaborado de acordo com todas as normas da engenharia social.
O que o PT NAD faz?: detecta links de phishing usando indicadores de comprometimento. Por exemplo, na interface PT NAD, vemos uma sessão em que houve uma ligação HTTP através de um link incluído na lista de endereços de phishing (phishing-urls).
Conexão por meio de um link da lista de indicadores de URLs de phishing comprometidos
6. : relação de confiança
Acesso à rede da vítima através de terceiros com quem a vítima tenha estabelecido uma relação de confiança. Os invasores podem hackear uma organização confiável e conectar-se à rede alvo por meio dela. Para isso, utilizam conexões VPN ou domínios confiáveis, que podem ser identificados por meio de análise de tráfego.
O que o PT NAD faz?: analisa protocolos de aplicativos e salva os campos analisados no banco de dados, para que um analista de segurança da informação possa usar filtros para localizar todas as conexões VPN suspeitas ou conexões entre domínios no banco de dados.
7. : contas válidas
Usando credenciais padrão, locais ou de domínio para autorização em serviços externos e internos.
O que o PT NAD faz?: recupera automaticamente credenciais dos protocolos HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Em geral, este é um login, senha e um sinal de autenticação bem-sucedida. Se tiverem sido utilizados, serão exibidos no cartão de sessão correspondente.
Execução
As táticas de execução incluem técnicas que os invasores usam para executar código em sistemas comprometidos. A execução de código malicioso ajuda os invasores a estabelecer uma presença (tática de persistência) e a expandir o acesso a sistemas remotos na rede, movendo-se dentro do perímetro.
O PT NAD permite detectar a utilização de 14 técnicas utilizadas pelos invasores para executar códigos maliciosos.
1. : CMSTP (instalador de perfil do Microsoft Connection Manager)
Uma tática na qual os invasores preparam um arquivo de instalação .inf malicioso especialmente criado para o utilitário interno CMSTP.exe do Windows (Connection Manager Profile Installer). CMSTP.exe usa um arquivo como parâmetro e instala um perfil de serviço para a conexão remota. Como resultado, CMSTP.exe pode ser usado para baixar e executar bibliotecas de vínculo dinâmico (*.dll) ou scriptlets (*.sct) de servidores remotos.
O que o PT NAD faz?: detecta automaticamente a transmissão de arquivos .inf de formato especial no tráfego HTTP. Além disso, ele detecta transferências HTTP de scriptlets maliciosos e bibliotecas de links dinâmicos de um servidor remoto.
2. : interface da Linha de comando
Interação com a interface de linha de comando. A interface de linha de comando pode ser interagida local ou remotamente, por exemplo, usando utilitários de acesso remoto.
O que o PT NAD faz?: detecta automaticamente a presença de shells por meio de respostas a comandos para iniciar vários utilitários de linha de comando, como ping, ifconfig.
3. : modelo de objeto componente e COM distribuído
Uso de tecnologias COM ou DCOM para executar código em sistemas locais ou remotos enquanto se move pela rede.
O que o PT NAD faz?: detecta chamadas DCOM suspeitas que os invasores normalmente usam para iniciar programas.
4. : exploração para execução do cliente
Exploração de vulnerabilidades para executar código arbitrário em uma estação de trabalho. As explorações mais úteis para os invasores são aquelas que permitem a execução de código em um sistema remoto, pois podem permitir que os invasores obtenham acesso a esse sistema. A técnica pode ser implementada usando os seguintes métodos: correspondência maliciosa, um site com explorações de navegador e exploração remota de vulnerabilidades de aplicativos.
O que o PT NAD faz?: Ao analisar o tráfego de correio, o PT NAD verifica a presença de arquivos executáveis em anexos. Extrai automaticamente documentos do Office de e-mails que podem conter explorações. As tentativas de exploração de vulnerabilidades são visíveis no tráfego, que o PT NAD detecta automaticamente.
5. : mshta
Usando o utilitário mshta.exe, que executa aplicativos HTML da Microsoft (HTA) com uma extensão .hta. Como o mshta processa arquivos ignorando as configurações de segurança do navegador, os invasores podem usar o mshta.exe para executar arquivos HTA, JavaScript ou VBScript maliciosos.
O que o PT NAD faz?: arquivos .hta para execução por meio de mshta também são transmitidos pela rede - isso pode ser visto no tráfego. O PT NAD detecta automaticamente a transmissão desses arquivos maliciosos. Ele captura arquivos e informações sobre eles podem ser visualizadas no cartão de sessão.
6. : PowerShell
Usando o PowerShell para encontrar informações e executar códigos maliciosos.
O que o PT NAD faz?: Quando o PowerShell é usado por invasores remotos, o PT NAD detecta isso usando regras. Ele detecta palavras-chave da linguagem PowerShell que são usadas com mais frequência em scripts maliciosos e na transmissão de scripts do PowerShell pelo protocolo SMB.
7. : tarefa agendada
Use o Agendador de Tarefas do Windows e outros utilitários para executar programas ou scripts automaticamente em horários específicos.
O que o PT NAD faz?: os invasores criam essas tarefas, geralmente remotamente, o que significa que tais sessões são visíveis no tráfego. O PT NAD detecta automaticamente operações suspeitas de criação e modificação de tarefas usando as interfaces ATSVC e ITaskSchedulerService RPC.
8. : script
Execução de scripts para automatizar diversas ações de invasores.
O que o PT NAD faz?: detecta a transmissão de scripts pela rede, ou seja, antes mesmo de serem lançados. Ele detecta conteúdo de script no tráfego bruto e detecta transmissão de arquivos em rede com extensões correspondentes a linguagens de script populares.
9. : execução de serviço
Execute um arquivo executável, instruções CLI ou script interagindo com serviços do Windows, como o Service Control Manager (SCM).
O que o PT NAD faz?: inspeciona o tráfego SMB e detecta solicitações ao SCM por meio de regras para criar, modificar e iniciar um serviço.
A técnica de inicialização do serviço pode ser implementada usando o utilitário de execução remota de comandos PSExec. PT NAD analisa o protocolo SMB e detecta o uso de PSExec quando usa o arquivo PSEXESVC.exe ou o nome de serviço PSEXECSVC padrão para executar código em uma máquina remota. O usuário precisa verificar a lista de comandos executados e a legitimidade da execução remota de comandos do host.
A carta de ataque no PT NAD apresenta dados sobre as táticas e técnicas utilizadas pela matriz ATT&CK para que o utilizador possa perceber em que fase do ataque se encontram os atacantes, quais os objetivos que perseguem e quais as medidas compensatórias a tomar.
Ativação da regra sobre o uso do utilitário PSExec, que pode indicar tentativa de execução de comandos em máquina remota
10. : Software de terceiros
Uma técnica na qual os invasores obtêm acesso a software de administração remota ou a um sistema de implantação de software corporativo e os utilizam para executar código malicioso. Exemplos de tais softwares: SCCM, VNC, TeamViewer, HBSS, Altiris.
A propósito, a técnica é especialmente relevante em conexão com a transição massiva para o trabalho remoto e, como resultado, a conexão de vários dispositivos domésticos desprotegidos por meio de canais de acesso remoto duvidosos.
O que o PT NAD faz?: detecta automaticamente a operação desse software na rede. Por exemplo, as regras são acionadas por conexões via protocolo VNC e pela atividade do Trojan EvilVNC, que instala secretamente um servidor VNC no host da vítima e o inicia automaticamente. Além disso, o PT NAD detecta automaticamente o protocolo TeamViewer, o que ajuda o analista, por meio de um filtro, a encontrar todas essas sessões e verificar sua legitimidade.
11. : execução do usuário
Uma técnica na qual o usuário executa arquivos que podem fazer com que o código seja executado. Isso pode acontecer, por exemplo, se ele abrir um arquivo executável ou executar um documento do Office com uma macro.
O que o PT NAD faz?: vê esses arquivos na fase de transferência, antes de serem iniciados. Informações sobre eles podem ser estudadas na ficha das sessões em que foram transmitidos.
12. : Instrumentação de gerenciamento do Windows
Utilização da ferramenta WMI, que fornece acesso local e remoto aos componentes do sistema Windows. Usando o WMI, os invasores podem interagir com sistemas locais e remotos e realizar diversas tarefas, como coletar informações para fins de reconhecimento e iniciar processos remotamente enquanto se movem lateralmente.
O que o PT NAD faz?: Como as interações com sistemas remotos via WMI são visíveis no tráfego, o PT NAD detecta automaticamente solicitações de rede para estabelecer sessões WMI e verifica o tráfego em busca de scripts que usam WMI.
13. : Gerenciamento Remoto do Windows
Usando um serviço e protocolo do Windows que permite ao usuário interagir com sistemas remotos.
O que o PT NAD faz?: vê conexões de rede estabelecidas usando o Gerenciamento Remoto do Windows. Essas sessões são detectadas automaticamente pelas regras.
14. : Processamento de script XSL (Extensible Stylesheet Language)
A linguagem de marcação de estilo XSL é usada para descrever o processamento e renderização de dados em arquivos XML. Para suportar operações complexas, o padrão XSL inclui suporte para scripts embutidos em vários idiomas. Essas linguagens permitem a execução de código arbitrário, que contorna as políticas de segurança da lista de permissões.
O que o PT NAD faz?: detecta a transmissão desses arquivos pela rede, ou seja, antes mesmo de serem lançados. Ele detecta automaticamente a transmissão de arquivos XSL pela rede e arquivos com marcação XSL anômala.
Nos materiais a seguir, veremos como o sistema PT Network Attack Discovery NTA encontra outras táticas e técnicas do invasor de acordo com MITRE ATT&CK. Fique atento!
Autores:
- Anton Kutepov, especialista do centro especializado em segurança (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, comerciante de produtos da Positive Technologies
Fonte: habr.com