, sker majoriteten (87 %) av informationssäkerhetsincidenterna inom några minuter, medan 68 % av företagen tar månader på sig att upptäcka dem. Detta bekräftas av , enligt vilket det tar de flesta organisationer i genomsnitt 206 dagar att upptäcka en incident. Baserat på erfarenheterna från våra undersökningar kan hackare kontrollera ett företags infrastruktur i flera år utan att bli upptäckt. I en av de organisationer där våra experter undersökte en informationssäkerhetsincident, avslöjades det alltså att hackare helt kontrollerade hela organisationens infrastruktur och regelbundet stal viktig information .
Låt oss säga att du redan har en SIEM igång som samlar in loggar och analyserar händelser, och antivirusprogram är installerat på slutnoderna. Ändå, , precis som det är omöjligt att implementera EDR-system för hela nätverket, vilket gör att ”blinda” zoner inte kan undvikas. System för analys av nätverkstrafik (NTA) hjälper till att hantera dem. Dessa lösningar upptäcker angripares aktivitet i de tidigaste stadierna av penetrering i nätverket, såväl som under försök att få fotfäste och utveckla en attack inuti nätverket.
Det finns två typer av NTA:er: vissa arbetar med NetFlow, andra analyserar råtrafik. Fördelen med det andra systemet är att de kan lagra råa trafikuppgifter. Tack vare detta kan en informationssäkerhetsspecialist kontrollera attackens framgång, lokalisera hotet, förstå hur attacken inträffade och hur man förhindrar en liknande i framtiden.
Vi kommer att visa hur NTA kan användas för att identifiera, genom direkta eller indirekta tecken, alla kända attacktaktiker som beskrivs i kunskapsbasen. . Vi kommer att prata om var och en av de 12 taktikerna, analysera teknikerna som upptäcks av trafik och demonstrera deras upptäckt med vårt NTA-system.
Om ATT&CK Knowledge Base
MITER ATT&CK är en offentlig kunskapsbas utvecklad och underhållen av MITER Corporation baserad på analys av verkliga APT:er. Det är en strukturerad uppsättning taktik och tekniker som används av angripare. Detta gör att informationssäkerhetsproffs från hela världen kan tala samma språk. Databasen utökas ständigt och kompletteras med ny kunskap.
Databasen identifierar 12 taktiker, som är indelade i stadier av en cyberattack:
- initial åtkomst (initial access);
- avrättning (utförande);
- konsolidering (uthållighet);
- privilegieupptrappning;
- förebyggande av upptäckt (försvarsflykt);
- erhålla referenser (referensåtkomst);
- intelligens (upptäckt);
- rörelse inom omkretsen (lateral rörelse);
- datainsamling (insamling);
- kommando och kontroll;
- dataexfiltrering;
- påverkan.
För varje taktik listar ATT&CK Knowledge Base en lista med tekniker som hjälper angripare att nå sina mål i det aktuella skedet av attacken. Eftersom samma teknik kan användas i olika skeden kan det hänvisa till flera taktiker.
Beskrivningen av varje teknik inkluderar:
- identifierare;
- en lista över taktik där den tillämpas;
- exempel på användning av APT-grupper;
- åtgärder för att minska skador från dess användning;
- rekommendationer för upptäckt.
Informationssäkerhetsspecialister kan använda kunskap från databasen för att strukturera information om aktuella attackmetoder och med detta i åtanke bygga ett effektivt säkerhetssystem. Att förstå hur verkliga APT-grupper fungerar kan också bli en källa till hypoteser för det proaktiva sökandet efter hot inom dem .
Om PT Network Attack Discovery
Vi kommer att identifiera användningen av tekniker från ATT & CK-matrisen med hjälp av systemet — Positive Technologies NTA-system, utformat för att upptäcka attacker på omkretsen och inuti nätverket. PT NAD täcker, i varierande grad, alla 12 taktikerna i MITER ATT&CK-matrisen. Han är mest kraftfull när det gäller att identifiera tekniker för initial åtkomst, sidorörelse och kommando och kontroll. I dem täcker PT NAD mer än hälften av de kända teknikerna och detekterar deras tillämpning genom direkta eller indirekta tecken.
Systemet upptäcker attacker med ATT&CK-tekniker med detektionsregler som skapats av kommandot (PT ESC), maskininlärning, kompromissindikatorer, djupanalys och retrospektiv analys. Trafikanalys i realtid, kombinerat med retrospektiv, låter dig identifiera aktuell dold skadlig aktivitet och spåra utvecklingsvektorer och attackkronologi.
fullständig mappning av PT NAD till MITER ATT&CK-matris. Bilden är stor, så vi föreslår att du överväger den i ett separat fönster.
Första åtkomst
Inledande åtkomsttaktik inkluderar tekniker för att infiltrera ett företags nätverk. Målet för angripare i detta skede är att leverera skadlig kod till det attackerade systemet och säkerställa dess fortsatta exekvering.
PT NAD-trafikanalys avslöjar sju tekniker för att få första åtkomst:
1. : drive-by-kompromiss
En teknik där offret öppnar en webbplats som används av angripare för att utnyttja webbläsaren och få åtkomsttokens för applikationer.
Vad gör PT NAD?: Om webbtrafiken inte är krypterad inspekterar PT NAD innehållet i HTTP-serversvar. Det är i dessa svar som utnyttjar hittas som gör att angripare kan exekvera godtycklig kod i webbläsaren. PT NAD upptäcker automatiskt sådana utnyttjanden med hjälp av detektionsregler.
Dessutom upptäcker PT NAD hotet i föregående steg. Regler och indikatorer för kompromiss utlöses om användaren besökte en webbplats som omdirigerade honom till en webbplats med ett gäng utnyttjande.
2. : utnyttja applikationer som riktar sig till allmänheten
Utnyttjande av sårbarheter i tjänster som är tillgängliga från Internet.
Vad gör PT NAD?: Utför en djupgående inspektion av innehållet i nätverkspaket och identifierar tecken på onormal aktivitet. I synnerhet finns det regler som gör att du kan upptäcka attacker mot stora innehållshanteringssystem (CMS), webbgränssnitt för nätverksutrustning och attacker mot e-post- och FTP-servrar.
3. : externa fjärrtjänster
Angripare använder fjärråtkomsttjänster för att ansluta till interna nätverksresurser utifrån.
Vad gör PT NAD?: eftersom systemet känner igen protokoll inte genom portnummer, utan genom innehållet i paket, kan systemanvändare filtrera trafik på ett sådant sätt att de hittar alla sessioner av fjärråtkomstprotokoll och kontrollera deras legitimitet.
4. : spearphishing fäste
Vi pratar om den ökända sändningen av nätfiskebilagor.
Vad gör PT NAD?: extraherar automatiskt filer från trafik och kontrollerar dem mot indikatorer på kompromiss. Körbara filer i bilagor upptäcks av regler som analyserar innehållet i e-posttrafik. I en företagsmiljö anses en sådan investering vara onormal.
5. : spearphishing länk
Använder nätfiske-länkar. Tekniken går ut på att angriparna skickar ett nätfiskemail med en länk som, när den klickas, laddar ner ett skadligt program. Som regel åtföljs länken av en text sammanställd enligt alla regler för social ingenjörskonst.
Vad gör PT NAD?: Upptäcker nätfiske-länkar med hjälp av indikatorer för kompromiss. Till exempel, i PT NAD-gränssnittet ser vi en session där det fanns en HTTP-anslutning via en länk som ingår i listan över nätfiskeadresser (nätfiske-urls).
Anslutning via en länk från listan över indikatorer på nätfiske-webbadresser
6. : betrodd relation
Tillgång till offrets nätverk genom tredje part som offret har en betrodd relation med. Angripare kan bryta sig in i en pålitlig organisation och ansluta via den till målnätverket. För att göra detta använder de VPN-anslutningar eller domänförtroenderelationer, vilket kan avslöjas genom trafikanalys.
Vad gör PT NAD?: analyserar applikationsprotokoll och sparar de analyserade fälten i databasen, så att informationssäkerhetsanalytikern kan använda filter för att hitta alla misstänkta VPN-anslutningar eller anslutningar över flera domäner i databasen.
7. : giltiga konton
Använda standard-, lokal- eller domänuppgifter för auktorisering på externa och interna tjänster.
Vad gör PT NAD?: hämtar automatiskt referenser från HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos-protokoll. I det allmänna fallet är detta en inloggning, ett lösenord och ett tecken på framgångsrik autentisering. Om de har använts visas de på motsvarande sessionskort.
