, ang karamihan (87%) ng mga insidente sa seguridad ng impormasyon ay nangyayari sa loob ng ilang minuto, at para sa 68% ng mga kumpanya ay tumatagal ng ilang buwan upang matukoy ang mga ito. Kinumpirma ito ng , ayon sa kung saan tumatagal ang karamihan sa mga organisasyon ng average na 206 araw upang matukoy ang isang insidente. Batay sa karanasan ng aming mga pagsisiyasat, makokontrol ng mga hacker ang imprastraktura ng kumpanya sa loob ng maraming taon nang hindi natukoy. Kaya, sa isa sa mga organisasyon kung saan nag-imbestiga ang aming mga eksperto sa isang insidente sa seguridad ng impormasyon, nabunyag na ganap na kinokontrol ng mga hacker ang buong imprastraktura ng organisasyon at regular na nagnakaw ng mahalagang impormasyon. .
Sabihin nating mayroon ka nang tumatakbong SIEM na nangongolekta ng mga log at nagsusuri ng mga kaganapan, at naka-install ang antivirus software sa mga end node. gayunpaman, , tulad ng imposibleng ipatupad ang mga sistema ng EDR sa buong network, na nangangahulugang hindi maiiwasan ang mga "bulag" na lugar. Tumutulong ang mga network traffic analysis (NTA) system na harapin ang mga ito. Nakikita ng mga solusyong ito ang aktibidad ng umaatake sa pinakamaagang yugto ng pagtagos ng network, gayundin sa mga pagtatangka na magkaroon ng hawakan at bumuo ng pag-atake sa loob ng network.
Mayroong dalawang uri ng mga NTA: ang ilan ay gumagana sa NetFlow, ang iba ay nagsusuri ng hilaw na trapiko. Ang bentahe ng mga pangalawang sistema ay maaari silang mag-imbak ng mga hilaw na talaan ng trapiko. Dahil dito, maaaring i-verify ng isang espesyalista sa seguridad ng impormasyon ang tagumpay ng pag-atake, i-localize ang banta, maunawaan kung paano nangyari ang pag-atake at kung paano maiwasan ang isang katulad na pag-atake sa hinaharap.
Ipapakita namin kung paano mo magagamit ang NTA ng direkta o hindi direktang ebidensya para matukoy ang lahat ng kilalang taktika sa pag-atake na inilarawan sa base ng kaalaman . Pag-uusapan natin ang bawat isa sa 12 taktika, susuriin ang mga diskarteng natukoy ng trapiko, at ipapakita ang kanilang pagtuklas gamit ang aming NTA system.
Tungkol sa base ng kaalaman ng ATT&CK
Ang MITER ATT&CK ay isang pampublikong kaalaman base na binuo at pinananatili ng MITER Corporation batay sa pagsusuri ng mga totoong buhay na APT. Ito ay isang nakabalangkas na hanay ng mga taktika at diskarte na ginagamit ng mga umaatake. Nagbibigay-daan ito sa mga propesyonal sa seguridad ng impormasyon mula sa buong mundo na magsalita ng parehong wika. Ang database ay patuloy na lumalawak at dinadagdagan ng bagong kaalaman.
Tinutukoy ng database ang 12 taktika, na hinati sa mga yugto ng isang cyber attack:
- paunang pag-access;
- pagbitay;
- pagpapatatag (pagtitiyaga);
- pagtaas ng pribilehiyo;
- pag-iwas sa pagtuklas (pag-iwas sa pagtatanggol);
- pagkuha ng mga kredensyal (pag-access ng kredensyal);
- pagsaliksik;
- paggalaw sa loob ng perimeter (lateral movement);
- pagkolekta ng data (pagkolekta);
- utos at kontrol;
- data exfiltration;
- epekto.
Para sa bawat taktika, ang base ng kaalaman ng ATT&CK ay naglilista ng isang listahan ng mga diskarte na tumutulong sa mga umaatake na makamit ang kanilang layunin sa kasalukuyang yugto ng pag-atake. Dahil ang parehong pamamaraan ay maaaring gamitin sa iba't ibang yugto, maaari itong sumangguni sa ilang mga taktika.
Ang paglalarawan ng bawat pamamaraan ay kinabibilangan ng:
- identifier;
- isang listahan ng mga taktika kung saan ito ginagamit;
- mga halimbawa ng paggamit ng mga pangkat ng APT;
- mga hakbang upang mabawasan ang pinsala mula sa paggamit nito;
- mga rekomendasyon sa pagtuklas.
Ang mga espesyalista sa seguridad ng impormasyon ay maaaring gumamit ng kaalaman mula sa database upang buuin ang impormasyon tungkol sa mga kasalukuyang pamamaraan ng pag-atake at, isinasaalang-alang ito, bumuo ng isang epektibong sistema ng seguridad. Ang pag-unawa kung paano gumagana ang mga tunay na grupo ng APT ay maaari ding maging mapagkukunan ng mga hypotheses para sa aktibong paghahanap ng mga banta sa loob .
Tungkol sa PT Network Attack Discovery
Tutukuyin namin ang paggamit ng mga diskarte mula sa ATT&CK matrix gamit ang system β Positive Technologies NTA system, na idinisenyo upang makita ang mga pag-atake sa perimeter at sa loob ng network. Sinasaklaw ng PT NAD, sa iba't ibang antas, ang lahat ng 12 taktika ng MITRE ATT&CK matrix. Siya ang pinakamakapangyarihan sa pagtukoy ng mga diskarte para sa paunang pag-access, pag-ilid na paggalaw, at command at kontrol. Sa kanila, sinasaklaw ng PT NAD ang higit sa kalahati ng mga kilalang pamamaraan, na nakikita ang kanilang aplikasyon sa pamamagitan ng direkta o hindi direktang mga palatandaan.
Nakikita ng system ang mga pag-atake gamit ang mga diskarte sa ATT&CK gamit ang mga panuntunan sa pagtuklas na ginawa ng team (PT ESC), machine learning, indicators of compromise, deep analytics at retrospective analysis. Ang real-time na pagsusuri sa trapiko na sinamahan ng retrospective ay nagbibigay-daan sa iyong tukuyin ang kasalukuyang nakatagong nakakahamak na aktibidad at subaybayan ang mga vector ng pag-unlad at ang kronolohiya ng mga pag-atake.
buong pagmamapa ng PT NAD hanggang MITER ATT&CK matrix. Malaki ang larawan, kaya iminumungkahi naming tingnan mo ito sa isang hiwalay na window.
Paunang pag-access
Kasama sa mga taktika sa paunang pag-access ang mga diskarte upang makapasok sa network ng isang kumpanya. Ang layunin ng mga umaatake sa yugtong ito ay maghatid ng malisyosong code sa inaatakeng sistema at tiyakin ang posibilidad ng karagdagang pagpapatupad nito.
Ang pagsusuri sa trapiko mula sa PT NAD ay nagpapakita ng pitong pamamaraan para sa pagkakaroon ng paunang pag-access:
1. : drive-by na kompromiso
Isang pamamaraan kung saan ang biktima ay nagbubukas ng isang website na ginagamit ng mga umaatake upang pagsamantalahan ang web browser at makakuha ng mga token ng pag-access ng application.
Ano ang ginagawa ng PT NAD?: Kung hindi naka-encrypt ang trapiko sa web, sinusuri ng PT NAD ang nilalaman ng mga tugon ng HTTP server. Ang mga tugon na ito ay naglalaman ng mga pagsasamantala na nagpapahintulot sa mga umaatake na magsagawa ng arbitrary code sa loob ng browser. Awtomatikong nakikita ng PT NAD ang mga ganitong pagsasamantala gamit ang mga panuntunan sa pag-detect.
Bukod pa rito, nakita ng PT NAD ang banta sa nakaraang hakbang. Nati-trigger ang mga panuntunan at tagapagpahiwatig ng kompromiso kung bumisita ang user sa isang site na nag-redirect sa kanya sa isang site na may maraming pagsasamantala.
2. : pagsamantalahan ang application na nakaharap sa publiko
Pagsasamantala ng mga kahinaan sa mga serbisyong naa-access mula sa Internet.
Ano ang ginagawa ng PT NAD?: Nagsasagawa ng malalim na inspeksyon ng mga nilalaman ng mga packet ng network, pagtukoy ng mga palatandaan ng maanomalyang aktibidad. Sa partikular, may mga panuntunan na nagbibigay-daan sa iyong makita ang mga pag-atake sa mga pangunahing sistema ng pamamahala ng nilalaman (CMS), mga web interface ng kagamitan sa network, at mga pag-atake sa mga mail at FTP server.
3. : panlabas na malayuang serbisyo
Gumagamit ang mga attacker ng mga serbisyo ng malayuang pag-access upang kumonekta sa mga panloob na mapagkukunan ng network mula sa labas.
Ano ang ginagawa ng PT NAD?: dahil kinikilala ng system ang mga protocol hindi sa pamamagitan ng mga numero ng port, ngunit sa pamamagitan ng mga nilalaman ng mga packet, maaaring i-filter ng mga user ng system ang trapiko upang mahanap ang lahat ng mga session ng mga remote access protocol at suriin ang kanilang pagiging lehitimo.
4. : spearphishing attachment
Pinag-uusapan natin ang kilalang-kilalang pagpapadala ng mga attachment ng phishing.
Ano ang ginagawa ng PT NAD?: Awtomatikong kinukuha ang mga file mula sa trapiko at sinusuri ang mga ito laban sa mga tagapagpahiwatig ng kompromiso. Ang mga executable na file sa mga attachment ay nakikita ng mga panuntunang nagsusuri sa nilalaman ng trapiko ng mail. Sa isang corporate environment, ang naturang pamumuhunan ay itinuturing na anomalya.
5. : link ng spearphishing
Paggamit ng mga link sa phishing. Ang pamamaraan ay nagsasangkot ng mga umaatake na nagpapadala ng isang phishing na email na may isang link na, kapag na-click, nagda-download ng isang malisyosong programa. Bilang isang patakaran, ang link ay sinamahan ng isang teksto na pinagsama-sama alinsunod sa lahat ng mga patakaran ng social engineering.
Ano ang ginagawa ng PT NAD?: Nakikita ang mga link ng phishing gamit ang mga indicator ng kompromiso. Halimbawa, sa interface ng PT NAD nakikita namin ang isang session kung saan nagkaroon ng HTTP na koneksyon sa pamamagitan ng isang link na kasama sa listahan ng mga phishing address (phishing-url).
Koneksyon sa pamamagitan ng isang link mula sa listahan ng mga indicator ng kompromiso na mga phishing-url
6. : pinagkakatiwalaang relasyon
Pag-access sa network ng biktima sa pamamagitan ng mga third party kung saan ang biktima ay nagkaroon ng pinagkakatiwalaang relasyon. Maaaring i-hack ng mga attacker ang isang pinagkakatiwalaang organisasyon at kumonekta sa target na network sa pamamagitan nito. Upang gawin ito, gumagamit sila ng mga koneksyon sa VPN o mga domain trust, na maaaring matukoy sa pamamagitan ng pagsusuri sa trapiko.
Ano ang ginagawa ng PT NAD?: nag-parse ng mga protocol ng application at nagse-save ng mga na-parse na field sa database, upang ang isang analyst ng seguridad ng impormasyon ay maaaring gumamit ng mga filter upang mahanap ang lahat ng kahina-hinalang koneksyon sa VPN o mga cross-domain na koneksyon sa database.
7. : mga wastong account
Paggamit ng mga pamantayan, lokal o domain na kredensyal para sa awtorisasyon sa mga panlabas at panloob na serbisyo.
Ano ang ginagawa ng PT NAD?: Awtomatikong kinukuha ang mga kredensyal mula sa HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos na mga protocol. Sa pangkalahatan, ito ay isang pag-login, password at isang tanda ng matagumpay na pagpapatunay. Kung nagamit na ang mga ito, ipapakita ang mga ito sa kaukulang session card.
Pagbitay
Kasama sa mga taktika sa pagpapatupad ang mga diskarteng ginagamit ng mga umaatake upang magsagawa ng code sa mga nakompromisong system. Ang pagpapatakbo ng malisyosong code ay tumutulong sa mga umaatake na magtatag ng presensya (taktika sa pagpupursige) at palawakin ang access sa mga malalayong system sa network sa pamamagitan ng paglipat sa loob ng perimeter.
Binibigyang-daan ka ng PT NAD na tuklasin ang paggamit ng 14 na diskarte na ginagamit ng mga umaatake upang magsagawa ng malisyosong code.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Isang taktika kung saan ang mga umaatake ay naghahanda ng espesyal na nakakahamak na pag-install na INF file para sa built-in na Windows utility na CMSTP.exe (Connection Manager Profile Installer). Kinukuha ng CMSTP.exe ang file bilang parameter at ini-install ang profile ng serbisyo para sa malayuang koneksyon. Bilang resulta, ang CMSTP.exe ay maaaring gamitin upang mag-load at magsagawa ng mga dynamic na link na aklatan (*.dll) o mga scriptlet (*.sct) mula sa mga malalayong server.
Ano ang ginagawa ng PT NAD?: Awtomatikong nakikita ang paglilipat ng mga espesyal na uri ng mga file ng INF sa trapiko ng HTTP. Bilang karagdagan dito, nakikita nito ang pagpapadala ng HTTP ng mga nakakahamak na scriptlet at mga dynamic na link na aklatan mula sa isang malayong server.
2. : interface ng command-line
Pakikipag-ugnayan sa interface ng command line. Ang interface ng command line ay maaaring makipag-ugnayan sa lokal o malayuan, halimbawa gamit ang mga remote access utility.
Ano ang ginagawa ng PT NAD?: awtomatikong nakikita ang pagkakaroon ng mga shell batay sa mga tugon sa mga utos upang ilunsad ang iba't ibang mga utility ng command line, tulad ng ping, ifconfig.
3. : component object model at ibinahagi COM
Paggamit ng mga teknolohiya ng COM o DCOM upang magsagawa ng code sa mga lokal o malayuang sistema habang lumilipat sa isang network.
Ano ang ginagawa ng PT NAD?: Nakakakita ng mga kahina-hinalang tawag sa DCOM na karaniwang ginagamit ng mga umaatake upang maglunsad ng mga programa.
4. : pagsasamantala para sa pagpapatupad ng kliyente
Pagsasamantala ng mga kahinaan upang magsagawa ng arbitrary code sa isang workstation. Ang mga pinakakapaki-pakinabang na pagsasamantala para sa mga umaatake ay ang mga nagbibigay-daan sa code na maisakatuparan sa isang malayuang sistema, dahil maaari nilang payagan ang mga umaatake na magkaroon ng access sa system na iyon. Ang pamamaraan ay maaaring ipatupad gamit ang mga sumusunod na pamamaraan: malisyosong pagpapadala ng koreo, isang website na may mga pagsasamantala sa browser, at malayuang pagsasamantala sa mga kahinaan ng application.
Ano ang ginagawa ng PT NAD?: Kapag nag-parse ng trapiko ng mail, sinusuri ito ng PT NAD para sa pagkakaroon ng mga executable na file sa mga attachment. Awtomatikong kinukuha ang mga dokumento ng opisina mula sa mga email na maaaring naglalaman ng mga pagsasamantala. Ang mga pagtatangkang pagsamantalahan ang mga kahinaan ay makikita sa trapiko, na awtomatikong nade-detect ng PT NAD.
5. : mshta
Gamitin ang mshta.exe utility, na nagpapatakbo ng mga Microsoft HTML applications (HTA) gamit ang .hta extension. Dahil pinoproseso ng mshta ang mga file na lumalampas sa mga setting ng seguridad ng browser, maaaring gamitin ng mga umaatake ang mshta.exe upang magsagawa ng mga nakakahamak na file ng HTA, JavaScript, o VBScript.
Ano ang ginagawa ng PT NAD?: Ang mga .hta file para sa pagpapatupad sa pamamagitan ng mshta ay ipinapadala din sa network - ito ay makikita sa trapiko. Awtomatikong nakikita ng PT NAD ang paglilipat ng mga malisyosong file. Kinukuha nito ang mga file, at maaaring matingnan ang impormasyon tungkol sa mga ito sa session card.
6. : Power shell
Paggamit ng PowerShell upang maghanap ng impormasyon at magsagawa ng malisyosong code.
Ano ang ginagawa ng PT NAD?: Kapag ang PowerShell ay ginagamit ng mga malalayong umaatake, nakikita ito ng PT NAD gamit ang mga panuntunan. Nakikita nito ang mga keyword ng wika ng PowerShell na kadalasang ginagamit sa mga nakakahamak na script at ang pagpapadala ng mga script ng PowerShell sa SMB protocol.
7. : naka-iskedyul na gawain
Paggamit ng Windows Task Scheduler at iba pang mga utility para awtomatikong magpatakbo ng mga program o script sa mga partikular na oras.
Ano ang ginagawa ng PT NAD?: ang mga umaatake ay gumagawa ng mga ganoong gawain, kadalasan sa malayo, na nangangahulugang ang mga naturang session ay nakikita sa trapiko. Awtomatikong nakakakita ang PT NAD ng mga kahina-hinalang pagpapatakbo ng paggawa at pagbabago ng gawain gamit ang mga interface ng ATSVC at ITaskSchedulerService RPC.
8. : scripting
Pagpapatupad ng mga script upang i-automate ang iba't ibang pagkilos ng mga umaatake.
Ano ang ginagawa ng PT NAD?: nakita ang pagpapadala ng mga script sa network, iyon ay, bago pa man sila mailunsad. Nakikita nito ang nilalaman ng script sa hilaw na trapiko at nakita ang paghahatid ng network ng mga file na may mga extension na naaayon sa mga sikat na wika ng script.
9. : pagpapatupad ng serbisyo
Magpatakbo ng executable na file, mga tagubilin sa interface ng command line, o script sa pamamagitan ng pakikipag-ugnayan sa mga serbisyo ng Windows, gaya ng Service Control Manager (SCM).
Ano ang ginagawa ng PT NAD?: sinisiyasat ang trapiko ng SMB at nakita ang access sa SCM na may mga panuntunan para sa paggawa, pagbabago at pagsisimula ng isang serbisyo.
Maaaring ipatupad ang pamamaraan ng pagsisimula ng serbisyo gamit ang remote command execution utility na PSExec. Sinusuri ng PT NAD ang SMB protocol at nakita ang paggamit ng PSExec kapag ginagamit nito ang PSEXESVC.exe file o ang karaniwang pangalan ng serbisyo ng PSEXECSVC upang magsagawa ng code sa isang remote na makina. Kailangang suriin ng user ang listahan ng mga nai-execute na command at ang pagiging lehitimo ng remote command execution mula sa host.
Ang card ng pag-atake sa PT NAD ay nagpapakita ng data sa mga taktika at diskarteng ginamit ayon sa ATT&CK matrix upang maunawaan ng user kung anong yugto ng pag-atake ang kinaroroonan ng mga umaatake, kung anong mga layunin ang kanilang hinahabol, at kung anong mga hakbang sa pagbabayad ang dapat gawin.
Ang panuntunan tungkol sa paggamit ng PSExec utility ay na-trigger, na maaaring magpahiwatig ng pagtatangkang magsagawa ng mga utos sa isang malayuang makina
10. : software ng third-party
Isang pamamaraan kung saan ang mga umaatake ay nakakakuha ng access sa remote administration software o isang corporate software deployment system at ginagamit ito para magpatakbo ng malisyosong code. Mga halimbawa ng naturang software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Sa pamamagitan ng paraan, ang pamamaraan ay partikular na may kaugnayan na may kaugnayan sa napakalaking paglipat sa malayong trabaho at, bilang isang resulta, ang koneksyon ng maraming hindi protektadong mga aparato sa bahay sa pamamagitan ng mga kahina-hinalang remote access channel
Ano ang ginagawa ng PT NAD?: awtomatikong nakikita ang pagpapatakbo ng naturang software sa network. Halimbawa, ang mga patakaran ay na-trigger ng mga koneksyon sa pamamagitan ng VNC protocol at ang aktibidad ng EvilVNC Trojan, na lihim na nag-i-install ng VNC server sa host ng biktima at awtomatikong inilulunsad ito. Gayundin, awtomatikong nakikita ng PT NAD ang protocol ng TeamViewer, tinutulungan nito ang analyst, gamit ang isang filter, hanapin ang lahat ng naturang session at suriin ang kanilang pagiging lehitimo.
11. : pagpapatupad ng gumagamit
Isang pamamaraan kung saan nagpapatakbo ang user ng mga file na maaaring humantong sa pagpapatupad ng code. Ito ay maaaring, halimbawa, kung magbubukas siya ng isang executable na file o nagpapatakbo ng isang dokumento ng opisina na may macro.
Ano ang ginagawa ng PT NAD?: nakikita ang mga naturang file sa yugto ng paglilipat, bago sila ilunsad. Ang impormasyon tungkol sa kanila ay maaaring pag-aralan sa card ng mga sesyon kung saan sila ipinadala.
12. : Instrumentasyon ng Pamamahala ng Windows
Paggamit ng WMI tool, na nagbibigay ng lokal at malayuang pag-access sa mga bahagi ng Windows system. Gamit ang WMI, maaaring makipag-ugnayan ang mga attacker sa mga lokal at malalayong system at magsagawa ng iba't ibang gawain, tulad ng pangangalap ng impormasyon para sa mga layunin ng reconnaissance at paglulunsad ng mga proseso nang malayuan habang gumagalaw sa gilid.
Ano ang ginagawa ng PT NAD?: Dahil nakikita sa trapiko ang mga pakikipag-ugnayan sa mga malayuang system sa pamamagitan ng WMI, awtomatikong nakikita ng PT NAD ang mga kahilingan sa network na magtatag ng mga session ng WMI at sinusuri ang trapiko para sa mga script na gumagamit ng WMI.
13. : Pamamahala ng Windows Remote
Paggamit ng serbisyo at protocol ng Windows na nagbibigay-daan sa user na makipag-ugnayan sa mga malalayong system.
Ano ang ginagawa ng PT NAD?: Nakikita ang mga koneksyon sa network na naitatag gamit ang Windows Remote Management. Awtomatikong nade-detect ng mga panuntunan ang mga naturang session.
14. : Pagproseso ng script ng XSL (Extensible Stylesheet Language).
Ginagamit ang XSL style markup language upang ilarawan ang pagproseso at visualization ng data sa mga XML file. Upang suportahan ang mga kumplikadong operasyon, kasama sa pamantayan ng XSL ang suporta para sa mga naka-embed na script sa iba't ibang wika. Pinapayagan ng mga wikang ito ang pagpapatupad ng arbitrary code, na humahantong sa pag-bypass ng mga patakaran sa seguridad batay sa mga puting listahan.
Ano ang ginagawa ng PT NAD?: nakita ang paglilipat ng naturang mga file sa network, iyon ay, kahit na bago pa sila mailunsad. Awtomatiko nitong nakikita ang mga XSL file na ipinapadala sa network at mga file na may maanomalyang XSL markup.
Sa mga sumusunod na materyales, titingnan natin kung paano nahahanap ng PT Network Attack Discovery NTA system ang iba pang mga taktika at diskarte sa pag-atake alinsunod sa MITER ATT&CK. Manatiling nakatutok!
Mga May-akda:
- Anton Kutepov, espesyalista sa PT Expert Security Center, Positive Technologies
- Natalia Kazankova, marketer ng produkto sa Positive Technologies
Pinagmulan: www.habr.com