Информационный портал по безопасности » Информационная безопасность » Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

 

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

Автор: admin от 20-03-2020, 15:25, посмотрело: 242

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery



Согласно Verizon
, большинство (87%) инцидентов ИБ происходят за считанные минуты, а на их обнаружение у 68% компаний уходят месяцы. Это подтверждается и исследованием Ponemon Institute, согласно которому у большинства организаций уходит в среднем 206 дней на обнаружение инцидента. По опыту наших расследований, хакеры могут годами контролировать инфраструктуру компании и не быть обнаруженными. Так, в одной из организаций, где наши эксперты проводили расследование инцидента ИБ, было выявлено, что хакеры полностью контролировали всю инфраструктуру организации и регулярно похищали важные сведения в течение восьми лет.



Допустим, у вас уже работает SIEM, который собирает логи и анализирует события, и установлены антивирусы на конечных узлах. Тем не менее, не все можно обнаружить с помощью SIEM, так же как и невозможно на всю сеть внедрить системы EDR, а значит, «слепых» зон не избежать. Справиться с ними помогают системы анализа сетевого трафика (network traffic analysis, NTA). Эти решения выявляют активность злоумышленников на самых ранних этапах проникновения в сеть, а также во время попыток закрепиться и развить атаку внутри сети.



NTA бывают двух видов: одни работают с NetFlow, вторые анализируют сырой трафик. Преимущество вторых систем в том, что они могут хранить записи сырого трафика. Благодаря этому специалист по ИБ может проверить успешность атаки, локализовать угрозу, понять, как атака произошла и как предотвратить аналогичную в будущем.



Мы покажем, как с помощью NTA можно по прямым или косвенным признакам выявлять все известные тактики атак, описанные в базе знаний MITRE ATT&CK. Мы расскажем о каждой из 12 тактик, разберем техники, которые детектируются по трафику, и продемонстрируем их обнаружение с помощью нашей NTA-системы. threat hunting.



О PT Network Attack Discovery



Выявлять применение техник из матрицы ATT&CK мы будем с помощью системы PT Network Attack Discovery — NTA-системы Positive Technologies, предназначенной для выявления атак на периметре и внутри сети. PT NAD покрывает в разной степени все 12 тактик матрицы MITRE ATT&CK. Он наиболее силен в выявлении техник первоначального доступа (initial access), перемещения внутри периметра (lateral movement) и управления и контроля (command and control). В них PT NAD покрывает более половины известных техник, обнаруживая их применение по прямым или косвенным признакам.



Система выявляет атаки с применением техник ATT&CK с помощью правил детектирования, создаваемых командой PT Expert Security Center (PT ESC), машинного обучения, индикаторов компрометации, глубокой аналитики и ретроспективного анализа. Разбор трафика в реальном времени в сочетании с ретроспективой позволяет выявлять текущую скрытую вредоносную активность и отслеживать векторы развития и хронологию атак.



Вот здесь полный маппинг PT NAD на матрицу MITRE ATT&CK. Картина большая, так что предлагаем вам ее рассмотреть в отдельном окне.


Первоначальный доступ (initial access)

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery



Тактика получения первоначального доступа включает в себя техники для проникновения в сеть компании. Цель злоумышленников на этом этапе — доставить в атакуемую систему зловредный код и обеспечить возможность его дальнейшего выполнения.



Анализ трафика с PT NAD позволяет выявить семь техник получения первоначального доступа:



1. T1189: drive-by compromise



Техника, при которой жертва открывает веб-сайт, который используется злоумышленниками для эксплуатации веб-браузера, получения токенов доступа к приложению.



Что делает PT NAD: если веб-трафик не шифрованный, PT NAD инспектирует содержимое ответов HTTP-серверов. Именно в этих ответах находятся эксплойты, которые позволяют злоумышленникам исполнить произвольный код внутри браузера. PT NAD автоматически выявляет такие эксплойты с помощью правил детектирования.



Дополнительно PT NAD обнаруживает угрозу на предыдущем шаге. Правила и индикаторы компрометации срабатывают, если пользователь посетил сайт, который перенаправил его на сайт со связкой эксплойтов.



2. T1190: exploit public-facing application



Эксплуатация уязвимостей в сервисах, которые доступны из интернета.



Что делает PT NAD: производит глубокую инспекцию содержимого сетевых пакетов, выявляя в нем признаки аномальной активности. В частности, есть правила, позволяющие обнаруживать атаки на основные системы управления контентом (content management system, CMS), веб-интерфейсы сетевого оборудования, атаки на почтовые и FTP-серверы.



3. T1133: external remote services



Применение злоумышленниками служб удаленного доступа для подключения к ресурсам внутренней сети извне.



Что делает PT NAD: так как система распознает протоколы не по номерам портов, а по содержимому пакетов, пользователи системы могут отфильтровать трафик так, чтобы найти все сессии протоколов удаленного доступа и проверить их легитимность.



4. T1193: spearphishing attachment



Речь идет о пресловутых отправках фишинговых вложений.



