Get best of the week

كيف تكشف أنظمة تحليل حركة المرور تكتيكات القراصنة بواسطة MITER ATT & CK ، الجزء 3



في المشاركات السابقة ( الأولى و الثانية أجزاء)، درسنا تقنيات وتكتيكات خمسة من ميتري ATT وCK:

  • الوصول الأولي
  • تنفيذ
  • التوحيد (المثابرة) ؛
  • التصعيد امتياز
  • كشف الوقاية (التهرب من الدفاع).

بالإضافة إلى ذلك ، أظهرنا كيف يمكن بمساعدة حل NTA الخاص بنا التعرف على النشاط المريب في حركة مرور الشبكة. سنوضح لك الآن كيفية عمل تقنياتنا مع تقنيات الوصول إلى البيانات واكتشافها.

الحصول على بيانات الاعتماد


يتضمن هذا التكتيك تقنيات تهدف إلى سرقة البيانات التي يمكن استخدامها للمصادقة (على سبيل المثال ، أسماء المستخدمين وكلمات المرور). يساعد استخدام الحسابات الشرعية المهاجمين على الوصول إلى الأنظمة ، وإنشاء المزيد من السجلات لتأمينها ، ويزيد من صعوبة اكتشاف وجود المهاجمين على الشبكة.

فيما يلي أربع تقنيات يمكن التعرف عليها من خلال نشاط مريب في حركة المرور.

1. T1110 : القوة الغاشمة


تقنية الوصول إلى الخدمات باستخدام أساليب القوة الغاشمة عندما تكون أوراق الاعتماد غير معروفة أو معروفة جزئيًا. عادةً ما يختارون أسماء المستخدمين أو كلمات المرور أو مجموعات التجزئة لكلمات المرور.

ماذا يفعل PT Network Attack Discovery (PT NAD) : في الوضع التلقائي ، يكتشف علامات اختيار كلمة المرور للمصادقة عبر LDAP و Kerberos و SMB و SSH و SMTP و POP3 و POP3S و IMAP و IMAPS و FTP. بالإضافة إلى ذلك ، فإنه يحدد محاولات تحديد بيانات الاعتماد لخدمات الويب الشائعة مثل phpMyAdmin و Joomla و WordPress و Drupal و Confluence و MySQL و Tomcat. تولد مثل هذه الهجمات عددًا كبيرًا من محاولات المصادقة غير الناجحة ، والتي يمكن رؤيتها في حركة المرور.

2. T1003 : تفريغ الاعتماد


الحصول على بيانات الاعتماد (عادةً ما تكون تجزئة أو كلمة مرور مفتوحة) من أنظمة التشغيل أو البرامج. سننظر في هذه التقنية بمزيد من التفصيل لتوضيح الكشف عنها في حركة المرور.

ما يفعله PT NAD: مثال عن كشف
PT NAD بتسجيل الوصول إلى سجل وحدة تحكم المجال باستخدام Secretsdump لأداة القرصنة ، بناءً على وحدات مكتبة Impacket. المهمة الرئيسية للأداة المساعدة هي الحصول على تجزئات كلمة مرور المستخدم. بمساعدتها ، يقوم المهاجمون بالمصادقة مع وحدة تحكم المجال عبر بروتوكول SMB ، والاتصال بإدارة التحكم بالخدمة (SCM) ، ثم استخدام بروتوكول WINREG للاتصال بالسجل البعيد ونسخ البيانات اللازمة إلى الملف المحلي. بعد ذلك ، يتم تنزيل الملف إلى عقدة شبكتك عبر SMB.



تحديد استعلام لمفتاح التسجيل LSA الذي يحتوي على تجزئات كلمات مرور مستخدم المجال

في نفس الجلسة ، حيث سجلت PT NAD الوصول إلى سجل وحدة تحكم المجال ، تم نقل نفس الملفات التي حفظت فيها أداة secretsdump معلومات مهمة من سجل وحدة تحكم المجال. من خلال أسماء القواعد التي تم تشغيلها في واجهة PT NAD ، من الواضح أن المهاجمين حصلوا على تجزئات كلمة المرور لمستخدمي المجال من LSA والمستخدمين المحليين من SAM:



تنعكس الملفات التي تمكن المهاجمون من تنزيلها في بطاقة الجلسة

3. T1212 : استغلال للوصول إلى بيانات الاعتماد


تقنية تمكن المهاجم من الوصول إلى بيانات الاعتماد نتيجة استغلال نقاط الضعف في البرامج.

