Get best of the week

كيف تكتشف أنظمة تحليل حركة المرور تكتيكات MITER ATT & CK Hacker باستخدام PT Network Attack Discovery



وفقًا لـ Verizon ، تحدث معظم (87٪) حوادث أمن المعلومات في غضون دقائق ، ويستغرق اكتشاف 68٪ من الشركات شهورًا. هذا ما تؤكده دراسة معهد Ponemon ، والتي بموجبها تستغرق معظم المنظمات 206 أيام في المتوسط ​​للكشف عن الحادث. وفقًا لتجربة تحقيقاتنا ، يمكن للمتسللين التحكم في البنية التحتية للشركة لسنوات ولا يمكن اكتشافها. لذلك ، في إحدى المنظمات التي حقق فيها خبراؤنا في حادثة داعش ، تم الكشف عن أن المتسللين يسيطرون تمامًا على البنية التحتية الكاملة للمنظمة ويسرقون بانتظام معلومات مهمة لمدة ثماني سنوات .

افترض أن لديك بالفعل SIEM قيد التشغيل ، والذي يجمع السجلات ويحلل الأحداث ، ويتم تثبيت برامج مكافحة الفيروسات على العقد النهائية. ومع ذلك،لا يمكن اكتشاف كل شيء باستخدام SIEM ، تمامًا كما أنه من المستحيل تنفيذ أنظمة EDR على الشبكة بالكامل ، مما يعني أنه لا يمكن تجنب البقع العمياء. تساعد أنظمة تحليل حركة مرور الشبكة (NTA) على التعامل معها. تكشف هذه القرارات عن نشاط المهاجمين في المراحل الأولى لاختراق الشبكة ، وكذلك أثناء محاولات الحصول على موطئ قدم وتطوير هجوم داخل الشبكة.

هناك نوعان من NTAs: يعمل البعض مع NetFlow ، والثاني يحلل حركة المرور الأولية. ميزة الأنظمة الثانية هي أنها يمكن تخزين سجلات حركة المرور الخام. وبفضل هذا ، يمكن لأخصائي أمن المعلومات التحقق من نجاح الهجوم ، وتوطين التهديد ، وفهم كيفية حدوث الهجوم وكيفية منع حدوث هجوم مماثل في المستقبل.

سنوضح كيف يمكن بمساعدة NTA ، من خلال الإشارات المباشرة أو غير المباشرة ، تحديد جميع تكتيكات الهجوم المعروفة الموصوفة في قاعدة معارف MITER ATT & CK . سنتحدث عن كل من التكتيكات الـ 12 ، ونحلل التقنيات التي يتم اكتشافها بواسطة حركة المرور ، ونوضح اكتشافها باستخدام نظام NTA الخاص بنا.

حول قاعدة معارف ATT & CK


MITER ATT & CK هي قاعدة معارف عامة طورتها وصيانتها شركة MITER Corporation بناءً على تحليل APTs حقيقية. إنها مجموعة منظمة من التكتيكات والتقنيات التي يستخدمها المهاجمون. وهذا يسمح لمتخصصي أمن المعلومات من جميع أنحاء العالم بالتحدث بنفس اللغة. القاعدة تتوسع باستمرار وتحديثها بمعرفة جديدة.

في قاعدة البيانات ، يتم تمييز 12 تكتيكا ، مقسمة على مراحل الهجوم السيبراني:

  • الوصول الأولي
  • تنفيذ
  • التوحيد (المثابرة) ؛
  • التصعيد امتياز
  • منع الكشف (التهرب من الدفاع) ؛
  • الحصول على بيانات الاعتماد ؛
  • الذكاء (الاكتشاف) ؛
  • الحركة داخل المحيط (الحركة الجانبية) ؛
  • جمع البيانات (جمع) ؛
  • الإدارة والتحكم (القيادة والسيطرة) ؛
  • ارتشاح.
  • تأثير

لكل تكتيك ، تسرد قاعدة معارف ATT & CK قائمة من التقنيات التي تساعد المهاجمين على تحقيق أهدافهم في المرحلة الحالية من الهجوم. نظرًا لأنه يمكن استخدام نفس التقنية في مراحل مختلفة ، يمكن أن ترتبط بالعديد من التكتيكات.

يتضمن وصف كل تقنية:

  • معرف ؛
  • قائمة التكتيكات التي يتم تطبيقها ؛
  • أمثلة على الاستخدام من قبل مجموعات APT ؛
  • تدابير للحد من الضرر الناجم عن استخدامه ؛
  • توصيات الكشف.

يمكن لمتخصصي أمن المعلومات استخدام المعرفة من قاعدة البيانات لهيكلة المعلومات حول طرق الهجوم الحالية ، وبناء على ذلك ، بناء نظام أمان فعال. يمكن فهم كيف تعمل مجموعة الرابطة الحقيقية، بما في ذلك أن تكون مصدرا للفرضيات للبحث استباقية لمواجهة تهديدات في إطار الصيد التهديد .

حول اكتشاف هجوم شبكة PT


سنحدد استخدام التقنيات من مصفوفة ATT & CK باستخدام نظام PT Network Attack Discovery - التقنيات الإيجابية - نظام NTA المصمم لاكتشاف الهجمات على المحيط وداخل الشبكة. يغطي PT NAD بدرجات متفاوتة جميع التكتيكات الـ 12 لمصفوفة MITER ATT & CK. وهو أقوى في تحديد تقنيات الوصول الأولي ، والحركة الجانبية ، والقيادة والسيطرة. فيها ، يغطي PT NAD أكثر من نصف التقنيات المعروفة ، ويكشف عن استخدامها عن طريق العلامات المباشرة أو غير المباشرة.

يكتشف النظام الهجمات باستخدام تقنيات ATT & CK باستخدام قواعد الكشف التي أنشأها فريق PT Expert Security Center(PT ESC) ، التعلم الآلي ، مؤشرات التوافق ، التحليلات المتعمقة والتحليل بأثر رجعي. يسمح لك تحليل حركة المرور في الوقت الفعلي بالاشتراك مع نظرة استرجاعية بتحديد النشاط الضار المخفي الحالي وتتبع ناقلات التطوير وتاريخ الهجوم.

هذه هي الخريطة الكاملة لـ PT NAD لمصفوفة MITER ATT & CK. الصورة كبيرة ، لذا نقترح عليك النظر إليها في نافذة منفصلة.

الوصول الأولي



تتضمن أساليب الحصول على حق الوصول المبدئي تقنيات اختراق شبكة الشركة. الهدف من المهاجمين في هذه المرحلة هو تسليم كود خبيث إلى النظام الذي تم مهاجمته وضمان إمكانية تنفيذه.

يكشف تحليل حركة المرور مع PT NAD عن سبع تقنيات للحصول على وصول أولي:

1. T1189 : تسوية بالسيارة


تقنية يقوم فيها الضحية بفتح موقع ويب يستخدمه مجرمو الإنترنت لتشغيل متصفح الويب والحصول على رموز الوصول للتطبيق.

ماذا يفعل PT NAD : إذا لم يتم تشفير حركة مرور الويب ، يقوم PT NAD بفحص محتويات استجابات خادم HTTP. في هذه الإجابات توجد ثغرات تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية داخل المتصفح. يكتشف PT NAD تلقائيًا هذه الثغرات باستخدام قواعد الكشف.

بالإضافة إلى ذلك ، يكتشف PT NAD تهديدًا في الخطوة السابقة. يتم تشغيل قواعد ومؤشرات الاختراق إذا قام المستخدم بزيارة موقع يعيد توجيهه إلى موقع يحتوي على مجموعة من الثغرات.

2. T1190 : استغلال التطبيق المواجه للجمهور


استغلال نقاط الضعف في الخدمات التي يمكن الوصول إليها من الإنترنت.

ما يفعله PT NAD : يقوم بفحص عميق لمحتويات حزم الشبكة ، ويكشف عن علامات نشاط غير طبيعي فيها. على وجه الخصوص ، هناك قواعد تسمح لك بالكشف عن الهجمات على نظام إدارة المحتوى الرئيسي (CMS) ، وواجهات الويب لمعدات الشبكة ، والهجمات على خوادم البريد و FTP.

3. T1133 : خدمات عن بعد خارجية


استخدام خدمات الوصول عن بعد من قبل المهاجمين للاتصال بموارد الشبكة الداخلية من الخارج.

ما يفعله PT NAD : نظرًا لأن النظام لا يتعرف على البروتوكولات ليس من خلال أرقام المنافذ ، ولكن من خلال محتويات الحزم ، يمكن لمستخدمي النظام تصفية حركة المرور حتى يتمكنوا من العثور على جميع جلسات بروتوكولات الوصول عن بعد والتحقق من شرعيتها.

4. T1193 : ملحق spearphishing


نحن نتحدث عن مرفقات التصيد سيئة السمعة.

ما يفعله PT NAD : يستخرج الملفات تلقائيًا من حركة المرور ويتحقق منها مقابل مؤشرات الاختراق. يتم الكشف عن الملفات القابلة للتنفيذ في المرفقات بواسطة القواعد التي تحلل محتويات حركة مرور البريد. في بيئة الشركات ، يعتبر مثل هذا الاستثمار غير طبيعي.

5. T1192 : وصلة spearphishing


استخدام روابط التصيد. تتضمن التقنية إرسال رسائل بريد إلكتروني تصيد احتيالي من قبل مستخدم ضار مع ارتباط يقوم ، عند النقر فوقه ، بتنزيل برنامج ضار. عادة ، يكون الرابط مصحوبًا بنص تم تجميعه وفقًا لجميع قواعد الهندسة الاجتماعية.

ما يفعله PT NAD : يكتشف روابط التصيد باستخدام مؤشرات الاختراق. على سبيل المثال ، في واجهة PT NAD ، نرى جلسة كان فيها اتصال HTTP باستخدام ارتباط مدرج في قائمة عناوين الخداع.



الربط من قائمة مؤشرات الاختراق - عناوين المواقع الاحتيالية

6. T1199 : علاقة موثوقة


الوصول إلى شبكة الضحية من خلال أطراف ثالثة لها علاقة موثوقة بالضحية. يمكن للمهاجمين اختراق منظمة موثوقة والاتصال من خلالها بالشبكة المستهدفة. للقيام بذلك ، يستخدمون اتصالات VPN أو علاقات ثقة المجال ، والتي يمكن اكتشافها باستخدام تحليل حركة المرور.

ما يفعله PT NAD : فهو يوزع بروتوكولات التطبيق ويحفظ الحقول التي تم تحليلها في قاعدة البيانات ، بحيث يمكن لمحلل IB استخدام المرشحات للعثور على جميع اتصالات VPN المشبوهة أو الاتصالات عبر النطاقات في قاعدة البيانات.

7. T1078 : حسابات صالحة


استخدام بيانات الاعتماد القياسية أو المحلية أو المجال للتفويض على الخدمات الخارجية والداخلية.

ما يفعله PT NAD : يستخرج بيانات الاعتماد تلقائيًا من HTTP و FTP و SMTP و POP3 و IMAP و SMB و DCE / RPC و SOCKS5 و LDAP و Kerberos. بشكل عام ، هذا هو اسم المستخدم وكلمة المرور وعلامة نجاح المصادقة. إذا تم استخدامها ، يتم عرضها في بطاقة الجلسة المقابلة.

إعدام


تتضمن تكتيكات التنفيذ تقنيات يستخدمها مجرمو الإنترنت لتنفيذ التعليمات البرمجية على الأنظمة المخترقة. يساعد تشغيل الشفرة الخبيثة المهاجمين على تعزيز تواجدهم (تكتيكات الثبات) وتوسيع الوصول إلى الأنظمة البعيدة على الشبكة من خلال التحرك داخل المحيط.

يمكن لـ PT NAD اكتشاف استخدام المهاجمين لـ 14 تقنية مستخدمة لتنفيذ تعليمات برمجية ضارة.

1. T1191 : CMSTP (مثبت ملف تعريف Microsoft Connection Manager)


أسلوب يقوم فيه المهاجمون بإعداد ملف INF خاص بالتثبيت الضار لأداة CMSTP.exe (مثبت ملف تعريف مدير الاتصال) المضمّن في Windows. يأخذ CMSTP.exe الملف كمعلمة ويعيّن ملف تعريف الخدمة لاتصال بعيد. ونتيجة لذلك ، يمكن استخدام ملف CMSTP.exe لتنزيل المكتبات المتصلة ديناميكيًا (* .dll) أو البرامج النصية (* .sct) وتنفيذها من الخوادم البعيدة.

ما يفعله PT NAD : يكتشف تلقائيًا إرسال ملفات inf. الخاصة في حركة مرور HTTP. بالإضافة إلى ذلك ، يكتشف نقل الكتب النصية الضارة والمكتبات المتصلة ديناميكيًا عبر بروتوكول HTTP من خادم بعيد.

2. T1059 : واجهة سطر الأوامر


التفاعل مع واجهة سطر الأوامر. يمكنك التفاعل مع واجهة سطر الأوامر محليًا أو عن بُعد ، على سبيل المثال باستخدام أدوات الوصول عن بُعد.

ما يفعله PT NAD : يكتشف تلقائيًا وجود الأصداف من خلال الاستجابة للأوامر لتشغيل أدوات سطر الأوامر المختلفة ، مثل ping ، ifconfig.

3. T1175 : نموذج كائن المكون و COM الموزع


استخدام تقنيات COM أو DCOM لتنفيذ التعليمات البرمجية على الأنظمة المحلية أو البعيدة عند الانتقال عبر شبكة.

ما يفعله PT NAD : يكتشف مكالمات DCOM المشبوهة التي يستخدمها المهاجمون عادة لتشغيل البرامج.

4. T1203 : استغلال لتنفيذ العميل


استغلال نقاط الضعف لتنفيذ التعليمات البرمجية التعسفية على محطة العمل. الاستغلال الأكثر فائدة للمهاجمين هي تلك التي تسمح بتنفيذ التعليمات البرمجية على نظام بعيد ، حيث يمكن للمهاجمين بمساعدتهم الوصول إلى مثل هذا النظام. يمكن تنفيذ هذه التقنية باستخدام الطرق التالية: القائمة البريدية الخبيثة ، والموقع الإلكتروني الذي يحتوي على برمجيات إكسبلويت للمتصفح ، والاستغلال البعيد لثغرات التطبيق.

ما يفعله PT NAD : أثناء تحليل حركة البريد ، يتحقق PT NAD من الملفات القابلة للتنفيذ في المرفق. يستخرج تلقائيًا مستندات المكتب من الرسائل التي قد تكون بها مآثر. تظهر محاولات استغلال الثغرات الأمنية في حركة المرور التي يكتشفها PT NAD تلقائيًا.

5. T1170 : مشتى


استخدام الأداة المساعدة mshta.exe ، التي تقوم بتشغيل تطبيقات Microsoft HTML (HTA) بالملحق .hta. نظرًا لأن mshta يعالج الملفات التي تتجاوز إعدادات أمان المستعرض ، يمكن للمهاجمين استخدام mshta.exe لتنفيذ ملفات HTA أو JavaScript أو VBScript ضارة.

ما يفعله PT NAD : يتم إرسال ملفات .hta للتنفيذ من خلال mshta بما في ذلك عبر الشبكة - وهذا مرئي في حركة المرور. يكتشف PT NAD نقل هذه الملفات الضارة تلقائيًا. يلتقط الملفات ، ويمكن الاطلاع على معلومات عنها في بطاقة الجلسة.

6. T1086 : بوويرشيل


استخدام PowerShell للبحث عن المعلومات وتنفيذ التعليمات البرمجية الضارة.

ما يفعله PT NAD : عندما يستخدم المهاجمون PowerShell عن بُعد ، يكتشف PT NAD هذا باستخدام القواعد. يكتشف الكلمات المفتاحية PowerShell الأكثر استخدامًا في البرامج النصية الضارة ، وينقل البرامج النصية PowerShell باستخدام بروتوكول SMB.

7. T1053 : مهمة مجدولة
استخدم برنامج جدولة المهام لـ Windows والأدوات المساعدة الأخرى لتشغيل البرامج أو البرامج النصية تلقائيًا في وقت محدد.

ماذا تفعل PT NAD؟: ينشئ المهاجمون مثل هذه المهام ، عادةً عن بُعد ، مما يعني أن هذه الجلسات تكون مرئية في حركة المرور. يكتشف PT NAD تلقائيًا عمليات إنشاء وتعديل المهام المريبة باستخدام واجهات ATSVC و ITaskSchedulerService RPC.

8. T1064 : البرمجة النصية


تنفيذ البرامج النصية لأتمتة عمليات الهجوم المختلفة.

ما يفعله PT NAD : يكشف عن حقائق إرسال النص عبر الشبكة ، أي حتى قبل إطلاقها. يكتشف محتوى البرامج النصية في حركة المرور الأولية ويكشف عن نقل الملفات عبر الشبكة مع امتدادات تتوافق مع لغات البرمجة النصية الشائعة.

9. T1035 : تنفيذ الخدمة


قم بتشغيل ملف قابل للتنفيذ ، أو تعليمات واجهة سطر الأوامر ، أو برنامج نصي عن طريق التفاعل مع خدمات Windows ، مثل إدارة التحكم بالخدمة (SCM).

ما يفعله PT NAD : يتفقد حركة مرور SMB ويكتشف وصول SCM إلى قواعد إنشاء الخدمة وتعديلها وبدء تشغيلها.

