, matukio mengi (87%) ya matukio ya usalama wa habari hutokea kwa dakika chache, na kwa 68% ya makampuni inachukua miezi kuchunguza. Hii inathibitishwa na , kulingana na ambayo inachukua mashirika mengi wastani wa siku 206 kugundua tukio. Kulingana na uzoefu wa uchunguzi wetu, wavamizi wanaweza kudhibiti miundombinu ya kampuni kwa miaka mingi bila kutambuliwa. Kwa hivyo, katika moja ya mashirika ambayo wataalam wetu walichunguza tukio la usalama wa habari, ilibainika kuwa wadukuzi walidhibiti kabisa miundombinu yote ya shirika na kuiba habari muhimu mara kwa mara. .
Hebu tuseme tayari una SIEM inayoendesha ambayo inakusanya kumbukumbu na kuchambua matukio, na programu ya antivirus imewekwa kwenye nodi za mwisho. Hata hivyo, , kama vile haiwezekani kutekeleza mifumo ya EDR katika mtandao mzima, ambayo ina maana kwamba matangazo "vipofu" hayawezi kuepukwa. Mifumo ya uchanganuzi wa trafiki ya mtandao (NTA) husaidia kukabiliana nayo. Suluhu hizi hutambua shughuli za washambulizi katika hatua za awali za kupenya kwa mtandao, na pia wakati wa majaribio ya kupata nafasi na kuendeleza mashambulizi ndani ya mtandao.
Kuna aina mbili za NTAs: zingine hufanya kazi na NetFlow, zingine huchanganua trafiki ghafi. Faida ya mifumo ya pili ni kwamba wanaweza kuhifadhi rekodi za trafiki ghafi. Shukrani kwa hili, mtaalamu wa usalama wa habari anaweza kuthibitisha mafanikio ya shambulio hilo, kuweka tishio ndani yake, kuelewa jinsi shambulio hilo lilitokea na jinsi ya kuzuia shambulio kama hilo katika siku zijazo.
Tutaonyesha jinsi kwa kutumia NTA unaweza kutumia ushahidi wa moja kwa moja au usio wa moja kwa moja ili kutambua mbinu zote za mashambulizi zinazojulikana zilizofafanuliwa katika msingi wa maarifa. . Tutazungumza juu ya kila moja ya mbinu 12, kuchambua mbinu ambazo hugunduliwa na trafiki, na kuonyesha utambuzi wao kwa kutumia mfumo wetu wa NTA.
Kuhusu msingi wa maarifa wa ATT&CK
MITER ATT&CK ni msingi wa maarifa ya umma uliotengenezwa na kudumishwa na Shirika la MITER kulingana na uchanganuzi wa APT za maisha halisi. Ni seti iliyoundwa ya mbinu na mbinu zinazotumiwa na washambuliaji. Hii inaruhusu wataalamu wa usalama wa habari kutoka kote ulimwenguni kuzungumza lugha moja. Hifadhidata inapanuka kila wakati na kuongezewa maarifa mapya.
Hifadhidata inabainisha mbinu 12, ambazo zimegawanywa na hatua za mashambulizi ya mtandaoni:
- upatikanaji wa awali;
- utekelezaji;
- uimarishaji (uvumilivu);
- kuongezeka kwa upendeleo;
- kuzuia kugundua (ukwepaji wa ulinzi);
- kupata sifa (ufikiaji wa sifa);
- uchunguzi;
- harakati ndani ya mzunguko (harakati ya baadaye);
- ukusanyaji wa data (mkusanyiko);
- amri na udhibiti;
- utaftaji wa data;
- athari.
Kwa kila mbinu, msingi wa maarifa wa ATT&CK huorodhesha orodha ya mbinu zinazowasaidia washambuliaji kufikia lengo lao katika hatua ya sasa ya uvamizi. Kwa kuwa mbinu hiyo hiyo inaweza kutumika katika hatua tofauti, inaweza kurejelea mbinu kadhaa.
Maelezo ya kila mbinu ni pamoja na:
- kitambulisho;
- orodha ya mbinu ambazo hutumiwa;
- mifano ya matumizi ya vikundi vya APT;
- hatua za kupunguza uharibifu kutokana na matumizi yake;
- mapendekezo ya utambuzi.
Wataalamu wa usalama wa habari wanaweza kutumia ujuzi kutoka kwa hifadhidata ili kuunda taarifa kuhusu mbinu za sasa za uvamizi na, kwa kuzingatia hili, kuunda mfumo madhubuti wa usalama. Kuelewa jinsi vikundi halisi vya APT vinavyofanya kazi pia kunaweza kuwa chanzo cha dhahania za kutafuta vitisho ndani. .
