🤜🏿 😄 👩🏼‍🤝‍👨🏻 كيف تكشف أنظمة تحليل حركة المرور تكتيكات القراصنة بواسطة MITER ATT & CK ، الجزء 5 👐 🕜 🚣🏾

هذا هو المقال النهائية من دورة ( أولا ، ثانيا ، الثالثة و الرابعة أجزاء)، والذي نعتبره تقنيات القراصنة والتكتيكات وفقا ميتري ATT وCK، وتظهر أيضا كيف أنه من الممكن التعرف على نشاط مشبوه في حركة مرور الشبكة. في المقالة الأخيرة ، سننظر في تقنيات القيادة والتحكم ، والتسريح ، والتأثير.

الإدارة والرقابة

يتم استخدام تقنيات القيادة والتحكم (C2 أو C&C) لربط المهاجمين بأنظمة خاضعة للرقابة في شبكة الضحية. عادة ما يحاكي المهاجمون سلوك المرور العادي لتجنب الكشف. يكشف

تحليل حركة المرور باستخدام PT Network Attack Discovery (PT NAD) عن 18 أسلوبًا شائعًا من إجراءات المراقبة والتحكم.

1. T1043 : منفذ شائع الاستخدام

يتواصل المهاجمون مع خادم الأوامر من خلال المنافذ ، والتي يُسمح لها عادةً بإنشاء اتصال صادر. أمثلة على هذه المنافذ هي: TCP: 80 (HTTP) ، TCP: 443 (HTTPS) ، TCP: 25 (SMTP) ، TCP / UDP: 53 (DNS). يساعد هذا على تجاوز الكشف عن جدار الحماية والتظاهر بأنشطة الشبكة القياسية. علاوة على ذلك ، يمكن للمنتهكين استخدام كل من بروتوكول التطبيق المقابل المعين لرقم منفذ معين ، وأي بروتوكول آخر على مستوى التطبيق ، حتى نقل البيانات عبر مآخذ التوصيل الخام.

ماذا تفعل PT NAD؟: يكتشف عدم التطابق تلقائيًا بين بروتوكول تطبيق شائع ومنفذه القياسي ، على سبيل المثال ، عند إرسال طلبات HTTP إلى المنفذ 53. في الحالات الأكثر تعقيدًا ، يمكن لمتخصص أمن المعلومات فحص بطاقات الجلسات المشبوهة في PT NAD ، التي تخزن معلومات حول المنافذ وبروتوكولات اتصال الشبكة. يكشف هذا عن استخدام المنافذ القياسية للاتصال بمركز القيادة.

2. T1090 : وكيل اتصال

يمكن للمهاجمين استخدام خادم وكيل كوسيط لتبادل البيانات مع خادم C & C. لذلك يتجنبون الاتصالات المباشرة ببنيتهم التحتية ويعقدوا اكتشافهم.

ما يفعله PT NAD : بالنسبة للمرور بالوكيل ، يمكن للمهاجمين استخدام شبكات P2P من نظير إلى نظير. تكتشف بروتوكولات P2P الشائعة PT NAD تلقائيًا. يكتشف PT NAD أيضًا الجلسات مع بروتوكولات SOCKS5 و HTTP و SSH في حركة المرور التي من خلالها يقوم المهاجمون غالبًا ببناء قنوات الوكيل لإخراج المعلومات. إذا كانت الاتصالات التي تستخدم مثل هذه البروتوكولات مرتبطة بأحداث مريبة ، فقد تشير إلى حل وسط.

3. T1094 : بروتوكول مخصص للتحكم والأوامر

استخدام بروتوكولات التحكم والمراقبة الخاصة بدلاً من تضمين الأوامر في بروتوكول قياسي على مستوى التطبيق موجود.

ما يفعله PT NAD : يكتشف تلقائيًا الأنواع الشائعة من الأنفاق من خلال بروتوكولات طبقة التطبيقات والشبكة ، مثل أنفاق ICMP و DNS و POP3 و SCTP و WebSocket ، بالإضافة إلى SSH عبر HTTP و SOCKS5 ونشاط نظير إلى نظير.

4. T1024 : بروتوكول تشفير مخصص

أسلوب يستخدم فيه المهاجمون بروتوكول أو خوارزمية تشفير لإخفاء حركة المرور C&C.

ما يفعله PT NAD : يكتشف علامات نشاط البرامج الضارة في حركة المرور المشفرة. يتم تنفيذ ذلك من خلال طريقة تحليل التشفير لقنوات المعلومات الجانبية . يسمح لك هذا النهج باكتشاف حركة المرور الضارة حتى عند استخدام بروتوكولات التشفير المكتوبة ذاتيًا.

5. T1132 : ترميز البيانات

يستخدم المهاجمون خوارزميات تشفير البيانات القياسية عند إرسال المعلومات عبر قناة C&C.

