, seuseueurna (87%) insiden kaamanan informasi lumangsung dina hitungan menit, sarta pikeun 68% pausahaan butuh sababaraha bulan pikeun ngadeteksi aranjeunna. Ieu dikonfirmasi ku , Nurutkeun nu diperlukeun paling organisasi rata-rata 206 poé pikeun ngadeteksi hiji kajadian. Dumasar pangalaman panyilidikan urang, peretas tiasa ngontrol infrastruktur perusahaan salami mangtaun-taun tanpa dideteksi. Ku kituna, dina salah sahiji organisasi dimana para ahli urang nalungtik hiji kajadian kaamanan informasi, éta ngungkabkeun yén hacker sagemblengna dikawasa sakabéh infrastruktur organisasi jeung rutin maok informasi penting. .
Anggap anjeun parantos ngajalankeun SIEM anu ngumpulkeun log sareng nganalisa kajadian, sareng parangkat lunak antipirus dipasang dina titik tungtung. Sanajan kitu, , Sagampil teu mungkin pikeun nerapkeun sistem EDR sapanjang sakabéh jaringan, nu hartina "buta" spot teu bisa dihindari. Sistem analisis lalu lintas jaringan (NTA) ngabantosan nungkulanana. Solusi ieu ngadeteksi kagiatan panyerang dina tahap awal penetrasi jaringan, kitu ogé nalika usaha pikeun meunangkeun pijakan sareng ngembangkeun serangan dina jaringan.
Aya dua jinis NTA: sababaraha damel sareng NetFlow, anu sanés nganalisa lalu lintas atah. Kauntungannana sistem kadua nyaeta aranjeunna bisa nyimpen rékaman lalulintas atah. Hatur nuhun kana ieu, spesialis kaamanan inpormasi tiasa pariksa kasuksésan serangan, ngalokalkeun ancaman, ngartos kumaha serangan kajantenan sareng kumaha nyegah serangan anu sami di hareup.
Kami bakal nunjukkeun kumaha ngagunakeun NTA anjeun tiasa nganggo bukti langsung atanapi henteu langsung pikeun ngaidentipikasi sadaya taktik serangan anu dijelaskeun dina dasar pangaweruh. . Urang bakal ngobrol ngeunaan masing-masing tina 12 taktik, nganalisis téknik anu dideteksi ku lalu lintas, sareng nunjukkeun deteksina nganggo sistem NTA kami.
Ngeunaan dasar pangaweruh ATT&CK
MITER ATT&CK mangrupikeun pangkalan pangaweruh umum anu dikembangkeun sareng dijaga ku MITER Corporation dumasar kana analisa APT dunya nyata. Éta mangrupikeun susunan taktik sareng téknik anu terstruktur anu dianggo ku panyerang. Hal ieu ngamungkinkeun para profesional kaamanan inpormasi ti sakumna dunya nyarios basa anu sami. Pangkalan data terus-terusan ngembang sareng ditambah ku pangaweruh anyar.
Pangkalan data ngaidentipikasi 12 taktik, anu dibagi ku tahapan serangan cyber:
- aksés awal;
- palaksanaan;
- konsolidasi (kegigihan);
- escalation hak husus;
- pencegahan deteksi (ngajauhan pertahanan);
- meunangkeun credentials (aksés credential);
- éksplorasi;
- gerakan dina perimeter (gerakan gurat);
- ngumpulkeun data (ngumpulkeun);
- paréntah jeung kontrol;
- éksfiltrasi data;
- dampak.
Pikeun unggal taktik, dasar pangaweruh ATT&CK daptar daptar téknik anu ngabantosan panyerang ngahontal tujuanana dina tahap serangan ayeuna. Kusabab téknik anu sami tiasa dianggo dina tahap anu béda, éta tiasa ngarujuk kana sababaraha taktik.
Katerangan unggal téhnik ngawengku:
- idéntifikasi;
- daptar taktik nu dipaké;
- conto pamakéan grup APT;
- ukuran pikeun ngurangan karuksakan tina pamakéan na;
- saran deteksi.
Spesialis kaamanan inpormasi tiasa nganggo pangaweruh tina pangkalan data pikeun nyusun inpormasi ngeunaan metode serangan anu ayeuna sareng, nyandak ieu kana akun, ngawangun sistem kaamanan anu efektif. Ngartos kumaha grup APT nyata beroperasi ogé tiasa janten sumber hipotesis pikeun proaktif milarian ancaman dina .
Ngeunaan PT Network Attack Discovery
Urang bakal ngaidentipikasi pamakean téknik tina matriks ATT&CK nganggo sistem - Sistem Positive Technologies NTA, dirancang pikeun ngadeteksi serangan dina perimeter sareng di jero jaringan. PT NAD nyertakeun, dina tingkat anu béda-béda, sadaya 12 taktik tina matriks MITRE ATT&CK. Anjeunna paling kuat dina ngaidentipikasi téknik pikeun aksés awal, gerakan gurat, sareng paréntah sareng kontrol. Di antarana, PT NAD nyertakeun leuwih ti satengah tina téknik dipikawanoh, detecting aplikasi maranéhanana ku tanda langsung atawa teu langsung.
Sistem ngadeteksi serangan ngagunakeun téhnik ATT&CK ngagunakeun aturan deteksi dijieun ku tim (PT ESC), pembelajaran mesin, indikator kompromi, analitik jero sareng analisis retrospektif. Analisis lalulintas real-time digabungkeun sareng retrospektif ngamungkinkeun anjeun pikeun ngaidentipikasi kagiatan jahat anu disumputkeun ayeuna sareng ngalacak vektor pangembangan sareng kronologi serangan.
pemetaan pinuh PT NAD mun MITRE ATT & matriks CK. Gambarna ageung, janten kami nyarankeun anjeun ningali dina jandela anu misah.
Aksés awal
Taktik aksés awal kalebet téknik pikeun nembus jaringan perusahaan. Tujuan panyerang dina tahap ieu nyaéta pikeun ngirimkeun kode jahat ka sistem anu diserang sareng mastikeun kamungkinan palaksanaan salajengna.
Analisis lalulintas ti PT NAD ngungkabkeun tujuh téknik pikeun meunangkeun aksés awal:
1. : drive-ku kompromi
Téhnik dimana korban muka situs wéb anu dianggo ku panyerang pikeun ngamangpaatkeun browser wéb sareng kéngingkeun token aksés aplikasi.
Naon anu dilakukeun ku PT NAD?: Upami patalimarga wéb henteu énkripsi, PT NAD mariksa eusi réspon server HTTP. Réspon ieu ngandung éksploitasi anu ngamungkinkeun panyerang ngaéksekusi kode anu sawenang-wenang dina browser. PT NAD otomatis ngadeteksi eksploitasi sapertos nganggo aturan deteksi.
Salaku tambahan, PT NAD ngadeteksi ancaman dina léngkah sateuacana. Aturan sareng indikator kompromi dipicu upami pangguna nganjang ka situs anu dialihkeun anjeunna ka situs anu seueur eksploitasi.
2. : mangpaatkeun aplikasi nyanghareup publik
Eksploitasi kerentanan dina jasa anu tiasa diaksés tina Internét.
Naon anu dilakukeun ku PT NAD?: Ngalaksanakeun pamariksaan jero ngeunaan eusi pakét jaringan, ngaidentipikasi tanda-tanda kagiatan anomali. Khususna, aya aturan anu ngamungkinkeun anjeun ngadeteksi serangan dina sistem manajemen eusi utama (CMS), antarmuka wéb alat jaringan, sareng serangan dina mail sareng server FTP.
3. : jasa jauh éksternal
Panyerang ngagunakeun jasa aksés jarak jauh pikeun nyambung ka sumber jaringan internal ti luar.
Naon anu dilakukeun ku PT NAD?: saprak sistem ngakuan protokol teu ku nomer port, tapi ku eusi pakét, pamaké sistem bisa nyaring lalulintas pikeun manggihan sakabeh sesi protokol aksés jauh jeung pariksa legitimasi maranéhna.
4. : kantétan spearphishing
Urang ngobrol ngeunaan ngirim notorious kantétan phishing.
Naon anu dilakukeun ku PT NAD?: Ékstrak file sacara otomatis tina lalu lintas sareng pariksa kana indikator kompromi. File anu tiasa dieksekusi dina lampiran dideteksi ku aturan anu nganalisis eusi lalu lintas surat. Dina lingkungan perusahaan, investasi sapertos ieu dianggap anomali.
5. : Tumbu spearphishing
Ngagunakeun tumbu phishing. Téhnik ieu ngalibatkeun panyerang ngirim email phishing kalayan tautan anu, nalika diklik, ngaunduh program jahat. Sakumaha aturan, link ieu dipirig ku téks disusun luyu jeung sagala aturan rékayasa sosial.
Naon anu dilakukeun ku PT NAD?: Ngadeteksi tumbu phishing ngagunakeun indikator kompromi. Contona, dina panganteur PT NAD urang ningali sési nu aya sambungan HTTP ngaliwatan tumbu kaasup dina daptar alamat phishing (phishing-url).
Sambungan via link tina daptar indikator kompromi phishing-url
6. : hubungan dipercaya
Aksés ka jaringan korban ngaliwatan pihak katilu jeung saha korban geus ngadegkeun hubungan dipercaya. Penyerang tiasa hack organisasi anu dipercaya sareng nyambung ka jaringan target ngalangkunganana. Jang ngalampahkeun ieu, aranjeunna nganggo sambungan VPN atanapi amanah domain, anu tiasa diidentifikasi ku analisa lalu lintas.
Naon anu dilakukeun ku PT NAD?: parses protokol aplikasi tur nyimpen widang parsed kana database, ku kituna hiji analis kaamanan informasi bisa ngagunakeun saringan pikeun manggihan sakabeh sambungan VPN curiga atawa sambungan cross-domain dina database.
7. : rekening valid
Ngagunakeun kredensial standar, lokal atawa domain pikeun otorisasina on jasa éksternal sarta internal.
Naon anu dilakukeun ku PT NAD?: Otomatis retrieves credentials ti HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, protokol Kerberos. Sacara umum, ieu mangrupikeun login, kecap akses sareng tanda oténtikasi anu suksés. Mun aranjeunna geus dipaké, aranjeunna dipintonkeun dina kartu sési pakait.
palaksanaan
Taktik palaksanaan kalebet téknik anu dianggo ku panyerang pikeun ngaéksekusi kode dina sistem anu dikompromi. Ngajalankeun kode jahat ngabantosan panyerang ngadamel ayana (taktik kegigihan) sareng ngalegaan aksés ka sistem jauh dina jaringan ku cara ngalih ka jero perimeter.
PT NAD ngamungkinkeun anjeun pikeun ngadeteksi panggunaan 14 téknik anu dianggo ku panyerang pikeun ngaéksekusi kode jahat.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Taktik dimana panyerang nyiapkeun file INF instalasi jahat khusus pikeun utilitas Windows CMSTP.exe anu diwangun (Connection Manager Profile Installer). CMSTP.exe nyandak file salaku parameter sareng masang profil jasa pikeun sambungan jauh. Hasilna, CMSTP.exe tiasa dianggo pikeun ngamuat sareng ngaéksekusi perpustakaan tautan dinamis (*.dll) atanapi naskah (*.sct) tina server jauh.
Naon anu dilakukeun ku PT NAD?: Otomatis ngadeteksi mindahkeun tipe husus tina file INF dina lalulintas HTTP. Salian ti ieu, éta ngadeteksi pangiriman HTTP tina scriptlets jahat jeung perpustakaan link dinamis ti server jauh.
2. : panganteur paréntah-garis
Interaksi jeung panganteur garis paréntah. Antarbeungeut garis paréntah tiasa berinteraksi sareng sacara lokal atanapi jarak jauh, contona nganggo utilitas aksés jauh.
Naon anu dilakukeun ku PT NAD?: otomatis ngadeteksi ayana cangkang dumasar kana réspon kana paréntah pikeun ngajalankeun rupa utiliti garis paréntah, kayaning ping, ifconfig.
3. : modél objék komponén tur disebarkeun COM
Pamakéan téknologi COM atanapi DCOM pikeun ngaéksekusi kode dina sistem lokal atanapi jauh nalika ngalih kana jaringan.
Naon anu dilakukeun ku PT NAD?: Ngadeteksi telepon DCOM anu curiga anu biasana dianggo ku panyerang pikeun ngaluncurkeun program.
4. : eksploitasi pikeun palaksanaan klien
Eksploitasi kerentanan pikeun ngaéksekusi kode sawenang dina workstation. Eksploitasi anu paling kapaké pikeun panyerang nyaéta anu ngamungkinkeun kode dieksekusi dina sistem jauh, sabab tiasa ngamungkinkeun panyerang aksés kana sistem éta. Téhnik ieu tiasa dilaksanakeun nganggo metodeu di handap ieu: milis jahat, situs wéb nganggo eksploitasi browser, sareng eksploitasi jauh tina kerentanan aplikasi.
Naon anu dilakukeun ku PT NAD?: Nalika nga-parsing patalimarga surat, PT NAD mariksa ayana file executable dina lampiran. Ékstrak dokumén kantor sacara otomatis tina email anu tiasa ngandung garapan. Usaha pikeun ngamangpaatkeun kerentanan katingali dina lalu lintas, anu otomatis dideteksi PT NAD.
5. : mshta
Paké utiliti mshta.exe, nu ngajalankeun aplikasi Microsoft HTML (HTA) kalawan extension .hta. Kusabab mshta ngolah file ngalangkungan setélan kaamanan browser, panyerang tiasa nganggo mshta.exe pikeun ngaéksekusi file HTA, JavaScript, atanapi VBScript anu jahat.
Naon anu dilakukeun ku PT NAD?: file .hta pikeun palaksanaan via mshta ogé dikirimkeun ngaliwatan jaringan - ieu bisa ditempo dina lalulintas. PT NAD ngadeteksi transfer file jahat sapertos sacara otomatis. Éta ngarebut file, sareng inpormasi ngeunaan éta tiasa ditingali dina kartu sési.
6. : PowerShell
Nganggo PowerShell pikeun milarian inpormasi sareng ngaéksekusi kode jahat.
Naon anu dilakukeun ku PT NAD?: Nalika PowerShell dianggo ku panyerang jauh, PT NAD ngadeteksi ieu nganggo aturan. Éta ngadeteksi kecap konci basa PowerShell anu paling sering dianggo dina skrip jahat sareng pangiriman skrip PowerShell dina protokol SMB.
7. : tugas dijadwalkeun
Nganggo Windows Task Scheduler sareng utilitas sanés pikeun ngajalankeun program atanapi skrip sacara otomatis dina waktos anu khusus.
Naon anu dilakukeun ku PT NAD?: panyerang nyiptakeun tugas sapertos kitu, biasana jarak jauh, anu hartosna sési sapertos kitu katingali dina lalu lintas. PT NAD otomatis ngadeteksi kreasi tugas anu curiga sareng operasi modifikasi nganggo antarmuka RPC ATSVC sareng ITaskSchedulerService.
8. : skripsi
Palaksanaan skrip pikeun ngajadikeun otomatis sagala rupa tindakan panyerang.
Naon anu dilakukeun ku PT NAD?: ngadeteksi pangiriman naskah ngaliwatan jaringan, nyaeta, malah saméméh maranéhna dibuka. Éta ngadeteksi eusi naskah dina lalu lintas atah sareng ngadeteksi pangiriman jaringan file nganggo ekstensi anu cocog sareng basa skrip populér.
9. : palaksanaan jasa
Jalankeun file anu tiasa dieksekusi, paréntah antarmuka baris paréntah, atanapi skrip ku cara berinteraksi sareng jasa Windows, sapertos Service Control Manager (SCM).
Naon anu dilakukeun ku PT NAD?: inspects lalulintas SMB sarta ngadeteksi aksés ka SCM kalawan aturan pikeun nyieun, ngarobah jeung ngamimitian jasa.
Téhnik ngamimitian jasa tiasa dilaksanakeun nganggo utilitas palaksanaan paréntah jauh PSExec. PT NAD nganalisa protokol SMB sareng ngadeteksi panggunaan PSExec nalika nganggo file PSEXESVC.exe atanapi nami jasa PSEXECSVC standar pikeun ngaéksekusi kode dina mesin jauh. Pamaké kedah pariksa daptar paréntah anu dieksekusi sareng legitimasi palaksanaan paréntah jauh ti host.
Kartu serangan di PT NAD nampilkeun data ngeunaan taktik sareng téknik anu dianggo dumasar kana matriks ATT&CK supados pangguna tiasa ngartos dina tahap naon serangan anu nyerang, tujuan naon anu aranjeunna laksanakeun, sareng tindakan kompensasi naon anu kedah dilakukeun.
Aturan ngeunaan ngagunakeun utilitas PSExec dipicu, anu tiasa nunjukkeun usaha pikeun ngaéksekusi paréntah dina mesin jauh.
10. : software pihak katilu
Téhnik dimana panyerang kéngingkeun aksés kana parangkat lunak administrasi jauh atanapi sistem panyebaran parangkat lunak perusahaan sareng dianggo pikeun ngajalankeun kode jahat. Conto parangkat lunak sapertos: SCCM, VNC, TeamViewer, HBSS, Altiris.
Ku jalan kitu, téknik utamana relevan dina sambungan jeung transisi masif ka pagawean jauh jeung, salaku hasilna, sambungan sababaraha alat imah nu teu dijagi ngaliwatan dubious saluran aksés jauh.
Naon anu dilakukeun ku PT NAD?: otomatis ngadeteksi operasi software misalna dina jaringan. Salaku conto, aturan dipicu ku sambungan via protokol VNC sareng kagiatan EvilVNC Trojan, anu cicingeun masang server VNC dina host korban sareng otomatis ngaluncurkeunana. Ogé, PT NAD sacara otomatis ngadeteksi protokol TeamViewer, ieu ngabantosan analis, nganggo saringan, mendakan sadaya sesi sapertos kitu sareng pariksa legitimasina.
11. : palaksanaan pamaké
Téhnik dimana pangguna ngajalankeun file anu tiasa nyababkeun palaksanaan kode. Ieu tiasa, contona, upami anjeunna muka file anu tiasa dieksekusi atanapi ngajalankeun dokumen kantor nganggo makro.
Naon anu dilakukeun ku PT NAD?: ningali file sapertos dina tahap transfer, sateuacan aranjeunna diluncurkeun. Inpormasi ngeunaan aranjeunna tiasa ditaliti dina kartu sesi dimana aranjeunna dikirimkeun.
12. : Windows Manajemén Instrumentation
Pamakéan alat WMI, nu nyadiakeun aksés lokal jeung jauh ka komponén sistem Windows. Nganggo WMI, panyerang tiasa berinteraksi sareng sistem lokal sareng jauh sareng ngalaksanakeun rupa-rupa pancén, sapertos ngumpulkeun inpormasi pikeun tujuan pangintipan sareng ngaluncurkeun prosés jarak jauh bari ngalih ka gurat.
Naon anu dilakukeun ku PT NAD?: Kusabab interaksi jeung sistem jauh via WMI nu katingali dina lalulintas, PT NAD otomatis ngadeteksi requests jaringan pikeun ngadegkeun sesi WMI sarta pariksa lalulintas keur Aksara nu make WMI.
13. : Windows Manajemén Jauh
Ngagunakeun layanan Windows jeung protokol anu ngamungkinkeun pamaké pikeun berinteraksi sareng sistem jauh.
Naon anu dilakukeun ku PT NAD?: Ningali sambungan jaringan anu didamel nganggo Windows Remote Management. Sesi sapertos kitu dideteksi sacara otomatis ku aturan.
14. : XSL (Extensible Stylesheet Language) ngolah naskah
Basa markup gaya XSL dianggo pikeun ngajelaskeun ngolah sareng visualisasi data dina file XML. Pikeun ngadukung operasi anu kompleks, standar XSL kalebet dukungan pikeun skrip anu dipasang dina sababaraha basa. Basa-basa ieu ngamungkinkeun palaksanaan kode anu sawenang-wenang, anu nyababkeun kabijakan kaamanan dumasar kana daptar bodas.
Naon anu dilakukeun ku PT NAD?: ngadeteksi mindahkeun file sapertos dina jaringan, nyaeta, malah saméméh maranéhna dibuka. Éta otomatis ngadeteksi file XSL anu dikirimkeun kana jaringan sareng file anu nganggo markup XSL anu anomali.
Dina bahan di handap ieu, urang bakal ningali kumaha sistem PT Network Attack Discovery NTA mendakan taktik sareng téknik panyerang anu saluyu sareng MITRE ATT&CK. Tetep di dieu!
pangarang:
- Anton Kutepov, spesialis di PT Expert Security Center, Positive Technologies
- Natalia Kazankova, pemasar produk di Positive Technologies
sumber: www.habr.com