Get best of the week

كيف تكشف أنظمة تحليل حركة المرور تكتيكات القراصنة بواسطة MITER ATT & CK ، الجزء 4



في المشاركات السابقة ( الأولى ، الثانية و الثالثة أجزاء)، درسنا تقنيات وتكتيكات سبعة من ميتري ATT وCK:

  • الوصول الأولي
  • تنفيذ
  • التوحيد (المثابرة) ؛
  • التصعيد امتياز
  • منع الكشف (التهرب من الدفاع) ؛
  • الحصول على بيانات الاعتماد ؛
  • الذكاء (الاكتشاف).

لقد أظهرنا أيضًا أنه بمساعدة حل NTA الخاص بنا  ،  من الممكن التعرف على النشاط المريب في حركة مرور الشبكة. سنوضح لك الآن كيف تعمل تقنياتنا مع تقنيات الحركة الجانبية والتجميع.

الحركة داخل المحيط (الحركة الجانبية)


يستخدم المهاجمون تقنيات حركة المحيط للوصول إلى الأنظمة البعيدة والتحكم فيها على الشبكة ، ولتثبيت البرامج الضارة ، ولتوسيع تواجدها تدريجيًا في البنية التحتية. الهدف الرئيسي للمهاجمين هو تحديد المسؤولين على الشبكة ، وأجهزة الكمبيوتر الخاصة بهم ، والأصول والبيانات الرئيسية من أجل السيطرة الكاملة في نهاية المطاف على البنية التحتية. 
فيما يلي وصف لتقنيات حركة المحيط التي يمكن اكتشافها من خلال تحليل حركة المرور. هناك تسعة منهم.

1. T1175 : نموذج كائن المكون و COM الموزع


استخدام تقنيات COM أو DCOM لتنفيذ التعليمات البرمجية على الأنظمة المحلية أو البعيدة عند الانتقال عبر شبكة.

ماذا يفعل PT Network Attack Discovery (PT NAD) : عند استخدام هذه التقنية للوصول إلى الأنظمة البعيدة ، يمكن اكتشافها من خلال تحليل حركة المرور. يكتشف PT NAD مكالمات DCOM المشبوهة التي يستخدمها مجرمو الإنترنت عادةً للتقدم عبر الشبكة.

2. T1210 : استغلال الخدمات عن بعد


استغلال نقاط الضعف في خدمات الشبكة للتنقل عبر الشبكة.

ما يفعله PT NAD : يكتشف استغلال نقاط الضعف الشائعة. من بينها نقاط الضعف في بروتوكولات SMB (MS17-010) وبروتوكول نظام الطباعة عن بعد (MS-RPRN) ، في Redis DBMS ، في نظام تكوين جهاز شبكة rConfig.

3. T1075 : تمرير التجزئة


طريقة لمصادقة مستخدم دون الوصول إلى كلمة المرور الخاصة به في مسح. يتجاوز المهاجمون خطوات المصادقة القياسية التي تتطلب كلمة مرور وتنتقل مباشرةً إلى ذلك الجزء من المصادقة الذي يستخدم تجزئة كلمة المرور. سيحصل المهاجمون على تجزئات مقدمًا باستخدام تقنيات الحصول على بيانات الاعتماد.

ما يفعله PT NAD : يكتشف العديد من علامات نشاط الشبكة لأداة القراصنة Mimikatz ، التي يستخدمها المهاجمون لمهاجمة تجاوز التجزئة (تطوير تمريرة هجوم التجزئة).

4. T1097 : اجتياز التذكرة


طريقة المصادقة على نظام يستخدم تذاكر Kerberos دون الوصول إلى كلمة مرور الحساب. يمكن استخدامه من قبل المهاجمين كخطوة أولى في التحرك حول المحيط إلى نظام بعيد.

ما يفعله PT NAD : يكتشف المرحلة التحضيرية لتمرير تقنية التذاكر ، ويكشف عن نقل الملفات مع تذاكر Kerberos المصدرة عبر الشبكة.

5. T1076 : بروتوكول سطح المكتب البعيد


التقنية التي يقوم المهاجمون من خلالها بتسجيل الدخول إلى نظام بعيد باستخدام بروتوكول سطح المكتب البعيد RDP إذا كان مسموحًا باستخدامه على شبكة ويسمح للمستخدمين بالاتصال بأجهزة الكمبيوتر الخاصة بهم باستخدام بيانات الاعتماد الخاصة بهم.

ما يفعله PT NAD : في البرنامج ، يمكنك تصفية جميع الجلسات المحفوظة حسب البروتوكولات (على سبيل المثال ، RDP) وتحليل كل جلسة مشبوهة. الوظيفة مفيدة في التحقيق والبحث عن التهديدات بشكل استباقي (مطاردة التهديدات).

6. T1021 : الخدمات عن بعد


استخدم حسابات صالحة لتسجيل الدخول إلى خدمة مصممة لقبول الاتصالات عن بعد ، مثل Telnet أو SSH أو VNC. بعد ذلك ، سيتمكن المهاجمون من تنفيذ الإجراءات نيابة عن المستخدم الذي قام بتسجيل الدخول.

ما يفعله PT NAD : يكتشف تلقائيًا اتصالات VNC ونشاط حصان طروادة EvilVNC. يقوم حصان طروادة هذا بتثبيت خادم VNC سرًا على مضيف الضحية ويقوم ببدء تشغيله تلقائيًا. للتحقق من شرعية الاتصالات عن بعد باستخدام بروتوكولات SSH و TELNET ، يمكن لمستخدمي PT NAD تصفية جميع الجلسات مع هذه الاتصالات وتحليل كل جلسة مشبوهة.

7. T1072 : برمجيات الطرف الثالث


التقنية التي يتمكن المهاجمون من خلالها من الوصول إلى برامج إدارة الشبكة (برامج الطرف الثالث وأنظمة نشر البرامج) واستخدامها لإطلاق التعليمات البرمجية الضارة. أمثلة على برامج الجهات الخارجية: SCCM و VNC و HBSS و Altiris. في حالة الوصول إلى هذه الأنظمة ، يمكن للخصم تشغيل التعليمات البرمجية عن بُعد على جميع العقد المتصلة بنشر البرنامج أو مراقبته أو نظام الإدارة.

ما يفعله PT NAD : يكتشف تلقائيًا تشغيل مثل هذه البرامج على الشبكة. على سبيل المثال ، تعمل القواعد على حقائق الاتصال عبر بروتوكول VNC ونشاط EvilVNC trojan ، الذي يقوم بتثبيت خادم VNC سرًا على مضيف الضحية ويبدأ هذا الخادم تلقائيًا.

8. T1077 : مشاركات مسؤول Windows


استخدام مجلدات الشبكة المخفية التي لا يمكن الوصول إليها إلا من قبل المسؤولين ، على سبيل المثال C $ و ADMIN $ و IPC $. أنها توفر القدرة على نسخ الملفات والوظائف الإدارية الأخرى عن بعد.

ما يفعله PT NAD:

كشف مثال عن اكتشاف PT NAD عن تنفيذ الأوامر عن بعد من خلال إدارة التحكم بالخدمة (SCM). هذا ممكن فقط مع الوصول إلى المشاركات الإدارية Windows Admin Shares.



الكشف عن تطبيق تقنية T1077: مشاركات مسؤول Windows

إذا فتحت جلسة ، يمكنك أن ترى أن القاعدة لأداة Impacket عملت فيها. يستخدم الوصول إلى الشبكة إلى C $ للحصول على نتائج تنفيذ الأمر.



تُظهر بطاقة الجلسة الملفات التي تم تنزيلها من مجلد شبكة المسؤول

9. T1028 : إدارة Windows عن بعد


استخدام خدمة وبروتوكول Windows ، مما يسمح للمستخدم بالتفاعل مع الأنظمة البعيدة.

ما يفعله PT NAD : يرى اتصالات الشبكة التي تم إنشاؤها باستخدام إدارة Windows عن بعد. يتم الكشف عن هذه الجلسات تلقائيا من خلال القواعد.

جمع البيانات


يستخدم المهاجمون أساليب التجميع لجمع المعلومات التي يخططون لسرقتها بعد ذلك باستخدام تقنيات استخراج البيانات. تتضمن مصادر البيانات النموذجية أنواعًا مختلفة من محركات الأقراص والمتصفحات والصوت والفيديو والبريد الإلكتروني.

قد يشير تحليل حركة المرور إلى استخدام طريقتين لجمع البيانات في الشبكة.

1. T1039 : البيانات من محرك أقراص الشبكة المشترك


جمع البيانات من الأنظمة البعيدة التي تحتوي على محركات أقراص شبكة عامة.

ما يفعله PT NAD: مثال على الكشف عن

نقل الملفات من محركات أقراص الشبكة مرئيًا من خلال حركة المرور ، ويمكن دراسة جلسات نقل الملفات بالتفصيل في PT NAD.

دعونا نتحقق من الفرضية القائلة بأن المهاجمين استخدموا تقنية T1039 وكانوا قادرين على الوصول إلى خادم الملفات التابع للإدارة المالية للشركة. للقيام بذلك ، نقوم بتصفية جميع الجلسات بناءً على النشاط من عنوان IP الخاص بتخزين الملفات ونجد فيما بينها الاتصالات التي تم تنزيل الملفات فيها. بعد إدخال بطاقة إحدى هذه الجلسات ، نرى أنه تم تنزيل ملف TopSecretReport_2020.



بعد تنزيل الملف والنظر إليه ، نتفهم المعلومات المحددة التي تمكن المهاجمون من الحصول عليها.

2. T1185 : رجل في المتصفح


أسلوب يستغل فيه المهاجم ضعف متصفح الضحية ويغير محتوى الويب ويعترض المعلومات. أحد الأمثلة: يقوم أحد المهاجمين بحقن البرامج في المتصفح مما يسمح لك باعتراض ملفات تعريف الارتباط وجلسات HTTP وشهادات SSL الخاصة بالعميل واستخدام المتصفح للمصادقة والانتقال إلى الإنترانت.

ما يفعله PT NAD : يكتشف تلقائيًا رجلاً في هجوم المتصفح بناءً على إدخال النصوص البرمجية الضارة في صفحات الويب القابلة للتنزيل. يكتشف PT NAD مثل هذه الهجمات بطريقتين: من خلال الشهادات المخترقة التي تم استخدامها سابقًا في مثل هذه الهجمات ، ومن خلال نشاط الشبكة المميز للبرامج الضارة التي تهدف إلى حقن التعليمات البرمجية في المتصفح (على سبيل المثال ، زيوس).

بدلا من الاستنتاج


نذكركم بأن خريطة PT NAD الكاملة لمصفوفة MITER ATT & CK منشورة على حبري .

في المقالات التالية ، سنتحدث عن أساليب وتقنيات أخرى من المتسللين وكيف يساعد نظام PT Network Attack Discovery NTA في التعرف عليهم. ابقى معنا!

المؤلفون :

  • انطون كوتيبوف ، اختصاصي ، تقنيات إيجابية في مركز PT Expert Security
  • ناتاليا كازانكوفا ، تقنيات تسويق المنتجات الإيجابية

More articles:


All Articles