Більшість (87%) інцидентів ІБ відбуваються за лічені хвилини, а на їх виявлення у 68% компаній йдуть місяці. Це підтверджується і , згідно з яким у більшості організацій йде в середньому 206 днів на виявлення інциденту. На досвід наших розслідувань, хакери можуть роками контролювати інфраструктуру компанії і не бути виявленими. Так, в одній із організацій, де наші експерти проводили розслідування інциденту ІБ, було виявлено, що хакери повністю контролювали всю інфраструктуру організації та регулярно викрадали важливі відомості .
Припустимо, у вас вже працює SIEM, який збирає логи та аналізує події, та встановлені антивіруси на кінцевих вузлах. Проте, Так само як і неможливо на всю мережу впровадити системи EDR, а отже, «сліпих» зон не уникнути. Впоратися з ними допомагають системи аналізу мережного трафіку (Network Traffic Analysis, NTA). Ці рішення виявляють активність зловмисників на ранніх етапах проникнення в мережу, а також під час спроб закріпитися та розвинути атаку всередині мережі.
NTA бувають двох видів: одні працюють із NetFlow, другі аналізують сирий трафік. Перевага інших систем полягає в тому, що вони можуть зберігати записи сирого трафіку. Завдяки цьому фахівець з ІБ може перевірити успішність атаки, локалізувати загрозу, зрозуміти як атака відбулася і як запобігти аналогічній у майбутньому.
Ми покажемо, як за допомогою NTA можна за прямими чи непрямими ознаками виявляти всі відомі тактики атак, описані в базі знань . Ми розповімо про кожну з 12 тактик, розберемо техніки, що детектуються по трафіку, та продемонструємо їх виявлення за допомогою нашої NTA-системи.
Про базу знань ATT&CK
MITRE ATT&CK – це загальнодоступна база знань, розроблена та підтримувана корпорацією MITRE на основі аналізу реальних APT. Вона є структурованим набір тактик і технік, що використовуються зловмисниками. Це дозволяє фахівцям з інформаційної безпеки з усього світу розмовляти однією мовою. База постійно розширюється та доповнюється новими знаннями.
В основі виділяються 12 тактик, які розділені по стадіях кібератаки:
- первісний доступ (initial access);
- виконання (execution);
- закріплення (persistence);
- підвищення привілеїв (privilege escalation);
- запобігання виявленню (defense evasion);
- отримання облікових даних (credential access);
- розвідка (discovery);
- переміщення усередині периметра (lateral movement);
- збирання даних (collection);
- управління та контроль (command and control);
- ексфільтрація даних (exfiltration);
- дія (impact).
Для кожної тактики в базі знань ATT&CK перераховано список технік, які допомагають зловмисникам досягти мети на поточному етапі атаки. Оскільки одна й та сама техніка може бути використана на різних етапах, вона може відноситися до кількох тактик.
Опис кожної техніки включає:
- ідентифікатор;
- список тактик, у яких вона застосовується;
- приклади використання APT-угрупованнями;
- заходи щодо зниження шкоди від її застосування;
- рекомендації щодо детектування.
ІБ-фахівці можуть використовувати знання з бази, щоб структурувати інформацію про актуальні методи атак і з огляду на це побудувати ефективну систему безпеки. Розуміння, як діють реальні APT-угруповання, зокрема може стати джерелом гіпотез для проактивного пошуку загроз у рамках .
Про PT Network Attack Discovery
Виявляти застосування технік із матриці ATT&CK ми будемо за допомогою системи — NTA-системи Positive Technologies, призначеної для виявлення атак на периметрі та всередині мережі. PT NAD покриває різною мірою всі 12 тактик матриці MITRE ATT&CK. Він найбільш сильний у виявленні технік початкового доступу (initial access), переміщення всередині периметра (lateral movement) та управління та контролю (command and control). Вони PT NAD покриває більше половини відомих технік, виявляючи їх застосування за прямими чи непрямими ознаками.
Система виявляє атаки із застосуванням технік ATT&CK за допомогою правил детектування, створюваних командою (PT ESC), машинного навчання, індикаторів компрометації, глибокої аналітики та ретроспективного аналізу. Розбір трафіку в реальному часі у поєднанні з ретроспективою дозволяє виявляти поточну приховану шкідливу активність та відстежувати вектори розвитку та хронологію атак.
Повний мапінг PT NAD на матрицю MITRE ATT&CK. Картина велика, тому пропонуємо вам її розглянути в окремому вікні.
Початковий доступ (initial access)
Тактика отримання початкового доступу включає техніки для проникнення в мережу компанії. Мета зловмисників на цьому етапі — доставити в атаковану систему шкідливий код та забезпечити можливість його подальшого виконання.
Аналіз трафіку з PT NAD дозволяє виявити сім технік отримання початкового доступу:
1. : drive-by compromise
Техніка, за якої жертва відкриває веб-сайт, який використовується зловмисниками для експлуатації веб-браузера, отримання токенів доступу до програми.
Що робить PT NAD: якщо веб-трафік не шифрований, PT NAD перевіряє вміст HTTP-серверів. Саме у цих відповідях знаходяться експлойти, які дозволяють зловмисникам виконати довільний код усередині браузера. PT NAD автоматично виявляє такі експлойти за допомогою правил детектування.
Додатково PT NAD виявляє загрозу на попередньому етапі. Правила та індикатори компрометації спрацьовують, якщо користувач відвідав сайт, який перенаправив його на сайт зі зв'язуванням експлойтів.
2. : exploit public-facing application
Експлуатація вразливостей у сервісах, доступних з інтернету.
Що робить PT NAD: виробляє глибоку інспекцію вмісту мережних пакетів, виявляючи ознаки аномальної активності. Зокрема, є правила, що дозволяють виявляти атаки на основні системи управління контентом (content management system, CMS), веб-інтерфейси мережного обладнання, атаки на поштові та FTP-сервери.
3. : external remote services
Застосування зловмисниками служб віддаленого доступу для підключення до ресурсів внутрішньої мережі ззовні.
Що робить PT NAD: оскільки система розпізнає протоколи не за номерами портів, а за вмістом пакетів, користувачі системи можуть відфільтрувати трафік так, щоб знайти всі сесії протоколів віддаленого доступу та перевірити їхню легітимність.
4. : spearphishing attachment
Йдеться про горезвісні відправки фішингових вкладень.
Що робить PT NAD: автоматично виймає файли з трафіку та перевіряє їх за індикаторами компрометації. Виконувані файли у вкладеннях виявляються правилами, що аналізують вміст поштового трафіку. У корпоративному середовищі таке вкладення вважається аномальним.
5. : spearphishing link
Використання фішингових посилань. Техніка передбачає відправлення зловмисниками фішингового листа з посиланням, при натисканні на яку завантажується шкідлива програма. Як правило, посилання супроводжує текст, складений за всіма правилами соціальної інженерії.
Що робить PT NAD: виявляє посилання на фішинг за допомогою індикаторів компрометації. Наприклад, в інтерфейсі PT NAD ми бачимо сесію, в якій було з'єднання HTTP за посиланням, занесеним до списку фішингових адрес (phishing-urls).
З'єднання за посиланням зі списку індикаторів компрометації phishing-urls
6. : trusted relationship
Доступ до мережі жертв через третіх осіб, з якими у жертви встановлені довірені взаємини. Зловмисники можуть зламати довірену організацію та підключатися через неї до цільової мережі. Для цього вони використовують VPN-з'єднання або відносини довіри доменів, які можна виявити за допомогою аналізу трафіку.
Що робить PT NAD: розбирає прикладні протоколи та зберігає розібрані поля в базу даних, завдяки чому ІБ-аналітик за допомогою фільтрів може знайти у базі даних усі підозрілі VPN-з'єднання або крос-доменні підключення.
7. : valid accounts
Використання стандартних, локальних або доменних облікових даних для авторизації на зовнішніх та внутрішніх сервісах.
Що робить PT NAD: автоматично витягує облікові дані з протоколів HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. У випадку це логін, пароль і ознака успішності аутентифікації. Якщо їх було використано, вони відображаються у відповідній картці сесії.
Виконання (execution)
У тактику Виконання входять техніки, які зловмисники застосовують для виконання коду у скомпрометованих системах. Запуск шкідливого коду допомагає атакуючим закріпити присутність (тактика persistence) та розширити доступ до віддалених систем у мережі, переміщаючись усередині периметра.
PT NAD дозволяє виявити застосування зловмисниками 14 технік, що використовуються для виконання шкідливого коду.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Тактика, при якій зловмисники готують спеціальний шкідливий інсталяційний файл INF для вбудованої у Windows утиліти CMSTP.exe (установник профілів диспетчера підключень). CMSTP.exe приймає файл як параметр і встановлює профіль служби для віддаленого підключення. В результаті CMSTP.exe може бути використаний для завантаження і виконання бібліотек (*.dll), що динамічно підключаються, або скриптлетів (*.sct) з віддалених серверів.
Що робить PT NAD: автоматично виявляє у HTTP-трафіку передачу INF-файлів спеціального вигляду. На додаток до цього, він виявляє передачу по протоколу HTTP шкідливих скриптлетів і бібліотек, що динамічно підключаються з віддаленого сервера.
2. : command-line interface
Взаємодія із інтерфейсом командного рядка. З інтерфейсом командного рядка можна взаємодіяти локально або віддалено, наприклад, за допомогою утиліт віддаленого доступу.
Що робить PT NAD: автоматично детектує наявність шеллів за відповідями на команди запуску різних утиліт командного рядка, таких як ping, ifconfig.
3. : component object model and distributed COM
Використання технологій COM або DCOM для виконання коду на локальній або віддалених системах під час просування по мережі.
Що робить PT NAD: детектує підозрілі DCOM-дзвінки, які зловмисники зазвичай використовують для запуску програм.
4. : exploitation for client execution
Експлуатація уразливостей для виконання довільного коду на робочій станції. Найкорисніші для атакуючих експлойти — ті, які дозволяють виконувати код у віддаленій системі, оскільки за допомогою зловмисники можуть отримати доступ до такої системи. Техніка може бути реалізована такими методами: шкідливе поштове розсилання, веб-сайт з експлойтами для браузерів та віддалена експлуатація вразливостей додатків.
Що робить PT NAD: під час аналізу поштового трафіку PT NAD перевіряє його на наявність файлів, що виконуються у вкладенні. Автоматично отримує офісні документи з листів, в яких можуть бути експлойти. Спроби експлуатації вразливостей видно у трафіку, що PT NAD виявляє автоматично.
5. : mshta
Застосування утиліти mshta.exe, яка виконує програми Microsoft HTML (HTA) з розширенням .hta. Оскільки mshta обробляє файли в обхід параметрів безпеки браузера, атакуючі можуть використовувати mshta.exe для виконання шкідливих файлів HTA, JavaScript або VBScript.
Що робить PT NAD: файли .hta для виконання через mshta передаються навіть по мережі - це видно в трафіку. PT NAD виявляє передачу таких шкідливих файлів автоматично. Він захоплює файли, і інформацію про них можна переглянути в картці сесії.
6. : PowerShell
Використання PowerShell для пошуку інформації та виконання шкідливого коду.
Що робить PT NAD: коли PowerShell застосовується віддалено атакуючими, PT NAD детектує це за допомогою правил. Він виявляє ключові слова мови PowerShell, які найчастіше використовуються у шкідливих скриптах, і передачі PowerShell-скриптів за протоколом SMB.
7. : scheduled task
Застосування планувальника завдань Windows та інших утиліт для автоматичного запуску програм або скриптів у певний час.
Що робить PT NAD: атакуючі створюють такі завдання, як правило, віддалено, а значить такі сесії видно в трафіку. PT NAD автоматично виявляє підозрілі операції зі створення та зміни задач з використанням RPC-інтерфейсів ATSVC та ITaskSchedulerService.
8. : scripting
Виконання скриптів для автоматизації різноманітних дій атакуючих.
Що робить PT NAD: виявляє факти передачі скриптів по мережі, тобто ще до запуску. Він виявляє контент скриптів у сирому трафіку і детектує передачу мережею файлів з розширеннями, відповідними популярним скриптовим мовам.
9. : service execution
Запуск виконуваного файлу, інструкцій інтерфейсу командного рядка або скрипту за допомогою взаємодії зі службами Windows, наприклад, з диспетчером керування службами (Service Control Manager, SCM).
Що робить PT NAD: перевіряє SMB-трафік і детектує звернення до SCM правилами на створення, зміну та запуск сервісу.
Техніка запуску служб може бути реалізована за допомогою утиліти для віддаленого виконання команд PSExec. PT NAD аналізує протокол SMB та детектує застосування PSExec, коли вона використовує файл PSEXESVC.exe або стандартне ім'я сервісу PSEXECSVC для виконання коду на віддаленій машині. Користувачеві необхідно перевірити список виконаних команд та легітимність віддаленого виконання команд із вузла.
У картці атаки в PT NAD відображаються дані про використані тактики та техніки за матрицею ATT&CK, щоб користувач міг зрозуміти, на якій стадії атаки знаходяться зловмисники, які цілі вони переслідують і які компенсуючі заходи вжити.
Спрацьовує правила про застосування утиліти PSExec, що може свідчити про спробу виконання команд на віддаленій машині.
10. : third-party software
Техніка, за якої зловмисники отримують доступ до програмного забезпечення для віддаленого адміністрування або корпоративної системи розгортання програмного забезпечення та за допомогою них запускають шкідливий код. Приклади такого програмного забезпечення: SCCM, VNC, TeamViewer, HBSS, Altiris.
До речі, техніка особливо актуальна у зв'язку з масовим переходом на віддалену роботу і, як наслідок, підключенням численних домашніх незахищених пристроїв за сумнівними каналами віддаленого доступу
Що робить PT NAD: автоматично виявляє в мережі роботу такого програмного забезпечення. Наприклад, правила спрацьовують на факти підключення протоколу VNC і активність трояна EvilVNC, який потай встановлює VNC-сервер на хост жертви і автоматично його запускає. Також PT NAD автоматично визначає протокол TeamViewer, це допомагає аналітику за допомогою фільтра знайти всі такі сесії та перевірити їхню легітимність.
11. : user execution
Техніка, коли користувач запускає файли, які можуть призвести до виконання коду. Це може бути, наприклад, якщо він відкриє файл, що виконується, або запустить офісний документ з макросом.
Що робить PT NAD: бачить такі файли ще на етапі передачі, до запуску. Інформацію про них можна вивчити у картці сесій, де вони передавалися.
12. : Windows Management Instrumentation
Застосування інструмента WMI, який забезпечує можливість локального та віддаленого доступу до системних компонентів Windows. За допомогою WMI атакуючі можуть взаємодіяти з локальними та віддаленими системами та виконувати безліч завдань, наприклад, збирати інформацію з метою розвідки та віддалено запускати процеси в ході горизонтального переміщення.
Що робить PT NAD: оскільки взаємодії з віддаленими системами WMI видно у трафіку, PT NAD автоматично виявляє мережеві запити на встановлення WMI-сесій і перевіряє трафік на факт передачі скриптів, які використовують WMI.
13. : Windows Remote Management
Використання служби та протоколу Windows, що дозволяє користувачеві взаємодіяти з віддаленими системами.
Що робить PT NAD: бачить мережеві з'єднання, встановлені за допомогою Windows Remote Management. Такі сесії детектуються правилами автоматичному режимі.
14. : XSL (Extensible Stylesheet Language) script processing
Мова розмітки стилів XSL використовується для опису обробки та візуалізації даних у файлах XML. Для підтримки складних операцій стандарт XSL включає підтримку вбудованих сценаріїв різними мовами. Ці мови дозволяють виконувати довільний код, що веде до обходу політик безпеки, що базуються на білих списках.
Що робить PT NAD: виявляє факти передачі таких файлів по мережі, тобто ще до запуску. Він автоматично виявляє факт передачі через мережу XSL-файлів і файли з аномальною XSL-розміткою.
У наступних матеріалах ми розглянемо, як NTA-система PT Network Attack Discovery знаходить інші тактики та техніки зловмисників відповідно до MITRE ATT&CK. Stay tuned!
Автори:
- Антон Кутєпов, спеціаліст експертного центру безпеки (PT Expert Security Center) Positive Technologies
- Наталія Казанькова, продуктовий маркетолог Positive Technologies
Джерело: habr.com