Bilgi güvenliği olaylarının çoğunluğu (%87) birkaç dakika içinde meydana geliyor ve şirketlerin %68'inin bunları tespit etmesi aylar sürüyor. Bu şu şekilde onaylanmıştır: Buna göre çoğu kuruluşun bir olayı tespit etmesi ortalama 206 gün sürüyor. Araştırmalarımızdan edindiğimiz deneyime göre, bilgisayar korsanları bir şirketin altyapısını yıllarca tespit edilmeden kontrol edebilir. Böylece uzmanlarımızın bir bilgi güvenliği olayını araştırdığı kuruluşlardan birinde, bilgisayar korsanlarının kuruluşun tüm altyapısını tamamen kontrol ettiği ve önemli bilgileri düzenli olarak çaldığı ortaya çıktı. .
Diyelim ki, günlükleri toplayan ve olayları analiz eden bir SIEM'iniz zaten çalışıyor ve uç düğümlere antivirüs yazılımı yüklü. Yine de, Tıpkı EDR sistemlerinin tüm ağ boyunca uygulanmasının imkansız olması gibi, bu da "kör" noktalardan kaçınılamayacağı anlamına gelir. Ağ trafiği analizi (NTA) sistemleri bunlarla başa çıkmanıza yardımcı olur. Bu çözümler, saldırgan faaliyetlerini ağa sızmanın en erken aşamalarında ve ayrıca ağ içinde bir yer edinme ve saldırı geliştirme girişimleri sırasında tespit eder.
İki tür NTA vardır: Bazıları NetFlow ile çalışır, diğerleri ise ham trafiği analiz eder. İkinci sistemlerin avantajı ham trafik kayıtlarını saklayabilmeleridir. Bu sayede bir bilgi güvenliği uzmanı, saldırının başarısını doğrulayabilir, tehdidi yerelleştirebilir, saldırının nasıl gerçekleştiğini ve gelecekte benzer bir saldırının nasıl önlenebileceğini anlayabilir.
Bilgi tabanında açıklanan tüm bilinen saldırı taktiklerini belirlemek için NTA'yı kullanarak doğrudan veya dolaylı kanıtları nasıl kullanabileceğinizi göstereceğiz. . 12 taktiğin her biri hakkında konuşacağız, trafik tarafından tespit edilen teknikleri analiz edeceğiz ve NTA sistemimizi kullanarak tespitlerini göstereceğiz.
ATT&CK bilgi tabanı hakkında
MITRE ATT&CK, MITRE Corporation tarafından gerçek hayattaki APT'lerin analizine dayalı olarak geliştirilen ve sürdürülen halka açık bir bilgi tabanıdır. Saldırganlar tarafından kullanılan yapılandırılmış bir dizi taktik ve tekniktir. Bu, dünyanın her yerindeki bilgi güvenliği profesyonellerinin aynı dili konuşmasına olanak tanır. Veritabanı sürekli olarak genişlemekte ve yeni bilgilerle desteklenmektedir.
Veritabanı, bir siber saldırının aşamalarına bölünmüş 12 taktiği tanımlıyor:
- ilk erişim;
- uygulamak;
- konsolidasyon (kalıcılık);
- ayrıcalık artışı;
- tespitin önlenmesi (savunmadan kaçınma);
- kimlik bilgilerinin alınması (kimlik bilgileri erişimi);
- keşif;
- çevre içindeki hareket (yanal hareket);
- veri toplama (toplama);
- komuta ve kontrol;
- veri sızması;
- darbe.
Her taktik için, ATT&CK bilgi tabanında saldırganların saldırının mevcut aşamasında hedeflerine ulaşmalarına yardımcı olacak tekniklerin bir listesi listelenir. Aynı teknik farklı aşamalarda kullanılabildiğinden birden fazla taktiğe atıfta bulunabilir.
Her tekniğin açıklaması şunları içerir:
- tanımlayıcı;
- kullanıldığı taktiklerin bir listesi;
- APT gruplarının kullanım örnekleri;
- kullanımından kaynaklanan hasarı azaltmaya yönelik önlemler;
- tespit önerileri.
Bilgi güvenliği uzmanları, mevcut saldırı yöntemleri hakkındaki bilgileri yapılandırmak için veritabanındaki bilgileri kullanabilir ve bunu dikkate alarak etkili bir güvenlik sistemi oluşturabilir. Gerçek APT gruplarının nasıl çalıştığını anlamak aynı zamanda tehditleri proaktif olarak aramak için bir hipotez kaynağı da olabilir. .