Kuhusu PT Network Attack Discovery
Tutatambua matumizi ya mbinu kutoka kwa matrix ya ATT&CK kwa kutumia mfumo - Mfumo wa NTA wa Teknolojia Chanya, iliyoundwa kugundua mashambulizi kwenye eneo na ndani ya mtandao. PT NAD inashughulikia, kwa viwango tofauti, mbinu zote 12 za matrix ya MITER ATT&CK. Ana nguvu zaidi katika kutambua mbinu za ufikiaji wa awali, harakati za upande, na amri na udhibiti. Ndani yao, PT NAD inashughulikia zaidi ya nusu ya mbinu zinazojulikana, kuchunguza matumizi yao kwa ishara za moja kwa moja au zisizo za moja kwa moja.
Mfumo hutambua mashambulizi kwa kutumia mbinu za ATT&CK kwa kutumia sheria za utambuzi zilizoundwa na timu (PT ESC), kujifunza kwa mashine, viashiria vya maelewano, uchanganuzi wa kina na uchanganuzi wa nyuma. Uchanganuzi wa wakati halisi wa trafiki pamoja na mtazamo wa nyuma hukuruhusu kutambua shughuli hasidi iliyofichwa na kufuatilia vekta za ukuzaji na mpangilio wa mashambulizi.
ramani kamili ya PT NAD hadi MITER ATT&CK matrix. Picha ni kubwa, kwa hivyo tunapendekeza uitazame kwenye dirisha tofauti.
Ufikiaji wa awali
Mbinu za awali za ufikiaji ni pamoja na mbinu za kupenya mtandao wa kampuni. Lengo la washambuliaji katika hatua hii ni kuwasilisha msimbo hasidi kwa mfumo ulioshambuliwa na kuhakikisha uwezekano wa kutekelezwa kwake zaidi.
Uchambuzi wa trafiki kutoka PT NAD unaonyesha mbinu saba za kupata ufikiaji wa awali:
1. : maelewano ya kuendesha gari
Mbinu ambayo mwathirika hufungua tovuti ambayo hutumiwa na washambuliaji kutumia kivinjari cha wavuti na kupata ishara za ufikiaji wa programu.
PT NAD hufanya nini?: Ikiwa trafiki ya wavuti haijasimbwa, PT NAD hukagua maudhui ya majibu ya seva ya HTTP. Majibu haya yana matumizi ambayo huruhusu wavamizi kutekeleza msimbo kiholela ndani ya kivinjari. PT NAD hutambua kiotomatiki matumizi hayo kwa kutumia sheria za utambuzi.
Zaidi ya hayo, PT NAD hutambua tishio katika hatua ya awali. Sheria na viashirio vya maelewano huanzishwa ikiwa mtumiaji alitembelea tovuti iliyomwelekeza kwenye tovuti yenye rundo la ushujaa.
2. : tumia programu inayotazama umma
Unyonyaji wa udhaifu katika huduma zinazopatikana kutoka kwa Mtandao.
PT NAD hufanya nini?: Hufanya ukaguzi wa kina wa yaliyomo kwenye pakiti za mtandao, kubainisha ishara za shughuli isiyo ya kawaida. Hasa, kuna sheria zinazokuruhusu kugundua mashambulizi kwenye mifumo mikuu ya usimamizi wa maudhui (CMS), miingiliano ya wavuti ya vifaa vya mtandao, na mashambulizi kwenye seva za barua na FTP.
3. : huduma za nje za mbali
Wavamizi hutumia huduma za ufikiaji wa mbali ili kuunganisha kwenye rasilimali za mtandao wa ndani kutoka nje.
PT NAD hufanya nini?: kwa kuwa mfumo hutambua itifaki si kwa nambari za bandari, lakini kwa yaliyomo kwenye pakiti, watumiaji wa mfumo wanaweza kuchuja trafiki ili kupata vipindi vyote vya itifaki za ufikiaji wa mbali na kuangalia uhalali wao.
4. : kiambatisho cha kulenga mikuki
Tunazungumza kuhusu utumaji mbaya wa viambatisho vya hadaa.
PT NAD hufanya nini?: Huondoa faili kiotomatiki kutoka kwa trafiki na kuzikagua dhidi ya viashiria vya maelewano. Faili zinazoweza kutekelezwa katika viambatisho hugunduliwa na sheria zinazochambua maudhui ya trafiki ya barua. Katika mazingira ya ushirika, uwekezaji kama huo unachukuliwa kuwa wa kushangaza.
5. : kiungo cha wizi wa mikuki
Kwa kutumia viungo vya kuhadaa ili kupata maelezo ya kibinafsi. Mbinu hiyo inahusisha washambuliaji kutuma barua pepe ya ulaghai na kiungo ambacho, kinapobofya, hupakua programu hasidi. Kama sheria, kiunga kinaambatana na maandishi yaliyokusanywa kulingana na sheria zote za uhandisi wa kijamii.
PT NAD hufanya nini?: Hugundua viungo vya kuhadaa ili kupata maelezo ya kibinafsi kwa kutumia viashirio vya maelewano. Kwa mfano, katika kiolesura cha PT NAD tunaona kipindi ambacho kulikuwa na muunganisho wa HTTP kupitia kiungo kilichojumuishwa kwenye orodha ya anwani za hadaa (hadaa-urls).
Muunganisho kupitia kiungo kutoka kwenye orodha ya viashirio vya maelewano ya ulaghai
6. : uhusiano unaoaminika
Upatikanaji wa mtandao wa mwathirika kupitia wahusika wengine ambao mwathirika ameanzisha uhusiano wa kuaminiwa. Wavamizi wanaweza kuvamia shirika linaloaminika na kuunganisha kwenye mtandao unaolengwa kupitia hilo. Ili kufanya hivyo, hutumia viunganisho vya VPN au amana za kikoa, ambazo zinaweza kutambuliwa kupitia uchambuzi wa trafiki.
PT NAD hufanya nini?: huchanganua itifaki za programu na kuhifadhi sehemu zilizochanganuliwa kwenye hifadhidata, ili mchanganuzi wa usalama wa habari atumie vichujio kupata miunganisho yote ya VPN inayotiliwa shaka au miunganisho ya vikoa mbali mbali kwenye hifadhidata.
7. : akaunti halali
Kutumia vitambulisho vya kawaida, vya ndani au vya kikoa kwa idhini ya huduma za nje na za ndani.
PT NAD hufanya nini?: Hurejesha kitambulisho kiotomatiki kutoka kwa HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, itifaki za Kerberos. Kwa ujumla, hii ni kuingia, nenosiri na ishara ya uthibitishaji wa mafanikio. Ikiwa zimetumiwa, zinaonyeshwa kwenye kadi ya kikao inayofanana.
Utekelezaji
Mbinu za utekelezaji ni pamoja na mbinu ambazo washambuliaji hutumia kutekeleza msimbo kwenye mifumo iliyoathiriwa. Kuendesha msimbo hasidi husaidia washambuliaji kubaini uwepo (mbinu ya kudumu) na kupanua ufikiaji wa mifumo ya mbali kwenye mtandao kwa kusonga ndani ya eneo.
PT NAD hukuruhusu kugundua matumizi ya mbinu 14 zinazotumiwa na washambuliaji kutekeleza msimbo hasidi.
1. : CMSTP (Kisakinishi cha Wasifu wa Meneja wa Muunganisho wa Microsoft)
Mbinu ambayo washambuliaji hutayarisha faili maalum ya usakinishaji hasidi ya INF kwa shirika la Windows CMSTP.exe lililojengwa ndani (Kisakinishi cha Wasifu wa Kidhibiti cha Muunganisho). CMSTP.exe huchukua faili kama kigezo na kusakinisha wasifu wa huduma kwa muunganisho wa mbali. Kwa hivyo, CMSTP.exe inaweza kutumika kupakia na kutekeleza maktaba za viungo vinavyobadilika (*.dll) au maandishi (*.sct) kutoka kwa seva za mbali.
PT NAD hufanya nini?: Hutambua kiotomatiki uhamisho wa aina maalum za faili za INF katika trafiki ya HTTP. Kwa kuongezea hii, hugundua upitishaji wa HTTP wa hati mbaya na maktaba za viungo vya nguvu kutoka kwa seva ya mbali.
2. : kiolesura cha mstari wa amri
Mwingiliano na kiolesura cha mstari wa amri. Kiolesura cha mstari wa amri kinaweza kuingiliana na ndani au kwa mbali, kwa mfano kutumia huduma za ufikiaji wa mbali.
PT NAD hufanya nini?: hutambua kiotomatiki kuwepo kwa makombora kulingana na majibu kwa amri za kuzindua huduma mbalimbali za mstari wa amri, kama vile ping, ifconfig.
3. : modeli ya kitu cha sehemu na COM iliyosambazwa
Matumizi ya teknolojia za COM au DCOM kutekeleza msimbo kwenye mifumo ya ndani au ya mbali huku ukipitia mtandao.
PT NAD hufanya nini?: Hugundua simu za DCOM zinazotiliwa shaka ambazo washambuliaji kwa kawaida hutumia kuzindua programu.
4. : unyonyaji kwa utekelezaji wa mteja
Utumiaji wa udhaifu kutekeleza msimbo kiholela kwenye kituo cha kazi. Matumizi muhimu zaidi kwa washambuliaji ni yale yanayoruhusu msimbo kutekelezwa kwenye mfumo wa mbali, kwani yanaweza kuruhusu washambuliaji kupata ufikiaji wa mfumo huo. Mbinu hii inaweza kutekelezwa kwa kutumia mbinu zifuatazo: utumaji barua hasidi, tovuti iliyo na ushujaa wa kivinjari, na unyonyaji wa mbali wa udhaifu wa programu.
PT NAD hufanya nini?: Wakati wa kuchanganua trafiki ya barua pepe, PT NAD huikagua kama kuna faili zinazoweza kutekelezwa katika viambatisho. Hutoa hati za ofisi kiotomatiki kutoka kwa barua pepe ambazo zinaweza kuwa na ushujaa. Majaribio ya kutumia udhaifu huonekana kwenye trafiki, ambayo PT NAD hutambua kiotomatiki.
5. : mshta
Tumia matumizi ya mshta.exe, ambayo huendesha programu za Microsoft HTML (HTA) na kiendelezi cha .hta. Kwa sababu mshta huchakata faili kwa kupita mipangilio ya usalama ya kivinjari, wavamizi wanaweza kutumia mshta.exe kutekeleza faili hasidi za HTA, JavaScript, au VBScript.
PT NAD hufanya nini?: .hta faili za kutekelezwa kupitia mshta pia hupitishwa kupitia mtandao - hii inaweza kuonekana kwenye trafiki. PT NAD hutambua uhamishaji wa faili kama hizo otomatiki. Inakamata faili, na habari juu yao inaweza kutazamwa kwenye kadi ya kikao.
6. : PowerShell
Kwa kutumia PowerShell kupata taarifa na kutekeleza msimbo hasidi.
PT NAD hufanya nini?: PowerShell inapotumiwa na washambuliaji wa mbali, PT NAD hutambua hili kwa kutumia sheria. Hutambua manenomsingi ya lugha ya PowerShell ambayo hutumiwa mara nyingi katika hati hasidi na uwasilishaji wa hati za PowerShell kupitia itifaki ya SMB.
7. : kazi iliyopangwa
Kutumia Kiratibu Kazi cha Windows na huduma zingine ili kuendesha programu au hati kiotomatiki kwa nyakati maalum.
PT NAD hufanya nini?: wavamizi huunda kazi kama hizo, kwa kawaida wakiwa mbali, kumaanisha kwamba vipindi kama hivyo vinaonekana kwenye trafiki. PT NAD hutambua kiotomatiki uundaji wa kazi unaotiliwa shaka na utendakazi wa urekebishaji kwa kutumia violesura vya ATSVC na ITaskSchedulerService RPC.
8. : uandishi
Utekelezaji wa hati ili kubinafsisha vitendo mbalimbali vya washambuliaji.
PT NAD hufanya nini?: hutambua utumaji wa hati kwenye mtandao, yaani, hata kabla ya kuzinduliwa. Hutambua maudhui ya hati katika trafiki ghafi na hutambua utumaji wa faili wa mtandao kwa viendelezi vinavyolingana na lugha maarufu za uandishi.
9. : utekelezaji wa huduma
Tekeleza faili inayoweza kutekelezwa, maagizo ya kiolesura cha mstari wa amri, au hati kwa kuingiliana na huduma za Windows, kama vile Kidhibiti cha Huduma (SCM).
PT NAD hufanya nini?: hukagua trafiki ya SMB na kugundua ufikiaji kwa SCM na sheria za kuunda, kubadilisha na kuanzisha huduma.
Mbinu ya kuanzisha huduma inaweza kutekelezwa kwa kutumia matumizi ya utekelezaji wa amri ya mbali PSExec. PT NAD huchanganua itifaki ya SMB na kugundua matumizi ya PSExec inapotumia faili ya PSEXESVC.exe au jina la kawaida la huduma la PSEXECSVC kutekeleza msimbo kwenye mashine ya mbali. Mtumiaji anahitaji kuangalia orodha ya amri zinazotekelezwa na uhalali wa utekelezaji wa amri ya mbali kutoka kwa seva pangishi.
Kadi ya mashambulizi katika PT NAD huonyesha data kuhusu mbinu na mbinu zinazotumiwa kulingana na mfumo wa ATT&CK ili mtumiaji aweze kuelewa ni hatua gani ya mashambulizi ambayo washambuliaji wako kwenye, malengo wanayofuatilia, na hatua gani za kufidia za kuchukua.
