假设您已经运行了 SIEM,它收集日志并分析事件,并且在终端节点上安装了防病毒软件。 尽管如此,
NTA 有两种类型:一种与 NetFlow 配合使用,另一种分析原始流量。 第二个系统的优点是它们可以存储原始流量记录。 因此,信息安全专家可以验证攻击是否成功、定位威胁、了解攻击是如何发生的以及如何防止将来发生类似的攻击。
我们将展示如何使用 NTA 通过直接或间接标志来识别知识库中描述的所有已知攻击策略。
关于 ATT&CK 知识库
MITRE ATT&CK 是由 MITRE Corporation 基于对真实 APT 的分析而开发和维护的公共知识库。 它是攻击者使用的一组结构化的策略和技术。 这使得来自世界各地的信息安全专业人员能够讲同一种语言。 该数据库不断扩大并补充新知识。
该数据库确定了 12 种策略,将网络攻击分为几个阶段:
- 初始访问;
- 执行(执行);
- 巩固(持续);
- 权限升级;
- 检测预防(防御规避);
- 获取凭证(凭证访问);
- 情报(发现);
- 周界内的移动(横向移动);
- 数据收集(收集);
- 命令与控制;
- 数据泄露;
- 影响。
对于每种策略,ATT&CK 知识库列出了一系列技术,可帮助攻击者在当前攻击阶段实现其目标。 由于同一技术可以在不同阶段使用,因此它可以参考多种战术。
每种技术的描述包括:
- 标识符;
- 使用该策略的策略列表;
- APT 组织的使用示例;
- 减少其使用造成的损害的措施;
- 检测建议。
信息安全专家可以使用数据库中的知识来构建有关当前攻击方法的信息,并考虑到这一点,构建有效的安全系统。 了解真正的 APT 组织如何运作,包括可以成为主动搜索内部威胁的假设来源
关于 PT 网络攻击发现
我们将使用该系统从 ATT 和 CK 矩阵中识别技术的使用
系统使用团队创建的检测规则使用 ATT&CK 技术检测攻击
这里 PT NAD 到 MITRE ATT&CK 矩阵的完整映射。 图片较大,建议您在单独的窗口中查看。
初始访问
初始访问策略包括渗透公司网络的技术。 此阶段攻击者的目标是将恶意代码传递到被攻击系统并确保其进一步执行的可能性。
PT NAD 的流量分析揭示了获得初始访问权限的七种技术:
1. T1189 : 路过式妥协
一种技术,受害者打开一个网站,攻击者利用该网站来利用 Web 浏览器并获取应用程序访问令牌。
PT NAD 是做什么的?:如果 Web 流量未加密,PT NAD 将检查 HTTP 服务器响应的内容。 正是在这些答案中,发现了允许攻击者在浏览器内执行任意代码的漏洞。 PT NAD 使用检测规则自动检测此类漏洞。
此外,PT NAD 在上一步中检测到威胁。 如果用户访问的网站将其重定向到具有大量漏洞的网站,则会触发妥协规则和指示器。
2. T1190 :利用面向公众的应用程序
利用可从 Internet 访问的服务中的漏洞。
PT NAD 是做什么的?:对网络数据包的内容进行深入检查,揭示其中的异常活动迹象。 特别是,有一些规则允许您检测对主要内容管理系统(CMS)、网络设备的 Web 界面的攻击、对邮件和 FTP 服务器的攻击。
3. T1133 :外部远程服务
攻击者使用远程访问服务从外部连接到内部网络资源。
PT NAD 是做什么的?:由于系统不是通过端口号来识别协议,而是通过数据包的内容来识别协议,因此系统用户可以通过这种方式过滤流量,以找到远程访问协议的所有会话并检查其合法性。
4. T1193 :鱼叉式网络钓鱼附件
我们正在谈论臭名昭著的网络钓鱼附件发送。
PT NAD 是做什么的?:自动从流量中提取文件并根据妥协指标检查它们。 附件中的可执行文件由分析邮件流量内容的规则检测。 在企业环境中,此类投资被认为是异常的。
5. T1192 : 鱼叉式网络钓鱼链接
使用网络钓鱼链接。 该技术涉及攻击者发送带有链接的网络钓鱼电子邮件,单击该链接即可下载恶意程序。 通常,该链接附有根据社会工程学所有规则编写的文本。
PT NAD 是做什么的?:使用妥协指标检测网络钓鱼链接。 例如,在 PT NAD 界面中,我们看到一个会话,其中通过网络钓鱼地址 (phishing-url) 列表中包含的链接建立了 HTTP 连接。
通过受损网络钓鱼 URL 指标列表中的链接进行连接
6. T1199 :信任关系
通过与受害者有信任关系的第三方访问受害者的网络。 攻击者可以闯入受信任的组织并通过它连接到目标网络。 为此,他们使用 VPN 连接或域信任关系,这些可以通过流量分析来揭示。
PT NAD 是做什么的?:解析应用协议并将解析后的字段保存到数据库中,以便信息安全分析师可以使用过滤器找到数据库中所有可疑的VPN连接或跨域连接。
7. T1078 : 有效账户
使用标准、本地或域凭据对外部和内部服务进行授权。
PT NAD 是做什么的?:自动从 HTTP、FTP、SMTP、POP3、IMAP、SMB、DCE/RPC、SOCKS5、LDAP、Kerberos 协议检索凭据。 一般情况下,这是登录名、密码和身份验证成功的标志。 如果已使用,则会显示在相应的会话卡中。
执行
执行策略包括攻击者用来在受感染系统上执行代码的技术。 运行恶意代码可帮助攻击者建立存在(持久性策略),并通过在边界内移动来扩展对网络上远程系统的访问。
PT NAD 允许您识别攻击者执行恶意代码所使用的 14 种技术。
1. T1191 :CMSTP(微软连接管理器配置文件安装程序)
攻击者为内置 Windows CMSTP.exe 实用程序(连接管理器配置文件安装程序)准备特制的恶意 .inf 安装文件的策略。 CMSTP.exe 将文件作为参数并安装用于远程连接的服务配置文件。 因此,CMSTP.exe 可用于从远程服务器下载并执行动态链接库 (*.dll) 或脚本 (*.sct)。
PT NAD 是做什么的?:自动检测HTTP流量中特殊格式.inf文件的传输。 此外,它还可以检测来自远程服务器的恶意脚本和动态链接库的 HTTP 传输。
2. T1059 :命令行界面
与命令行界面交互。 命令行界面可以在本地或远程进行交互,例如通过远程访问实用程序。
PT NAD 是做什么的?:通过响应命令来自动检测 shell 的存在,以启动各种命令行实用程序,例如 ping、ifconfig。
3. T1175 :组件对象模型和分布式COM
使用 COM 或 DCOM 技术在跨网络移动时在本地或远程系统上执行代码。
PT NAD 是做什么的?:检测攻击者通常用来启动程序的可疑 DCOM 调用。
4. T1203 :利用客户端执行
利用漏洞在工作站上执行任意代码。 对攻击者来说最有用的漏洞是那些允许在远程系统上执行代码的漏洞,因为攻击者可以利用它们来访问此类系统。 该技术可以通过以下方式实现:恶意邮件列表、利用浏览器的网站以及远程利用应用程序漏洞。
PT NAD 是做什么的?:解析邮件流量时,PT NAD 检查附件中是否存在可执行文件。 自动从可能包含漏洞的电子邮件中提取办公文档。 利用 PT NAD 自动检测到的流量中的漏洞的尝试是可见的。
5. T1170 : 姆什塔
使用 mshta.exe 实用程序,该实用程序执行扩展名为 .hta 的 Microsoft HTML 应用程序 (HTA)。 由于 mshta 绕过浏览器安全设置处理文件,因此攻击者可以使用 mshta.exe 执行恶意 HTA、JavaScript 或 VBScript 文件。
PT NAD 是做什么的?:通过 mshta 执行的 .hta 文件也会通过网络传输 - 这可以在流量中看到。 PT NAD 会自动检测此类恶意文件的传输。 它捕获文件,并且可以在会话卡中查看有关文件的信息。
6. T1086 : 电源外壳
使用PowerShell搜索信息并执行恶意代码。
PT NAD 是做什么的?:当远程攻击者使用 PowerShell 时,PT NAD 会使用规则检测到此情况。 它检测恶意脚本中最常使用的 PowerShell 语言关键字以及通过 SMB 协议传输的 PowerShell 脚本。
7.
