, boholo (87%) ba liketsahalo tsa ts'ireletso ea tlhahisoleseding li etsahala ka metsotso e seng mekae, 'me bakeng sa 68% ea lik'hamphani ho nka likhoeli ho li lemoha. Sena se tiisoa ke , ho latela hore na ho nka mekhatlo e mengata ka karolelano ea matsatsi a 206 ho lemoha ketsahalo. Ho ipapisitsoe le boiphihlelo ba lipatlisiso tsa rona, linokoane li ka laola lisebelisoa tsa k'hamphani ka lilemo ntle le ho bonoa. Kahoo, ho e 'ngoe ea mekhatlo eo litsebi tsa rona li ileng tsa batlisisa ketsahalo ea ts'ireletso ea tlhahisoleseding, ho ile ha senoloa hore bahlaseli ba ne ba laola ka ho feletseng lisebelisoa tsohle tsa mokhatlo mme ba lula ba utsoa tlhahisoleseding ea bohlokoa. .
Ha re re u se u ntse u e-na le SIEM e sebetsang e bokellang lits'oants'o le ho sekaseka liketsahalo, 'me software ea antivirus e kentsoe litsing tsa ho qetela. Leha ho le joalo, , feela joalokaha ho ke ke ha khoneha ho kenya ts'ebetsong mekhoa ea EDR ho pholletsa le marang-rang kaofela, e leng se bolelang hore libaka tse "foufetseng" li ke ke tsa qojoa. Litsamaiso tsa tlhahlobo ea sephethephethe sa marang-rang (NTA) li thusa ho sebetsana le tsona. Litharollo tsena li lemoha mosebetsi oa bahlaseli methating ea pele ea ho kenella ha marang-rang, hammoho le nakong ea boiteko ba ho fumana sebaka le ho hlahisa tlhaselo ka har'a marang-rang.
Ho na le mefuta e 'meli ea li-NTA: tse ling li sebetsa le NetFlow, tse ling li sekaseka sephethephethe se tala. Molemo oa mekhoa ea bobeli ke hore ba ka boloka litlaleho tse tala tsa sephethephethe. Ka lebaka la sena, setsebi sa ts'ireletso ea tlhahisoleseding se ka netefatsa katleho ea tlhaselo, ho beha tšokelo sebakeng sa heno, ho utloisisa hore na tlhaselo e etsahetse joang le ho thibela e tšoanang nakong e tlang.
Re tla bonts'a hore na u sebelisa NTA joang u ka sebelisa bopaki bo tobileng kapa bo sa tobang ho tseba maqheka ohle a tsebahalang a tlhaselo a hlalositsoeng motheong oa tsebo. . Re tla bua ka e 'ngoe le e' ngoe ea maqheka a 12, re hlahlobe mekhoa e fumanoang ke sephethephethe, 'me re bontše ho fumanoa ha bona ho sebelisa tsamaiso ea rona ea NTA.
Mabapi le motheo oa tsebo oa ATT&CK
MITER ATT&CK ke setsi sa tsebo ea sechaba se ntlafalitsoeng le ho hlokomeloa ke MITER Corporation se ipapisitse le tlhahlobo ea li-APT tsa lefatše la 'nete. Ke sehlopha se hlophisitsoeng sa maqheka le mekhoa e sebelisoang ke bahlaseli. Sena se lumella litsebi tsa ts'ireletso ea tlhahisoleseling ho tsoa lefats'eng lohle ho bua puo e tšoanang. Database e lula e hola le ho tlatselletsoa ka tsebo e ncha.
Setsi sa polokelo ea litaba se supa maqheka a 12, a arotsoeng ka mekhahlelo ea tlhaselo ea cyber:
- phihlello ea pele;
- phethahatso;
- ho kopanya (ho phehella);
- ho eketseha ha menyetla;
- thibelo ea ho lemoha (ho qoba ho itšireletsa);
- ho fumana mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a mangolo a tumello
- ho hlahloba;
- motsamao ka hare ho perimeter (lateral movement);
- pokello ea lintlha (pokello);
- taelo le taolo;
- tlhahiso ea data;
- tshusumetso.
Bakeng sa leqheka le leng le le leng, setsi sa tsebo sa ATT & CK se thathamisa lethathamo la mekhoa e thusang bahlaseli ho finyella sepheo sa bona sethaleng sa hona joale sa tlhaselo. Kaha mokhoa o tšoanang o ka sebelisoa ka mekhahlelo e fapaneng, o ka bolela maqheka a 'maloa.
Tlhaloso ea mokhoa o mong le o mong o kenyelletsa:
- sekhetho;
- lethathamo la maqheka ao e sebelisoang ho ona;
- mehlala ea tšebeliso ea lihlopha tsa APT;
- mehato ea ho fokotsa tšenyo e bakoang ke tšebeliso ea eona;
- likhothaletso tsa ho lemoha.
Litsebi tsa ts'ireletso ea tlhahisoleseling li ka sebelisa tsebo e tsoang polokelong ea litaba ho theha tlhahisoleseling mabapi le mekhoa ea hajoale ea tlhaselo, 'me, ka sena, ba aha sistimi e sebetsang ea ts'ireletso. Ho utloisisa hore na lihlopha tsa 'nete tsa APT li sebetsa joang le hona e ka ba mohloli oa menahano ea ho batla lits'oso ka hare. .
Mabapi le PT Network Attack Discovery
Re tla tsebahatsa tšebeliso ea mekhoa e tsoang ho matrix ea ATT & CK ho sebelisa tsamaiso - Sistimi ea Positive Technologies NTA, e etselitsoeng ho bona litlhaselo tse haufi le marang-rang. PT NAD e akaretsa, ho ea ka likhato tse fapaneng, maqheka ohle a 12 a matrix a MITER ATT&CK. O na le matla ka ho fetisisa ho khethollang mekhoa ea ho fumana mokhoa oa pele, ho tsamaea ka mahlakoreng, le ho laela le ho laola. Ho tsona, PT NAD e akaretsa ho feta halofo ea mekhoa e tsebahalang, ho bona ts'ebeliso ea bona ka matšoao a tobileng kapa a sa tobang.
Sistimi e lemoha litlhaselo tse sebelisang mekhoa ea ATT&CK e sebelisa melao ea ho lemoha e entsoeng ke sehlopha (PT ESC), ho ithuta ka mochini, matšoao a ho sekisetsa, analytics e tebileng le tlhahlobo ea morao-rao. Tlhahlobo ea nako ea 'nete ea sephethephethe e kopantsoeng le pono ea morao-rao e u lumella ho tseba ts'ebetso e mpe e patiloeng hona joale le ho lekola li-vector tsa nts'etsopele le tatellano ea litlhaselo.
'mapa o felletseng oa PT NAD ho isa MITER ATT&CK matrix. Setšoantšo se seholo, kahoo re khothaletsa hore u se shebe fensetereng e fapaneng.
Phihlello ea pele
Mekhoa ea pele ea ho fihlella e kenyelletsa mekhoa ea ho phunyeletsa marang-rang a k'hamphani. Sepheo sa bahlaseli mothating ona ke ho fana ka khoutu e lonya ho sistimi e hlasetsoeng le ho netefatsa monyetla oa ts'ebetso ea eona e tsoelang pele.
Tlhahlobo ea sephethephethe ho tsoa PT NAD e senola mekhoa e supileng ea ho fumana phihlello ea pele:
1. : drive-by compromise
Mokhoa oo mohlaseluoa a bulang sebaka sa marang-rang se sebelisoang ke bahlaseli ho sebelisa sebatli sa marang-rang le ho fumana li-tokens tsa phihlello ea kopo.
PT NAD e etsa eng?: Haeba sephethephethe sa marang-rang se sa ngolisoa, PT NAD e hlahloba litaba tsa likarabo tsa seva sa HTTP. Likarabo tsena li na le litlatsetso tse lumellang bahlaseli ho sebelisa likhoutu ka har'a sebatli. PT NAD e iphumanela liketso tse joalo e sebelisa melao ea ho lemoha.
Ho feta moo, PT NAD e lemoha tšokelo mohatong o fetileng. Melao le matšoao a ho sekisetsa li hlahisoa haeba mosebelisi a etela sebaka sa marang-rang se mo fetiselitseng sebakeng se nang le mesebetsi e mengata.
2. : sebelisa hampe ts'ebeliso e shebaneng le sechaba
Tšebeliso ea bofokoli litšebeletsong tse fumanehang Marang-rang.
PT NAD e etsa eng?: E etsa tlhahlobo e tebileng ea likahare tsa lipakete tsa marang-rang, ho tseba matšoao a ts'ebetso e makatsang. Haholo-holo, ho na le melao e u lumellang ho lemoha litlhaselo ho litsamaiso tse kholo tsa taolo ea litaba (CMS), li-interface tsa marang-rang tsa lisebelisoa tsa marang-rang, le litlhaselo tsa mangolo le li-server tsa FTP.
3. : lits'ebeletso tse hole tsa kantle
Bahlaseli ba sebelisa lits'ebeletso tsa phihlello tse hole ho hokela mehloling ea marang-rang ea kahare ho tsoa kantle.
PT NAD e etsa eng?: kaha tsamaiso e lemoha li-protocol eseng ka linomoro tsa li-port, empa ka likahare tsa lipakete, basebelisi ba tsamaiso ba ka sefa sephethephethe ho fumana likarolo tsohle tsa li-protocol tsa hole le ho hlahloba hore na li nepahetse.
4. : ho khomarela ka spearphishing
Re bua ka thomello e mpe ea phishing attachments.
PT NAD e etsa eng?: E ntša lifaele ka bo eona ho tsoa ho sephethephethe ebe e li hlahloba khahlano le matšoao a ho sekisetsa. Lifaele tse ka sebelisoang ho li-attachments li fumanoa ke melao e hlahlobang litaba tsa sephethephethe sa mangolo. Sebakeng sa khoebo, letsete le joalo le nkoa e le ntho e makatsang.
5. : sehokelo sa spearphishing
Ho sebelisa lihokelo tsa phishing. Mokhoa ona o kenyelletsa bahlaseli ba romellang lengolo-tsoibila la phishing le sehokelo seo, ha se tobetsoa, se jarolla lenaneo le kotsi. E le molao, sehokelo se tsamaisana le mongolo o hlophisitsoeng ho latela melao eohle ea boenjiniere ba sechaba.
PT NAD e etsa eng?: E lemoha lihokelo tsa phishing ka ho sebelisa matšoao a ho sekisetsa. Ka mohlala, ho PT NAD interface re bona seboka seo ho sona ho neng ho e-na le khokahanyo ea HTTP ka sehokelo se kenyellelitsoeng lethathamong la liaterese tsa phishing (phishing-urls).
Khokahano ka sehokelo ho tsoa lenaneng la matšoao a compromise phishing-urls
6. : kamano e tšepahalang
Ho fihlella marang-rang a phofu ka batho ba boraro bao mohlaseluoa a thehileng kamano e tšepahalang le bona. Bahlaseli ba ka senya mokhatlo o tšepahalang 'me ba hokela marang-rang a shebiloeng ka eona. Ho etsa sena, ba sebelisa likhokahano tsa VPN kapa li-domain trusts, tse ka khetholloang ka tlhahlobo ea sephethephethe.
PT NAD e etsa eng?: e fetisa liprothokholo tsa ts'ebeliso ebe e boloka libaka tse arotsoeng polokelong ea litaba, e le hore mohlahlobi oa ts'ireletso ea tlhahisoleseling a ka sebelisa li-filters ho fumana likhokahano tsohle tse belaetsang tsa VPN kapa likhokahano tsa marang-rang sebakeng sa polokelo.
7. : liakhaonto tse sebetsang
Ho sebelisa lintlha tse tloaelehileng, tsa lehae kapa tsa domain bakeng sa tumello ea lits'ebeletso tsa kantle le tsa kahare.
PT NAD e etsa eng?: Ka tsela e iketsang e fumana mangolo a bopaki ho tsoa ho HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protocol. Ka kakaretso, sena ke ho kena, phasewete le letšoao la netefatso e atlehileng. Haeba li sebelisitsoe, li hlahisoa ka karete ea thuto e tsamaisanang le eona.
Phethahatso
Maqheka a ho phethahatsa a kenyelletsa mekhoa eo bahlaseli ba e sebelisang ho phethahatsa khoutu ho litsamaiso tse senyehileng. Ho matha khoutu e kotsi ho thusa bahlaseli ho theha boteng (leqheka la ho phehella) le ho atolosa ho fihlella lits'ebetsong tse hōle ka marang-rang ka ho fallela ka hare ho perimeter.
PT NAD e u lumella ho bona ts'ebeliso ea mekhoa e 14 e sebelisoang ke bahlaseli ho etsa khoutu e mpe.
1. CMSTP (Microsoft Connection Manager Profile Installer)
Leqheka leo ka lona bahlaseli ba lokisang faele e khethehileng ea INF e nang le lonya bakeng sa ts'ebeliso ea Windows CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe e nka faele joalo ka parameter ebe e kenya profaele ea ts'ebeletso bakeng sa khokahano e hole. Ka lebaka leo, CMSTP.exe e ka sebelisoa ho kenya le ho kenya lilaebrari tsa lihokelo tse matla (*.dll) kapa scriptlets (*.sct) ho tsoa ho li-server tse hole.
PT NAD e etsa eng?: E lemoha ka tsela e iketsang phetiso ea mefuta e ikhethang ea lifaele tsa INF ho sephethephethe sa HTTP. Ho phaella ho sena, e lemoha phetiso ea HTTP ea li-scriptlets tse kotsi le lilaebrari tse matla tsa li-link tse tsoang ho seva se hōle.
2. : segokanyimmediamentsi sa sebolokigolo
Tšebelisano le sebopeho sa mola oa taelo. Sehokelo sa mola oa taelo se ka hokahanngoa le sebakeng sa heno kapa se hole, mohlala ho sebelisa lisebelisoa tsa phihlello tse hole.
PT NAD e etsa eng?: e lemoha ka bo eona boteng ba likhetla tse ipapisitseng le likarabo ho litaelo tsa ho qala lisebelisoa tse fapaneng tsa line ea taelo, joalo ka ping, ifconfig.
3. : karolo ea mohlala oa ntho le ho ajoa COM
Tšebeliso ea mahlale a COM kapa a DCOM ho kenya khoutu lits'ebetsong tsa lehae kapa tse hole ha o ntse o tsamaea marang-rang.
PT NAD e etsa eng?: E lemoha mehala ea DCOM e belaetsang eo hangata bahlaseli ba e sebelisang ho qala mananeo.
4. : tlhekefetso bakeng sa ho bolaoa ha bareki
Tšebeliso ea bofokoli ho etsa khoutu e sa reroang sebakeng sa mosebetsi. Lintho tse molemo ka ho fetisisa bakeng sa bahlaseli ke tse lumellang hore khoutu e sebelisoe tsamaisong e hōle, kaha e ka lumella bahlaseli ho fumana mokhoa oo. Mokhoa ona o ka sebelisoa ho sebelisa mekhoa e latelang: poso e mpe, sebaka sa marang-rang se nang le ts'ebeliso ea sebatli, le tšebeliso e mpe ea ts'ebeliso e hole.
PT NAD e etsa eng?: Ha o hlophisa sephethephethe sa mangolo, PT NAD e e hlahloba bakeng sa boteng ba lifaele tse sebetsang ho li-attachments. E ntša ka bo eona litokomane tsa ofisi ho tsoa ho li-imeile tse ka 'nang tsa e-ba le litšupiso. Boiteko ba ho sebelisa bofokoli bo bonahala sephethephetheng, seo PT NAD e se bonang ka bohona.
5. : mshta
Sebelisa sesebelisoa sa mshta.exe, se tsamaisang lits'ebetso tsa Microsoft HTML (HTA) ka katoloso ea .hta. Hobane mshta e sebetsana le lifaele ka ho feta litlhophiso tsa ts'ireletso ea sebatli, bahlaseli ba ka sebelisa mshta.exe ho kenya lifaele tsa HTA, JavaScript, kapa VBScript tse kotsi.
PT NAD e etsa eng?: Lifaele tsa .hta bakeng sa ho etsoa ka mshta li boetse li fetisoa holim'a marang-rang - sena se ka bonoa sephethephethe. PT NAD e lemoha phetiso ea lifaele tse joalo tse mpe ka bo eona. E hapa lifaele, 'me tlhahisoleseling ka tsona e ka bonoa kareteng ea thuto.
6. Tlhaloso: PowerShell
U sebelisa PowerShell ho fumana lintlha le ho sebelisa khoutu e kotsi.
PT NAD e etsa eng?: Ha PowerShell e sebelisoa ke bahlaseli ba hole, PT NAD e lemoha sena ka ho sebelisa melao. E lemoha mantsoe a bohlokoa a puo ea PowerShell ao hangata a sebelisoang mengolong e mpe le phetiso ea mangolo a PowerShell holim'a protocol ea SMB.
7. : mosebetsi o hlophisitsoeng
Ho sebelisa Windows Task Scheduler le lisebelisoa tse ling ho iketsetsa mananeo kapa mangolo ka linako tse itseng.
PT NAD e etsa eng?: bahlaseli ba theha mesebetsi e joalo, hangata ba le hole, ho bolelang hore linako tse joalo li bonahala sephethephetheng. PT NAD e iponela ka bo eona tlhahiso ea mesebetsi e belaetsang le ts'ebetso ea ho e fetola e sebelisa li-interface tsa ATSVC le ITaskSchedulerService RPC.
8. : mongolo
Phethahatso ea mangolo ho iketsetsa liketso tse fapaneng tsa bahlaseli.
PT NAD e etsa eng?: e lemoha phetiso ea mangolo ho marang-rang, ke hore, le pele e qala. E lemoha litaba tsa mongolo ho sephethephethe se sa sebetseng mme e bona phetiso ea marang-rang ea lifaele ka li-extensions tse tsamaellanang le lipuo tse tsebahalang tsa mongolo.
9. : ts'ebetso ea ts'ebeletso
Sebelisa faele e sebetsang, litaelo tsa sebopeho sa mola oa taelo, kapa script ka ho sebelisana le litšebeletso tsa Windows, tse kang Service Control Manager (SCM).
PT NAD e etsa eng?: e hlahloba sephethephethe sa SMB mme e lemoha phihlello ea SCM ka melao ea ho theha, ho fetola le ho qala ts'ebeletso.
Mokhoa oa ho qala lits'ebeletso o ka sebelisoa ho sebelisoa ts'ebeliso ea taelo e hole PSExec. PT NAD e sekaseka protocol ea SMB mme e lemoha ts'ebeliso ea PSExec ha e sebelisa faele ea PSEXESVC.exe kapa lebitso le tloaelehileng la ts'ebeletso ea PSEXECSVC ho etsa khoutu mochining o hole. Mosebelisi o hloka ho lekola lenane la litaelo tse phethiloeng le ho nepahala ha taelo e tsoang ho moamoheli.
Karete ea tlhaselo ho PT NAD e bonts'a lintlha tsa maqheka le mekhoa e sebelisoang ho latela matrix ea ATT & CK e le hore mosebedisi a ka utloisisa hore na bahlaseli ba sethaleng sefe sa tlhaselo, ke lipakane life tseo ba li phehellang, le hore na ke mehato efe e lefang.
Molao o mabapi le ho sebelisa ts'ebeliso ea PSExec oa hlohlelletsoa, e ka bonts'ang teko ea ho phethahatsa litaelo mochining o hole.
10. : software ea motho oa boraro
Mokhoa oo bahlaseli ba fumanang monyetla oa ho fumana software ea tsamaiso e hole kapa sistimi e tsamaisang software ea khoebo ebe ba e sebelisa ho tsamaisa khoutu e mpe. Mehlala ea software e joalo: SCCM, VNC, TeamViewer, HBSS, Altiris.
Ka tsela, mokhoa ona o bohlokoa haholo mabapi le phetoho e kholo ea ho ea mosebetsing o hole, ka lebaka leo, khokahano ea lisebelisoa tse ngata tse sa sirelelitsoeng tsa lapeng ka liteishene tse belaetsang tsa phihlello tse hole.
PT NAD e etsa eng?: e iphumanela tshebetso ya software e jwalo marangrang. Ka mohlala, melao e bakoa ke likhokahano ka VNC protocol le mosebetsi oa EvilVNC Trojan, e kenyang seva sa VNC ka sekhukhu ho moeti oa motho ea hlokofalitsoeng ebe o e qala ka bo eona. Hape, PT NAD e iphumanela protocol ea TeamViewer, sena se thusa mohlahlobi, a sebelisa sefahla, ho fumana linako tsohle tse joalo le ho lekola bonnete ba tsona.
11. : ts'ebetso ea mosebelisi
Mokhoa oo mosebelisi a tsamaisang lifaele tse ka lebisang ts'ebetsong ea khoutu. Sena se ka ba joalo, ka mohlala, haeba a bula faele e sebetsang kapa a tsamaisa tokomane ea ofisi e nang le macro.
PT NAD e etsa eng?: e bona lifaele tse joalo sethaleng sa phetiso, pele li qala. Lintlha tse mabapi le tsona li ka ithutoa kareteng ea mananeo ao li fetisitsoeng ho tsona.
12. : Lisebelisoa tsa Tsamaiso ea Windows
Tšebeliso ea sesebelisoa sa WMI, se fanang ka phihlello ea lehae le e hole ho likarolo tsa sistimi ea Windows. Ho sebelisa WMI, bahlaseli ba ka sebelisana le litsamaiso tsa lehae le tse hole mme ba etsa mesebetsi e fapaneng, joalo ka ho bokella tlhahisoleseling bakeng sa merero ea boits'oaro le ho qala lits'ebetso ba le hole ha ba ntse ba tsamaea ka thoko.
PT NAD e etsa eng?: Kaha litšebelisano le litsamaiso tse hole ka WMI li bonahala sephethephetheng, PT NAD e lemoha ka bo eona likopo tsa marang-rang ho theha linako tsa WMI le ho hlahloba sephethephethe bakeng sa mangolo a sebelisang WMI.
13. : Tsamaiso ea Remote ea Windows
Ho sebelisa tšebeletso ea Windows le protocol e lumellang mosebedisi ho sebelisana le litsamaiso tse hole.
PT NAD e etsa eng?: E bona likhokahano tsa marang-rang tse thehiloeng ho sebelisoa Windows Remote Management. Likopano tse joalo li bonoa ka mokhoa o ikhethileng ka melao.
14. : XSL (Puo e Atolositsoeng ea Stylesheet) ts'ebetso ea mongolo
Puo ea setaele sa XSL e sebelisoa ho hlalosa ts'ebetso le pono ea data lifaeleng tsa XML. Ho ts'ehetsa ts'ebetso e rarahaneng, maemo a XSL a kenyelletsa tšehetso ea mangolo a kentsoeng ka lipuo tse fapaneng. Lipuo tsena li lumella ho etsoa ha khoutu e sa lebelloang, e lebisang ho feteng ha maano a ts'ireletso a ipapisitseng le manane a masoeu.
PT NAD e etsa eng?: e lemoha ho fetisoa ha lifaele tse joalo holim'a marang-rang, ke hore, le pele li qala. E iponela ka bo eona lifaele tsa XSL tse fetisoang marang-rang le lifaele tse nang le matšoao a makatsang a XSL.
Lisebelisoa tse latelang, re tla sheba kamoo tsamaiso ea PT Network Attack Discovery NTA e fumanang maqheka le mekhoa e meng ea bahlaseli ho latela MITER ATT&CK. Lula u mametse!
Bangoli:
- Anton Kutepov, setsebi Setsing sa Tšireletso sa Setsebi sa PT, Positive Technologies
- Natalia Kazankova, morekisi oa lihlahisoa ho Positive Technologies
Source: www.habr.com