, majoritatea (87%) incidentelor de securitate a informațiilor au loc în câteva minute, iar pentru 68% dintre companii este nevoie de luni pentru a le detecta. Acest lucru este confirmat de , conform căreia majoritatea organizațiilor durează în medie 206 zile pentru a detecta un incident. Pe baza experienței investigațiilor noastre, hackerii pot controla infrastructura unei companii ani de zile fără a fi detectați. Astfel, într-una dintre organizațiile în care experții noștri au investigat un incident de securitate a informațiilor, a fost dezvăluit că hackerii controlau complet întreaga infrastructură a organizației și furau în mod regulat informații importante. .
Să presupunem că aveți deja un SIEM care rulează, care colectează jurnalele și analizează evenimentele, iar software-ul antivirus este instalat pe nodurile finale. Cu toate acestea, , la fel cum este imposibilă implementarea sistemelor EDR în întreaga rețea, ceea ce înseamnă că punctele „oarbe” nu pot fi evitate. Sistemele de analiză a traficului de rețea (NTA) ajută la rezolvarea acestora. Aceste soluții detectează activitatea atacatorului în primele etape ale pătrunderii în rețea, precum și în timpul încercărilor de a obține un punct de sprijin și de a dezvolta un atac în cadrul rețelei.
Există două tipuri de NTA: unele lucrează cu NetFlow, altele analizează traficul brut. Avantajul celui de-al doilea sistem este că pot stoca înregistrări brute de trafic. Datorită acestui fapt, un specialist în securitatea informațiilor poate verifica succesul atacului, poate localiza amenințarea, poate înțelege cum a avut loc atacul și cum să prevină unul similar în viitor.
Vom arăta cum, folosind NTA, puteți utiliza dovezi directe sau indirecte pentru a identifica toate tacticile de atac cunoscute descrise în baza de cunoștințe . Vom vorbi despre fiecare dintre cele 12 tactici, vom analiza tehnicile care sunt detectate de trafic și vom demonstra detectarea lor folosind sistemul nostru NTA.
Despre baza de cunoștințe ATT&CK
MITRE ATT&CK este o bază de cunoștințe publice dezvoltată și întreținută de MITRE Corporation, bazată pe analiza APT-urilor din lumea reală. Este un set structurat de tactici și tehnici folosite de atacatori. Acest lucru permite profesioniștilor în securitatea informațiilor din întreaga lume să vorbească aceeași limbă. Baza de date este în continuă extindere și completată cu noi cunoștințe.
Baza de date identifică 12 tactici, care sunt împărțite pe etape ale unui atac cibernetic:
- acces inițial;
- execuţie;
- consolidare (persistență);
- Privilegiul escaladării;
- prevenirea detectării (evaziunea apărării);
- obținerea acreditărilor (acces la acreditări);
- explorare;
- mișcare în perimetru (mișcare laterală);
- colectarea (colectarea) datelor;
- comanda si control;
- exfiltrarea datelor;
- impact.
Pentru fiecare tactică, baza de cunoștințe ATT&CK listează o listă de tehnici care ajută atacatorii să-și atingă obiectivul în stadiul actual al atacului. Deoarece aceeași tehnică poate fi utilizată în diferite etape, se poate referi la mai multe tactici.
Descrierea fiecărei tehnici include:
- identificator;
- o listă de tactici în care este folosit;
- exemple de utilizare de către grupurile APT;
- măsuri de reducere a daunelor cauzate de utilizarea acestuia;
- recomandari de detectare.
Specialiștii în securitatea informațiilor pot folosi cunoștințele din baza de date pentru a structura informații despre metodele actuale de atac și, ținând cont de acest lucru, pentru a construi un sistem de securitate eficient. Înțelegerea modului în care funcționează grupurile reale APT poate deveni, de asemenea, o sursă de ipoteze pentru căutarea proactivă a amenințărilor în interiorul .
Despre PT Network Attack Discovery
Vom identifica utilizarea tehnicilor din matricea ATT&CK folosind sistemul — Sistem NTA Positive Technologies, conceput pentru a detecta atacurile pe perimetru și în interiorul rețelei. PT NAD acoperă, în grade diferite, toate cele 12 tactici ale matricei MITRE ATT&CK. El este cel mai puternic în identificarea tehnicilor de acces inițial, mișcare laterală și comandă și control. În acestea, PT NAD acoperă mai mult de jumătate din tehnicile cunoscute, detectând aplicarea acestora prin semne directe sau indirecte.
Sistemul detectează atacurile folosind tehnici ATT&CK folosind regulile de detectare create de echipă (PT ESC), învățare automată, indicatori de compromis, analiză profundă și analiză retrospectivă. Analiza traficului în timp real, combinată cu o retrospectivă, vă permite să identificați activitatea rău intenționată ascunsă și să urmăriți vectorii de dezvoltare și cronologia atacurilor.
maparea completă a matricei PT NAD la MITRE ATT&CK. Poza este mare, așa că vă sugerăm să o vizualizați într-o fereastră separată.
Acces inițial
Tacticile inițiale de acces includ tehnici pentru a pătrunde în rețeaua unei companii. Scopul atacatorilor în această etapă este să livreze cod rău intenționat sistemului atacat și să asigure posibilitatea execuției ulterioare a acestuia.
Analiza traficului de la PT NAD dezvăluie șapte tehnici pentru obținerea accesului inițial:
1. : compromis de conducere
O tehnică prin care victima deschide un site web care este folosit de atacatori pentru a exploata browserul web și a obține jetoane de acces la aplicații.
Ce face PT NAD?: Dacă traficul web nu este criptat, PT NAD inspectează conținutul răspunsurilor serverului HTTP. Aceste răspunsuri conțin exploit-uri care permit atacatorilor să execute cod arbitrar în browser. PT NAD detectează automat astfel de exploatări folosind reguli de detectare.
În plus, PT NAD detectează amenințarea în pasul anterior. Regulile și indicatorii de compromis sunt declanșați dacă utilizatorul a vizitat un site care l-a redirecționat către un site cu o grămadă de exploit-uri.
2. : exploatează aplicația publică
Exploatarea vulnerabilităților în serviciile care sunt accesibile de pe Internet.
Ce face PT NAD?: Efectuează o inspecție profundă a conținutului pachetelor de rețea, identificând semne de activitate anormală. În special, există reguli care vă permit să detectați atacuri asupra sistemelor majore de management al conținutului (CMS), interfețe web ale echipamentelor de rețea și atacuri asupra serverelor de e-mail și FTP.
3. : servicii externe la distanță
Atacatorii folosesc servicii de acces la distanță pentru a se conecta la resursele rețelei interne din exterior.
Ce face PT NAD?: deoarece sistemul recunoaște protocoalele nu după numerele de port, ci după conținutul pachetelor, utilizatorii sistemului pot filtra traficul pentru a găsi toate sesiunile de protocoale de acces la distanță și a verifica legitimitatea acestora.
4. : atașament de spearphishing
Vorbim despre trimiterea notorie de atașamente de tip phishing.
Ce face PT NAD?: extrage automat fișierele din trafic și le verifică cu indicatorii de compromis. Fișierele executabile din atașamente sunt detectate de reguli care analizează conținutul traficului de e-mail. Într-un mediu corporativ, o astfel de investiție este considerată anormală.
5. : link de spearphishing
Utilizarea link-urilor de phishing. Tehnica implică atacatorii care trimit un e-mail de phishing cu un link care, atunci când se dă clic, descarcă un program rău intenționat. De regulă, linkul este însoțit de un text compilat în conformitate cu toate regulile de inginerie socială.
Ce face PT NAD?: detectează legăturile de phishing folosind indicatori de compromis. De exemplu, în interfața PT NAD vedem o sesiune în care a existat o conexiune HTTP printr-un link inclus în lista de adrese de phishing (phishing-urls).
Conexiune printr-un link din lista de indicatori de compromis pentru phishing-urls
6. : relație de încredere
Accesul la rețeaua victimei prin terți cu care victima a stabilit o relație de încredere. Atacatorii pot sparge o organizație de încredere și se pot conecta la rețeaua țintă prin intermediul acesteia. Pentru a face acest lucru, folosesc conexiuni VPN sau trusturi de domeniu, care pot fi identificate prin analiza traficului.
Ce face PT NAD?: analizează protocoalele de aplicație și salvează câmpurile analizate în baza de date, astfel încât un analist de securitate a informațiilor să poată folosi filtre pentru a găsi toate conexiunile VPN suspecte sau conexiunile între domenii în baza de date.
7. : conturi valide
Utilizarea acreditărilor standard, locale sau de domeniu pentru autorizarea serviciilor externe și interne.
Ce face PT NAD?: Preia automat acreditările din protocoalele HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. În general, aceasta este o autentificare, o parolă și un semn de autentificare reușită. Dacă au fost utilizate, acestea sunt afișate în cardul de sesiune corespunzător.
Execuţie
Tacticile de execuție includ tehnici pe care atacatorii le folosesc pentru a executa cod pe sisteme compromise. Rularea codului rău intenționat îi ajută pe atacatori să stabilească o prezență (tactica de persistență) și să extindă accesul la sistemele de la distanță din rețea prin deplasarea în interiorul perimetrului.
PT NAD vă permite să detectați utilizarea a 14 tehnici folosite de atacatori pentru a executa cod rău intenționat.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
O tactică în care atacatorii pregătesc un fișier INF special de instalare rău intenționată pentru utilitarul Windows încorporat CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe ia fișierul ca parametru și instalează profilul de serviciu pentru conexiunea la distanță. Ca rezultat, CMSTP.exe poate fi folosit pentru a încărca și executa biblioteci de link-uri dinamice (*.dll) sau scriptlet-uri (*.sct) de la servere la distanță.
Ce face PT NAD?: detectează automat transferul de tipuri speciale de fișiere INF în traficul HTTP. În plus, detectează transmisia HTTP de scriptlet-uri rău intenționate și biblioteci de link-uri dinamice de la un server la distanță.
2. : Linia de comandă
Interacțiunea cu interfața liniei de comandă. Interfața de linie de comandă poate fi interacționată local sau de la distanță, de exemplu folosind utilități de acces la distanță.
Ce face PT NAD?: detectează automat prezența shell-urilor pe baza răspunsurilor la comenzi pentru a lansa diverse utilitare din linia de comandă, cum ar fi ping, ifconfig.
3. : model obiect component și COM distribuit
Utilizarea tehnologiilor COM sau DCOM pentru a executa cod pe sisteme locale sau la distanță în timp ce vă deplasați într-o rețea.
Ce face PT NAD?: detectează apelurile DCOM suspecte pe care atacatorii le folosesc de obicei pentru a lansa programe.
4. : exploatare pentru executarea clientului
Exploatarea vulnerabilităților pentru a executa cod arbitrar pe o stație de lucru. Cele mai utile exploit-uri pentru atacatori sunt cele care permit executarea codului pe un sistem de la distanță, deoarece pot permite atacatorilor să obțină acces la acel sistem. Tehnica poate fi implementată folosind următoarele metode: corespondență rău intenționată, un site web cu exploatări ale browserului și exploatarea de la distanță a vulnerabilităților aplicațiilor.
Ce face PT NAD?: Când analizează traficul de e-mail, PT NAD verifică prezența fișierelor executabile în atașamente. Extrage automat documente de birou din e-mailuri care pot conține exploit-uri. Încercările de exploatare a vulnerabilităților sunt vizibile în trafic, pe care PT NAD le detectează automat.
5. : mshta
Utilizați utilitarul mshta.exe, care rulează aplicații Microsoft HTML (HTA) cu extensia .hta. Deoarece mshta procesează fișiere ocolind setările de securitate ale browserului, atacatorii pot folosi mshta.exe pentru a executa fișiere rău intenționate HTA, JavaScript sau VBScript.
Ce face PT NAD?: Fișierele .hta pentru execuție prin mshta sunt transmise și prin rețea - acest lucru se vede în trafic. PT NAD detectează automat transferul unor astfel de fișiere rău intenționate. Captează fișiere, iar informațiile despre acestea pot fi vizualizate în cardul de sesiune.
6. : PowerShell
Utilizarea PowerShell pentru a găsi informații și a executa cod rău intenționat.
Ce face PT NAD?: Când PowerShell este folosit de atacatori la distanță, PT NAD detectează acest lucru folosind reguli. Detectează cuvintele cheie în limbajul PowerShell care sunt cel mai des folosite în scripturile rău intenționate și transmiterea scripturilor PowerShell prin protocolul SMB.
7. : activitate programata
Utilizarea Windows Task Scheduler și alte utilitare pentru a rula automat programe sau scripturi la anumite momente.
Ce face PT NAD?: atacatorii creează astfel de sarcini, de obicei de la distanță, ceea ce înseamnă că astfel de sesiuni sunt vizibile în trafic. PT NAD detectează automat operațiunile de creare și modificare a sarcinilor suspecte folosind interfețele RPC ATSVC și ITaskSchedulerService.
8. : scripting
Executarea de scripturi pentru automatizarea diferitelor acțiuni ale atacatorilor.
Ce face PT NAD?: detectează transmiterea scripturilor prin rețea, adică chiar înainte de a fi lansate. Detectează conținutul de script în traficul brut și detectează transmisia în rețea a fișierelor cu extensii corespunzătoare limbajelor de scripting populare.
