🤚🏿 🚶 💩 كيف تكتشف أنظمة تحليل حركة المرور تكتيكات MITER ATT & CK Hacker باستخدام PT Network Attack Discovery 👩🏽‍🔧 🐡 💂

في مقال سابق ، قمنا بفحص تقنيات اثنين من تكتيكات MITER ATT & CK - الوصول الأولي والتنفيذ ، وكذلك كيفية اكتشاف النشاط المريب في حركة مرور الشبكة باستخدام حل NTA الخاص بنا . سنوضح لك الآن كيفية عمل تقنياتنا مع المثابرة ، وتصعيد الامتيازات ، وتقنيات التهرب من الدفاع.

إبزيم (ثبات)

يستخدم المهاجمون تكتيكات التثبيت لضمان استمرار وجودهم في النظام المهاجم. يحتاجون إلى التأكد من أنه حتى بعد إعادة تشغيل النظام أو تغيير بيانات الاعتماد ، سيظل وصولهم إلى النظام. لذلك سيكونون قادرين في أي وقت على التحكم في نظام معرض للخطر ، والتحرك على طول البنية التحتية وتحقيق أهدافهم.

باستخدام تحليل حركة المرور ، يمكنك اكتشاف خمس تقنيات تثبيت.

1. T1133 : الخدمات الخارجية عن بعد

تقنية استخدام الخدمات الخارجية عن بعد للتوحيد الخارجي على الموارد الداخلية للشركة. أمثلة على هذه الخدمات: VPN و Citrix.

ما يفعله PT Network Attack Discovery (PT NAD) : يرى جلسات الشبكة التي تم إنشاؤها عبر VPN أو Citrix في الشبكة الداخلية للشركة. يمكن للمحلل أن يدرس مثل هذه الجلسات بالتفصيل ويخلص إلى استنتاج حول شرعيتها.

2. T1053 : مهمة مجدولة

استخدام برنامج جدولة المهام لـ Windows والأدوات المساعدة الأخرى لبدء تشغيل البرامج أو البرامج النصية في وقت محدد. ينشئ المهاجمون مثل هذه المهام ، كقاعدة ، عن بُعد ، مما يعني أن مثل هذه الجلسات مع إطلاق جدولة المهام تكون مرئية في حركة المرور.

ما يفعله PT NAD : إذا أرسلت وحدة تحكم المجال ملفات XML تصف المهام التي تم إنشاؤها من خلال سياسات المجموعة ، فإن حل NTA الخاص بنا يستخرج هذه الملفات تلقائيًا. تحتوي على معلومات حول تكرار بدء المهمة ، والتي قد تشير إلى استخدام برنامج جدولة المهام للدمج في الشبكة.

3. T1078 : حسابات صالحة

استخدام أوراق الاعتماد: القياسية أو المحلية أو المجال للتفويض على الخدمات الخارجية والداخلية.

ما يفعله PT NAD : يستخرج بيانات الاعتماد تلقائيًا من HTTP و FTP و SMTP و POP3 و IMAP و SMB و DCE / RPC و SOCKS5 و LDAP و Kerberos. بشكل عام ، هذا هو اسم المستخدم وكلمة المرور وعلامة نجاح المصادقة. إذا تم استخدامها ، يتم عرضها في بطاقة الجلسة المقابلة.

4. T1100 : قذيفة الويب

برنامج نصي يتم استضافته على خادم ويب ويسمح للمهاجم بالتحكم في ذلك الخادم. نظرًا لأن هذه البرامج النصية تعمل في الوضع التلقائي وتستمر في العمل حتى بعد إعادة تشغيل الخادم ، يمكن لمجرمي الإنترنت استخدام هذه التقنية أثناء مرحلة التثبيت في النظام.

ما يفعله PT NAD : يكتشف تلقائيًا تحميل قذائف الويب الشائعة ، والوصول إليها عبر طلبات HTTP وإرسال الأوامر.

5. T1084 : الاشتراك في حدث أداة إدارة Windows

الاشتراك في الأحداث في WMI - تقنيات لإدارة مكونات أنظمة التشغيل المحلية والبعيدة. يمكن للمهاجمين استخدام WMI للاشتراك في أحداث معينة والشروع في تنفيذ التعليمات البرمجية الضارة عند حدوث هذا الحدث. وبالتالي ، يضمن المهاجمون وجودًا مستمرًا في النظام. أمثلة على الأحداث التي يمكنك الاشتراك فيها: بداية وقت معين على ساعة النظام أو انتهاء صلاحية عدد معين من الثواني من لحظة بدء تشغيل نظام التشغيل.

ماذا تفعل PT NAD؟: يكتشف استخدام تقنية الاشتراك في حدث Windows Management Instrumentation باستخدام القواعد. يعمل أحدهم عندما تستخدم الشبكة فئة المشتركين القياسية ActiveScriptEventConsumer ، والتي تسمح بتنفيذ التعليمات البرمجية عند وقوع حدث وبالتالي إرفاق المهاجم بعقدة شبكة.