Avrättning
Exekveringstaktik inkluderar tekniker som angripare använder för att exekvera kod på komprometterade system. Att köra skadlig kod hjälper angripare att etablera närvaro (persistenstaktik) och utöka åtkomsten till fjärrsystem på nätverket genom att röra sig innanför omkretsen.
PT NAD låter dig identifiera användningen av 14 tekniker som används av angripare för att exekvera skadlig kod.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
En taktik där angripare förbereder en speciell INF-installationsfil för det inbyggda Windows-verktyget CMSTP.exe (Connection Manager Profile Installer). CMSTP.exe tar filen som en parameter och installerar serviceprofilen för fjärranslutningen. Som ett resultat kan CMSTP.exe användas för att ladda och köra dynamiska länkbibliotek (*.dll) eller scriptlets (*.sct) från fjärrservrar.
Vad gör PT NAD?: Upptäcker automatiskt överföringen av specialformat .inf-filer i HTTP-trafik. Dessutom upptäcker den HTTP-överföringar av skadliga scriptlets och dynamiska länkbibliotek från en fjärrserver.
2. : kommandoradsgränssnitt
Interaktion med kommandoradsgränssnittet. Kommandoradsgränssnittet kan interageras med lokalt eller på distans, till exempel genom fjärråtkomstverktyg.
Vad gör PT NAD?: känner automatiskt av närvaron av skal baserat på svar på kommandon för att starta olika kommandoradsverktyg, såsom ping, ifconfig.
3. : komponentobjektmodell och distribuerad COM
Användning av COM- eller DCOM-teknik för att exekvera kod på lokala eller fjärranslutna system när den korsar nätverket.
Vad gör PT NAD?: Upptäcker misstänkta DCOM-anrop som angripare vanligtvis använder för att starta program.
4. : exploatering för klientexekvering
Utnyttjande av sårbarheter för att exekvera godtycklig kod på en arbetsstation. De mest användbara utnyttjarna för angripare är de som tillåter att kod exekveras på ett fjärrsystem, eftersom de kan användas av angripare för att få tillgång till ett sådant system. Tekniken kan implementeras med följande metoder: skadlig e-postlista, webbplats med exploateringar för webbläsare och fjärrexploatering av programsårbarheter.
Vad gör PT NAD?: medan PT NAD analyserar e-posttrafik kontrollerar den om det finns körbara filer i bilagan. Extraherar automatiskt kontorsdokument från e-postmeddelanden som kan innehålla utnyttjande. Försök att utnyttja sårbarheter är synliga i trafiken, vilket PT NAD upptäcker automatiskt.
5. : mshta
Använda verktyget mshta.exe, som kör Microsoft HTML Applications (HTA) med tillägget .hta. Eftersom mshta bearbetar filer som kringgår webbläsarens säkerhetsinställningar kan angripare använda mshta.exe för att köra skadliga HTA-, JavaScript- eller VBScript-filer.
Vad gör PT NAD?: .hta-filer för exekvering via mshta sänds också över nätverket - detta kan ses i trafiken. PT NAD upptäcker automatiskt överföringen av sådana skadliga filer. Den fångar upp filer och information om dem kan ses på sessionskortet.
6. : powershell
Använda PowerShell för att söka efter information och köra skadlig kod.
Vad gör PT NAD?: När PowerShell används av angripare på distans, upptäcker PT NAD detta med hjälp av regler. Den upptäcker de PowerShell-språknyckelord som oftast används i skadliga skript och överföring av PowerShell-skript över SMB.
7. : schemalagd uppgift
Använd Windows Task Scheduler och andra verktyg för att automatiskt köra program eller skript vid specifika tidpunkter.
Vad gör PT NAD?: angripare skapar sådana uppgifter, vanligtvis på distans, vilket innebär att sådana sessioner är synliga i trafiken. PT NAD upptäcker automatiskt misstänkta uppdragsskapande och modifieringsoperationer med hjälp av RPC-gränssnitten ATSVC och ITaskSchedulerService.
8. : skript
Utförande av skript för att automatisera olika åtgärder från angripare.
Vad gör PT NAD?: upptäcker överföring av skript över nätverket, det vill säga redan innan de startas. Den upptäcker skriptinnehåll i råtrafik och upptäcker nätverksöverföring av filer med tillägg som motsvarar populära skriptspråk.
9. : tjänsteutförande
Kör en körbar fil, CLI-instruktioner eller skript genom att interagera med Windows-tjänster, till exempel Service Control Manager (SCM).
Vad gör PT NAD?: inspekterar SMB-trafik och upptäcker förfrågningar till SCM genom regler för att skapa, ändra och starta en tjänst.
Tekniken för att starta tjänster kan implementeras med hjälp av fjärrkommandoexekveringsverktyget PSExec. PT NAD analyserar SMB-protokollet och upptäcker användningen av PSExec när den använder filen PSEXESVC.exe eller PSEXECSVC-standardtjänstnamnet för att exekvera kod på en fjärrdator. Användaren måste kontrollera listan över körda kommandon och legitimiteten för fjärrkommandokörning från värden.
Attackkortet i PT NAD visar data om taktiken och teknikerna som används av ATT&CK-matrisen så att användaren kan förstå i vilket skede av attacken angriparna befinner sig, vilka mål de strävar efter och vilka kompenserande åtgärder som ska vidtas.
Aktivering av regeln om användningen av PSExec-verktyget, vilket kan indikera ett försök att utföra kommandon på en fjärrdator
10. : programvara från tredje part
En teknik där angripare får tillgång till programvara för fjärradministration eller ett system för distribution av programvara och använder dem för att köra skadlig kod. Exempel på sådan programvara: SCCM, VNC, TeamViewer, HBSS, Altiris.
Förresten är tekniken särskilt relevant i samband med den massiva övergången till distansarbete och, som ett resultat, anslutningen av många oskyddade hemenheter via tvivelaktiga fjärråtkomstkanaler.
Vad gör PT NAD?: Upptäcker automatiskt driften av sådan programvara i nätverket. Till exempel utlöses reglerna av fakta om att ansluta via VNC-protokollet och aktiviteten hos EvilVNC-trojanen, som i hemlighet installerar en VNC-server på offrets värd och startar den automatiskt. Dessutom upptäcker PT NAD automatiskt TeamViewer-protokollet, vilket hjälper analytikern att hitta alla sådana sessioner med hjälp av ett filter och kontrollera deras legitimitet.
11. : användarkörning
En teknik där användaren kör filer som kan leda till kodexekvering. Det kan till exempel vara om han öppnar en körbar fil eller kör ett kontorsdokument med ett makro.
Vad gör PT NAD?: ser sådana filer i överföringsstadiet, innan de lanseras. Information om dem kan studeras på kortet för sessionerna där de överfördes.
12. :Windows Management Instrumentation
Använda WMI-verktyget, som ger lokal och fjärråtkomst till Windows-systemkomponenter. Med hjälp av WMI kan angripare interagera med lokala och fjärranslutna system och utföra en mängd olika uppgifter, som att samla in information för underrättelseändamål och fjärrstarta processer under sidorörelser.
Vad gör PT NAD?: Eftersom interaktioner med fjärrsystem via WMI är synliga i trafik, upptäcker PT NAD automatiskt nätverksbegäranden för att upprätta WMI-sessioner och kontrollerar trafiken för att skript som använder WMI sänds.
13. : Windows Fjärrhantering
Använder en Windows-tjänst och ett protokoll som tillåter användaren att interagera med fjärrsystem.
Vad gör PT NAD?: Ser nätverksanslutningar som upprättats med Windows Remote Management. Sådana sessioner upptäcks automatiskt av reglerna.
14. : XSL-skriptbearbetning (Extensible Stylesheet Language).
Markeringsspråk i XSL-stil används för att beskriva bearbetning och visualisering av data i XML-filer. För att stödja komplexa operationer innehåller XSL-standarden stöd för inbäddade skript på olika språk. Dessa språk tillåter exekvering av godtycklig kod, vilket leder till förbikoppling av säkerhetspolicyer baserade på vita listor.
Vad gör PT NAD?: upptäcker överföringen av sådana filer över nätverket, det vill säga redan innan de startas. Den upptäcker automatiskt överföringen av XSL-filer över nätverket och filer med onormal XSL-uppmärkning.
I följande material kommer vi att titta på hur PT Network Attack Discovery NTA-systemet hittar andra angripartaktiker och tekniker i enlighet med MITER ATT&CK. Håll ögonen öppna!
Författare:
- Anton Kutepov, specialist på expertsäkerhetscentret (PT Expert Security Center) Positive Technologies
- Natalia Kazankova, produktmarknadsförare på Positive Technologies
Källa: will.com