, shumica (87%) e incidenteve të sigurisë së informacionit ndodhin brenda pak minutash dhe për 68% të kompanive duhen muaj për t'i zbuluar ato. Kjo konfirmohet nga , sipas të cilit shumicës së organizatave u duhen mesatarisht 206 ditë për të zbuluar një incident. Bazuar në përvojën e hetimeve tona, hakerët mund të kontrollojnë infrastrukturën e një kompanie për vite pa u zbuluar. Kështu, në një nga organizatat ku ekspertët tanë hetuan një incident të sigurisë së informacionit, u zbulua se hakerët kontrollonin plotësisht të gjithë infrastrukturën e organizatës dhe vidhnin rregullisht informacione të rëndësishme. .
Le të themi se tashmë keni një SIEM që funksionon që mbledh regjistrat dhe analizon ngjarjet dhe softueri antivirus është instaluar në nyjet fundore. Megjithatë, , ashtu siç është e pamundur të zbatohen sistemet EDR në të gjithë rrjetin, që do të thotë se pikat e verbëra nuk mund të shmangen. Sistemet e analizës së trafikut të rrjetit (NTA) ndihmojnë në trajtimin e tyre. Këto zgjidhje zbulojnë aktivitetin e sulmuesit në fazat më të hershme të depërtimit në rrjet, si dhe gjatë përpjekjeve për të fituar një terren dhe për të zhvilluar një sulm brenda rrjetit.
Ekzistojnë dy lloje të NTA-ve: disa punojnë me NetFlow, të tjerët analizojnë trafikun e papërpunuar. Avantazhi i sistemeve të dyta është se ato mund të ruajnë regjistrime të papërpunuara të trafikut. Falë kësaj, një specialist i sigurisë së informacionit mund të verifikojë suksesin e sulmit, të lokalizojë kërcënimin, të kuptojë se si ndodhi sulmi dhe si të parandalojë një të ngjashëm në të ardhmen.
Ne do të tregojmë se si duke përdorur NTA mund të përdorni prova direkte ose indirekte për të identifikuar të gjitha taktikat e njohura të sulmit të përshkruara në bazën e njohurive . Ne do të flasim për secilën nga 12 taktikat, do të analizojmë teknikat që zbulohen nga trafiku dhe do të demonstrojmë zbulimin e tyre duke përdorur sistemin tonë NTA.
Rreth bazës së njohurive ATT&CK
MITER ATT&CK është një bazë njohurish publike e zhvilluar dhe mirëmbajtur nga Korporata MITER bazuar në analizën e APT-ve të botës reale. Është një grup i strukturuar taktikash dhe teknikash të përdorura nga sulmuesit. Kjo lejon profesionistët e sigurisë së informacionit nga e gjithë bota të flasin të njëjtën gjuhë. Baza e të dhënave po zgjerohet dhe plotësohet vazhdimisht me njohuri të reja.
Baza e të dhënave identifikon 12 taktika, të cilat ndahen sipas fazave të një sulmi kibernetik:
- aksesi fillestar;
- ekzekutimi;
- konsolidimi (qëndrueshmëria);
- përshkallëzimi i privilegjeve;
- parandalimi i zbulimit (evazioni i mbrojtjes);
- marrja e kredencialeve (qasja në kredenciale);
- eksplorim;
- lëvizja brenda perimetrit (lëvizja anësore);
- grumbullimi (mbledhja e të dhënave);
- komandimi dhe kontrolli;
- nxjerrja e të dhënave;
- ndikimi.
Për çdo taktikë, baza e njohurive ATT&CK liston një listë teknikash që ndihmojnë sulmuesit të arrijnë qëllimin e tyre në fazën aktuale të sulmit. Meqenëse e njëjta teknikë mund të përdoret në faza të ndryshme, ajo mund t'i referohet disa taktikave.
Përshkrimi i secilës teknikë përfshin:
- identifikues;
- një listë e taktikave në të cilat përdoret;
- shembuj të përdorimit nga grupet APT;
- masat për të reduktuar dëmet nga përdorimi i tij;
- rekomandimet e zbulimit.
Specialistët e sigurisë së informacionit mund të përdorin njohuritë nga baza e të dhënave për të strukturuar informacionin rreth metodave aktuale të sulmit dhe, duke marrë parasysh këtë, të ndërtojnë një sistem efektiv sigurie. Të kuptuarit se si funksionojnë grupet reale APT mund të bëhet gjithashtu një burim hipotezash për kërkimin në mënyrë proaktive të kërcënimeve brenda .
Rreth PT Network Attack Discovery
Ne do të identifikojmë përdorimin e teknikave nga matrica ATT&CK duke përdorur sistemin — Sistemi NTA i teknologjive pozitive, i krijuar për të zbuluar sulmet në perimetër dhe brenda rrjetit. PT NAD mbulon, në shkallë të ndryshme, të gjitha 12 taktikat e matricës MITER ATT&CK. Ai është më i fuqishmi në identifikimin e teknikave për aksesin fillestar, lëvizjen anësore dhe komandimin dhe kontrollin. Në to, PT NAD mbulon më shumë se gjysmën e teknikave të njohura, duke zbuluar aplikimin e tyre me shenja direkte ose indirekte.
Sistemi zbulon sulmet duke përdorur teknikat ATT&CK duke përdorur rregullat e zbulimit të krijuara nga ekipi (PT ESC), mësimi i makinerive, treguesit e kompromisit, analitika e thellë dhe analiza retrospektive. Analiza e trafikut në kohë reale e kombinuar me një retrospektivë ju lejon të identifikoni aktivitetin aktual të fshehur keqdashës dhe të gjurmoni vektorët e zhvillimit dhe kronologjinë e sulmeve.
hartëzimi i plotë i PT NAD në matricën MITER ATT&CK. Fotografia është e madhe, ndaj ju sugjerojmë ta shikoni në një dritare të veçantë.
Qasja fillestare
Taktikat fillestare të aksesit përfshijnë teknika për të depërtuar në rrjetin e një kompanie. Qëllimi i sulmuesve në këtë fazë është të dërgojnë kodin me qëllim të keq në sistemin e sulmuar dhe të sigurojnë mundësinë e ekzekutimit të tij të mëtejshëm.
Analiza e trafikut nga PT NAD zbulon shtatë teknika për të fituar akses fillestar:
1. : kompromis me makinë
Një teknikë në të cilën viktima hap një faqe interneti që përdoret nga sulmuesit për të shfrytëzuar shfletuesin e internetit dhe për të marrë shenjat e aksesit të aplikacionit.
Çfarë bën PT NAD?: Nëse trafiku në ueb nuk është i koduar, PT NAD inspekton përmbajtjen e përgjigjeve të serverit HTTP. Këto përgjigje përmbajnë shfrytëzime që lejojnë sulmuesit të ekzekutojnë kode arbitrare brenda shfletuesit. PT NAD zbulon automatikisht shfrytëzime të tilla duke përdorur rregullat e zbulimit.
Për më tepër, PT NAD zbulon kërcënimin në hapin e mëparshëm. Rregullat dhe treguesit e kompromisit aktivizohen nëse përdoruesi viziton një sajt që e ridrejtoi atë në një sajt me një mori shfrytëzimesh.
2. : shfrytezoj aplikacionin me pamje nga publiku
Shfrytëzimi i dobësive në shërbimet që janë të aksesueshme nga interneti.
Çfarë bën PT NAD?: Kryen një inspektim të thellë të përmbajtjes së paketave të rrjetit, duke identifikuar shenjat e aktivitetit anormal. Në veçanti, ekzistojnë rregulla që ju lejojnë të zbuloni sulme në sistemet kryesore të menaxhimit të përmbajtjes (CMS), ndërfaqet në internet të pajisjeve të rrjetit dhe sulmet në serverët e postës dhe FTP.
3. : shërbime të jashtme në distancë
Sulmuesit përdorin shërbimet e aksesit në distancë për t'u lidhur me burimet e brendshme të rrjetit nga jashtë.
Çfarë bën PT NAD?: meqenëse sistemi i njeh protokollet jo nga numrat e porteve, por nga përmbajtja e paketave, përdoruesit e sistemit mund të filtrojnë trafikun për të gjetur të gjitha seancat e protokolleve të aksesit në distancë dhe për të kontrolluar legjitimitetin e tyre.
4. : bashkëngjitje spearphishing
Po flasim për dërgimin famëkeq të bashkëngjitjeve të phishing.
Çfarë bën PT NAD?: Nxjerr automatikisht skedarët nga trafiku dhe i kontrollon ato kundrejt treguesve të kompromisit. Skedarët e ekzekutueshëm në bashkëngjitje zbulohen nga rregullat që analizojnë përmbajtjen e trafikut të postës. Në një mjedis korporativ, një investim i tillë konsiderohet i parregullt.
5. : lidhje spearphishing
Duke përdorur lidhje phishing. Teknika përfshin sulmuesit dërgimin e një emaili phishing me një lidhje që, kur klikohet, shkarkon një program me qëllim të keq. Si rregull, lidhja shoqërohet me një tekst të përpiluar në përputhje me të gjitha rregullat e inxhinierisë sociale.
Çfarë bën PT NAD?: Zbulon lidhjet e phishing duke përdorur tregues të kompromisit. Për shembull, në ndërfaqen PT NAD ne shohim një seancë në të cilën kishte një lidhje HTTP përmes një lidhjeje të përfshirë në listën e adresave të phishing (phishing-url).
Lidhja nëpërmjet një lidhjeje nga lista e treguesve të url-ve të phishing-ut të kompromisit
6. : marrëdhënie e besuar
Qasja në rrjetin e viktimës nëpërmjet palëve të treta me të cilët viktima ka krijuar një marrëdhënie besimi. Sulmuesit mund të hakojnë një organizatë të besuar dhe të lidhen me rrjetin e synuar përmes saj. Për ta bërë këtë, ata përdorin lidhje VPN ose besime të domenit, të cilat mund të identifikohen përmes analizës së trafikut.
Çfarë bën PT NAD?: analizon protokollet e aplikacionit dhe ruan fushat e analizuara në bazën e të dhënave, në mënyrë që një analist i sigurisë së informacionit të mund të përdorë filtra për të gjetur të gjitha lidhjet e dyshimta VPN ose lidhjet ndër-domenale në bazën e të dhënave.
7. : llogaritë e vlefshme
Përdorimi i kredencialeve standarde, lokale ose të domenit për autorizim në shërbimet e jashtme dhe të brendshme.
Çfarë bën PT NAD?: Merr automatikisht kredencialet nga protokollet HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Në përgjithësi, ky është një hyrje, fjalëkalim dhe një shenjë e vërtetimit të suksesshëm. Nëse ato janë përdorur, ato shfaqen në kartën përkatëse të sesionit.
Ekzekutimi
Taktikat e ekzekutimit përfshijnë teknikat që sulmuesit përdorin për të ekzekutuar kodin në sistemet e komprometuara. Ekzekutimi i kodit me qëllim të keq i ndihmon sulmuesit të krijojnë një prani (taktikë këmbënguljeje) dhe të zgjerojnë aksesin në sistemet e largëta në rrjet duke lëvizur brenda perimetrit.
PT NAD ju lejon të zbuloni përdorimin e 14 teknikave të përdorura nga sulmuesit për të ekzekutuar kodin me qëllim të keq.
1. : CMSTP (Instaluesi i Profilit të Menaxherit të Microsoft Connection)
Një taktikë në të cilën sulmuesit përgatisin një skedar të posaçëm instalimi me qëllim të keq INF për programin e integruar të Windows CMSTP.exe (Instaluesi i profilit të menaxherit të lidhjes). CMSTP.exe merr skedarin si parametër dhe instalon profilin e shërbimit për lidhjen në distancë. Si rezultat, CMSTP.exe mund të përdoret për të ngarkuar dhe ekzekutuar bibliotekat e lidhjeve dinamike (*.dll) ose skriptet (*.sct) nga serverët e largët.
Çfarë bën PT NAD?: Zbulon automatikisht transferimin e llojeve të veçanta të skedarëve INF në trafikun HTTP. Përveç kësaj, ai zbulon transmetimin HTTP të skripteve me qëllim të keq dhe bibliotekave të lidhjeve dinamike nga një server në distancë.
2. : ndërfaqja e linjës së komandës
Ndërveprimi me ndërfaqen e linjës së komandës. Ndërfaqja e linjës së komandës mund të ndërveprohet në nivel lokal ose në distancë, për shembull duke përdorur shërbimet e aksesit në distancë.
Çfarë bën PT NAD?: zbulon automatikisht praninë e predhave bazuar në përgjigjet ndaj komandave për të nisur shërbime të ndryshme të linjës së komandës, të tilla si ping, ifconfig.
3. : modeli i objektit të komponentit dhe COM i shpërndarë
Përdorimi i teknologjive COM ose DCOM për të ekzekutuar kodin në sistemet lokale ose të largëta gjatë lëvizjes nëpër një rrjet.
Çfarë bën PT NAD?: Zbulon thirrje të dyshimta DCOM që sulmuesit zakonisht përdorin për të nisur programet.
4. : shfrytëzimi për ekzekutimin e klientit
Shfrytëzimi i dobësive për të ekzekutuar kodin arbitrar në një stacion pune. Shfrytëzimi më i dobishëm për sulmuesit janë ato që lejojnë ekzekutimin e kodit në një sistem të largët, pasi ato mund t'i lejojnë sulmuesit të kenë akses në atë sistem. Teknika mund të zbatohet duke përdorur metodat e mëposhtme: postime me qëllim të keq, një faqe interneti me shfrytëzime të shfletuesit dhe shfrytëzim në distancë të dobësive të aplikacionit.
Çfarë bën PT NAD?: Kur analizon trafikun e postës, PT NAD e kontrollon atë për praninë e skedarëve të ekzekutueshëm në bashkëngjitje. Ekstrakton automatikisht dokumentet e zyrës nga emailet që mund të përmbajnë shfrytëzime. Përpjekjet për të shfrytëzuar dobësitë janë të dukshme në trafik, të cilat PT NAD i zbulon automatikisht.
5. : mshta
Përdorni mjetin mshta.exe, i cili ekzekuton aplikacionet HTML të Microsoft (HTA) me shtesën .hta. Për shkak se mshta përpunon skedarët duke anashkaluar cilësimet e sigurisë së shfletuesit, sulmuesit mund të përdorin mshta.exe për të ekzekutuar skedarë me qëllim të keq HTA, JavaScript ose VBScript.
Çfarë bën PT NAD?: Skedarët .hta për ekzekutim përmes mshta transmetohen edhe në rrjet - kjo mund të shihet në trafik. PT NAD zbulon automatikisht transferimin e skedarëve të tillë me qëllim të keq. Ai kap skedarë dhe informacioni rreth tyre mund të shihet në kartën e sesionit.
6. : PowerShell
Përdorimi i PowerShell për të gjetur informacion dhe për të ekzekutuar kodin me qëllim të keq.
Çfarë bën PT NAD?: Kur PowerShell përdoret nga sulmuesit në distancë, PT NAD e zbulon këtë duke përdorur rregulla. Ai zbulon fjalë kyçe të gjuhës PowerShell që përdoren më shpesh në skriptet me qëllim të keq dhe transmetimin e skripteve PowerShell përmes protokollit SMB.
7. : detyrë e planifikuar
Përdorimi i Windows Task Scheduler dhe programe të tjera ndihmëse për të ekzekutuar automatikisht programet ose skriptet në kohë specifike.
Çfarë bën PT NAD?: sulmuesit krijojnë detyra të tilla, zakonisht nga distanca, që do të thotë se seanca të tilla janë të dukshme në trafik. PT NAD zbulon automatikisht operacione të dyshimta të krijimit dhe modifikimit të detyrave duke përdorur ndërfaqet ATSVC dhe ITaskSchedulerService RPC.
8. : skriptimi
Ekzekutimi i skripteve për të automatizuar veprime të ndryshme të sulmuesve.
Çfarë bën PT NAD?: zbulon transmetimin e skripteve përmes rrjetit, domethënë edhe para se të lansohen. Ai zbulon përmbajtjen e skriptit në trafikun e papërpunuar dhe zbulon transmetimin në rrjet të skedarëve me shtesa që korrespondojnë me gjuhët e njohura të shkrimit.
9. : ekzekutimi i shërbimit
Drejtoni një skedar të ekzekutueshëm, udhëzime për ndërfaqen e linjës së komandës ose skript duke ndërvepruar me shërbimet e Windows, të tilla si Menaxheri i Kontrollit të Shërbimit (SCM).
Çfarë bën PT NAD?: inspekton trafikun e SMB dhe zbulon aksesin në SCM me rregullat për krijimin, ndryshimin dhe fillimin e një shërbimi.
Teknika e nisjes së shërbimit mund të zbatohet duke përdorur programin e ekzekutimit të komandës në distancë PSExec. PT NAD analizon protokollin SMB dhe zbulon përdorimin e PSExec kur përdor skedarin PSEXESVC.exe ose emrin standard të shërbimit PSEXECSVC për të ekzekutuar kodin në një makinë të largët. Përdoruesi duhet të kontrollojë listën e komandave të ekzekutuara dhe legjitimitetin e ekzekutimit të komandës në distancë nga hosti.
Karta e sulmit në PT NAD shfaq të dhëna për taktikat dhe teknikat e përdorura sipas matricës ATT&CK në mënyrë që përdoruesi të kuptojë se në cilën fazë të sulmit janë sulmuesit, çfarë qëllimesh po ndjekin dhe çfarë masash kompensuese duhet të marrin.
Rregulli për përdorimin e mjetit PSExec aktivizohet, i cili mund të tregojë një përpjekje për të ekzekutuar komanda në një makinë të largët
10. : softuer i palëve të treta
Një teknikë në të cilën sulmuesit fitojnë akses në softuerin e administrimit në distancë ose një sistem vendosjeje të softuerit të korporatës dhe e përdorin atë për të ekzekutuar kodin me qëllim të keq. Shembuj të softuerëve të tillë: SCCM, VNC, TeamViewer, HBSS, Altiris.
Nga rruga, teknika është veçanërisht e rëndësishme në lidhje me kalimin masiv në punë në distancë dhe, si rezultat, lidhjen e pajisjeve të shumta shtëpiake të pambrojtura përmes kanaleve të dyshimta të hyrjes në distancë.
Çfarë bën PT NAD?: zbulon automatikisht funksionimin e një softueri të tillë në rrjet. Për shembull, rregullat nxiten nga lidhjet nëpërmjet protokollit VNC dhe aktiviteti i Trojanit EvilVNC, i cili instalon fshehurazi një server VNC në hostin e viktimës dhe e lëshon atë automatikisht. Gjithashtu, PT NAD zbulon automatikisht protokollin TeamViewer, kjo ndihmon analistin, duke përdorur një filtër, të gjejë të gjitha seancat e tilla dhe të kontrollojë legjitimitetin e tyre.
11. : ekzekutimi i përdoruesit
Një teknikë në të cilën përdoruesi ekzekuton skedarë që mund të çojnë në ekzekutimin e kodit. Kjo mund të jetë, për shembull, nëse ai hap një skedar të ekzekutueshëm ose ekzekuton një dokument zyre me një makro.
Çfarë bën PT NAD?: sheh skedarë të tillë në fazën e transferimit, përpara se të lansohen. Informacioni rreth tyre mund të studiohet në kartelën e seancave në të cilat janë transmetuar.
12. :Instrumentimi i menaxhimit të Windows
Përdorimi i mjetit WMI, i cili siguron akses lokal dhe në distancë në komponentët e sistemit Windows. Duke përdorur WMI, sulmuesit mund të ndërveprojnë me sistemet lokale dhe të largëta dhe të kryejnë një sërë detyrash, të tilla si mbledhja e informacionit për qëllime zbulimi dhe nisja e proceseve nga distanca ndërsa lëvizin anash.
Çfarë bën PT NAD?: Meqenëse ndërveprimet me sistemet në distancë nëpërmjet WMI janë të dukshme në trafik, PT NAD zbulon automatikisht kërkesat e rrjetit për të vendosur sesione WMI dhe kontrollon trafikun për skriptet që përdorin WMI.
13. : Menaxhimi i largët i Windows
Përdorimi i një shërbimi dhe protokolli të Windows që lejon përdoruesin të ndërveprojë me sistemet në distancë.
Çfarë bën PT NAD?: Shih lidhjet e rrjetit të krijuara duke përdorur Windows Remote Management. Seanca të tilla zbulohen automatikisht nga rregullat.
14. : Përpunimi i skriptit XSL (Extensible Stylesheet Language).
Gjuha e shënjimit të stilit XSL përdoret për të përshkruar përpunimin dhe vizualizimin e të dhënave në skedarët XML. Për të mbështetur operacione komplekse, standardi XSL përfshin mbështetje për skriptet e integruara në gjuhë të ndryshme. Këto gjuhë lejojnë ekzekutimin e kodit arbitrar, i cili çon në anashkalimin e politikave të sigurisë bazuar në listat e bardha.
Çfarë bën PT NAD?: zbulon transferimin e skedarëve të tillë përmes rrjetit, domethënë edhe para se të lansohen. Ai zbulon automatikisht skedarët XSL që transmetohen përmes rrjetit dhe skedarët me shënime anormale XSL.
Në materialet e mëposhtme, ne do të shohim se si sistemi PT Network Attack Discovery NTA gjen taktika dhe teknika të tjera të sulmuesit në përputhje me MITER ATT&CK. Qëndroni të sintonizuar!
Autorët:
- Anton Kutepov, specialist në Qendrën e Sigurisë së Ekspertëve PT, Teknologjitë Pozitive
- Natalia Kazankova, tregtuese e produkteve në Positive Technologies
Burimi: www.habr.com