ما يفعله PT NAD : يرى حركة المرور تستغل العديد من نقاط الضعف. على سبيل المثال ، يمكن استخدام MS14-068 لتزييف تذاكر Kerberos. يطلب أحد المهاجمين تذكرة من نوع خاص (TGT ، Ticket Granted Ticket Ticket) ، ويضيف نفسه إلى مجموعة مميزة ويعدل هذه التذكرة بحيث تتعرف عليها وحدة تحكم المجال الضعيفة على أنها صالحة. يحدد PT NAD طلبات هذه التذاكر.

4. T1208 : kerberoasting


طريقة لاسترداد حسابات الخدمة من Active Directory كمستخدم عادي. يمكن لأي مستخدم مجال طلب تذكرة Kerberos للوصول إلى الخدمة في Active Directory (خدمة منح التذاكر). يتم تشفير TGS باستخدام تجزئة كلمة المرور للحساب الذي يتم تشغيل الخدمة الهدف منه. يمكن للمهاجم الذي حصل على TGS الآن فك تشفيرها ، والتقاط كلمة مرور وعدم الخوف من الحظر ، لأنه يفعلها في وضع عدم الاتصال. في حالة نجاحه ، يتلقى كلمة مرور من حساب مرتبط بالخدمة ، والتي غالبًا ما تكون ذات امتياز.

ماذا تفعل PT NAD؟: إصلاح طلبات سرد الخدمات في Active Directory التي قد تصبح أهدافًا لهجوم. هذه المرحلة ضرورية للمهاجمين لتحديد خدمة للهجوم ، وتسبق طلب تذكرة TGS والاختيار دون اتصال. يكتشف PT NAD أيضًا تلقائيًا طلبات الحصول على تذاكر TGS المشفرة باستخدام خوارزمية RC4 ، وهي واحدة من علامات هجوم Kerberoasting.

اكتشاف


بعد أن اكتسبت موطئ قدم ووصلت إلى النظام ، يحتاج المهاجمون إلى فهم مكان وجودهم في البنية التحتية ، وما يحيط بهم ، وما يمكنهم السيطرة عليه. أثناء الاستطلاع ، يجمع المهاجمون بيانات حول النظام والشبكة الداخلية ، مما يساعد على التنقل في البنية التحتية وتحديد كيفية المضي قدمًا. لهذا ، غالباً ما يتم استخدام أدوات أنظمة التشغيل المضمنة.
يكشف تحليل حركة المرور عن استخدام عشرة تقنيات استخباراتية.

1. T1087 : اكتشاف الحساب


محاولة الحصول على قائمة حسابات النظام المحلي أو المجال.

ما يفعله PT NAD: مثال على كشف
المهاجمين الذين حاولوا الحصول على معلومات من وحدة تحكم المجال حول حسابات المجال عبر LDAP - بروتوكول الوصول إلى الدليل خفيف الوزن. اكتشف PT NAD طلب LDAP. يمكن تطبيق هذه الطريقة في الحصول على حسابات المجال على كل من تقنية T1087 (اكتشاف الحساب) ، وعلى T1069 (اكتشاف مجموعات الأذونات).



محاولة الاستخبارات للحصول على معلومات حساب المجال عبر LDAP

2. T1482 : اكتشاف ثقة المجال


ابحث عن معلومات ثقة المجال. يستخدم المهاجمون مثل هذه العلاقات للحركة الأفقية في البنى التحتية متعددة المجالات.

ما يفعله PT NAD : يمكن الحصول على قائمة علاقات الثقة بين المجالات باستخدام استعلامات RPC و LDAP. يكتشف PT NAD تلقائيًا محاولات تعداد علاقات الثقة بين المجالات باستخدام بروتوكول LDAP واستدعاء EnumTrustDom RPC.

3. T1046 : مسح خدمة الشبكة


محاولة الحصول على قائمة بالخدمات التي تعمل على عقد الشبكة البعيدة. هذا ممكن بمساعدة أدوات فحص المنفذ المثبتة ونقاط الضعف.

ما يفعله PT NAD : يكتشف علامات أدوات فحص المنفذ ونقاط الضعف (على سبيل المثال ، أدوات Nmap) ، بالإضافة إلى الطلبات غير القياسية إلى المنافذ المعروفة.

4. T1135 : اكتشاف مشاركة الشبكة


ابحث عن محركات أقراص ومجلدات الشبكة المشتركة التي تسمح بالوصول إلى دلائل الملفات على أنظمة الشبكة المختلفة.

ما يفعله PT NAD : يكشف عن طلب للحصول على قائمة بمحركات ومجلدات الشبكة المشتركة على الجهاز البعيد.

5. T1201 : اكتشاف سياسة كلمة المرور


أسلوب يبحث فيه المهاجم عن معلومات حول سياسة كلمة المرور في البنية التحتية للشركة. على سبيل المثال ، يمكن أن تحدد السياسة الحد الأدنى لطول كلمة المرور وعدد محاولات المصادقة الفاشلة المسموح بها. إن معرفة عدد الأحرف سيساعد المهاجمين على إنشاء قائمة بكلمات المرور الشائعة المناسبة ، أو بدء تخمين القاموس باستخدام القاموس ، أو استخدام البحث الشامل (T1110: القوة الغاشمة).

ما يفعله PT NAD : يكتشف طلبات سياسة كلمة المرور تلقائيًا عبر SAMR.

6. T1069 : اكتشاف مجموعات الأذونات


باستخدام هذه التقنية ، يحاول المهاجمون العثور على المجموعات المحلية أو مجموعات المجال وإعدادات الوصول الخاصة بهم. يمكن استخدام هذه المعلومات من قبل المهاجمين عند اختيار هدف للهجوم.

ما يفعله PT NAD : يكتشف تلقائيًا محاولات الحصول على معلومات حول مجموعات المجال عبر LDAP و SAMR. يظهر مثال لتحديد هذه التقنية في لقطة الشاشة أعلاه.

7. T1018 : اكتشاف النظام عن بعد


تقنية يحاول المهاجمون من خلالها الحصول على قائمة بالأنظمة في شبكة مهاجمة باستخدام أنظمة الوصول عن بعد أو أدوات النظام المدمجة. هذا ممكن من خلال عنوان IP أو اسم المضيف أو أي معرف آخر ، والذي يمكن استخدامه لاحقًا للتنقل أفقيًا عبر الشبكة من النظام الحالي.

ما يفعله PT NAD : يرى طلبات قوائم وحدات تحكم المجال ومحطات العمل والخوادم ، SPN (اسم مبدأ الخدمة).

8. T1063 : اكتشاف برمجيات الأمن


تقنية يحاول فيها المهاجمون الحصول على معلومات حول أنظمة الأمان المثبتة وتكوينها وأجهزة الاستشعار الخاصة بها. طريقة واحدة للحصول على هذه القائمة من خلال طلبات DCE / RPC.

ما يفعله PT NAD: يرى طلبات DCE / RPC. يمكن لمستخدم النظام العثور على جميع الجلسات مع هذه الطلبات واكتشاف محاولات تلقي معلومات حول ميزات الأمان عن بُعد.

9. T1033 : اكتشاف مالك / مستخدم النظام


عند تنفيذ هذه التقنية ، يمكن للمهاجمين تحديد المستخدم الرئيسي للنظام ، والمستخدم الحالي الذي قام بتسجيل الدخول ، ومجموعة المستخدمين الذين يستخدمون النظام عادةً ، وتحديد مدى فعالية استخدام النظام.

ما يفعله PT NAD : يمكن لمجرمي الإنترنت الحصول على قائمة بجلسات المستخدم النشط على مضيف بعيد باستخدام الاستعلامات عبر بروتوكول SRVSVC. يكتشف PT NAD هذه الطلبات تلقائيًا.

10. T1007 : اكتشاف خدمة النظام


يبحث المهاجمون عن معلومات حول الخدمات المسجلة.

ما يفعله PT NAD : يمكن للمهاجمين الحصول على هذا النوع من المعلومات باستخدام طلبات شبكة DCE / RPC. يكتشف PT NAD تلقائيًا المكالمات إلى مدير التحكم في الخدمة (SCM) باستخدام بروتوكول DCE / RPC ، بما في ذلك الأوامر للحصول على قائمة بالخدمات على عقدة شبكة الاتصال البعيدة وحالة نشاطهم.

بدلا من الاستنتاج


نذكركم بأن خريطة PT NAD الكاملة لمصفوفة MITER ATT & CK  منشورة على حبري .

في المقالات التالية ، سنتحدث عن أساليب وتقنيات أخرى من المتسللين وكيف يساعد نظام PT Network Attack Discovery NTA في التعرف عليهم. ابقى معنا!



المؤلفون :

  • انطون كوتيبوف ، اختصاصي ، تقنيات إيجابية في مركز PT Expert Security
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles