, axborot xavfsizligi intsidentlarining aksariyati (87%) bir necha daqiqada sodir bo'ladi va 68% kompaniyalar uchun ularni aniqlash uchun oylar ketadi. Bu tomonidan tasdiqlangan , unga ko'ra, aksariyat tashkilotlarga hodisani aniqlash uchun o'rtacha 206 kun kerak bo'ladi. Bizning tekshiruvlarimiz tajribasiga asoslanib, xakerlar kompaniya infratuzilmasini yillar davomida aniqlanmasdan boshqarishi mumkin. Shunday qilib, bizning mutaxassislarimiz axborot xavfsizligi hodisasini tekshirgan tashkilotlardan birida xakerlar tashkilotning butun infratuzilmasini to'liq nazorat qilgani va muhim ma'lumotlarni muntazam ravishda o'g'irlagani ma'lum bo'ldi. .
Aytaylik, sizda allaqachon jurnallarni to'playdigan va hodisalarni tahlil qiladigan SIEM ishlayotgan va oxirgi tugunlarga antivirus dasturi o'rnatilgan. Shunga qaramasdan, , xuddi EDR tizimlarini butun tarmoq bo'ylab amalga oshirishning iloji bo'lmaganidek, bu "ko'r" nuqtalardan qochish mumkin emasligini anglatadi. Tarmoq trafigini tahlil qilish (NTA) tizimlari ular bilan kurashishga yordam beradi. Ushbu yechimlar tajovuzkorlarning faolligini tarmoqqa kirishning dastlabki bosqichlarida, shuningdek, tarmoq ichida o'z o'rnini egallash va hujumni rivojlantirishga urinishlar paytida aniqlaydi.
Ikki turdagi NTA mavjud: ba'zilari NetFlow bilan ishlaydi, boshqalari xom trafikni tahlil qiladi. Ikkinchi tizimlarning afzalligi shundaki, ular xom trafik yozuvlarini saqlashi mumkin. Buning yordamida axborot xavfsizligi bo'yicha mutaxassis hujumning muvaffaqiyatini tekshirishi, tahdidni mahalliylashtirishi, hujum qanday sodir bo'lganini va kelajakda shunga o'xshash hujumning oldini olish mumkinligini tushunishi mumkin.
Biz NTA-dan foydalanib, bilimlar bazasida tasvirlangan barcha ma'lum hujum taktikalarini aniqlash uchun to'g'ridan-to'g'ri yoki bilvosita dalillardan qanday foydalanishingiz mumkinligini ko'rsatamiz. . Biz 12 ta taktikaning har biri haqida gaplashamiz, transport tomonidan aniqlangan usullarni tahlil qilamiz va NTA tizimimiz yordamida ularni aniqlashni namoyish qilamiz.
ATT&CK bilimlar bazasi haqida
MITER ATT&CK - bu MITER korporatsiyasi tomonidan haqiqiy APT tahlillari asosida ishlab chiqilgan va qo'llab-quvvatlanadigan ommaviy axborot bazasi. Bu hujumchilar tomonidan qo'llaniladigan taktika va usullarning tuzilgan to'plamidir. Bu butun dunyo bo'ylab axborot xavfsizligi bo'yicha mutaxassislarga bir xil tilda gapirish imkonini beradi. Ma'lumotlar bazasi doimiy ravishda kengayib boradi va yangi bilimlar bilan to'ldiriladi.
Ma'lumotlar bazasi 12 ta taktikani aniqlaydi, ular kiberhujum bosqichlariga bo'linadi:
- dastlabki kirish;
- ijro;
- konsolidatsiya (qat'iylik);
- imtiyozlarni kengaytirish;
- aniqlashning oldini olish (mudofaadan qochish);
- hisob ma'lumotlarini olish (hisob ma'lumotlariga kirish);
- qidiruv;
- perimetr ichidagi harakat (lateral harakat);
- ma'lumotlarni yig'ish (to'plash);
- buyruq berish va boshqarish;
- ma'lumotlarni o'chirish;
- ta'sir.
Har bir taktika uchun ATT&CK ma'lumotlar bazasi hujumchilarga hujumning hozirgi bosqichida o'z maqsadiga erishishga yordam beradigan texnikalar ro'yxatini beradi. Xuddi shu texnika turli bosqichlarda qo'llanilishi mumkinligi sababli, u bir nechta taktikaga murojaat qilishi mumkin.
Har bir texnikaning tavsifi quyidagilarni o'z ichiga oladi:
- identifikator;
- u qo'llaniladigan taktikalar ro'yxati;
- APT guruhlari tomonidan foydalanish misollari;
- undan foydalanishdan zararni kamaytirish choralari;
- aniqlash bo'yicha tavsiyalar.
Axborot xavfsizligi bo'yicha mutaxassislar ma'lumotlar bazasidagi bilimlardan joriy hujum usullari to'g'risidagi ma'lumotlarni tuzish uchun foydalanishlari va buni hisobga olgan holda samarali xavfsizlik tizimini yaratishlari mumkin. Haqiqiy APT guruhlari qanday ishlashini tushunish, shuningdek, tahdidlarni faol ravishda qidirish uchun farazlar manbai bo'lishi mumkin. .
PT Network Attack Discovery haqida
Biz tizim yordamida ATT&CK matritsasidan texnikalardan foydalanishni aniqlaymiz — Perimetr va tarmoq ichidagi hujumlarni aniqlash uchun moʻljallangan Positive Technologies NTA tizimi. PT NAD turli darajada MITER ATT&CK matritsasining barcha 12 ta taktikasini qamrab oladi. U dastlabki kirish, lateral harakat va qo'mondonlik va boshqaruv usullarini aniqlashda eng kuchli hisoblanadi. Ularda PT NAD ma'lum texnikalarning yarmidan ko'pini qamrab oladi, ularning qo'llanilishini bevosita yoki bilvosita belgilar bilan aniqlaydi.
Tizim jamoa tomonidan yaratilgan aniqlash qoidalaridan foydalangan holda ATT&CK texnikasidan foydalangan holda hujumlarni aniqlaydi (PT ESC), mashinani o'rganish, kelishuv ko'rsatkichlari, chuqur tahlil va retrospektiv tahlil. Retrospektiv bilan birgalikda real vaqtda trafik tahlili joriy yashirin zararli faoliyatni aniqlash va rivojlanish vektorlari va hujumlar xronologiyasini kuzatish imkonini beradi.
PT NADni MITER ATT&CK matritsasiga toʻliq xaritalash. Rasm katta, shuning uchun uni alohida oynada ko'rishni tavsiya qilamiz.
Dastlabki kirish
Dastlabki kirish taktikasi kompaniya tarmog'iga kirish usullarini o'z ichiga oladi. Ushbu bosqichda tajovuzkorlarning maqsadi hujum qilingan tizimga zararli kodni etkazib berish va uni keyingi amalga oshirish imkoniyatini ta'minlashdir.
PT NAD-dan olingan trafik tahlili dastlabki kirishni qo'lga kiritish uchun ettita texnikani ochib beradi:
1. : avtomashinada murosaga kelish
Jabrlanuvchi tajovuzkorlar tomonidan veb-brauzerdan foydalanish va dasturga kirish tokenlarini olish uchun foydalaniladigan veb-saytni ochadigan usul.
PT NAD nima qiladi?: Agar veb-trafik shifrlanmagan bo'lsa, PT NAD HTTP server javoblarining mazmunini tekshiradi. Ushbu javoblar tajovuzkorlarga brauzer ichida ixtiyoriy kodni bajarishga imkon beruvchi ekspluatatsiyalarni o'z ichiga oladi. PT NAD aniqlash qoidalari yordamida bunday ekspluatatsiyalarni avtomatik ravishda aniqlaydi.
Bundan tashqari, PT NAD oldingi bosqichda tahdidni aniqlaydi. Murosa qoidalari va ko'rsatkichlari, agar foydalanuvchi uni ekspluatatsiyalar to'plami bo'lgan saytga yo'naltirgan saytga tashrif buyurgan bo'lsa, ishga tushiriladi.
2. : ommaviy dasturdan foydalanish
Internetdan foydalanish mumkin bo'lgan xizmatlarning zaifliklaridan foydalanish.
PT NAD nima qiladi?: Tarmoq paketlari tarkibini chuqur tekshirishni amalga oshiradi, anomal faollik belgilarini aniqlaydi. Xususan, asosiy tarkibni boshqarish tizimlariga (CMS), tarmoq uskunalarining veb-interfeyslariga, pochta va FTP serverlariga hujumlarni aniqlash imkonini beruvchi qoidalar mavjud.
3. : tashqi masofaviy xizmatlar
Tajovuzkorlar tashqi tarmoq resurslariga ulanish uchun masofaviy kirish xizmatlaridan foydalanadilar.
PT NAD nima qiladi?: tizim protokollarni port raqamlari bo'yicha emas, balki paketlar mazmuni bo'yicha taniganligi sababli, tizim foydalanuvchilari masofaviy kirish protokollarining barcha seanslarini topish va ularning qonuniyligini tekshirish uchun trafikni filtrlashlari mumkin.
4. : spearphishing ilovasi
Biz fishing qo'shimchalarining mashhur yuborilishi haqida gapiramiz.
PT NAD nima qiladi?: Avtomatik ravishda fayllarni trafikdan ajratib oladi va ularni murosa ko'rsatkichlari bilan tekshiradi. Qo'shimchalardagi bajariladigan fayllar pochta trafigining mazmunini tahlil qiluvchi qoidalar bilan aniqlanadi. Korporativ muhitda bunday sarmoya anomal deb hisoblanadi.
5. : spearphishing havolasi
Fishing havolalaridan foydalanish. Texnika tajovuzkorlar bosilganda zararli dasturni yuklab oladigan havola bilan fishing elektron pochta xabarini yuborishni o'z ichiga oladi. Qoida tariqasida, havola ijtimoiy muhandislikning barcha qoidalariga muvofiq tuzilgan matn bilan birga keladi.
PT NAD nima qiladi?: Murosa ko'rsatkichlari yordamida fishing havolalarini aniqlaydi. Misol uchun, PT NAD interfeysida biz fishing manzillari (fishing-url) ro'yxatiga kiritilgan havola orqali HTTP ulanishi mavjud bo'lgan seansni ko'ramiz.
Murosa fishing-url ko'rsatkichlari ro'yxatidagi havola orqali ulanish
6. : ishonchli munosabatlar
Jabrlanuvchi ishonchli munosabatlar o'rnatgan uchinchi shaxslar orqali jabrlanuvchining tarmog'iga kirish. Hujumchilar ishonchli tashkilotni buzishi va u orqali maqsadli tarmoqqa ulanishi mumkin. Buning uchun ular VPN ulanishlaridan yoki trafik tahlili orqali aniqlanishi mumkin bo'lgan domen ishonchlaridan foydalanadilar.
PT NAD nima qiladi?: dastur protokollarini tahlil qiladi va tahlil qilingan maydonlarni ma'lumotlar bazasiga saqlaydi, shunda axborot xavfsizligi bo'yicha tahlilchi ma'lumotlar bazasidagi barcha shubhali VPN ulanishlarini yoki domenlararo ulanishlarni topish uchun filtrlardan foydalanishi mumkin.
7. : haqiqiy hisoblar
Tashqi va ichki xizmatlarda avtorizatsiya qilish uchun standart, mahalliy yoki domen hisob ma'lumotlaridan foydalanish.
PT NAD nima qiladi?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokollaridan hisob ma'lumotlarini avtomatik ravishda oladi. Umuman olganda, bu login, parol va muvaffaqiyatli autentifikatsiya belgisi. Agar ular ishlatilgan bo'lsa, ular tegishli seans kartasida ko'rsatiladi.
Ijro
Amalga oshirish taktikasi tajovuzkorlar buzilgan tizimlarda kodni bajarish uchun foydalanadigan usullarni o'z ichiga oladi. Zararli kodni ishga tushirish tajovuzkorlarga mavjudligini aniqlashga yordam beradi (doimiylik taktikasi) va perimetr ichida harakatlanish orqali tarmoqdagi masofaviy tizimlarga kirishni kengaytirish.
PT NAD tajovuzkorlar tomonidan zararli kodni amalga oshirish uchun qo'llaniladigan 14 ta texnikadan foydalanishni aniqlash imkonini beradi.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Tajovuzkorlar o'rnatilgan Windows yordam dasturi CMSTP.exe (Ulanish menejeri profilini o'rnatuvchi) uchun maxsus zararli o'rnatish INF faylini tayyorlaydigan taktika. CMSTP.exe faylni parametr sifatida qabul qiladi va masofaviy ulanish uchun xizmat profilini o'rnatadi. Natijada, CMSTP.exe masofaviy serverlardan dinamik havola kutubxonalarini (*.dll) yoki skriptlarni (*.sct) yuklash va bajarish uchun ishlatilishi mumkin.
PT NAD nima qiladi?: HTTP trafigida maxsus turdagi INF fayllarni uzatishni avtomatik aniqlaydi. Bunga qo'shimcha ravishda, u uzoq serverdan zararli skriptlarning HTTP uzatilishini va dinamik havola kutubxonalarini aniqlaydi.
2. : buyruq qatori interfeysi
Buyruqlar qatori interfeysi bilan o'zaro aloqa. Buyruqlar qatori interfeysi bilan mahalliy yoki masofadan o'zaro ta'sir o'tkazish mumkin, masalan, masofadan kirish yordam dasturlari yordamida.
PT NAD nima qiladi?: ping, ifconfig kabi turli xil buyruq qatori yordamchi dasturlarini ishga tushirish uchun buyruqlarga javoblar asosida qobiqlar mavjudligini avtomatik ravishda aniqlaydi.
3. : komponent ob'ekt modeli va taqsimlangan MAQOMOTI
Tarmoq bo'ylab harakatlanayotganda mahalliy yoki masofaviy tizimlarda kodni bajarish uchun COM yoki DCOM texnologiyalaridan foydalanish.
PT NAD nima qiladi?: Buzg'unchilar odatda dasturlarni ishga tushirish uchun foydalanadigan shubhali DCOM qo'ng'iroqlarini aniqlaydi.
4. : mijozning bajarilishi uchun ekspluatatsiya
Ish stantsiyasida o'zboshimchalik bilan kodni bajarish uchun zaifliklardan foydalanish. Buzg'unchilar uchun eng foydali ekspluatatsiyalar kodni masofaviy tizimda bajarishga imkon beruvchilardir, chunki ular tajovuzkorlarga ushbu tizimga kirishga imkon beradi. Texnika quyidagi usullar yordamida amalga oshirilishi mumkin: zararli pochta jo'natmalari, brauzer ekspluatatsiyasiga ega veb-sayt va ilovalar zaifliklaridan masofadan foydalanish.
PT NAD nima qiladi?: Pochta trafigini tahlil qilishda PT NAD uni qo'shimchalarda bajariladigan fayllar mavjudligini tekshiradi. Avtomatik ravishda ekspluatatsiyalar bo'lishi mumkin bo'lgan elektron pochta xabarlaridan ofis hujjatlarini chiqaradi. Zaifliklardan foydalanishga urinishlar PT NAD avtomatik ravishda aniqlaydigan trafikda ko'rinadi.
5. : mshta
.hta kengaytmasi bilan Microsoft HTML ilovalarini (HTA) boshqaradigan mshta.exe yordam dasturidan foydalaning. Mshta brauzerning xavfsizlik sozlamalarini chetlab o'tgan fayllarni qayta ishlaganligi sababli, tajovuzkorlar zararli HTA, JavaScript yoki VBScript fayllarini bajarish uchun mshta.exe dan foydalanishlari mumkin.
PT NAD nima qiladi?: mshta orqali bajarish uchun .hta fayllari ham tarmoq orqali uzatiladi - buni trafikda ko'rish mumkin. PT NAD bunday zararli fayllarning uzatilishini avtomatik ravishda aniqlaydi. U fayllarni yozib oladi va ular haqidagi ma'lumotlarni sessiya kartasida ko'rish mumkin.
6. : PowerShell
Ma'lumotni topish va zararli kodni ishga tushirish uchun PowerShell-dan foydalanish.
PT NAD nima qiladi?: PowerShell masofaviy hujumchilar tomonidan foydalanilganda, PT NAD buni qoidalar yordamida aniqlaydi. U zararli skriptlarda va PowerShell skriptlarini SMB protokoli orqali uzatishda tez-tez ishlatiladigan PowerShell tili kalit so'zlarini aniqlaydi.
7. : rejalashtirilgan vazifa
Dasturlar yoki skriptlarni ma'lum vaqtlarda avtomatik ravishda ishga tushirish uchun Windows Task Scheduler va boshqa yordamchi dasturlardan foydalanish.
PT NAD nima qiladi?: tajovuzkorlar bunday vazifalarni odatda masofadan turib yaratadilar, ya'ni bunday seanslar trafikda ko'rinadi. PT NAD ATSVC va ITaskSchedulerService RPC interfeyslari yordamida shubhali vazifalarni yaratish va o'zgartirish operatsiyalarini avtomatik ravishda aniqlaydi.
8. : skript yozish
Hujumchilarning turli harakatlarini avtomatlashtirish uchun skriptlarni bajarish.
PT NAD nima qiladi?: skriptlarning tarmoq orqali uzatilishini, ya'ni ular ishga tushirilishidan oldin ham aniqlaydi. U xom trafikdagi skript tarkibini aniqlaydi va mashhur skript tillariga mos keladigan kengaytmali fayllarning tarmoq uzatilishini aniqlaydi.
9. : xizmatni bajarish
Xizmatni boshqarish menejeri (SCM) kabi Windows xizmatlari bilan ishlash orqali bajariladigan faylni, buyruq qatori interfeysi ko'rsatmalarini yoki skriptni ishga tushiring.
PT NAD nima qiladi?: SMB trafigini tekshiradi va xizmatni yaratish, o'zgartirish va ishga tushirish qoidalari bilan SCMga kirishni aniqlaydi.
Xizmatni ishga tushirish texnikasi PSExec masofaviy buyruqlarni bajarish yordam dasturi yordamida amalga oshirilishi mumkin. PT NAD SMB protokolini tahlil qiladi va masofaviy kompyuterda kodni bajarish uchun PSEXESVC.exe fayli yoki standart PSEXECSVC xizmat nomidan foydalanganda PSExec-dan foydalanishni aniqlaydi. Foydalanuvchi bajarilgan buyruqlar ro'yxatini va hostdan masofaviy buyruqlar bajarilishining qonuniyligini tekshirishi kerak.
PT NAD-dagi hujum kartasi ATT&CK matritsasiga ko'ra qo'llaniladigan taktika va texnikalar haqidagi ma'lumotlarni aks ettiradi, shunda foydalanuvchi hujumchilar hujumning qaysi bosqichida ekanligini, ular qanday maqsadlarni ko'zlayotganini va qanday kompensatsiya choralarini ko'rish kerakligini tushunishi mumkin.
PSExec yordam dasturidan foydalanish qoidasi ishga tushirildi, bu masofaviy mashinada buyruqlarni bajarishga urinishni ko'rsatishi mumkin
10. : uchinchi tomon dasturiy ta'minoti
Tajovuzkorlar masofaviy boshqaruv dasturiga yoki korporativ dasturiy ta'minotni joylashtirish tizimiga kirish huquqiga ega bo'lgan va undan zararli kodni ishga tushirish uchun foydalanadigan usul. Bunday dasturlarga misollar: SCCM, VNC, TeamViewer, HBSS, Altiris.
Aytgancha, texnika uzoqdan ishlashga ommaviy o'tish va buning natijasida ko'plab himoyalanmagan uy qurilmalarini shubhali masofaviy kirish kanallari orqali ulash bilan bog'liq holda ayniqsa dolzarbdir.