PT Ağ Saldırısı Keşfi Hakkında
Sistemi kullanarak ATT&CK matrisindeki tekniklerin kullanımını belirleyeceğiz — Pozitif Teknolojiler NTA sistemi, çevredeki ve ağ içindeki saldırıları tespit etmek için tasarlanmıştır. PT NAD, değişen derecelerde MITRE ATT&CK matrisinin 12 taktiğinin tamamını kapsar. İlk erişim, yanal hareket ve komuta ve kontrol tekniklerini belirlemede en güçlü olanıdır. Bunlarda PT NAD, bilinen tekniklerin yarısından fazlasını kapsamakta ve uygulamalarını doğrudan veya dolaylı işaretlerle tespit etmektedir.
Sistem, ekip tarafından oluşturulan tespit kurallarını kullanarak ATT&CK tekniklerini kullanarak saldırıları tespit eder (PT ESC), makine öğrenimi, uzlaşma göstergeleri, derin analitik ve geriye dönük analiz. Geçmişe yönelik bir analizle birleştirilmiş gerçek zamanlı trafik analizi, mevcut gizli kötü amaçlı etkinlikleri tanımlamanıza ve geliştirme vektörlerini ve saldırıların kronolojisini izlemenize olanak tanır.
PT NAD'nin MITRE ATT&CK matrisine tam eşlemesi. Resim büyük olduğundan ayrı bir pencerede görüntülemenizi öneririz.
İlk erişim
İlk erişim taktikleri bir şirketin ağına sızma tekniklerini içerir. Saldırganların bu aşamadaki amacı, saldırılan sisteme kötü amaçlı kod göndermek ve bunun daha fazla yürütülmesi olasılığını sağlamaktır.
PT NAD'ın trafik analizi, ilk erişimi elde etmek için yedi tekniği ortaya koyuyor:
1. : arabayla geçiş uzlaşması
Mağdurun, saldırganlar tarafından web tarayıcısından yararlanmak ve uygulama erişim belirteçleri elde etmek için kullanılan bir web sitesini açtığı bir teknik.
PT NAD ne yapar?: Web trafiği şifrelenmemişse PT NAD, HTTP sunucusu yanıtlarının içeriğini inceler. Bu yanıtlar, saldırganların tarayıcı içinde rastgele kod yürütmesine olanak tanıyan açıklardan yararlanma olanağı içerir. PT NAD, tespit kurallarını kullanarak bu tür istismarları otomatik olarak tespit eder.
Ayrıca PT NAD, önceki adımda tehdidi algılar. Kullanıcı kendisini çok sayıda açıktan yararlanan bir siteye yönlendiren bir siteyi ziyaret ederse, uzlaşma kuralları ve göstergeleri tetiklenir.
2. : halka açık uygulamadan yararlanma
İnternetten erişilebilen hizmetlerdeki güvenlik açıklarından yararlanılması.
PT NAD ne yapar?: Anormal etkinlik işaretlerini belirleyerek ağ paketlerinin içeriğini derinlemesine inceler. Özellikle, büyük içerik yönetim sistemlerine (CMS), ağ ekipmanlarının web arayüzlerine yapılan saldırıları ve posta ve FTP sunucularına yapılan saldırıları tespit etmenize olanak tanıyan kurallar vardır.
3. : harici uzaktan hizmetler
Saldırganlar, dahili ağ kaynaklarına dışarıdan bağlanmak için uzaktan erişim hizmetlerini kullanır.
PT NAD ne yapar?: Sistem, protokolleri port numaralarına göre değil paketlerin içeriğine göre tanıdığından, sistem kullanıcıları, uzaktan erişim protokollerinin tüm oturumlarını bulmak ve meşruiyetlerini kontrol etmek için trafiği filtreleyebilir.
4. : hedef odaklı kimlik avı eki
Kötü şöhretli kimlik avı eklerinin gönderilmesinden bahsediyoruz.
PT NAD ne yapar?: Dosyaları trafikten otomatik olarak çıkarır ve bunları güvenlik ihlali göstergelerine göre kontrol eder. Eklerdeki yürütülebilir dosyalar, posta trafiğinin içeriğini analiz eden kurallar tarafından algılanır. Kurumsal bir ortamda böyle bir yatırım anormal kabul edilir.