على سبيل المثال ، بعد تحليل بطاقة الجلسة مع تشغيل القاعدة ، نرى أن هذا النشاط سببه أداة القراصنة Impacket: في الجلسة نفسها ، عمل الكاشف لاستخدام هذه الأداة لتنفيذ التعليمات البرمجية عن بُعد.

بطاقة الجلسة التي تم فيها الكشف عن استخدام أداة Impacket. بمساعدتها ، يستخدم المهاجمون مشتركًا قياسيًا لتنفيذ الأوامر عن بُعد

التصعيد امتياز

تهدف تقنيات تصعيد الامتياز إلى الحصول على أذونات عالية المستوى في النظام الذي تمت مهاجمته. للقيام بذلك ، يستغل المهاجمون نقاط ضعف الأنظمة ، ويستغلون أخطاء التكوين ونقاط الضعف.

1. T1078 : حسابات صالحة

هذه سرقة هوية: قياسية أو محلية أو نطاق.

ما يفعله PT NAD : فهو يرى أي مستخدم قام بتسجيل الدخول ، حيث يمكن تحديد المدخلات غير المشروعة. تتمثل إحدى الطرق الأكثر شيوعًا لزيادة الامتيازات على مضيف بعيد أو محلي يقوم بتشغيل Windows في إنشاء مهمة جدولة مهام Windows التي سيتم تشغيلها نيابة عن NT AUTHORITY \ SYSTEM ، مما يجعل من الممكن تنفيذ الأوامر ذات الامتيازات القصوى على النظام.

ضع في اعتبارك حالة إنشاء مثل هذه المهمة عبر الشبكة باستخدام أداة ATExec. يعتمد على مكونات مكتبة Impacket وتم إنشاؤه لإثبات قدرة المكتبة على العمل مع البروتوكول البعيد لجدولة المهام. عملها مرئي في حركة مرور الشبكة ، ويوضح بشكل جيد تقنية رفع الامتيازات من مستوى المسؤول لعقدة الشبكة إلى مستوى NT AUTHORITY \ SYSTEM.

اكتشف PT NAD تلقائيًا إنشاء مهام الجدولة على المضيف البعيد. تُظهر بطاقة الهجوم أدناه أنه تم إجراء الاتصال نيابة عن المستخدم contoso \ user02. يشير اتصال SMB الناجح إلى مورد ADMIN $ الخاص بالمضيف الهدف إلى أن هذا المستخدم عضو في مجموعة المسؤولين المحليين على المضيف الوجهة. ومع ذلك ، فإن وصف XML للمهمة يشير إلى أنه سيتم تنفيذها في سياق NT AUTHORITY \ SYSTEM (SID S-1-5-18):

الكشف عن إنشاء المهام عن بعد باستخدام الأداة المساعدة ATExec

التهرب من الدفاع

يجمع هذا التكتيك بين التقنيات التي يمكن للمهاجم من خلالها إخفاء النشاط الضار وتجنب الكشف عن طريق الحماية. يمكن الكشف عن تسعة من هذه التقنيات باستخدام أنظمة تحليل حركة المرور.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

يقوم المهاجمون بتحضير ملف .inf خاص بالتثبيت الضار لأداة مثبت ملف تعريف إدارة اتصال Windows (CMSTP.exe). يأخذ CMSTP.exe الملف كمعلمة ويعيّن ملف تعريف الخدمة لاتصال بعيد. ونتيجة لذلك ، يمكن استخدام ملف CMSTP.exe لتنزيل المكتبات المتصلة ديناميكيًا (* .dll) أو البرامج النصية (* .sct) وتنفيذها من الخوادم البعيدة. بهذه الطريقة ، يمكن للمهاجمين تجاوز سياسة القائمة البيضاء لتشغيل البرامج.

ما يفعله PT NAD : يكتشف تلقائيًا إرسال ملفات inf. الخاصة في حركة مرور HTTP. بالإضافة إلى ذلك ، يرى إرسال بروتوكول HTTP لبرامج نصية ضارة ومكتبات متصلة ديناميكيًا من خادم بعيد.

2. T1090 : وكيل اتصال

يمكن للمهاجمين استخدام خادم وكيل كوسيط لتبادل البيانات مع خادم C2. لذلك يتجنبون الاتصالات المباشرة ببنيتهم التحتية ويعقدون القدرة على اكتشافها.

ما يفعله PT NAD : يحدد استخدام بروتوكول SOCKS5 (يرسل البيانات من العميل إلى الخادم الوجهة من خلال خادم وكيل لهم بشكل غير مرئي) وكيل HTTP. إذا كانت الاتصالات عبر بروتوكول SOCKS 5 أو عبر خادم وكيل HTTP مرتبطة بأحداث مريبة ، فقد تشير هذه الاتصالات إلى وجود اختراق.

3. T1207 : DCShadow

إنشاء وحدة تحكم مجال وهمية لتجاوز الكشف بواسطة أنظمة SIEM ، مما يسمح بإجراء تعديلات ضارة على مخطط AD من خلال آلية النسخ المتماثل.

ما يفعله PT NAD : عند استخدام تقنية DCShadow ، يتم إنشاء وحدة تحكم مجال وهمية لا ترسل الأحداث إلى SIEM. باستخدام وحدة تحكم المجال هذه ، يمكن للمهاجم تعديل بيانات Active Directory - على سبيل المثال ، معلومات حول أي كائن مجال وبيانات اعتماد المستخدم والمفاتيح.

يمكن تحديد استخدام مثل هذه التقنية من خلال حركة المرور. يظهر بوضوح إضافة كائن جديد إلى مخطط التكوين لنوع وحدة تحكم المجال. يكشف نظام NTA عن محاولة لمهاجمة DCShadow عن طريق الكشف عن حركة المرور الخاصة بوحدة تحكم المجال من عقدة شبكة ليست وحدة تحكم مجال.

سجلت PT NAD محاولة لمهاجمة DCShadow

4. T1211 : استغلال للتهرب من الدفاع

استغلال نقاط الضعف في النظام المستهدف لتجاوز ميزات الأمان.

ما يفعله PT NAD : يكتشف تلقائيًا العديد من تقنيات الاستغلال الشائعة لنقاط الضعف. على سبيل المثال ، يحدد أسلوبًا للتحايل على أمان تطبيقات الويب بناءً على رؤوس HTTP المكررة.

5. T1170 : مشتى

استخدام الأداة المساعدة mshta.exe ، التي تقوم بتشغيل تطبيقات Microsoft HTML (HTA) بالملحق .hta. نظرًا لأن mshta يعالج الملفات التي تتجاوز إعدادات أمان المستعرض ، يمكن للمهاجمين استخدام mshta.exe لتنفيذ ملفات HTA أو JavaScript أو VBScript ضارة. يستخدم المهاجمون تقنية mshta في أغلب الأحيان لتجاوز سياسات القائمة البيضاء لتشغيل البرامج وتشغيل قواعد اكتشاف SIEM.

ما يفعله PT NAD : يكتشف نقل ملفات HTA الضارة تلقائيًا. يلتقط الملفات والمعلومات التي يمكن الاطلاع عليها في بطاقة الجلسة.

6. T1027 : ملفات أو معلومات مشوشة

محاولة لجعل الملف القابل للتنفيذ أو حركة مرور الشبكة صعبة على أدوات الأمان للكشف والتحليل من خلال تشفير محتوياتها أو تشفيرها أو تشويشها.

ما يفعله PT NAD : يكتشف نقل الملفات القابلة للتنفيذ المشفرة باستخدام خوارزميات Base64 أو ROT13 أو مشفرة باستخدام جاما. يتم أيضًا اكتشاف حركة المرور المشوشة التي تنشئها بعض البرامج الضارة تلقائيًا.

7. T1108 : وصول فائض

أسلوب يستخدم فيه المهاجمون أكثر من أداة وصول عن بُعد واحدة. إذا تم الكشف عن إحدى الأدوات وحظرها ، فسيظل بإمكان المهاجمين الوصول إلى الشبكة.

ما يفعله PT NAD : يوزع البروتوكولات الشائعة ، لذلك يرى نشاط كل عقدة شبكة. باستخدام الفلاتر ، يمكن للمحلل العثور على جميع جلسات أدوات الوصول عن بعد المثبتة من عقدة واحدة.

8. T1064 : البرمجة النصية

تنفيذ البرامج النصية لأتمتة الإجراءات المختلفة للمهاجمين ، بما في ذلك تجاوز سياسات القائمة البيضاء لبدء البرامج.

ما يفعله PT NAD : يكشف عن حقائق إرسال النص عبر الشبكة ، أي حتى قبل إطلاقها. يكتشف محتوى البرامج النصية في حركة المرور الأولية ويكشف عن نقل الملفات عبر الشبكة مع امتدادات تتوافق مع لغات البرمجة النصية الشائعة.

9. T1045 : تعبئة البرمجيات

تقنية يستخدم فيها المهاجمون أدوات مساعدة خاصة لضغط أو تشفير ملف قابل للتنفيذ لتجنب الكشف عن طريق أنظمة حماية التوقيع. تسمى هذه المرافق باكرز.

ما يفعله PT NAD : يكتشف تلقائيًا العلامات التي تفيد بتعديل الملف القابل للتنفيذ الذي تم إرساله باستخدام أداة التعبئة الشائعة.

بدلا من الاستنتاج

نذكركم بأن خريطة PT NAD الكاملة لمصفوفة MITER ATT & CK منشورة على حبري .

في المقالات التالية ، سنتحدث عن أساليب وتقنيات أخرى من المتسللين وكيف يساعد نظام PT Network Attack Discovery NTA في التعرف عليهم. ابقى معنا!

المؤلفون:

انطون كوتيبوف ، اختصاصي ، تقنيات إيجابية في مركز PT Expert Security
ناتاليا كازانكوفا ، تقنيات تسويق المنتجات الإيجابية

كيف تكتشف أنظمة تحليل حركة المرور تكتيكات MITER ATT & CK Hacker باستخدام PT Network Attack Discovery