假設您已經運行了 SIEM,它收集日誌並分析事件,並且在終端節點上安裝了防病毒軟件。 儘管如此,
NTA 有兩種類型:一些與 NetFlow 一起使用,另一些則分析原始流量。 第二個系統的優點是它們可以存儲原始流量記錄。 因此,信息安全專家可以驗證攻擊是否成功、定位威脅、了解攻擊是如何發生的以及如何防止將來發生類似的攻擊。
我們將展示如何使用 NTA 通過直接或間接標誌來識別知識庫中描述的所有已知攻擊策略。
關於 ATT&CK 知識庫
MITRE ATT&CK 是由 MITRE Corporation 基於對真實 APT 的分析而開發和維護的公共知識庫。 它是攻擊者使用的一組結構化的策略和技術。 這使得來自世界各地的信息安全專業人員能夠講同一種語言。 該數據庫不斷擴大並補充新知識。
該數據庫確定了 12 種策略,將網絡攻擊分為幾個階段:
- 初始訪問;
- 執行;
- 鞏固(持續);
- 權限升級;
- 檢測預防(防禦規避);
- 獲取憑證(憑證訪問);
- 勘探;
- 周界內的移動(橫向移動);
- 數據收集(收集);
- 命令與控制;
- 數據洩露;
- 影響。
對於每種策略,ATT&CK 知識庫列出了一系列技術,可幫助攻擊者在當前攻擊階段實現其目標。 由於同一技術可以在不同階段使用,因此它可以參考多種戰術。
每種技術的描述包括:
- 標識符;
- 使用該策略的策略列表;
- APT 組織的使用示例;
- 減少其使用造成的損害的措施;
- 檢測建議。
信息安全專家可以使用數據庫中的知識來構建有關當前攻擊方法的信息,並考慮到這一點,構建有效的安全系統。 了解真正的 APT 組織如何運作也可以成為主動搜索內部威脅的假設來源。
關於 PT 網絡攻擊發現
我們將使用該系統從 ATT 和 CK 矩陣中識別技術的使用
系統使用團隊創建的檢測規則使用 ATT&CK 技術檢測攻擊
這裡 PT NAD 到 MITRE ATT&CK 矩陣的完整映射。 圖片較大,建議您在單獨的窗口中考慮。
初始訪問
初始訪問策略包括滲透公司網絡的技術。 此階段攻擊者的目標是將惡意代碼傳遞到被攻擊系統並確保其進一步執行。
PT NAD 流量分析揭示了獲得初始訪問權限的七種技術:
1. T1189 : 路過式妥協
一種技術,受害者打開一個網站,攻擊者利用該網站利用 Web 瀏覽器獲取應用程序訪問令牌。
PT NAD 是做什麼的?:如果 Web 流量未加密,PT NAD 將檢查 HTTP 服務器響應的內容。 正是在這些答案中,發現了允許攻擊者在瀏覽器內執行任意代碼的漏洞。 PT NAD 使用檢測規則自動檢測此類漏洞。
此外,PT NAD 在上一步中檢測到威脅。 如果用戶訪問的網站將其重定向到具有大量漏洞的網站,則會觸發妥協規則和指示器。
2. T1190 :利用面向公眾的應用程序
利用可從 Internet 訪問的服務中的漏洞。
PT NAD 是做什麼的?:對網絡數據包的內容進行深入檢查,揭示其中的異常活動跡象。 特別是,有一些規則允許您檢測對主要內容管理系統(CMS)、網絡設備的 Web 界面的攻擊、對郵件和 FTP 服務器的攻擊。
3. T1133 :外部遠程服務
攻擊者使用遠程訪問服務從外部連接到內部網絡資源。
PT NAD 是做什麼的?:由於系統不是通過端口號而是通過數據包的內容來識別協議的,因此系統用戶可以過濾流量以查找遠程訪問協議的所有會話並檢查其合法性。
4. T1193 :魚叉式網絡釣魚附件
我們正在談論臭名昭著的網絡釣魚附件發送。
PT NAD 是做什麼的?:自動從流量中提取文件並根據妥協指標檢查它們。 附件中的可執行文件由分析郵件流量內容的規則檢測。 在企業環境中,這種投資被認為是異常的。
5. T1192 : 魚叉式網絡釣魚鏈接
使用網絡釣魚鏈接。 該技術涉及攻擊者發送帶有鏈接的網絡釣魚電子郵件,單擊該鏈接即可下載惡意程序。 通常,該鏈接附有根據社會工程學所有規則編寫的文本。
PT NAD 是做什麼的?:使用妥協指標檢測網絡釣魚鏈接。 例如,在 PT NAD 界面中,我們看到一個會話,其中通過網絡釣魚地址 (phishing-url) 列表中包含的鏈接建立了 HTTP 連接。
通過受損網絡釣魚 URL 指標列表中的鏈接進行連接
6. T1199 : 信任關係
通過與受害者有信任關係的第三方訪問受害者的網絡。 攻擊者可以闖入受信任的組織並通過它連接到目標網絡。 為此,他們使用 VPN 連接或域信任關係,這些可以通過流量分析來揭示。
PT NAD 是做什麼的?:解析應用協議並將解析後的字段保存到數據庫中,以便信息安全分析師可以使用過濾器找到數據庫中所有可疑的VPN連接或跨域連接。
7. T1078 : 有效賬戶
使用標準、本地或域憑據對外部和內部服務進行授權。
PT NAD 是做什麼的?:自動從 HTTP、FTP、SMTP、POP3、IMAP、SMB、DCE/RPC、SOCKS5、LDAP、Kerberos 協議檢索憑據。 一般來說,這是登錄名、密碼和身份驗證成功的標誌。 如果已使用,則會顯示在相應的會話卡中。
執行
執行策略包括攻擊者用來在受感染系統上執行代碼的技術。 運行惡意代碼可幫助攻擊者建立存在(持久策略),並通過移動到外圍來擴展對網絡上遠程系統的訪問。
PT NAD 允許您識別攻擊者執行惡意代碼所使用的 14 種技術。
1. T1191 :CMSTP(微軟連接管理器配置文件安裝程序)
攻擊者為內置 Windows 實用程序 CMSTP.exe(連接管理器配置文件安裝程序)準備特殊的惡意安裝 INF 文件的策略。 CMSTP.exe 將該文件作為參數並安裝遠程連接的服務配置文件。 因此,CMSTP.exe 可用於從遠程服務器加載和執行動態鏈接庫 (*.dll) 或 scriptlet (*.sct)。
PT NAD 是做什麼的?:自動檢測HTTP流量中特殊格式.inf文件的傳輸。 此外,它還可以檢測來自遠程服務器的惡意腳本和動態鏈接庫的 HTTP 傳輸。
2. T1059 :命令行界面
與命令行界面交互。 命令行界面可以在本地或遠程進行交互,例如通過遠程訪問實用程序。
PT NAD 是做什麼的?:通過響應命令來自動檢測 shell 的存在,以啟動各種命令行實用程序,例如 ping、ifconfig。
3. T1175 :組件對像模型和分佈式COM
使用 COM 或 DCOM 技術在跨網絡移動時在本地或遠程系統上執行代碼。
PT NAD 是做什麼的?:檢測攻擊者通常用來啟動程序的可疑 DCOM 調用。
4. T1203 :利用客戶端執行
利用漏洞在工作站上執行任意代碼。 對攻擊者來說最有用的漏洞是那些允許在遠程系統上執行代碼的漏洞,因為它們可以允許攻擊者訪問該系統。 該技術可以通過以下方式實現:惡意郵件、利用瀏覽器漏洞的網站以及遠程利用應用程序漏洞。
PT NAD 是做什麼的?:解析郵件流量時,PT NAD 檢查附件中是否存在可執行文件。 自動從可能包含漏洞的電子郵件中提取辦公文檔。 利用 PT NAD 自動檢測到的流量中的漏洞的嘗試是可見的。
5. T1170 : 姆什塔
使用 mshta.exe 實用程序,該實用程序執行擴展名為 .hta 的 Microsoft HTML 應用程序 (HTA)。 由於 mshta 繞過瀏覽器安全設置處理文件,因此攻擊者可以使用 mshta.exe 執行惡意 HTA、JavaScript 或 VBScript 文件。
PT NAD 是做什麼的?:通過 mshta 執行的 .hta 文件也會通過網絡傳輸 - 這可以在流量中看到。 PT NAD 會自動檢測此類惡意文件的傳輸。 它捕獲文件,並且可以在會話卡中查看有關文件的信息。
6. T1086 : 電源外殼
使用PowerShell搜索信息並執行惡意代碼。
PT NAD 是做什麼的?:當攻擊者遠程使用 PowerShell 時,PT NAD 會使用規則檢測到此情況。 它檢測惡意腳本中最常用的 PowerShell 語言關鍵字以及通過 SMB 傳輸的 PowerShell 腳本。
7.