5. : hedef odaklı kimlik avı bağlantısı
Kimlik avı bağlantılarını kullanma. Bu teknik, saldırganların, tıklandığında kötü amaçlı bir programı indiren bir bağlantı içeren bir kimlik avı e-postası göndermesini içeriyor. Kural olarak, bağlantıya sosyal mühendisliğin tüm kurallarına uygun olarak derlenmiş bir metin eşlik eder.
PT NAD ne yapar?: Tehlike göstergelerini kullanarak kimlik avı bağlantılarını algılar. Örneğin, PT NAD arayüzünde, kimlik avı adresleri (kimlik avı URL'leri) listesinde yer alan bir bağlantı aracılığıyla HTTP bağlantısının kurulduğu bir oturum görüyoruz.
Güvenliği ihlal eden kimlik avı URL'lerinin göstergeleri listesindeki bir bağlantı aracılığıyla bağlantı
6. : güvenilir ilişki
Mağdurun güvenilir bir ilişki kurduğu üçüncü şahıslar aracılığıyla mağdurun ağına erişim. Saldırganlar güvenilir bir kuruluşu hackleyebilir ve onun üzerinden hedef ağa bağlanabilir. Bunu yapmak için trafik analizi yoluyla tanımlanabilecek VPN bağlantılarını veya etki alanı güvenlerini kullanırlar.
PT NAD ne yapar?: uygulama protokollerini ayrıştırır ve ayrıştırılan alanları veritabanına kaydeder; böylece bilgi güvenliği analisti, veritabanındaki tüm şüpheli VPN bağlantılarını veya etki alanları arası bağlantıları bulmak için filtreler kullanabilir.
7. : geçerli hesaplar
Harici ve dahili hizmetlerde yetkilendirme için standart, yerel veya etki alanı kimlik bilgilerinin kullanılması.
PT NAD ne yapar?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokollerinden kimlik bilgilerini otomatik olarak alır. Genel olarak bu bir kullanıcı adı, şifre ve başarılı kimlik doğrulamanın bir işaretidir. Kullanılmışlarsa ilgili oturum kartında görüntülenirler.
Uygulamak
Yürütme taktikleri, saldırganların ele geçirilen sistemlerde kod yürütmek için kullandıkları teknikleri içerir. Kötü amaçlı kod çalıştırmak, saldırganların varlık oluşturmasına (kalıcılık taktiği) ve çevrenin içine girerek ağdaki uzak sistemlere erişimi genişletmesine yardımcı olur.
PT NAD, saldırganların kötü amaçlı kod yürütmek için kullandığı 14 tekniğin kullanımını tespit etmenizi sağlar.
1. : CMSTP (Microsoft Bağlantı Yöneticisi Profil Yükleyicisi)
Saldırganların yerleşik Windows yardımcı programı CMSTP.exe (Bağlantı Yöneticisi Profil Yükleyicisi) için özel bir kötü amaçlı kurulum INF dosyası hazırladığı bir taktik. CMSTP.exe dosyayı parametre olarak alır ve uzak bağlantı için hizmet profilini yükler. Sonuç olarak CMSTP.exe, uzak sunuculardan dinamik bağlantı kitaplıklarını (*.dll) veya komut dosyalarını (*.sct) yüklemek ve yürütmek için kullanılabilir.
PT NAD ne yapar?: HTTP trafiğindeki özel türdeki INF dosyalarının aktarımını otomatik olarak algılar. Buna ek olarak, kötü amaçlı komut dosyalarının ve dinamik bağlantı kitaplıklarının uzak bir sunucudan HTTP aktarımını da algılar.
2. : komut satırı arayüzü
Komut satırı arayüzüyle etkileşim. Komut satırı arayüzüyle yerel olarak veya örneğin uzaktan erişim yardımcı programları kullanılarak uzaktan etkileşim kurulabilir.
PT NAD ne yapar?: ping, ifconfig gibi çeşitli komut satırı yardımcı programlarını başlatmak için verilen komutlara verilen yanıtlara dayalı olarak kabukların varlığını otomatik olarak algılar.
3. : bileşen nesne modeli ve dağıtılmış COM
Ağ üzerinde hareket ederken yerel veya uzak sistemlerde kod yürütmek için COM veya DCOM teknolojilerinin kullanılması.
PT NAD ne yapar?: Saldırganların genellikle programları başlatmak için kullandığı şüpheli DCOM çağrılarını algılar.
4. : istemci yürütmesi için istismar
Bir iş istasyonunda rastgele kod yürütmek için güvenlik açıklarından yararlanılması. Saldırganlar için en yararlı istismarlar, saldırganların o sisteme erişmesine izin verebildiklerinden uzak bir sistemde kod yürütülmesine izin verenlerdir. Teknik şu yöntemler kullanılarak uygulanabilir: kötü amaçlı posta gönderme, tarayıcı açıklarından yararlanan bir web sitesi ve uygulamadaki güvenlik açıklarından uzaktan yararlanma.
PT NAD ne yapar?: Posta trafiğini ayrıştırırken PT NAD, eklerde yürütülebilir dosyaların olup olmadığını kontrol eder. Açıklardan yararlanabilecek e-postalardan ofis belgelerini otomatik olarak çıkarır. PT NAD'in otomatik olarak tespit ettiği güvenlik açıklarından yararlanma girişimleri trafikte görülebilir.
5. : mshta
.hta uzantılı Microsoft HTML uygulamalarını (HTA) çalıştıran mshta.exe yardımcı programını kullanın. Mshta, dosyaları tarayıcı güvenlik ayarlarını atlayarak işlediğinden, saldırganlar mshta.exe'yi kullanarak kötü amaçlı HTA, JavaScript veya VBScript dosyalarını yürütebilir.
PT NAD ne yapar?: mshta aracılığıyla yürütülecek .hta dosyaları da ağ üzerinden iletilir - bu trafikte görülebilir. PT NAD, bu tür kötü amaçlı dosyaların aktarımını otomatik olarak algılar. Dosyaları yakalar ve bunlarla ilgili bilgiler oturum kartında görüntülenebilir.
6. : Güç kalkanı
Bilgi bulmak ve kötü amaçlı kod yürütmek için PowerShell'i kullanma.
PT NAD ne yapar?: PowerShell uzaktaki saldırganlar tarafından kullanıldığında, PT NAD bunu kuralları kullanarak algılar. Kötü amaçlı komut dosyalarında en sık kullanılan PowerShell dili anahtar sözcüklerini ve PowerShell komut dosyalarının SMB protokolü üzerinden aktarımını algılar.
7. : Planli gorev
Programları veya komut dosyalarını belirli zamanlarda otomatik olarak çalıştırmak için Windows Görev Zamanlayıcı'yı ve diğer yardımcı programları kullanma.
PT NAD ne yapar?: Saldırganlar bu tür görevleri genellikle uzaktan oluşturur; bu, bu tür oturumların trafikte görülebileceği anlamına gelir. PT NAD, ATSVC ve ITaskSchedulerService RPC arayüzlerini kullanarak şüpheli görev oluşturma ve değiştirme işlemlerini otomatik olarak algılar.
8. : komut dosyası oluşturma
Saldırganların çeşitli eylemlerini otomatikleştirmek için komut dosyalarının yürütülmesi.
PT NAD ne yapar?: komut dosyalarının ağ üzerinden aktarımını, yani daha başlatılmadan önce algılar. Ham trafikteki komut dosyası içeriğini algılar ve popüler komut dosyası dillerine karşılık gelen uzantılara sahip dosyaların ağ aktarımını algılar.
9. : hizmet yürütme
Hizmet Kontrol Yöneticisi (SCM) gibi Windows hizmetleriyle etkileşim kurarak yürütülebilir bir dosyayı, komut satırı arabirim talimatlarını veya komut dosyasını çalıştırın.
PT NAD ne yapar?: SMB trafiğini inceler ve bir hizmetin oluşturulması, değiştirilmesi ve başlatılmasına ilişkin kurallarla SCM'ye erişimi tespit eder.
Hizmet başlatma tekniği, uzaktan komut yürütme yardımcı programı PSExec kullanılarak uygulanabilir. PT NAD, SMB protokolünü analiz eder ve uzak bir makinede kod yürütmek için PSEXESVC.exe dosyasını veya standart PSEXECSVC hizmet adını kullandığında PSExec kullanımını algılar. Kullanıcının, yürütülen komutların listesini ve ana bilgisayardan uzaktan komut yürütmenin meşruiyetini kontrol etmesi gerekir.
PT NAD'deki saldırı kartı, ATT&CK matrisine göre kullanılan taktik ve tekniklere ilişkin verileri görüntüler; böylece kullanıcı, saldırganların saldırının hangi aşamasında olduklarını, hangi hedefleri takip ettiklerini ve hangi telafi edici önlemleri almaları gerektiğini anlayabilir.
PSExec yardımcı programının kullanılmasıyla ilgili kural tetiklenir; bu, uzak bir makinede komut yürütme girişimini gösterebilir
10 : üçüncü taraf yazılımı
Saldırganların uzaktan yönetim yazılımına veya kurumsal yazılım dağıtım sistemine erişim sağladığı ve bunu kötü amaçlı kod çalıştırmak için kullandığı bir teknik. Bu tür yazılımlara örnekler: SCCM, VNC, TeamViewer, HBSS, Altiris.
Bu arada, teknik özellikle uzaktan çalışmaya büyük geçiş ve bunun sonucunda çok sayıda korumasız ev cihazının şüpheli uzaktan erişim kanalları aracılığıyla bağlanmasıyla bağlantılı olarak önemlidir.
PT NAD ne yapar?: bu tür yazılımların ağdaki çalışmasını otomatik olarak algılar. Örneğin kurallar, VNC protokolü aracılığıyla yapılan bağlantılar ve kurbanın ana bilgisayarına gizlice bir VNC sunucusu yükleyen ve onu otomatik olarak başlatan EvilVNC Truva Atı'nın faaliyetleriyle tetikleniyor. Ayrıca PT NAD, TeamViewer protokolünü otomatik olarak algılar; bu, analistin bir filtre kullanarak bu tür tüm oturumları bulmasına ve meşruiyetlerini kontrol etmesine yardımcı olur.
11 : kullanıcı yürütme
Kullanıcının kod yürütülmesine yol açabilecek dosyaları çalıştırdığı bir teknik. Bu, örneğin yürütülebilir bir dosyayı açması veya makro içeren bir ofis belgesini çalıştırması olabilir.
PT NAD ne yapar?: Bu tür dosyaları başlatılmadan önce aktarım aşamasında görür. Bunlarla ilgili bilgiler aktarıldıkları oturumların kartında incelenebilir.
12 : Windows Yönetim Araçları
Windows sistem bileşenlerine yerel ve uzaktan erişim sağlayan WMI aracının kullanımı. Saldırganlar, WMI'yı kullanarak yerel ve uzak sistemlerle etkileşime girebilir ve keşif amacıyla bilgi toplamak ve yanal hareket ederken süreçleri uzaktan başlatmak gibi çeşitli görevleri gerçekleştirebilir.
PT NAD ne yapar?: WMI aracılığıyla uzaktaki sistemlerle etkileşimler trafikte görülebildiğinden, PT NAD, WMI oturumları oluşturmak için ağ isteklerini otomatik olarak algılar ve WMI kullanan komut dosyaları için trafiği kontrol eder.
13 : Windows Uzaktan Yönetim
Kullanıcının uzak sistemlerle etkileşime girmesine olanak tanıyan bir Windows hizmeti ve protokolü kullanmak.
PT NAD ne yapar?: Windows Uzaktan Yönetim kullanılarak kurulan ağ bağlantılarını görür. Bu tür oturumlar kurallar tarafından otomatik olarak tespit edilir.
14 : XSL (Genişletilebilir Stil Sayfası Dili) komut dosyası işleme
XSL stili işaretleme dili, XML dosyalarındaki verilerin işlenmesini ve görselleştirilmesini tanımlamak için kullanılır. Karmaşık işlemleri desteklemek için XSL standardı, çeşitli dillerdeki gömülü komut dosyalarına yönelik destek içerir. Bu diller, beyaz listelere dayalı güvenlik politikalarının atlanmasına yol açan rastgele kodların yürütülmesine izin verir.
PT NAD ne yapar?: bu tür dosyaların ağ üzerinden aktarımını, yani daha başlatılmadan önce algılar. Ağ üzerinden iletilen XSL dosyalarını ve anormal XSL işaretlemesine sahip dosyaları otomatik olarak algılar.
İlerleyen materyallerde PT Network Attack Discovery NTA sisteminin MITRE ATT&CK'ye uygun olarak diğer saldırgan taktik ve tekniklerini nasıl bulduğuna bakacağız. Bizi izlemeye devam edin!
Yazarlar:
- Anton Kutepov, PT Uzman Güvenlik Merkezi uzmanı, Positive Technologies
- Natalia Kazankova, Positive Technologies'in ürün pazarlamacısı
Kaynak: habr.com