يمكن تنفيذ تقنية بدء الخدمات باستخدام الأداة المساعدة للتنفيذ عن بعد لأوامر PSExec. يقوم PT NAD بتحليل بروتوكول SMB ويكتشف استخدام PSExec عندما يستخدم ملف PSEXESVC.exe أو اسم خدمة PSEXECSVC القياسي لتنفيذ التعليمات البرمجية على جهاز بعيد. يحتاج المستخدم للتحقق من قائمة الأوامر المنفذة وشرعية التنفيذ عن بعد للأوامر من العقدة.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


تقنية يتمكن المهاجمون من خلالها من الوصول إلى برامج الإدارة عن بعد أو نظام نشر برامج الشركة واستخدامها لإطلاق تعليمات برمجية ضارة. أمثلة على مثل هذه البرامج: SCCM و VNC و TeamViewer و HBSS و Altiris.
بالمناسبة ، هذه التقنية ذات صلة خاصة بالانتقال الهائل إلى العمل عن بعد ، ونتيجة لذلك ، توصيل العديد من الأجهزة غير الآمنة في المنزل من خلال قنوات الوصول عن بعد المشكوك فيها.

ماذا يفعل PT NAD؟: يكتشف تلقائيًا تشغيل مثل هذه البرامج على الشبكة. على سبيل المثال ، يتم تشغيل القواعد من خلال حقائق اتصال VNC ونشاط EvilVNC trojan ، الذي يقوم بتثبيت خادم VNC سرًا على مضيف الضحية ويبدأ تشغيله تلقائيًا. يكتشف PT NAD تلقائيًا بروتوكول TeamViewer ، وهذا يساعد المحلل على استخدام المرشح للعثور على جميع هذه الجلسات والتحقق من شرعيتها.

11. T1204 : إعدام المستخدم


تقنية يقوم فيها المستخدم بتشغيل الملفات التي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية. يمكن أن يكون هذا ، على سبيل المثال ، إذا قام بفتح ملف قابل للتنفيذ أو قام بتشغيل مستند Office باستخدام ماكرو.

ما يفعله PT NAD : يرى مثل هذه الملفات في مرحلة النقل ، قبل إطلاقها. يمكن دراسة المعلومات المتعلقة بها في جلسات البطاقة ، حيث تم إرسالها.

12. T1047 : أدوات إدارة Windows


استخدام أداة WMI ، التي توفر وصولاً محليًا وعن بُعد إلى مكونات نظام Windows. باستخدام WMI ، يمكن للمهاجمين التفاعل مع الأنظمة المحلية والبعيدة وتنفيذ العديد من المهام ، على سبيل المثال ، جمع المعلومات لأغراض الاستطلاع وبدء العمليات عن بُعد أثناء الحركة الأفقية.

ما يفعله PT NAD : نظرًا لأن التفاعلات مع الأنظمة البعيدة عبر WMI مرئية في حركة المرور ، فإن PT NAD يكتشف تلقائيًا طلبات الشبكة لإنشاء جلسات WMI ويتحقق من حركة المرور لإرسال النصوص البرمجية التي تستخدم WMI.

13. T1028 : إدارة Windows عن بعد


استخدام خدمة وبروتوكول Windows ، مما يسمح للمستخدم بالتفاعل مع الأنظمة البعيدة.

ما يفعله PT NAD : يرى اتصالات الشبكة التي تم إنشاؤها باستخدام إدارة Windows عن بعد. يتم الكشف عن هذه الجلسات تلقائيا من خلال القواعد.

14. T1220 : XSL (لغة صفحات الأنماط الموسعة) معالجة البرنامج النصي


يتم استخدام لغة ترميز XSL لوصف معالجة وتصور البيانات في ملفات XML. لدعم العمليات المعقدة ، يتضمن معيار XSL دعمًا للنصوص المضمنة بلغات متعددة. تسمح هذه اللغات بتنفيذ تعليمات برمجية عشوائية ، مما يؤدي إلى تجاوز سياسات الأمان القائمة على القوائم البيضاء.

ما يفعله PT NAD : يكشف عن حقائق نقل هذه الملفات عبر الشبكة ، أي حتى قبل إطلاقها. يكتشف تلقائيًا حقيقة أن ملفات XSL يتم إرسالها عبر الشبكة والملفات ذات ترميز XSL غير عادي.

في المقالات التالية ، سنلقي نظرة على كيفية اكتشاف نظام PT Network Attack Discovery NTA التكتيكات والأساليب الأخرى للمهاجمين وفقًا لـ MITER ATT & CK. ترقب!

المؤلفون :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles