, se večina (87 %) incidentov z informacijsko varnostjo zgodi v nekaj minutah, medtem ko 68 % podjetij potrebuje mesece, da jih odkrije. To potrjuje , po katerem večina organizacij potrebuje povprečno 206 dni, da odkrijejo incident. Na podlagi naših preiskav lahko hekerji več let nadzorujejo infrastrukturo podjetja, ne da bi jih odkrili. Tako je bilo v eni od organizacij, kjer so naši strokovnjaki izvedli preiskavo incidenta informacijske varnosti, razkrito, da so hekerji popolnoma nadzorovali celotno infrastrukturo organizacije in redno kradli pomembne informacije .
Recimo, da že deluje SIEM, ki zbira dnevnike in analizira dogodke, protivirusna programska oprema pa je nameščena na končnih vozliščih. Kljub temu, , tako kot je nemogoče implementirati EDR sisteme za celotno omrežje, kar pomeni, da se "slepim" conam ni mogoče izogniti. Sistemi za analizo omrežnega prometa (NTA) pomagajo pri spopadanju z njimi. Te rešitve zaznavajo aktivnost napadalcev v najzgodnejših fazah prodiranja v omrežje, pa tudi med poskusi, da bi se uveljavili in razvili napad znotraj omrežja.
Obstajata dve vrsti NTA: ena deluje z NetFlow, druga analizira neobdelani promet. Prednost drugih sistemov je, da lahko shranjujejo neobdelane prometne zapise. Zahvaljujoč temu lahko strokovnjak za informacijsko varnost preveri uspešnost napada, lokalizira grožnjo, razume, kako je prišlo do napada in kako preprečiti podoben napad v prihodnosti.
Pokazali bomo, kako lahko z uporabo NTA uporabite neposredne ali posredne dokaze za prepoznavanje vseh znanih napadalnih taktik, opisanih v bazi znanja . Govorili bomo o vsaki od 12 taktik, analizirali tehnike, ki jih zazna promet, in prikazali njihovo zaznavanje z našim sistemom NTA.
O bazi znanja ATT&CK
MITER ATT&CK je javna baza znanja, ki jo je razvila in vzdržuje korporacija MITER na podlagi analize dejanskih APT-jev. Je strukturiran nabor taktik in tehnik, ki jih uporabljajo napadalci. To omogoča strokovnjakom za informacijsko varnost z vsega sveta, da govorijo isti jezik. Baza se nenehno širi in dopolnjuje z novimi znanji.
Baza podatkov identificira 12 taktik, ki so razdeljene na stopnje kibernetskega napada:
- začetni dostop (začetni dostop);
- izvršba (izvršba);
- konsolidacija (vztrajnost);
- stopnjevanje privilegijev;
- preprečevanje odkrivanja (izmikanje obrambi);
- pridobivanje poverilnic (acredential access);
- inteligenca (odkritje);
- gibanje znotraj oboda (bočno gibanje);
- zbiranje podatkov (zbiranje);
- poveljevanje in nadzor;
- ekstrakcija podatkov;
- vpliv.
Za vsako taktiko baza znanja ATT&CK navaja seznam tehnik, ki napadalcem pomagajo doseči cilj v trenutni fazi napada. Ker se ista tehnika lahko uporablja na različnih stopnjah, se lahko nanaša na več taktik.
Opis vsake tehnike vključuje:
- identifikator;
- seznam taktik, v katerih se uporablja;
- primeri uporabe APT skupin;
- ukrepi za zmanjšanje škode zaradi njegove uporabe;
- priporočila za odkrivanje.
Strokovnjaki za informacijsko varnost lahko uporabijo znanje iz baze podatkov za strukturiranje informacij o trenutnih metodah napada in ob upoštevanju tega zgradijo učinkovit varnostni sistem. Razumevanje delovanja resničnih skupin APT lahko postane tudi vir hipotez za proaktivno iskanje groženj v njih .
O PT Network Attack Discovery
S pomočjo sistema bomo identificirali uporabo tehnik iz matrike ATT & CK - Positive Technologies NTA sistem, zasnovan za zaznavanje napadov na obodu in znotraj omrežja. PT NAD v različni meri pokriva vseh 12 taktik matrike MITER ATT&CK. Najmočnejši je pri prepoznavanju začetnega dostopa, bočnega gibanja ter tehnik poveljevanja in nadzora. V njih PT NAD pokriva več kot polovico znanih tehnik, njihovo uporabo zaznava z neposrednimi ali posrednimi znaki.
Sistem zazna napade s tehnikami ATT&CK z uporabo pravil zaznavanja, ki jih ustvari ukaz (PT ESC), strojno učenje, indikatorji kompromisa, globoka analitika in retrospektivna analiza. Analiza prometa v realnem času v kombinaciji z retrospektivno vam omogoča, da prepoznate trenutno skrito zlonamerno dejavnost in sledite razvojnim vektorjem in kronologiji napadov.
popolno preslikavo PT NAD v matriko MITER ATT&CK. Slika je velika, zato predlagamo, da jo razmislite v ločenem oknu.
Začetni dostop
Začetne taktike dostopa vključujejo tehnike za infiltracijo v omrežje podjetja. Cilj napadalcev na tej stopnji je dostaviti zlonamerno kodo v napadeni sistem in zagotoviti njeno nadaljnje izvajanje.
Analiza prometa PT NAD razkriva sedem tehnik za pridobitev začetnega dostopa:
1. : kompromis vožnje
Tehnika, pri kateri žrtev odpre spletno mesto, ki ga napadalci uporabljajo za izkoriščanje spletnega brskalnika za pridobitev žetonov za dostop do aplikacije.
Kaj počne PT NAD?: Če spletni promet ni šifriran, PT NAD pregleda vsebino odzivov strežnika HTTP. V teh odgovorih najdemo izkoriščanja, ki napadalcem omogočajo izvajanje poljubne kode znotraj brskalnika. PT NAD samodejno zazna takšne napade z uporabo pravil za odkrivanje.
Poleg tega PT NAD zazna grožnjo v prejšnjem koraku. Pravila in indikatorji ogroženosti se sprožijo, če je uporabnik obiskal stran, ki ga je preusmerila na stran s kopico exploitov.
2. : izkoriščanje javne aplikacije
Izkoriščanje ranljivosti v storitvah, ki so dostopne iz interneta.
Kaj počne PT NAD?: opravi temeljit pregled vsebine omrežnih paketov in razkrije znake nenormalne dejavnosti v njej. Zlasti obstajajo pravila, ki vam omogočajo odkrivanje napadov na glavne sisteme za upravljanje vsebin (CMS), spletne vmesnike omrežne opreme, napade na pošto in FTP strežnike.
3. : zunanje oddaljene storitve
Napadalci uporabljajo storitve oddaljenega dostopa za povezovanje z notranjimi omrežnimi viri od zunaj.
Kaj počne PT NAD?: ker sistem ne prepozna protokolov po številkah vrat, temveč po vsebini paketov, lahko uporabniki sistema filtrirajo promet tako, da najdejo vse seje protokolov za oddaljeni dostop in preverijo njihovo legitimnost.
4. : priponka za podvodno lažno predstavljanje
Govorimo o razvpitem pošiljanju lažnih priponk.
Kaj počne PT NAD?: samodejno ekstrahira datoteke iz prometa in jih preveri glede na indikatorje ogroženosti. Izvršljive datoteke v priponkah zaznajo pravila, ki analizirajo vsebino poštnega prometa. V podjetniškem okolju se takšna naložba šteje za nenormalno.
5. : povezava za podvodno lažno predstavljanje
Uporaba lažnih povezav. Tehnika vključuje napadalce, ki pošljejo lažno e-pošto s povezavo, ki ob kliku prenese zlonamerni program. Povezavo praviloma spremlja besedilo, sestavljeno v skladu z vsemi pravili socialnega inženiringa.
Kaj počne PT NAD?: zazna povezave z lažnim predstavljanjem z uporabo indikatorjev ogroženosti. V vmesniku PT NAD vidimo na primer sejo, v kateri je bila vzpostavljena povezava HTTP prek povezave, ki je vključena na seznam lažnih naslovov (phishing-url).
Povezava prek povezave s seznama indikatorjev ogroženih phishing-urlov
6. : zaupni odnos
Dostop do omrežja žrtve prek tretjih oseb, s katerimi ima žrtev zaupljiv odnos. Napadalci lahko vdrejo v zaupanja vredno organizacijo in se prek nje povežejo s ciljnim omrežjem. Za to uporabljajo povezave VPN ali domenske zaupne odnose, ki jih je mogoče razkriti z analizo prometa.
Kaj počne PT NAD?: razčleni aplikacijske protokole in shrani razčlenjena polja v bazo podatkov, tako da lahko analitik za informacijsko varnost uporabi filtre za iskanje vseh sumljivih povezav VPN ali povezav med domenami v bazi podatkov.
7. : veljavni računi
Uporaba standardnih, lokalnih ali domenskih poverilnic za avtorizacijo na zunanjih in notranjih storitvah.
Kaj počne PT NAD?: samodejno pridobi poverilnice iz protokolov HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. V splošnem primeru je to prijava, geslo in znak uspešne avtentikacije. Če so bili uporabljeni, so prikazani na ustrezni kartici seje.