使用 Windows 任务计划程序和其他实用程序在特定时间自动运行程序或脚本。
PT NAD 是做什么的?:攻击者通常远程创建此类任务,这意味着此类会话在流量中可见。 PT NAD 使用 ATSVC 和 ITaskSchedulerService RPC 接口自动检测可疑任务创建和修改操作。
8. T1064 : 脚本编写
执行脚本以自动执行攻击者的各种操作。
PT NAD 是做什么的?:检测脚本通过网络的传输,即在脚本启动之前进行检测。 它检测原始流量中的脚本内容,并检测具有与流行脚本语言相对应的扩展名的文件的网络传输。
9. T1035 :服务执行
通过与 Windows 服务(例如服务控制管理器 (SCM))交互来运行可执行文件、CLI 指令或脚本。
PT NAD 是做什么的?:检查 SMB 流量并通过创建、修改和启动服务的规则检测对 SCM 的请求。
启动服务的技术可以使用远程命令执行实用程序 PSExec 来实现。 PT NAD 解析 SMB 协议,并在使用 PSEXESVC.exe 文件或 PSEXECSVC 标准服务名称在远程计算机上执行代码时检测 PSExec 的使用。 用户需要检查主机执行的命令列表以及远程命令执行的合法性。
PT NAD中的攻击卡显示了ATT&CK矩阵所使用的战术和技术的数据,以便用户了解攻击者处于攻击的哪个阶段,他们追求什么目标以及采取什么补偿措施。
激活有关使用 PSExec 实用程序的规则,这可能表示尝试在远程计算机上执行命令
10. T1072 : 第三方软件
攻击者可以访问远程管理软件或企业软件部署系统并使用它们运行恶意代码的技术。 此类软件的示例:SCCM、VNC、TeamViewer、HBSS、Altiris。
顺便说一句,该技术与向远程工作的大规模过渡尤其相关,因此,通过可疑的远程访问通道连接大量家庭未受保护的设备。
PT NAD 是做什么的?:自动检测网络上此类软件的运行情况。 例如,这些规则是由通过 VNC 协议连接的事实和 EvilVNC 木马的活动触发的,该木马会在受害者的主机上秘密安装 VNC 服务器并自动启动它。 此外,PT NAD 会自动检测 TeamViewer 协议,这有助于分析人员使用过滤器找到所有此类会话并检查其合法性。
11. T1204 :用户执行
一种用户运行可导致代码执行的文件的技术。 例如,这可能是,如果它打开一个可执行文件或使用宏运行一个 Office 文档。
PT NAD 是做什么的?:在启动之前的传输阶段看到此类文件。 有关它们的信息可以在传输它们的会话卡中进行研究。
12. T1047 :Windows管理工具
使用 WMI 工具,该工具提供对 Windows 系统组件的本地和远程访问。 使用 WMI,攻击者可以与本地和远程系统交互并执行各种任务,例如出于情报目的收集信息以及在横向移动期间远程启动进程。
PT NAD 是做什么的?:由于通过 WMI 与远程系统的交互在流量中可见,因此 PT NAD 会自动检测建立 WMI 会话的网络请求,并检查流量是否正在传输使用 WMI 的脚本。
13. T1028 :Windows远程管理
使用允许用户与远程系统交互的 Windows 服务和协议。
PT NAD 是做什么的?:查看使用 Windows 远程管理建立的网络连接。 规则会自动检测此类会话。
14. T1220 :XSL(可扩展样式表语言)脚本处理
XSL样式标记语言用于描述XML文件中数据的处理和呈现。 为了支持复杂的操作,XSL 标准包括对多种语言的内联脚本的支持。 这些语言允许执行任意代码,从而绕过白名单安全策略。
PT NAD 是做什么的?:检测此类文件通过网络的传输,即甚至在它们启动之前。 它自动检测通过网络传输的 XSL 文件以及带有异常 XSL 标记的文件。
在下面的材料中,我们将了解PT网络攻击发现NTA系统如何根据MITRE ATT & CK发现攻击者的其他策略和技术。 敬请关注!
作者:
- Anton Kutepov,专家安全中心(PT Expert Security Center)专家 Positive Technologies
- Natalia Kazankova,Positive Technologies 产品营销人员
来源: habr.com