PT NAD nima qiladi?: tarmoqdagi bunday dasturiy ta'minotning ishlashini avtomatik ravishda aniqlaydi. Misol uchun, qoidalar VNC protokoli orqali ulanishlar va qurbonning xostiga VNC serverini yashirincha o'rnatadigan va uni avtomatik ravishda ishga tushiradigan EvilVNC troyanining faoliyati orqali ishga tushiriladi. Bundan tashqari, PT NAD avtomatik ravishda TeamViewer protokolini aniqlaydi, bu tahlilchiga filtr yordamida barcha bunday seanslarni topishga va ularning qonuniyligini tekshirishga yordam beradi.
11. : foydalanuvchining bajarilishi
Foydalanuvchi kodning bajarilishiga olib kelishi mumkin bo'lgan fayllarni ishga tushiradigan texnika. Bu, masalan, agar u bajariladigan faylni ochsa yoki makro bilan ofis hujjatini ishga tushirsa bo'lishi mumkin.
PT NAD nima qiladi?: bunday fayllarni ishga tushirishdan oldin uzatish bosqichida ko'radi. Ular haqidagi ma'lumotlarni ular uzatilgan sessiyalar kartasida o'rganish mumkin.
12. : Windows boshqaruv asboblari
Windows tizimi komponentlariga mahalliy va masofaviy kirishni ta'minlovchi WMI vositasidan foydalanish. WMI-dan foydalanib, tajovuzkorlar mahalliy va masofaviy tizimlar bilan o'zaro aloqada bo'lishlari va razvedka maqsadlari uchun ma'lumot to'plash va yon tomonga harakatlanayotganda jarayonlarni masofadan ishga tushirish kabi turli vazifalarni bajarishlari mumkin.
PT NAD nima qiladi?: WMI orqali masofaviy tizimlar bilan o'zaro aloqalar trafikda ko'rinadiganligi sababli, PT NAD avtomatik ravishda WMI seanslarini o'rnatish uchun tarmoq so'rovlarini aniqlaydi va WMI dan foydalanadigan skriptlar uchun trafikni tekshiradi.
13. : Windows masofadan boshqarish
Foydalanuvchiga masofaviy tizimlar bilan ishlash imkonini beruvchi Windows xizmati va protokolidan foydalanish.
PT NAD nima qiladi?: Windows masofaviy boshqaruvi yordamida o'rnatilgan tarmoq ulanishlarini ko'radi. Bunday seanslar qoidalar bilan avtomatik ravishda aniqlanadi.
14. : XSL (Extensible Stylesheet Language) skriptini qayta ishlash
XSL uslubidagi belgilash tili XML fayllaridagi ma'lumotlarni qayta ishlash va vizualizatsiya qilishni tavsiflash uchun ishlatiladi. Murakkab operatsiyalarni qo'llab-quvvatlash uchun XSL standarti turli tillarda o'rnatilgan skriptlarni qo'llab-quvvatlashni o'z ichiga oladi. Ushbu tillar o'zboshimchalik bilan kodni bajarishga imkon beradi, bu esa oq ro'yxatlar asosida xavfsizlik siyosatini chetlab o'tishga olib keladi.
PT NAD nima qiladi?: bunday fayllarning tarmoq orqali uzatilishini, ya'ni ular ishga tushirilishidan oldin ham aniqlaydi. U tarmoq orqali uzatilayotgan XSL fayllarni va anomal XSL belgilariga ega fayllarni avtomatik ravishda aniqlaydi.
Quyidagi materiallarda biz PT Network Attack Discovery NTA tizimi MITER ATT&CK ga muvofiq boshqa tajovuzkorlar taktikasi va usullarini qanday topishini ko‘rib chiqamiz. Yangiliklarni kuzatib boring, xabardor bo'lib boring; Biz bilan qoling!
mualliflar:
- Anton Kutepov, PT Expert Security Center, Positive Technologies mutaxassisi
- Natalya Kazankova, Positive Technologies kompaniyasining mahsulot sotuvchisi
Manba: www.habr.com