Что делает PT NAD: автоматически извлекает файлы из трафика и проверяет их по индикаторам компрометации. Исполняемые файлы во вложениях выявляются правилами, которые анализируют содержимое почтового трафика. В корпоративной среде такое вложение считается аномальным.



5. T1192: spearphishing link



Использование фишинговых ссылок. Техника подразумевает отправку злоумышленниками фишингового письма со ссылкой, при клике на которую скачивается вредоносная программа. Как правило, ссылку сопровождает текст, составленный по всем правилам социальной инженерии.



Что делает PT NAD: выявляет фишинговые ссылки с помощью индикаторов компрометации. Например, в интерфейсе PT NAD мы видим сессию, в которой было HTTP-соединение по ссылке, занесенной в список фишинговых адресов (phishing-urls).



Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery


Соединение по ссылке из списка индикаторов компрометации phishing-urls



6. T1199: trusted relationship



Доступ к сети жертвы через третьих лиц, с которыми у жертвы установлены доверенные взаимоотношения. Злоумышленники могут взломать доверенную организацию и подключаться через нее к целевой сети. Для этого они используют VPN-соединения или отношения доверия доменов, что можно выявить с помощью анализа трафика.



Что делает PT NAD: разбирает прикладные протоколы и сохраняет разобранные поля в базу данных, благодаря чему ИБ-аналитик с помощью фильтров может найти в базе данных все подозрительные VPN-соединения или кросс-доменные подключения.



7. T1078: valid accounts



Использование стандартных, локальных или доменных учетных данных для авторизации на внешних и внутренних сервисах.



Что делает PT NAD: в автоматическом режиме извлекает учетные данные из протоколов HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. В общем случае это логин, пароль и признак успешности аутентификации. Если они были использованы, они отображаются в соответствующей карточке сессии.



Выполнение (execution)

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

В тактику Выполнение входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Запуск вредоносного кода помогает атакующим закрепить присутствие (тактика persistence) и расширить доступ к удаленным системам в сети, перемещаясь внутри периметра.



PT NAD позволяет выявить применение злоумышленниками 14 техник, используемых для выполнения вредоносного кода.



1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)



Тактика, при которой злоумышленники готовят специальный вредоносный установочный INF-файл для встроенной в Windows утилиты CMSTP.exe (установщик профилей диспетчера подключений). CMSTP.exe принимает файл в качестве параметра и устанавливает профиль службы для удаленного подключения. В результате CMSTP.exe может быть использован для загрузки и выполнения динамически подключаемых библиотек (*.dll) или скриптлетов (*.sct) с удаленных серверов.



Что делает PT NAD: автоматически обнаруживает в HTTP-трафике передачу INF-файлов специального вида. В дополнение к этому, он обнаруживает передачу по протоколу HTTP вредоносных скриптлетов и динамически подключаемых библиотек с удаленного сервера.



2. T1059: command-line interface



Взаимодействие с интерфейсом командной строки. C интерфейсом командной строки можно взаимодействовать локально или удаленно, например при помощи утилит удаленного доступа.



Что делает PT NAD: автоматически детектирует наличие шеллов по ответам на команды запуска различных утилит командной строки, таких как ping, ifconfig.



3. T1175: component object model and distributed COM



Использование технологий COM или DCOM для выполнения кода на локальной или удаленных системах при продвижении по сети.



Что делает PT NAD: детектирует подозрительные DCOM-вызовы, которые злоумышленники обычно используют для запуска программ.



4. T1203: exploitation for client execution



Эксплуатация уязвимостей для выполнения произвольного кода на рабочей станции. Наиболее полезные для атакующих эксплойты — те, которые позволяют выполнять код в удаленной системе, так как с их помощью злоумышленники могут получить доступ к такой системе. Техника может быть реализована следующими методами: вредоносная почтовая рассылка, веб-сайт с эксплойтами для браузеров и удаленная эксплуатация уязвимостей приложений.



Что делает PT NAD: во время разбора почтового трафика PT NAD проверяет его на наличие исполняемых файлов во вложении. Автоматически извлекает офисные документы из писем, в которых могут быть эксплойты. Попытки эксплуатации уязвимостей видны в трафике, что PT NAD выявляет автоматически.



5. T1170: mshta



Применение утилиты mshta.exe, которая выполняет приложения Microsoft HTML (HTA) с расширением .hta. Так как mshta обрабатывает файлы в обход настроек безопасности браузера, атакующие могут использовать mshta.exe для выполнения вредоносных файлов HTA, javascript или VBScript.



Что делает PT NAD: файлы .hta для исполнения через mshta передаются в том числе и по сети — это видно в трафике. PT NAD выявляет передачу таких вредоносных файлов автоматически. Он захватывает файлы, и информацию о них можно посмотреть в карточке сессии.



6. T1086: PowerShell



Использование PowerShell для поиска информации и выполнения вредоносного кода.



Что делает PT NAD: когда PowerShell применяется атакующими удаленно, PT NAD детектирует это с помощью правил. Он обнаруживает ключевые слова языка PowerShell, которые чаще всего используются во вредоносных скриптах, и передачу PowerShell-скриптов по протоколу SMB.



7. T1053: scheduled task

Применение планировщика задач Windows и других утилит для автоматического запуска программ или скриптов в определенное время.



Что делает PT NAD: атакующие создают такие задачи, как правило удаленно, а значит такие сессии видны в трафике. PT NAD автоматически выявляет подозрительные операции по созданию и изменению задач с использованием RPC-интерфейсов ATSVC и ITaskSchedulerService.



8. T1064: scripting



Исполнение скриптов для автоматизации различных действий атакующих.



Что делает PT NAD: выявляет факты передачи скриптов по сети, то есть еще до их запуска. Он обнаруживает контент скриптов в сыром трафике и детектирует передачу по сети файлов с расширениями, соответствующими популярным скриптовым языкам.



9. T1035: service execution



Запуск исполняемого файла, инструкций интерфейса командной строки или скрипта с помощью взаимодействия со службами Windows, например с диспетчером управления службами (Service Control Manager, SCM).



Что делает PT NAD: инспектирует SMB-трафик и детектирует обращение к SCM правилами на создание, изменение и запуск сервиса.



Техника запуска служб может быть реализована с помощью утилиты для удаленного выполнения команд PSExec. PT NAD анализирует протокол SMB и детектирует применение PSExec, когда она использует файл PSEXESVC.exe или стандартное имя сервиса PSEXECSVC для выполнения кода на удаленной машине. Пользователю необходимо проверить список выполненных команд и легитимность удаленного выполнения команд с узла.



В карточке атаки в PT NAD отображаются данные об использованных тактиках и техниках по матрице ATT&CK, чтобы пользователь мог понять, на какой стадии атаки находятся злоумышленники, какие цели они преследуют и какие компенсирующие меры предпринять.


Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery


Сработка правила о применении утилиты PSExec, что может свидетельствовать о попытке выполнения команд на удаленной машине



10. T1072: third-party software



Техника, при которой злоумышленники получают доступ к ПО для удаленного администрирования или корпоративной системе развертывания ПО и с их помощью запускают зловредный код. Примеры такого ПО: SCCM, VNC, TeamViewer, HBSS, Altiris.

Кстати, техника особенно актуальна в связи с массовым переходом на удаленную работу и, как следствие, подключением многочисленных домашних незащищенных устройств по сомнительным каналам удаленного доступа



Что делает PT NAD: автоматически выявляет в сети работу такого ПО. Например, правила срабатывают на факты подключения по протоколу VNC и активность трояна EvilVNC, который скрытно устанавливает VNC-сервер на хост жертвы и автоматически его запускает. Также PT NAD автоматически определяет протокол TeamViewer, это помогает аналитику при помощи фильтра найти все такие сессии и проверить их легитимность.



11. T1204: user execution



Техника, при которой пользователь запускает файлы, которые могут привести к исполнению кода. Это может быть, например, если он откроет исполняемый файл или запустит офисный документ с макросом.



Что делает PT NAD: видит такие файлы еще на этапе передачи, до их запуска. Информацию о них можно изучить в карточке сессий, в которых они передавались.



12. T1047: Windows Management Instrumentation



Применение инструмента WMI, который обеспечивает возможность локального и удаленного доступа к системным компонентам Windows. С помощью WMI атакующие могут взаимодействовать с локальными и удаленными системами и выполнять множество задач, например собирать информацию в целях разведки и удаленно запускать процессы в ходе горизонтального перемещения.



Что делает PT NAD: так как взаимодействия с удаленными системами по WMI видны в трафике, PT NAD автоматически обнаруживает сетевые запросы на установление WMI-сессий и проверяет трафик на факт передачи скриптов, которые используют WMI.



13. T1028: Windows Remote Management



Использование службы и протокола Windows, который позволяет пользователю взаимодействовать с удаленными системами.



Что делает PT NAD: видит сетевые соединения, установленные с помощью Windows Remote Management. Такие сессии детектируются правилами в автоматическом режиме.



14. T1220: XSL (Extensible Stylesheet Language) script processing



Язык разметки стилей XSL используется для описания обработки и визуализации данных в XML-файлах. Для поддержки сложных операций стандарт XSL включает поддержку встроенных сценариев на разных языках. Данные языки позволяют выполнять произвольный код, что ведет к обходу политик безопасности, основанных на белых списках.



Что делает PT NAD: выявляет факты передачи таких файлов по сети, то есть еще до их запуска. Он автоматически обнаруживает факт передачи по сети XSL-файлов и файлы с аномальной XSL-разметкой.



В следующих материалах мы рассмотрим, как NTA-система PT Network Attack Discovery находит другие тактики и техники злоумышленников в соответствии с MITRE ATT&CK. Stay tuned!



Авторы:

Антон Кутепов, специалист отдела экспертных сервисов и развития Positive Technologies

Наталия Казанькова, продуктовый маркетолог Positive Technologies

Источник: Хабр / Интересные публикации

Категория: Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent