Väčšina (87 %) incidentov informačnej bezpečnosti sa vyskytne v priebehu niekoľkých minút a 68 % spoločností trvá ich odhalenie mesiace. Toto potvrdzuje , podľa ktorej väčšine organizácií trvá odhalenie incidentu v priemere 206 dní. Na základe skúseností z našich vyšetrovaní môžu hackeri kontrolovať infraštruktúru spoločnosti roky bez toho, aby boli odhalení. V jednej z organizácií, kde naši experti vyšetrovali incident v oblasti informačnej bezpečnosti, sa tak ukázalo, že hackeri úplne ovládali celú infraštruktúru organizácie a pravidelne kradli dôležité informácie. .
Povedzme, že už máte spustený SIEM, ktorý zhromažďuje protokoly a analyzuje udalosti, a na koncových uzloch je nainštalovaný antivírusový softvér. napriek tomu , rovnako ako nie je možné implementovať EDR systémy v celej sieti, čo znamená, že sa nedá vyhnúť „slepým“ bodom. Systémy analýzy sieťovej prevádzky (NTA) im pomáhajú vysporiadať sa s nimi. Tieto riešenia detegujú aktivitu útočníkov v najskorších štádiách prieniku do siete, ako aj počas pokusov získať oporu a vyvinúť útok v rámci siete.
Existujú dva typy NTA: niektoré pracujú s NetFlow, iné analyzujú surovú návštevnosť. Výhodou druhých systémov je, že môžu uchovávať surové záznamy o návštevnosti. Špecialista na informačnú bezpečnosť si vďaka tomu môže overiť úspešnosť útoku, lokalizovať hrozbu, pochopiť, ako k útoku došlo a ako podobnému v budúcnosti predísť.
Ukážeme, ako pomocou NTA môžete použiť priame alebo nepriame dôkazy na identifikáciu všetkých známych taktík útoku popísaných v databáze znalostí . Porozprávame sa o každej z 12 taktík, analyzujeme techniky, ktoré sú detekované premávkou, a demonštrujeme ich detekciu pomocou nášho systému NTA.
O znalostnej báze ATT&CK
MITER ATT&CK je verejná vedomostná základňa vyvinutá a udržiavaná spoločnosťou MITER Corporation na základe analýzy APT v reálnom svete. Ide o štruktúrovaný súbor taktík a techník používaných útočníkmi. To umožňuje odborníkom na informačnú bezpečnosť z celého sveta hovoriť rovnakým jazykom. Databáza sa neustále rozširuje a dopĺňa o nové poznatky.
Databáza identifikuje 12 taktík, ktoré sú rozdelené podľa štádií kybernetického útoku:
- počiatočný prístup;
- exekúcia;
- konsolidácia (pretrvávanie);
- eskalácia privilégií;
- zabránenie odhaleniu (obranný únik);
- získanie poverení (prístup k povereniu);
- prieskum;
- pohyb v rámci obvodu (bočný pohyb);
- zber údajov (zber);
- velenie a riadenie;
- exfiltrácia údajov;
- vplyv.
Pre každú taktiku je v znalostnej báze ATT&CK uvedený zoznam techník, ktoré pomáhajú útočníkom dosiahnuť ich cieľ v aktuálnej fáze útoku. Keďže rovnaká technika môže byť použitá v rôznych fázach, môže sa vzťahovať na niekoľko taktík.
Popis každej techniky zahŕňa:
- identifikátor;
- zoznam taktiky, v ktorej sa používa;
- príklady použitia skupinami APT;
- opatrenia na zníženie škôd spôsobených jeho používaním;
- odporúčania na detekciu.
Špecialisti na informačnú bezpečnosť môžu využiť poznatky z databázy na štruktúrovanie informácií o súčasných metódach útoku a s prihliadnutím na to vybudovať efektívny bezpečnostný systém. Pochopenie toho, ako fungujú skutočné skupiny APT, sa tiež môže stať zdrojom hypotéz pre proaktívne vyhľadávanie hrozieb vo vnútri .
O PT Network Attack Discovery
Pomocou systému identifikujeme použitie techník z matice ATT&CK — Positive Technologies NTA systém určený na detekciu útokov na perimetri a vo vnútri siete. PT NAD pokrýva v rôznej miere všetkých 12 taktík matice MITER ATT&CK. Je najsilnejší v identifikácii techník počiatočného prístupu, bočného pohybu a velenia a kontroly. V nich PT NAD pokrýva viac ako polovicu známych techník, pričom ich aplikáciu zisťuje priamymi alebo nepriamymi znakmi.
Systém detekuje útoky pomocou techník ATT&CK pomocou detekčných pravidiel vytvorených tímom (PT ESC), strojové učenie, indikátory kompromisu, hĺbková analytika a retrospektívna analýza. Analýza návštevnosti v reálnom čase v kombinácii s retrospektívou vám umožňuje identifikovať súčasnú skrytú zákernú aktivitu a sledovať vývojové vektory a chronológiu útokov.
úplné mapovanie PT NAD na maticu MITER ATT&CK. Obrázok je veľký, preto vám ho odporúčame zobraziť v samostatnom okne.
Počiatočný prístup
Počiatočná prístupová taktika zahŕňa techniky preniknutia do firemnej siete. Cieľom útočníkov v tejto fáze je doručiť do napadnutého systému škodlivý kód a zabezpečiť možnosť jeho ďalšieho spustenia.
Analýza návštevnosti od PT NAD odhaľuje sedem techník na získanie počiatočného prístupu:
1. : kompromis pri jazde
Technika, pri ktorej obeť otvorí webovú stránku, ktorú útočníci používajú na zneužitie webového prehliadača a získanie prístupových tokenov aplikácie.
Čo robí PT NAD?: Ak webová prevádzka nie je šifrovaná, PT NAD skontroluje obsah odpovedí HTTP servera. Tieto odpovede obsahujú exploity, ktoré umožňujú útočníkom spustiť ľubovoľný kód v prehliadači. PT NAD automaticky deteguje takéto zneužitia pomocou pravidiel detekcie.
Okrem toho PT NAD deteguje hrozbu v predchádzajúcom kroku. Pravidlá a indikátory kompromisu sa spustia, ak používateľ navštívil stránku, ktorá ho presmerovala na stránku s množstvom exploitov.
2. : využívať verejne prístupnú aplikáciu
Využitie slabých miest v službách, ktoré sú dostupné z internetu.
Čo robí PT NAD?: Vykonáva hĺbkovú kontrolu obsahu sieťových paketov, pričom identifikuje znaky anomálnej aktivity. Ide najmä o pravidlá, ktoré umožňujú odhaliť útoky na hlavné redakčné systémy (CMS), webové rozhrania sieťových zariadení a útoky na poštové a FTP servery.
3. : externé vzdialené služby
Útočníci využívajú služby vzdialeného prístupu na pripojenie k interným sieťovým zdrojom zvonku.
Čo robí PT NAD?: keďže systém rozpoznáva protokoly nie podľa čísel portov, ale podľa obsahu paketov, používatelia systému môžu filtrovať prevádzku, aby našli všetky relácie protokolov vzdialeného prístupu a skontrolovali ich legitimitu.
4. : spearphishingová príloha
Hovoríme o notoricky známom odosielaní phishingových príloh.
Čo robí PT NAD?: Automaticky extrahuje súbory z prevádzky a porovná ich s indikátormi kompromisu. Spustiteľné súbory v prílohách zisťujú pravidlá, ktoré analyzujú obsah poštovej prevádzky. V podnikovom prostredí sa takáto investícia považuje za anomálnu.
5. : spearphishingový odkaz
Používanie phishingových odkazov. Technika spočíva v tom, že útočníci posielajú phishingový e-mail s odkazom, ktorý po kliknutí stiahne škodlivý program. Odkaz je spravidla sprevádzaný textom zostaveným v súlade so všetkými pravidlami sociálneho inžinierstva.
Čo robí PT NAD?: Zisťuje phishingové odkazy pomocou indikátorov kompromisu. Napríklad v rozhraní PT NAD vidíme reláciu, v ktorej došlo k pripojeniu HTTP cez odkaz uvedený v zozname phishingových adries (phishing-url).
Pripojenie cez odkaz zo zoznamu indikátorov kompromitujúcich phishingových adries URL
6. : dôveryhodný vzťah
Prístup k sieti obete prostredníctvom tretích strán, s ktorými si obeť vytvorila dôveryhodný vzťah. Útočníci môžu hacknúť dôveryhodnú organizáciu a cez ňu sa pripojiť k cieľovej sieti. Na tento účel používajú pripojenia VPN alebo dôveryhodnosti domény, ktoré možno identifikovať pomocou analýzy návštevnosti.
Čo robí PT NAD?: analyzuje aplikačné protokoly a ukladá analyzované polia do databázy, takže analytik informačnej bezpečnosti môže použiť filtre na nájdenie všetkých podozrivých pripojení VPN alebo pripojení medzi doménami v databáze.
7. : platné účty
Používanie štandardných, miestnych alebo doménových poverení na autorizáciu externých a interných služieb.
Čo robí PT NAD?: Automaticky získava prihlasovacie údaje z protokolov HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Vo všeobecnosti ide o prihlasovacie meno, heslo a znak úspešnej autentifikácie. Ak boli použité, zobrazia sa na príslušnej karte relácie.
Poprava
Taktiky vykonávania zahŕňajú techniky, ktoré útočníci používajú na spustenie kódu na napadnutých systémoch. Spustenie škodlivého kódu pomáha útočníkom vytvoriť si prítomnosť (taktika pretrvávania) a rozšíriť prístup k vzdialeným systémom v sieti pohybom vo vnútri perimetra.
PT NAD umožňuje odhaliť použitie 14 techník používaných útočníkmi na spustenie škodlivého kódu.
1. : CMSTP (Inštalátor profilu správcu pripojenia Microsoft)
Taktika, pri ktorej útočníci pripravia špeciálny škodlivý inštalačný INF súbor pre vstavaný Windows Utilita CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe prijíma súbor ako parameter a inštaluje profil služby pre vzdialené pripojenie. Vďaka tomu je možné CMSTP.exe použiť na sťahovanie a spúšťanie dynamických knižníc (*.dll) alebo skriptletov (*.sct) zo vzdialených serverov.
Čo robí PT NAD?: Automaticky zisťuje prenos špeciálnych typov súborov INF v prenose HTTP. Okrem toho zisťuje HTTP prenos škodlivých skriptletov a dynamických knižníc zo vzdialeného servera.
2. : rozhranie príkazového riadku
Interakcia s rozhraním príkazového riadku. Rozhranie príkazového riadka môže byť interagované lokálne alebo vzdialene, napríklad pomocou nástrojov pre vzdialený prístup.
Čo robí PT NAD?: automaticky zisťuje prítomnosť shellov na základe odpovedí na príkazy na spustenie rôznych nástrojov príkazového riadku, ako je ping, ifconfig.
3. : komponentný objektový model a distribuovaný COM
Použitie technológií COM alebo DCOM na spustenie kódu na lokálnych alebo vzdialených systémoch pri pohybe v sieti.
Čo robí PT NAD?: Zisťuje podozrivé volania DCOM, ktoré útočníci zvyčajne používajú na spúšťanie programov.
4. : využitie na vykonanie klienta
Využitie zraniteľností na spustenie ľubovoľného kódu na pracovnej stanici. Najužitočnejšie exploity pre útočníkov sú tie, ktoré umožňujú spustiť kód na vzdialenom systéme, pretože môžu útočníkom umožniť získať prístup k tomuto systému. Technika môže byť implementovaná pomocou nasledujúcich metód: škodlivý mailing, webová stránka s exploitmi v prehliadači a vzdialené využitie slabín aplikácií.
Čo robí PT NAD?: Pri analýze poštovej prevádzky PT NAD kontroluje prítomnosť spustiteľných súborov v prílohách. Automaticky extrahuje kancelárske dokumenty z e-mailov, ktoré môžu obsahovať exploity. V prevádzke sú viditeľné pokusy o zneužitie zraniteľností, ktoré PT NAD detekuje automaticky.
5. : mshta
Použite nástroj mshta.exe, ktorý spúšťa aplikácie Microsoft HTML (HTA) s príponou .hta. Pretože mshta spracováva súbory obchádza nastavenia zabezpečenia prehliadača, útočníci môžu použiť mshta.exe na spustenie škodlivých súborov HTA, JavaScript alebo VBScript.
Čo robí PT NAD?: Súbory .hta na spustenie cez mshta sa prenášajú aj cez sieť – je to vidieť na návštevnosti. PT NAD detekuje prenos takýchto škodlivých súborov automaticky. Zachytáva súbory a informácie o nich je možné zobraziť na karte relácie.
6. : PowerShell
Používanie prostredia PowerShell na vyhľadanie informácií a spustenie škodlivého kódu.
Čo robí PT NAD?: Keď PowerShell používajú vzdialení útočníci, PT NAD to zistí pomocou pravidiel. Zisťuje kľúčové slová jazyka PowerShell, ktoré sa najčastejšie používajú v škodlivých skriptoch a prenos skriptov PowerShell cez protokol SMB.
7. : naplánovaná úloha
Používanie Plánovača úloh Windows a ďalšie nástroje na automatické spúšťanie programov alebo skriptov v určitom čase.
Čo robí PT NAD?: útočníci vytvárajú takéto úlohy, zvyčajne vzdialene, čo znamená, že takéto relácie sú viditeľné v prevádzke. PT NAD automaticky deteguje podozrivé operácie vytvárania a úpravy úloh pomocou rozhraní ATSVC a ITaskSchedulerService RPC.
8. : skriptovanie
Vykonávanie skriptov na automatizáciu rôznych akcií útočníkov.
Čo robí PT NAD?: zisťuje prenos skriptov po sieti, teda ešte pred ich spustením. Zisťuje obsah skriptov v surovej prevádzke a deteguje sieťový prenos súborov s príponami zodpovedajúcimi populárnym skriptovacím jazykom.
9. : vykonanie služby
Spustenie spustiteľného súboru, inštrukcií rozhrania príkazového riadka alebo skriptu interakciou so službami Windows, napríklad so Správcom riadenia služieb (SCM).
Čo robí PT NAD?: kontroluje prevádzku SMB a zisťuje prístup k SCM pomocou pravidiel na vytváranie, zmenu a spustenie služby.
Technika spustenia služby môže byť implementovaná pomocou pomôcky na spustenie vzdialeného príkazu PSExec. PT NAD analyzuje protokol SMB a zisťuje použitie PSExec, keď používa súbor PSEXESVC.exe alebo štandardný názov služby PSEXECSVC na spustenie kódu na vzdialenom počítači. Používateľ musí skontrolovať zoznam vykonaných príkazov a oprávnenosť vykonávania vzdialených príkazov z hostiteľa.
Karta útoku v PT NAD zobrazuje údaje o taktike a technike použitej podľa matice ATT&CK, aby používateľ pochopil, v akom štádiu útoku sa útočníci nachádzajú, aké ciele sledujú a aké kompenzačné opatrenia má prijať.
Spustí sa pravidlo o používaní pomôcky PSExec, čo môže naznačovať pokus o vykonanie príkazov na vzdialenom počítači
10. : softvér tretej strany
Technika, pri ktorej útočníci získajú prístup k softvéru na vzdialenú správu alebo k podnikovému systému nasadzovania softvéru a použijú ho na spustenie škodlivého kódu. Príklady takéhoto softvéru: SCCM, VNC, TeamViewer, HBSS, Altiris.
Mimochodom, táto technika je obzvlášť dôležitá v súvislosti s masívnym prechodom na prácu na diaľku a v dôsledku toho s pripojením mnohých nechránených domácich zariadení prostredníctvom pochybných kanálov vzdialeného prístupu.
Čo robí PT NAD?: automaticky zisťuje fungovanie takéhoto softvéru v sieti. Pravidlá sa napríklad spúšťajú pripojeniami cez protokol VNC a činnosťou trójskeho koňa EvilVNC, ktorý tajne nainštaluje server VNC na hostiteľa obete a automaticky ho spustí. PT NAD tiež automaticky detekuje protokol TeamViewer, čo pomáha analytikovi pomocou filtra nájsť všetky takéto relácie a skontrolovať ich legitimitu.
11. : spustenie užívateľa
Technika, pri ktorej používateľ spúšťa súbory, ktoré môžu viesť k spusteniu kódu. Môže to byť napríklad vtedy, ak otvorí spustiteľný súbor alebo spustí kancelársky dokument s makrom.
Čo robí PT NAD?: vidí takéto súbory vo fáze prenosu pred ich spustením. Informácie o nich je možné študovať na karte relácií, v ktorých boli prenesené.
12. : Windows Riadiaca inštrumentácia
Používanie nástroja WMI, ktorý poskytuje lokálny a vzdialený prístup k systémovým komponentom WindowsPomocou WMI môžu útočníci interagovať s lokálnymi a vzdialenými systémami a vykonávať rôzne úlohy, ako napríklad zhromažďovanie informácií na prieskum a vzdialené spúšťanie procesov počas laterálneho pohybu.
Čo robí PT NAD?: Keďže interakcie so vzdialenými systémami prostredníctvom WMI sú viditeľné v prevádzke, PT NAD automaticky deteguje sieťové požiadavky na vytvorenie relácií WMI a kontroluje prenos skriptov, ktoré používajú WMI.
13. : Windows Vzdialené riadenie
Používanie služby a protokolu Windows, čo umožňuje používateľovi interagovať so vzdialenými systémami.
Čo robí PT NAD?: vidí sieťové pripojenia nadviazané pomocou Windows Vzdialená správa. Takéto relácie sú automaticky detekované pravidlami.
14. : Spracovanie skriptu XSL (Extensible Stylesheet Language).
Značkovací jazyk v štýle XSL sa používa na popis spracovania a vizualizácie údajov v súboroch XML. Na podporu zložitých operácií štandard XSL zahŕňa podporu pre vstavané skripty v rôznych jazykoch. Tieto jazyky umožňujú spustenie ľubovoľného kódu, čo vedie k obchádzaniu bezpečnostných politík založených na bielych zoznamoch.
Čo robí PT NAD?: zisťuje prenos takýchto súborov po sieti, teda ešte pred ich spustením. Automaticky deteguje súbory XSL prenášané cez sieť a súbory s anomálnym označením XSL.
V nasledujúcich materiáloch sa pozrieme na to, ako systém PT Network Attack Discovery NTA nájde ďalšie taktiky a techniky útočníkov v súlade s MITER ATT&CK. Zostaňte naladení!
Autori:
- Anton Kutepov, špecialista PT Expert Security Center, Positive Technologies
- Natalia Kazankova, produktový marketingový pracovník spoločnosti Positive Technologies
Zdroj: hab.com