Sheria kuhusu kutumia matumizi ya PSExec imeanzishwa, ambayo inaweza kuonyesha jaribio la kutekeleza amri kwenye mashine ya mbali.
10. : programu ya mtu wa tatu
Mbinu ambayo washambuliaji hupata ufikiaji wa programu ya usimamizi wa mbali au mfumo wa usambazaji wa programu ya shirika na kuutumia kutekeleza msimbo hasidi. Mifano ya programu hizo: SCCM, VNC, TeamViewer, HBSS, Altiris.
Kwa njia, mbinu hiyo ni muhimu sana kuhusiana na mpito mkubwa wa kazi ya mbali na, kwa sababu hiyo, unganisho la vifaa vingi vya nyumbani visivyolindwa kupitia njia mbaya za ufikiaji wa mbali.
PT NAD hufanya nini?: hutambua otomatiki uendeshaji wa programu hiyo kwenye mtandao. Kwa mfano, sheria huchochewa na viunganisho kupitia itifaki ya VNC na shughuli ya EvilVNC Trojan, ambayo huweka seva ya VNC kwa siri kwenye mwenyeji wa mwathirika na kuizindua moja kwa moja. Pia, PT NAD hutambua moja kwa moja itifaki ya TeamViewer, hii husaidia mchambuzi, kwa kutumia chujio, kupata vikao vyote hivyo na kuangalia uhalali wao.
11. : utekelezaji wa mtumiaji
Mbinu ambayo mtumiaji huendesha faili ambazo zinaweza kusababisha utekelezaji wa msimbo. Hii inaweza kuwa, kwa mfano, ikiwa anafungua faili inayoweza kutekelezwa au anaendesha hati ya ofisi na macro.
PT NAD hufanya nini?: huona faili kama hizo katika hatua ya uhamishaji, kabla ya kuzinduliwa. Habari juu yao inaweza kusomwa katika kadi ya vikao ambavyo vilipitishwa.
12. :Ala za Usimamizi wa Windows
Matumizi ya zana ya WMI, ambayo hutoa ufikiaji wa ndani na wa mbali kwa vipengee vya mfumo wa Windows. Kwa kutumia WMI, washambuliaji wanaweza kuingiliana na mifumo ya ndani na ya mbali na kufanya kazi mbalimbali, kama vile kukusanya taarifa kwa madhumuni ya upelelezi na kuzindua michakato kwa mbali huku wakisogea kando.
PT NAD hufanya nini?: Kwa kuwa mwingiliano na mifumo ya mbali kupitia WMI huonekana kwenye trafiki, PT NAD hutambua otomatiki maombi ya mtandao ya kuanzisha vipindi vya WMI na hukagua trafiki kwa hati zinazotumia WMI.
13. : Usimamizi wa Mbali wa Windows
Kutumia huduma ya Windows na itifaki ambayo inaruhusu mtumiaji kuingiliana na mifumo ya mbali.
PT NAD hufanya nini?: Huona miunganisho ya mtandao iliyoanzishwa kwa kutumia Usimamizi wa Mbali wa Windows. Vikao kama hivyo hugunduliwa kiatomati na sheria.
14. : Uchakataji wa hati ya XSL (Lugha ya Laha ya Mtindo Inayoongezwa).
Lugha ya lebo ya mtindo wa XSL hutumiwa kuelezea uchakataji na taswira ya data katika faili za XML. Ili kusaidia utendakazi changamano, kiwango cha XSL kinajumuisha usaidizi wa hati zilizopachikwa katika lugha mbalimbali. Lugha hizi huruhusu utekelezaji wa msimbo kiholela, ambayo husababisha kupuuzwa kwa sera za usalama kulingana na orodha nyeupe.
PT NAD hufanya nini?: hutambua uhamisho wa faili hizo kwenye mtandao, yaani, hata kabla ya kuzinduliwa. Hutambua kiotomatiki faili za XSL zinazotumwa kwenye mtandao na faili zilizo na alama za ajabu za XSL.
Katika nyenzo zifuatazo, tutaangalia jinsi mfumo wa PT Network Attack Discovery NTA hupata mbinu na mbinu za washambulizi kwa mujibu wa MITER ATT&CK. Endelea kufuatilia!
Waandishi:
- Anton Kutepov, mtaalamu katika Kituo cha Usalama cha Mtaalam wa PT, Teknolojia Chanya
- Natalia Kazankova, muuzaji wa bidhaa katika Positive Technologies
Chanzo: mapenzi.com