เหตุการณ์ด้านความปลอดภัยของข้อมูลส่วนใหญ่ (87%) เกิดขึ้นภายในไม่กี่นาที ในขณะที่ 68% ของบริษัทใช้เวลาหลายเดือนในการตรวจจับเหตุการณ์เหล่านั้น นี่คือการยืนยันและ ตามที่องค์กรส่วนใหญ่ใช้เวลาโดยเฉลี่ย 206 วันในการค้นพบเหตุการณ์หนึ่ง จากการตรวจสอบของเรา แฮกเกอร์สามารถควบคุมโครงสร้างพื้นฐานของบริษัทได้นานหลายปีโดยไม่ถูกตรวจพบ ดังนั้นในองค์กรแห่งหนึ่งที่ผู้เชี่ยวชาญของเราดำเนินการตรวจสอบเหตุการณ์ความปลอดภัยของข้อมูลพบว่าแฮกเกอร์ควบคุมโครงสร้างพื้นฐานทั้งหมดขององค์กรอย่างสมบูรณ์และขโมยข้อมูลสำคัญเป็นประจำ .
สมมติว่าคุณใช้งาน SIEM อยู่แล้ว ซึ่งรวบรวมบันทึกและวิเคราะห์เหตุการณ์ และมีการติดตั้งโปรแกรมป้องกันไวรัสบนโหนดปลายทาง แต่ถึงอย่างไร, เช่นเดียวกับที่เป็นไปไม่ได้ที่จะใช้ระบบ EDR สำหรับทั้งเครือข่าย ซึ่งหมายความว่าไม่สามารถหลีกเลี่ยงโซน "ตาบอด" ได้ ระบบวิเคราะห์การรับส่งข้อมูลเครือข่าย (NTA) ช่วยในการรับมือ โซลูชันเหล่านี้จะตรวจจับกิจกรรมของผู้โจมตีในช่วงแรกของการเจาะเข้าไปในเครือข่าย รวมถึงในระหว่างที่พยายามตั้งหลักและพัฒนาการโจมตีภายในเครือข่าย
NTA มีสองประเภท: ประเภทหนึ่งทำงานร่วมกับ NetFlow และอีกประเภทหนึ่งวิเคราะห์การรับส่งข้อมูลดิบ ข้อดีของระบบที่สองคือสามารถจัดเก็บบันทึกการรับส่งข้อมูลดิบได้ ด้วยเหตุนี้ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจึงสามารถตรวจสอบความสำเร็จของการโจมตี ระบุตำแหน่งภัยคุกคาม ทำความเข้าใจว่าการโจมตีเกิดขึ้นได้อย่างไร และวิธีป้องกันการโจมตีที่คล้ายกันในอนาคต
เราจะแสดงให้เห็นว่า NTA สามารถใช้ระบุกลยุทธ์การโจมตีที่รู้จักทั้งหมดที่อธิบายไว้ในฐานความรู้โดยใช้สัญญาณทางตรงหรือทางอ้อมได้อย่างไร . เราจะพูดคุยเกี่ยวกับกลยุทธ์ทั้ง 12 ประการ วิเคราะห์เทคนิคที่การจราจรตรวจพบ และสาธิตการตรวจจับโดยใช้ระบบ NTA ของเรา
เกี่ยวกับฐานความรู้ของ ATT&CK
MITER ATT&CK เป็นฐานความรู้สาธารณะที่พัฒนาและดูแลโดย MITER Corporation โดยอิงจากการวิเคราะห์ APT ในโลกแห่งความเป็นจริง เป็นชุดกลยุทธ์และเทคนิคที่มีโครงสร้างซึ่งผู้โจมตีใช้ ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจากทั่วทุกมุมโลกสามารถพูดภาษาเดียวกันได้ ฐานข้อมูลมีการขยายและเสริมความรู้ใหม่ๆ อย่างต่อเนื่อง
ฐานข้อมูลระบุ 12 กลยุทธ์ ซึ่งแบ่งออกเป็นขั้นตอนของการโจมตีทางไซเบอร์:
- การเข้าถึงครั้งแรก (การเข้าถึงครั้งแรก);
- การดำเนินการ (การดำเนินการ);
- การรวมตัว (ความคงอยู่);
- การเพิ่มสิทธิพิเศษ
- การป้องกันการตรวจจับ (การหลีกเลี่ยงการป้องกัน);
- การได้รับข้อมูลรับรอง (การเข้าถึงข้อมูลรับรอง);
- สติปัญญา (การค้นพบ);
- การเคลื่อนไหวภายในปริมณฑล (การเคลื่อนไหวด้านข้าง);
- การรวบรวมข้อมูล (การรวบรวม);
- คำสั่งและการควบคุม
- การขโมยข้อมูล
- ผลกระทบ.
สำหรับแต่ละกลยุทธ์ ฐานความรู้ของ ATT&CK จะแสดงรายการเทคนิคที่ช่วยให้ผู้โจมตีบรรลุเป้าหมายในขั้นตอนการโจมตีปัจจุบัน เนื่องจากเทคนิคเดียวกันสามารถใช้ได้ในขั้นตอนที่ต่างกัน จึงสามารถอ้างอิงถึงกลยุทธ์ต่างๆ ได้
คำอธิบายแต่ละเทคนิคประกอบด้วย:
- ตัวระบุ;
- รายการกลยุทธ์ที่ใช้
- ตัวอย่างการใช้งานของกลุ่ม APT
- มาตรการลดความเสียหายจากการใช้งาน
- คำแนะนำในการตรวจจับ
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลสามารถใช้ความรู้จากฐานข้อมูลเพื่อจัดโครงสร้างข้อมูลเกี่ยวกับวิธีการโจมตีในปัจจุบัน และด้วยเหตุนี้ จึงสามารถสร้างระบบรักษาความปลอดภัยที่มีประสิทธิภาพได้ การทำความเข้าใจว่ากลุ่ม APT ที่แท้จริงดำเนินการอย่างไรสามารถกลายเป็นที่มาของสมมติฐานสำหรับการค้นหาภัยคุกคามภายในเชิงรุก .
เกี่ยวกับการค้นพบการโจมตีเครือข่าย PT
เราจะระบุการใช้เทคนิคจากเมทริกซ์ ATT & CK โดยใช้ระบบ - ระบบ Positive Technologies NTA ออกแบบมาเพื่อตรวจจับการโจมตีในขอบเขตและภายในเครือข่าย PT NAD ครอบคลุมกลยุทธ์ทั้ง 12 ประการของเมทริกซ์ MITER ATT&CK ในระดับที่แตกต่างกัน มีความแข็งแกร่งที่สุดในการระบุการเข้าถึงเบื้องต้น การเคลื่อนไหวด้านข้าง และเทคนิคการสั่งการและการควบคุม ในนั้น PT NAD ครอบคลุมเทคนิคที่รู้จักมากกว่าครึ่งหนึ่ง โดยตรวจจับการใช้งานด้วยสัญญาณทางตรงหรือทางอ้อม
ระบบตรวจจับการโจมตีโดยใช้เทคนิค ATT&CK โดยใช้กฎการตรวจจับที่สร้างโดยคำสั่ง (PT ESC), การเรียนรู้ของเครื่อง, ตัวบ่งชี้การประนีประนอม, การวิเคราะห์เชิงลึก และการวิเคราะห์ย้อนหลัง การวิเคราะห์การรับส่งข้อมูลแบบเรียลไทม์ รวมกับข้อมูลย้อนหลัง ช่วยให้คุณสามารถระบุกิจกรรมที่เป็นอันตรายที่ซ่อนอยู่ในปัจจุบัน และติดตามเวกเตอร์การพัฒนาและลำดับเหตุการณ์การโจมตี
การทำแผนที่แบบเต็มของ PT NAD กับเมทริกซ์ MITER ATT&CK รูปภาพมีขนาดใหญ่ ดังนั้นเราขอแนะนำให้คุณพิจารณาในหน้าต่างแยกต่างหาก
การเข้าถึงเบื้องต้น
กลยุทธ์การเข้าถึงเบื้องต้นประกอบด้วยเทคนิคในการแทรกซึมเครือข่ายของบริษัท เป้าหมายของผู้โจมตีในขั้นตอนนี้คือการส่งโค้ดที่เป็นอันตรายไปยังระบบที่ถูกโจมตีและรับรองว่ามีการดำเนินการต่อไป
การวิเคราะห์ปริมาณการใช้ PT NAD เผยเจ็ดเทคนิคในการเข้าถึงครั้งแรก:
1. : การประนีประนอมแบบขับเคลื่อน
เทคนิคที่เหยื่อเปิดเว็บไซต์ที่ผู้โจมตีใช้เพื่อใช้ประโยชน์จากเว็บเบราว์เซอร์เพื่อรับโทเค็นการเข้าถึงแอปพลิเคชัน
PT NAD ทำอะไร?: หากการรับส่งข้อมูลเว็บไม่ได้เข้ารหัส PT NAD จะตรวจสอบเนื้อหาของการตอบสนองของเซิร์ฟเวอร์ HTTP ในคำตอบเหล่านี้พบว่ามีการหาช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถรันโค้ดโดยอำเภอใจภายในเบราว์เซอร์ PT NAD จะตรวจจับช่องโหว่ดังกล่าวโดยอัตโนมัติโดยใช้กฎการตรวจจับ
นอกจากนี้ PT NAD ยังตรวจจับภัยคุกคามในขั้นตอนก่อนหน้า กฎและตัวชี้วัดของการประนีประนอมจะถูกกระตุ้นหากผู้ใช้เยี่ยมชมไซต์ที่เปลี่ยนเส้นทางเขาไปยังไซต์ที่มีช่องโหว่มากมาย
2. : ใช้ประโยชน์จากแอปพลิเคชันที่เปิดเผยต่อสาธารณะ
การใช้ประโยชน์จากช่องโหว่ในบริการที่สามารถเข้าถึงได้จากอินเทอร์เน็ต
PT NAD ทำอะไร?: ทำการตรวจสอบเนื้อหาของแพ็กเก็ตเครือข่ายอย่างละเอียด โดยเผยให้เห็นสัญญาณของกิจกรรมที่ผิดปกติในนั้น มีกฎที่อนุญาตให้คุณตรวจจับการโจมตีบนระบบจัดการเนื้อหาหลัก (CMS), เว็บอินเตอร์เฟสของอุปกรณ์เครือข่าย, การโจมตีเมลและเซิร์ฟเวอร์ FTP
3. : บริการระยะไกลภายนอก
ผู้โจมตีใช้บริการการเข้าถึงระยะไกลเพื่อเชื่อมต่อกับทรัพยากรเครือข่ายภายในจากภายนอก
PT NAD ทำอะไร?: เนื่องจากระบบจดจำโปรโตคอลไม่ใช่ตามหมายเลขพอร์ต แต่ตามเนื้อหาของแพ็กเก็ต ผู้ใช้ระบบจึงสามารถกรองการรับส่งข้อมูลในลักษณะเพื่อค้นหาเซสชันทั้งหมดของโปรโตคอลการเข้าถึงระยะไกลและตรวจสอบความถูกต้องตามกฎหมาย
4. : สิ่งที่แนบมาด้วยหอกฟิชชิ่ง
เรากำลังพูดถึงการส่งไฟล์แนบฟิชชิ่งอันฉาวโฉ่
PT NAD ทำอะไร?: แยกไฟล์จากการรับส่งข้อมูลโดยอัตโนมัติและตรวจสอบกับตัวบ่งชี้การประนีประนอม ไฟล์ปฏิบัติการในไฟล์แนบจะถูกตรวจพบโดยกฎที่วิเคราะห์เนื้อหาของการรับส่งอีเมล ในสภาพแวดล้อมขององค์กร การลงทุนดังกล่าวถือเป็นสิ่งผิดปกติ
5. : ลิงค์หอกฟิชชิ่ง
การใช้ลิงก์ฟิชชิ่ง เทคนิคนี้เกี่ยวข้องกับผู้โจมตีที่ส่งอีเมลฟิชชิ่งพร้อมลิงก์ที่เมื่อคลิกแล้วจะดาวน์โหลดโปรแกรมที่เป็นอันตราย ตามกฎแล้วลิงก์จะมาพร้อมกับข้อความที่รวบรวมตามกฎทั้งหมดของวิศวกรรมสังคม
PT NAD ทำอะไร?: ตรวจจับลิงก์ฟิชชิ่งโดยใช้ตัวบ่งชี้การบุกรุก ตัวอย่างเช่น ในอินเทอร์เฟซ PT NAD เราเห็นเซสชันที่มีการเชื่อมต่อ HTTP ผ่านลิงก์ที่รวมอยู่ในรายการที่อยู่ฟิชชิ่ง (URL ฟิชชิ่ง)
การเชื่อมต่อผ่านลิงก์จากรายการตัวบ่งชี้ URL ฟิชชิ่งที่ประนีประนอม
6. : ความสัมพันธ์ที่ไว้วางใจ
เข้าถึงเครือข่ายของเหยื่อผ่านบุคคลที่สามซึ่งเหยื่อมีความสัมพันธ์ที่เชื่อถือได้ ผู้โจมตีสามารถเจาะเข้าไปในองค์กรที่เชื่อถือได้และเชื่อมต่อผ่านองค์กรนั้นไปยังเครือข่ายเป้าหมาย ในการดำเนินการนี้ พวกเขาใช้การเชื่อมต่อ VPN หรือความสัมพันธ์ที่เชื่อถือได้ของโดเมน ซึ่งสามารถเปิดเผยได้ผ่านการวิเคราะห์การรับส่งข้อมูล
PT NAD ทำอะไร?: แยกวิเคราะห์โปรโตคอลแอปพลิเคชันและบันทึกฟิลด์ที่แยกวิเคราะห์ลงในฐานข้อมูล เพื่อให้นักวิเคราะห์ความปลอดภัยของข้อมูลสามารถใช้ตัวกรองเพื่อค้นหาการเชื่อมต่อ VPN ที่น่าสงสัยหรือการเชื่อมต่อข้ามโดเมนทั้งหมดในฐานข้อมูล
7. : บัญชีที่ถูกต้อง
การใช้ข้อมูลประจำตัวมาตรฐาน ท้องถิ่น หรือโดเมนสำหรับการอนุญาตบริการภายนอกและภายใน
PT NAD ทำอะไร?: ดึงข้อมูลรับรองโดยอัตโนมัติจากโปรโตคอล HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos โดยทั่วไป นี่คือการเข้าสู่ระบบ รหัสผ่าน และสัญญาณบ่งชี้ว่าการตรวจสอบสิทธิ์สำเร็จ หากมีการใช้แล้ว จะแสดงในการ์ดเซสชันที่เกี่ยวข้อง
การดำเนินการ
กลยุทธ์การดำเนินการรวมถึงเทคนิคที่ผู้โจมตีใช้ในการรันโค้ดบนระบบที่ถูกบุกรุก การเรียกใช้โค้ดที่เป็นอันตรายช่วยให้ผู้โจมตีสร้างสถานะ (กลยุทธ์การคงอยู่) และขยายการเข้าถึงระบบระยะไกลบนเครือข่ายโดยการเคลื่อนที่ภายในขอบเขต
PT NAD ช่วยให้คุณระบุการใช้ 14 เทคนิคที่ผู้โจมตีใช้เพื่อรันโค้ดที่เป็นอันตราย
1. : CMSTP (ตัวติดตั้งโปรไฟล์ Microsoft Connection Manager)
กลยุทธ์ที่ผู้โจมตีเตรียมไฟล์การติดตั้ง .inf ที่เป็นอันตรายซึ่งออกแบบมาเพื่อยูทิลิตี้ Windows CMSTP.exe ในตัว (ตัวติดตั้งโปรไฟล์ตัวจัดการการเชื่อมต่อ) CMSTP.exe รับไฟล์เป็นพารามิเตอร์และติดตั้งโปรไฟล์บริการสำหรับการเชื่อมต่อระยะไกล ด้วยเหตุนี้ CMSTP.exe จึงสามารถใช้เพื่อดาวน์โหลดและดำเนินการไลบรารีลิงก์แบบไดนามิก (*.dll) หรือ scriptlets (*.sct) จากเซิร์ฟเวอร์ระยะไกล
PT NAD ทำอะไร?: ตรวจจับการส่งไฟล์รูปแบบพิเศษ .inf ในการรับส่งข้อมูล HTTP โดยอัตโนมัติ นอกจากนี้ยังตรวจจับการถ่ายโอน HTTP ของสคริปต์เล็ตที่เป็นอันตรายและไลบรารีลิงก์แบบไดนามิกจากเซิร์ฟเวอร์ระยะไกล
2. : อินเทอร์เฟซบรรทัดคำสั่ง
การโต้ตอบกับอินเทอร์เฟซบรรทัดคำสั่ง อินเทอร์เฟซบรรทัดคำสั่งสามารถโต้ตอบกับภายในเครื่องหรือระยะไกลได้ เช่น ผ่านยูทิลิตีการเข้าถึงระยะไกล
PT NAD ทำอะไร?: ตรวจจับการมีอยู่ของเชลล์โดยอัตโนมัติโดยการตอบสนองต่อคำสั่งเพื่อเรียกใช้ยูทิลิตี้บรรทัดคำสั่งต่างๆ เช่น ping, ifconfig
3. : โมเดลวัตถุส่วนประกอบและ COM แบบกระจาย
การใช้เทคโนโลยี COM หรือ DCOM เพื่อรันโค้ดบนระบบภายในหรือระบบระยะไกลขณะเคลื่อนที่ผ่านเครือข่าย
PT NAD ทำอะไร?: ตรวจจับการเรียก DCOM ที่น่าสงสัยซึ่งผู้โจมตีมักใช้ในการเปิดโปรแกรม
4. : การแสวงหาประโยชน์สำหรับการดำเนินการไคลเอนต์
การใช้ประโยชน์จากช่องโหว่ในการรันโค้ดบนเวิร์กสเตชันโดยอำเภอใจ ช่องโหว่ที่มีประโยชน์ที่สุดสำหรับผู้โจมตีคือช่องโหว่ที่อนุญาตให้เรียกใช้โค้ดบนระบบระยะไกล เนื่องจากผู้โจมตีสามารถใช้เพื่อเข้าถึงระบบดังกล่าวได้ เทคนิคนี้สามารถนำไปใช้ได้โดยวิธีการต่อไปนี้: รายชื่อผู้รับจดหมายที่เป็นอันตราย เว็บไซต์ที่มีช่องโหว่สำหรับเบราว์เซอร์ และการหาประโยชน์จากช่องโหว่ของแอปพลิเคชันจากระยะไกล
PT NAD ทำอะไร?: ขณะแยกวิเคราะห์การรับส่งข้อมูลเมล PT NAD จะตรวจสอบว่ามีไฟล์ปฏิบัติการอยู่ในไฟล์แนบหรือไม่ แยกเอกสาร office ออกจากอีเมลที่อาจมีช่องโหว่โดยอัตโนมัติ ความพยายามที่จะใช้ประโยชน์จากช่องโหว่จะมองเห็นได้ในการรับส่งข้อมูล ซึ่ง PT NAD ตรวจพบโดยอัตโนมัติ
5. : มชตา
การใช้ยูทิลิตี้ mshta.exe ซึ่งรัน Microsoft HTML Applications (HTA) ด้วยนามสกุล .hta เนื่องจาก mshta ประมวลผลไฟล์โดยข้ามการตั้งค่าความปลอดภัยของเบราว์เซอร์ ผู้โจมตีจึงสามารถใช้ mshta.exe เพื่อรันไฟล์ HTA, JavaScript หรือ VBScript ที่เป็นอันตรายได้
PT NAD ทำอะไร?: ไฟล์ .hta สำหรับการดำเนินการผ่าน mshta จะถูกส่งผ่านเครือข่ายเช่นกัน - สามารถดูได้ในการรับส่งข้อมูล PT NAD ตรวจจับการถ่ายโอนไฟล์ที่เป็นอันตรายดังกล่าวโดยอัตโนมัติ โดยจะจับไฟล์และสามารถดูข้อมูลเกี่ยวกับไฟล์เหล่านั้นได้ในการ์ดเซสชัน
6. : พาวเวอร์เชลล์
การใช้ PowerShell เพื่อค้นหาข้อมูลและรันโค้ดที่เป็นอันตราย
PT NAD ทำอะไร?: เมื่อผู้โจมตีใช้ PowerShell จากระยะไกล PT NAD จะตรวจพบสิ่งนี้โดยใช้กฎ โดยจะตรวจจับคำสำคัญภาษา PowerShell ที่ใช้บ่อยที่สุดในสคริปต์ที่เป็นอันตรายและการส่งสคริปต์ PowerShell ผ่าน SMB
7. : งานที่กำหนดเวลาไว้
ใช้ Windows Task Scheduler และยูทิลิตี้อื่นๆ เพื่อรันโปรแกรมหรือสคริปต์โดยอัตโนมัติตามเวลาที่กำหนด
PT NAD ทำอะไร?: ผู้โจมตีจะสร้างงานดังกล่าว ซึ่งโดยปกติแล้วจะมาจากระยะไกล ซึ่งหมายความว่าเซสชันดังกล่าวจะมองเห็นได้ในการรับส่งข้อมูล PT NAD ตรวจจับการดำเนินการสร้างและแก้ไขงานที่น่าสงสัยโดยอัตโนมัติโดยใช้อินเทอร์เฟซ ATSVC และ ITaskSchedulerService RPC
8. : การเขียนสคริปต์
การดำเนินการสคริปต์เพื่อทำให้การกระทำต่างๆ ของผู้โจมตีเป็นไปโดยอัตโนมัติ
PT NAD ทำอะไร?: ตรวจจับการส่งสคริปต์ผ่านเครือข่าย กล่าวคือ ก่อนที่จะเปิดตัวด้วยซ้ำ ตรวจจับเนื้อหาสคริปต์ในการรับส่งข้อมูลดิบและตรวจจับการส่งไฟล์ผ่านเครือข่ายที่มีนามสกุลสอดคล้องกับภาษาสคริปต์ยอดนิยม
9. : การดำเนินการบริการ
เรียกใช้ไฟล์ปฏิบัติการ คำแนะนำอินเทอร์เฟซบรรทัดคำสั่ง หรือสคริปต์โดยการโต้ตอบกับบริการของ Windows เช่น Service Control Manager (SCM)
PT NAD ทำอะไร?: ตรวจสอบการรับส่งข้อมูล SMB และตรวจจับคำขอไปยัง SCM ตามกฎสำหรับการสร้าง การแก้ไข และการเริ่มต้นบริการ
เทคนิคในการเริ่มบริการสามารถนำไปใช้ได้โดยใช้ยูทิลิตีการดำเนินการคำสั่งระยะไกล PSExec PT NAD แยกวิเคราะห์โปรโตคอล SMB และตรวจจับการใช้ PSExec เมื่อใช้ไฟล์ PSEXESVC.exe หรือชื่อบริการมาตรฐาน PSEXECSVC เพื่อรันโค้ดบนเครื่องระยะไกล ผู้ใช้จำเป็นต้องตรวจสอบรายการคำสั่งที่ดำเนินการและความชอบธรรมของการดำเนินการคำสั่งระยะไกลจากโฮสต์
การ์ดการโจมตีใน PT NAD จะแสดงข้อมูลเกี่ยวกับกลยุทธ์และเทคนิคที่ใช้โดยเมทริกซ์ ATT&CK เพื่อให้ผู้ใช้สามารถเข้าใจว่าผู้โจมตีอยู่ในขั้นตอนใด เป้าหมายที่พวกเขาติดตาม และมาตรการชดเชยที่ควรใช้
การเปิดใช้งานกฎเกี่ยวกับการใช้ยูทิลิตี้ PSExec ซึ่งอาจบ่งบอกถึงความพยายามในการรันคำสั่งบนเครื่องระยะไกล
10. : ซอฟต์แวร์บุคคลที่สาม
เทคนิคที่ผู้โจมตีสามารถเข้าถึงซอฟต์แวร์การดูแลระบบระยะไกลหรือระบบการปรับใช้ซอฟต์แวร์ขององค์กร และใช้เพื่อเรียกใช้โค้ดที่เป็นอันตราย ตัวอย่างของซอฟต์แวร์ดังกล่าว: SCCM, VNC, TeamViewer, HBSS, Altiris
อย่างไรก็ตามเทคนิคนี้มีความเกี่ยวข้องอย่างยิ่งในการเชื่อมต่อกับการเปลี่ยนแปลงครั้งใหญ่ไปสู่การทำงานระยะไกลและด้วยเหตุนี้การเชื่อมต่ออุปกรณ์ที่ไม่มีการป้องกันในบ้านจำนวนมากผ่านช่องทางการเข้าถึงระยะไกลที่น่าสงสัย
PT NAD ทำอะไร?: ตรวจจับการทำงานของซอฟต์แวร์ดังกล่าวบนเครือข่ายโดยอัตโนมัติ ตัวอย่างเช่น กฎจะถูกกระตุ้นโดยการเชื่อมต่อผ่านโปรโตคอล VNC และกิจกรรมของโทรจัน EvilVNC ซึ่งติดตั้งเซิร์ฟเวอร์ VNC อย่างลับๆ บนโฮสต์ของเหยื่อและเปิดใช้งานโดยอัตโนมัติ นอกจากนี้ PT NAD ยังตรวจจับโปรโตคอล TeamViewer โดยอัตโนมัติ ซึ่งจะช่วยให้นักวิเคราะห์ค้นหาเซสชันดังกล่าวทั้งหมดและตรวจสอบความถูกต้องตามกฎหมายโดยใช้ตัวกรอง
11. : การดำเนินการของผู้ใช้
เทคนิคที่ผู้ใช้เรียกใช้ไฟล์ที่อาจทำให้โค้ดถูกเรียกใช้งาน อาจเป็นได้ เช่น หากเปิดไฟล์ปฏิบัติการหรือเรียกใช้เอกสาร office ด้วยแมโคร
PT NAD ทำอะไร?: ดูไฟล์ดังกล่าวในขั้นตอนการถ่ายโอนก่อนที่จะเปิดตัว ข้อมูลเกี่ยวกับพวกเขาสามารถศึกษาได้ในการ์ดของเซสชันที่มีการถ่ายทอด
12. : เครื่องมือการจัดการ Windows
การใช้เครื่องมือ WMI ซึ่งให้การเข้าถึงส่วนประกอบของระบบ Windows ภายในและระยะไกล การใช้ WMI ผู้โจมตีสามารถโต้ตอบกับระบบในพื้นที่และระยะไกล และทำงานต่างๆ ได้ เช่น การรวบรวมข้อมูลเพื่อจุดประสงค์ด้านข่าวกรอง และการเปิดตัวกระบวนการจากระยะไกลระหว่างการเคลื่อนไหวด้านข้าง
PT NAD ทำอะไร?: เนื่องจากการโต้ตอบกับระบบระยะไกลผ่าน WMI สามารถมองเห็นได้ในการรับส่งข้อมูล PT NAD จะตรวจจับคำขอเครือข่ายโดยอัตโนมัติเพื่อสร้างเซสชัน WMI และตรวจสอบการรับส่งข้อมูลว่ามีการส่งสคริปต์ที่ใช้ WMI หรือไม่
13. : การจัดการระยะไกลของ Windows
การใช้บริการและโปรโตคอล Windows ที่อนุญาตให้ผู้ใช้โต้ตอบกับระบบระยะไกล
PT NAD ทำอะไร?: ดูการเชื่อมต่อเครือข่ายที่สร้างโดยใช้ Windows Remote Management เซสชันดังกล่าวจะถูกตรวจพบโดยอัตโนมัติตามกฎ
14. : การประมวลผลสคริปต์ XSL (Extensible Stylesheet Language)
ภาษามาร์กอัปสไตล์ XSL ใช้เพื่ออธิบายการประมวลผลและการแสดงผลข้อมูลในไฟล์ XML เพื่อรองรับการดำเนินการที่ซับซ้อน มาตรฐาน XSL จึงรวมการรองรับสคริปต์อินไลน์ในหลายภาษา ภาษาเหล่านี้อนุญาตให้มีการเรียกใช้โค้ดโดยอำเภอใจ ซึ่งจะข้ามนโยบายความปลอดภัยที่อนุญาตพิเศษ
PT NAD ทำอะไร?: ตรวจจับการส่งไฟล์ดังกล่าวผ่านเครือข่าย กล่าวคือ ก่อนที่จะเปิดตัวด้วยซ้ำ โดยจะตรวจจับการส่งไฟล์ XSL ผ่านเครือข่ายและไฟล์ที่มีมาร์กอัป XSL ผิดปกติโดยอัตโนมัติ
ในเอกสารต่อไปนี้ เราจะดูว่าระบบ PT Network Attack Discovery NTA ค้นหากลยุทธ์และเทคนิคอื่นๆ ของผู้โจมตีตาม MITER ATT & CK ได้อย่างไร คอยติดตาม!
ผู้เขียน:
- Anton Kutepov ผู้เชี่ยวชาญศูนย์รักษาความปลอดภัยผู้เชี่ยวชาญ (PT Expert Security Center) เทคโนโลยีเชิงบวก
- Natalia Kazankova นักการตลาดผลิตภัณฑ์ของ Positive Technologies
ที่มา: will.com