9. : executarea serviciului
Rulați un fișier executabil, instrucțiuni de interfață de linie de comandă sau script interacționând cu serviciile Windows, cum ar fi Service Control Manager (SCM).
Ce face PT NAD?: inspectează traficul SMB și detectează accesul la SCM cu reguli pentru crearea, modificarea și pornirea unui serviciu.
Tehnica de pornire a serviciului poate fi implementată folosind utilitarul de execuție a comenzilor de la distanță PSExec. PT NAD analizează protocolul SMB și detectează utilizarea PSExec atunci când folosește fișierul PSEXESVC.exe sau numele serviciului standard PSEXECSVC pentru a executa codul pe o mașină la distanță. Utilizatorul trebuie să verifice lista comenzilor executate și legitimitatea executării comenzilor de la distanță de la gazdă.
Cardul de atac din PT NAD afișează date despre tacticile și tehnicile utilizate conform matricei ATT&CK, astfel încât utilizatorul să poată înțelege în ce stadiu al atacului se află atacatorii, ce obiective urmăresc și ce măsuri compensatorii trebuie să ia.
Este declanșată regula despre utilizarea utilitarului PSExec, ceea ce poate indica o încercare de a executa comenzi pe o mașină la distanță
10. : software terță parte
O tehnică prin care atacatorii obțin acces la software de administrare de la distanță sau la un sistem de implementare a software-ului corporativ și îl folosesc pentru a rula cod rău intenționat. Exemple de astfel de software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Apropo, tehnica este deosebit de relevantă în legătură cu tranziția masivă la munca de la distanță și, ca urmare, conectarea a numeroase dispozitive de acasă neprotejate prin canale de acces la distanță dubioase.
Ce face PT NAD?: detectează automat funcționarea unui astfel de software în rețea. De exemplu, regulile sunt declanșate de conexiunile prin protocolul VNC și de activitatea troianului EvilVNC, care instalează în secret un server VNC pe gazda victimei și îl lansează automat. De asemenea, PT NAD detectează automat protocolul TeamViewer, acest lucru îl ajută pe analist, folosind un filtru, să găsească toate astfel de sesiuni și să le verifice legitimitatea.
11. : executarea utilizatorului
O tehnică în care utilizatorul rulează fișiere care pot duce la executarea codului. Acest lucru ar putea fi, de exemplu, dacă deschide un fișier executabil sau rulează un document Office cu o macrocomandă.
Ce face PT NAD?: vede astfel de fișiere în faza de transfer, înainte de a fi lansate. Informațiile despre ele pot fi studiate în fișa ședințelor în care au fost transmise.
12. : Windows Management Instrumentation
Utilizarea instrumentului WMI, care oferă acces local și de la distanță la componentele sistemului Windows. Folosind WMI, atacatorii pot interacționa cu sistemele locale și de la distanță și pot efectua o varietate de sarcini, cum ar fi colectarea de informații în scopuri de recunoaștere și lansarea proceselor de la distanță în timp ce se deplasează lateral.
Ce face PT NAD?: Deoarece interacțiunile cu sistemele de la distanță prin WMI sunt vizibile în trafic, PT NAD detectează automat solicitările de rețea pentru a stabili sesiuni WMI și verifică traficul pentru scripturi care utilizează WMI.
13. : Windows Remote Management
Utilizarea unui serviciu și protocol Windows care permite utilizatorului să interacționeze cu sistemele de la distanță.
Ce face PT NAD?: vede conexiunile de rețea stabilite folosind Windows Remote Management. Astfel de sesiuni sunt detectate automat de reguli.
14. : procesare script XSL (Extensible Stylesheet Language).
Limbajul de marcare în stil XSL este folosit pentru a descrie procesarea și vizualizarea datelor în fișiere XML. Pentru a suporta operațiuni complexe, standardul XSL include suport pentru scripturi încorporate în diferite limbi. Aceste limbaje permit executarea unui cod arbitrar, ceea ce duce la ocolirea politicilor de securitate bazate pe liste albe.
Ce face PT NAD?: detectează transferul unor astfel de fișiere prin rețea, adică chiar înainte de a fi lansate. Detectează automat fișierele XSL transmise prin rețea și fișierele cu marcaj XSL anormal.
În materialele următoare, vom analiza modul în care sistemul PT Network Attack Discovery NTA găsește alte tactici și tehnici ale atacatorului în conformitate cu MITRE ATT&CK. Rămâneţi aproape!
Autori:
- Anton Kutepov, specialist la Centrul de securitate PT Expert, Tehnologii pozitive
- Natalia Kazankova, marketer de produse la Positive Technologies
Sursa: www.habr.com