Izvedba
Taktike izvajanja vključujejo tehnike, ki jih napadalci uporabljajo za izvajanje kode na ogroženih sistemih. Zagon zlonamerne kode pomaga napadalcem vzpostaviti prisotnost (taktika vztrajnosti) in razširiti dostop do oddaljenih sistemov v omrežju s premikanjem znotraj perimetra.
PT NAD vam omogoča prepoznavanje uporabe 14 tehnik, ki jih napadalci uporabljajo za izvajanje zlonamerne kode.
1. : CMSTP (namestitveni program za profil Microsoft Connection Manager)
Taktika, pri kateri napadalci pripravijo posebno zlonamerno namestitveno datoteko INF za vgrajen pripomoček Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe vzame datoteko kot parameter in namesti profil storitve za oddaljeno povezavo. Posledično lahko CMSTP.exe uporabite za nalaganje in izvajanje dinamičnih povezovalnih knjižnic (*.dll) ali skriptov (*.sct) iz oddaljenih strežnikov.
Kaj počne PT NAD?: samodejno zazna prenos posebnih datotek .inf v prometu HTTP. Poleg tega zazna HTTP prenose zlonamernih skriptov in dinamičnih povezovalnih knjižnic z oddaljenega strežnika.
2. : vmesnik ukazne vrstice
Interakcija z vmesnikom ukazne vrstice. Z vmesnikom ukazne vrstice lahko komunicirate lokalno ali na daljavo, na primer prek pripomočkov za oddaljeni dostop.
Kaj počne PT NAD?: samodejno zazna prisotnost lupin z odgovori na ukaze za zagon različnih pripomočkov ukazne vrstice, kot sta ping, ifconfig.
3. : komponentni objektni model in porazdeljeni COM
Uporaba tehnologij COM ali DCOM za izvajanje kode v lokalnih ali oddaljenih sistemih med premikanjem po omrežju.
Kaj počne PT NAD?: zazna sumljive klice DCOM, ki jih napadalci običajno uporabljajo za zagon programov.
4. : izkoriščanje za izvajanje odjemalca
Izkoriščanje ranljivosti za izvajanje poljubne kode na delovni postaji. Najbolj uporabni podvigi za napadalce so tisti, ki omogočajo izvajanje kode v oddaljenem sistemu, saj jih napadalci lahko uporabijo za dostop do takega sistema. Tehniko je mogoče implementirati z naslednjimi metodami: zlonamerni poštni seznam, spletna stran z izkoriščanji za brskalnike in oddaljeno izkoriščanje ranljivosti aplikacij.
Kaj počne PT NAD?: Pri razčlenjevanju poštnega prometa PT NAD preveri prisotnost izvršljivih datotek v priponkah. Samodejno izvleče pisarniške dokumente iz e-poštnih sporočil, ki lahko vsebujejo zlorabe. V prometu so vidni poskusi izkoriščanja ranljivosti, ki jih PT NAD samodejno zazna.
5. : mšta
Uporabite pripomoček mshta.exe, ki poganja aplikacije Microsoft HTML (HTA) s pripono .hta. Ker mshta obdeluje datoteke mimo varnostnih nastavitev brskalnika, lahko napadalci uporabijo mshta.exe za izvajanje zlonamernih datotek HTA, JavaScript ali VBScript.
Kaj počne PT NAD?: Datoteke .hta za izvajanje preko mshte se prenašajo tudi po omrežju - to se vidi na prometu. PT NAD samodejno zazna prenos takih zlonamernih datotek. Zajame datoteke, informacije o njih pa si lahko ogledate na kartici seje.
6. : powershell
Uporaba PowerShell za iskanje informacij in izvajanje zlonamerne kode.
Kaj počne PT NAD?: Ko PowerShell uporabljajo napadalci na daljavo, PT NAD to zazna s pravili. Zazna ključne besede jezika PowerShell, ki se najpogosteje uporabljajo v zlonamernih skriptih in prenosu skriptov PowerShell prek SMB.
7. : načrtovano opravilo
Uporaba Windows Task Schedulerja in drugih pripomočkov za samodejno zagon programov ali skriptov ob določenem času.
Kaj počne PT NAD?: napadalci ustvarijo takšne naloge, običajno na daljavo, kar pomeni, da so takšne seje vidne v prometu. PT NAD samodejno zazna sumljive operacije ustvarjanja in spreminjanja nalog z uporabo vmesnikov ATSVC in ITaskSchedulerService RPC.
8. : skriptiranje
Izvajanje skriptov za avtomatizacijo različnih dejanj napadalcev.
Kaj počne PT NAD?: zazna prenos skript po omrežju, torej še preden se zaženejo. Zazna vsebino skripta v neobdelanem prometu in zazna omrežni prenos datotek s končnicami, ki ustrezajo priljubljenim skriptnim jezikom.
9. : izvedba storitve
Zaženite izvršljivo datoteko, navodila CLI ali skript z interakcijo s storitvami Windows, kot je Service Control Manager (SCM).
Kaj počne PT NAD?: pregleda promet SMB in zazna dostop do SCM s pravili za ustvarjanje, spreminjanje in zagon storitve.
Tehniko zagona storitev je mogoče implementirati s pripomočkom za oddaljeno izvajanje ukazov PSExec. PT NAD razčleni protokol SMB in zazna uporabo PSExec, ko uporabi datoteko PSEXESVC.exe ali standardno ime storitve PSEXECSVC za izvajanje kode na oddaljenem računalniku. Uporabnik mora preveriti seznam izvedenih ukazov in legitimnost oddaljenega izvajanja ukazov s strani gostitelja.
Kartica napada v PT NAD prikazuje podatke o uporabljenih taktikah in tehnikah v skladu z matriko ATT&CK, tako da lahko uporabnik razume, v kateri fazi napada so napadalci, kakšne cilje zasledujejo in katere kompenzacijske ukrepe je treba sprejeti.
Aktivacija pravila o uporabi pripomočka PSExec, ki lahko nakazuje poskus izvajanja ukazov na oddaljenem računalniku
10. : programska oprema tretjih oseb
Tehnika, pri kateri napadalci pridobijo dostop do programske opreme za oddaljeno upravljanje ali sistema za namestitev programske opreme podjetja in jih uporabijo za izvajanje zlonamerne kode. Primeri takšne programske opreme: SCCM, VNC, TeamViewer, HBSS, Altiris.
Mimogrede, tehnika je še posebej pomembna v povezavi z množičnim prehodom na delo na daljavo in posledično povezavo številnih nezaščitenih domačih naprav prek dvomljivih kanalov za oddaljeni dostop.
Kaj počne PT NAD?: samodejno zazna delovanje takšne programske opreme v omrežju. Pravila na primer sprožijo dejstva povezovanja prek protokola VNC in aktivnost trojanca EvilVNC, ki skrivaj namesti strežnik VNC na gostitelja žrtve in ga samodejno zažene. Prav tako PT NAD samodejno zazna protokol TeamViewer, ki pomaga analitiku najti vse takšne seje s pomočjo filtra in preveriti njihovo legitimnost.
11. : uporabniška izvedba
Tehnika, pri kateri uporabnik zažene datoteke, ki lahko povzročijo izvajanje kode. To je lahko na primer, če odpre izvršljivo datoteko ali zažene pisarniški dokument z makrom.
Kaj počne PT NAD?: vidi takšne datoteke v fazi prenosa, preden se zaženejo. Informacije o njih je mogoče preučiti na kartici sej, v katerih so bili posredovani.
12. : Windows Management Instrumentation
Uporaba orodja WMI, ki omogoča lokalni in oddaljeni dostop do komponent sistema Windows. Z uporabo WMI lahko napadalci komunicirajo z lokalnimi in oddaljenimi sistemi in izvajajo različne naloge, kot je zbiranje informacij za namene obveščanja in oddaljeni zagon procesov med stranskim premikanjem.
Kaj počne PT NAD?: Ker so interakcije z oddaljenimi sistemi prek WMI vidne v prometu, PT NAD samodejno zazna omrežne zahteve za vzpostavitev sej WMI in preveri promet za skripte, ki uporabljajo WMI.
13. : Oddaljeno upravljanje sistema Windows
Uporaba storitve Windows in protokola, ki uporabniku omogoča interakcijo z oddaljenimi sistemi.
Kaj počne PT NAD?: vidi omrežne povezave, vzpostavljene z uporabo Windows Remote Management. Takšne seje so samodejno zaznane s pravili.
14. : Obdelava skripta XSL (Extensible Stylesheet Language).
Označevalni jezik sloga XSL se uporablja za opis obdelave in upodabljanja podatkov v datotekah XML. Za podporo kompleksnih operacij standard XSL vključuje podporo za vgrajene skripte v več jezikih. Ti jeziki omogočajo izvajanje poljubne kode, ki zaobide varnostne politike na seznamu dovoljenih.
Kaj počne PT NAD?: zazna prenos tovrstnih datotek po omrežju, torej še preden se zaženejo. Samodejno zazna prenos datotek XSL po omrežju in datotek z nepravilno oznako XSL.
V naslednjih gradivih si bomo ogledali, kako sistem PT Network Attack Discovery NTA najde druge taktike in tehnike napadalcev v skladu z MITER ATT & CK. Ostani na vezi!
Avtorji:
- Anton Kutepov, specialist strokovnega varnostnega centra (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, tržnica izdelkov pri Positive Technologies
Vir: www.habr.com