使用 Windows 任務計劃程序和其他實用程序在特定時間自動運行程序或腳本。
PT NAD 是做什麼的?:攻擊者通常遠程創建此類任務,這意味著此類會話在流量中可見。 PT NAD 使用 ATSVC 和 ITaskSchedulerService RPC 接口自動檢測可疑任務創建和修改操作。
8. T1064 : 腳本編寫
執行腳本以自動執行攻擊者的各種操作。
PT NAD 是做什麼的?:檢測腳本通過網絡的傳輸,即在腳本啟動之前進行檢測。 它檢測原始流量中的腳本內容,並檢測具有與流行腳本語言相對應的擴展名的文件的網絡傳輸。
9. T1035 :服務執行
通過與 Windows 服務(例如服務控制管理器 (SCM))交互來運行可執行文件、CLI 指令或腳本。
PT NAD 是做什麼的?:檢查 SMB 流量並通過創建、修改和啟動服務的規則檢測對 SCM 的請求。
服務啟動技術可以使用遠程命令執行實用程序 PSExec 來實現。 PT NAD 分析 SMB 協議,並在使用 PSEXESVC.exe 文件或標準 PSEXECSVC 服務名稱在遠程計算機上執行代碼時檢測 PSExec 的使用。 用戶需要檢查主機執行的命令列表以及遠程命令執行的合法性。
PT NAD中的攻擊卡根據ATT&CK矩陣顯示所使用的策略和技術的數據,以便用戶了解攻擊者處於攻擊的哪個階段,他們追求什麼目標以及採取什麼補償措施。
激活有關使用 PSExec 實用程序的規則,這可能表示嘗試在遠程計算機上執行命令
10. T1072 : 第三方軟件
攻擊者可以訪問遠程管理軟件或企業軟件部署系統並使用它們來運行惡意代碼的技術。 此類軟件的示例:SCCM、VNC、TeamViewer、HBSS、Altiris。
順便說一句,該技術與向遠程工作的大規模過渡尤其相關,因此,通過可疑的遠程訪問通道連接大量家庭未受保護的設備。
PT NAD 是做什麼的?:自動檢測網絡上此類軟件的運行情況。 例如,這些規則是由通過 VNC 協議連接的事實和 EvilVNC 木馬的活動觸發的,該木馬會在受害者的主機上秘密安裝 VNC 服務器並自動啟動它。 此外,PT NAD 會自動檢測 TeamViewer 協議,這有助於分析人員使用過濾器找到所有此類會話並檢查其合法性。
11. T1204 :用戶執行
一種用戶運行可導致代碼執行的文件的技術。 例如,如果他打開一個可執行文件或使用宏運行一個 Office 文檔。
PT NAD 是做什麼的?:在啟動之前的傳輸階段看到此類文件。 有關它們的信息可以在傳輸它們的會話卡中進行研究。
12. T1047 :Windows管理工具
使用 WMI 工具,該工具提供對 Windows 系統組件的本地和遠程訪問。 使用 WMI,攻擊者可以與本地和遠程系統交互並執行各種任務,例如出於情報目的收集信息以及在橫向移動期間遠程啟動進程。
PT NAD 是做什麼的?:由於通過 WMI 與遠程系統的交互在流量中可見,因此 PT NAD 會自動檢測建立 WMI 會話的網絡請求,並檢查流量是否正在傳輸使用 WMI 的腳本。
13. T1028 :Windows遠程管理
使用允許用戶與遠程系統交互的 Windows 服務和協議。
PT NAD 是做什麼的?:查看使用 Windows 遠程管理建立的網絡連接。 規則會自動檢測此類會話。
14. T1220 :XSL(可擴展樣式表語言)腳本處理
XSL樣式標記語言用於描述XML文件中數據的處理和呈現。 為了支持複雜的操作,XSL 標準包括對多種語言的內聯腳本的支持。 這些語言允許執行任意代碼,從而繞過白名單安全策略。
PT NAD 是做什麼的?:檢測此類文件通過網絡的傳輸,即甚至在它們啟動之前。 它自動檢測通過網絡傳輸的 XSL 文件以及帶有異常 XSL 標記的文件。
在以下材料中,我們將了解 PT 網絡攻擊發現 NTA 系統如何根據 MITRE ATT&CK 發現其他攻擊者策略和技術。 敬請關注!
作者:
- Anton Kutepov,Positive Technologies PT 專家安全中心專家
- Natalia Kazankova,Positive Technologies 產品營銷人員
來源: www.habr.com