ما يفعله PT NAD : يكتشف البرامج النصية الضارة عندما يتم ترميز نصها كسلسلة تتكون من رموز الأحرف ، ويفك تشفير البيانات المشفرة باستخدام خوارزمية Base64. على سبيل المثال ، يكتشف استجابات وكيل Cobalt Strike المشفرة في Base64.

6. T1001 : تعتيم البيانات

كشف معقد للاتصالات C & C. تتضمن طرق التعتيم على البيانات إضافة بيانات إضافية إلى حركة مرور البروتوكول ، وتطبيق إخفاء المعلومات ، وخلط حركة المرور C&C مع تلك الشرعية ، واستخدام نظام ترميز غير قياسي.

ما يفعله PT NAD : يمكنه الكشف عن حقائق نقل البيانات المشفرة باستخدام خوارزمية Base64 باستخدام أبجدية غير قياسية ، ونقل البرامج النصية المشوشة ، ورموز الصدفة وتعليمات الصدفة.

7. T1483 : خوارزميات توليد المجال

تقنية يستخدم فيها المهاجمون ، بدلاً من سرد عناوين IP أو المجالات الثابتة ، خوارزمية إنشاء المجال التلقائي (DGA) لتوجيه حركة المرور C&C هناك. هذا يعقد عمل المدافعين: قد يكون هناك الآلاف من المجالات التي يمكن للبرامج الضارة الاتصال بها.

ما يفعله PT NAD : باستخدام خوارزمية خاصة ، يكتشف PT NAD أسماء النطاقات التي يتم إنشاؤها تلقائيًا في جلسات الشبكة.

أمثلة على نطاقات DGA المكتشفة باستخدام PT NAD

8. T1008 : القنوات الاحتياطية

يستخدم المهاجمون قناة اتصال احتياطية أو بديلة لزيادة موثوقية الاتصال بخادم C&C ولتجنب تجاوز عتبة كمية البيانات المرسلة. هناك حاجة إلى مثل هذه القنوات عندما تكون قناة C&C الرئيسية معرضة للخطر أو يتعذر الوصول إليها.

ما يفعله PT NAD : يمكن لأخصائي أمن المعلومات اكتشاف استخدام مثل هذه التقنية من خلال تحليل بيانات اتصال البرامج الضارة المخزنة في بطاقات الجلسات في PT NAD. إذا اتصلت البرامج الضارة بعناوين IP مختلفة (خوادم C&C) من عقدة شبكة واحدة ، فقد يشير هذا إلى أن المهاجمين يستخدمون قناة اتصال احتياطية.

9. T1188 : وكيل متعدد القفزات

ينشئ المهاجمون سلاسل من عدة خوادم وكيل لإخفاء مصدر حركة المرور الضارة. مثل هذا التعدد المعقد يعقد تحديد مصدر المصدر ، مما يتطلب من الطرف المدافع مراقبة حركة المرور الخبيثة عبر عدة خوادم بروكسي.

ما يفعله PT NAD : إذا قام المهاجمون ببناء سلسلة من الوكلاء داخل شبكة الضحية ، فيمكن تتبعها في PT NAD من خلال تحليل بيانات الجلسة. يتم عرض الاتصالات بين العقد بشكل مرئي في الرسم البياني لارتباط الشبكة. هذا يساعد على تتبع تسلسل البروكسي.

10. T1104 : قنوات متعددة المراحل

يستخدم المهاجمون قنوات C & C متعددة المراحل ، مما يجعل من الصعب اكتشافها. يدركون ذلك بتقسيم الهجوم إلى مراحل (أو مراحل). تستخدم كل مرحلة خوادم الإدارة الخاصة بها وأدواتها الخاصة (أحصنة طروادة ، RATs). مثل هذا الفصل بين الوظائف إلى مراحل مع خوادم إدارة مختلفة يجعل من الصعب اكتشاف المهاجمين.

ما يفعله PT NAD : يكتشف استخدام قنوات C&C متعددة المراحل PT NAD تلقائيًا بعلامات نشاط البرامج الضارة المقابلة. على سبيل المثال ، يكتشف تشغيل وحدات تجميع MuddyWater. يتم تخزين البيانات التفصيلية لكل قناة C&C محددة في بطاقات الجلسات - هذه البيانات مفيدة أثناء التحقيقات وعمليات البحث الاستباقية عن التهديدات.

11. T1026: multiband communication

يشترك المهاجمون في قناة اتصال بين البروتوكولات المختلفة. على سبيل المثال ، قد يتم إرسال الأوامر باستخدام بروتوكول واحد ، وقد تختلف نتائج تنفيذها. يساعد هذا على التحايل على قيود جدران الحماية وتجنب الإشعارات حول تجاوز قيم العتبة للبيانات المرسلة.

ما يفعله PT NAD : يكتشف تلقائيًا استخدام فصل قناة الاتصال وفقًا لعلامات البرامج الضارة المقابلة. على سبيل المثال ، بهذه الطريقة ، يكتشف نشاط وكلاء Cobalt Strike ، الذين يمكنهم مشاركة قناة الإخراج مع خوادم C&C بين بروتوكولات HTTP و HTTPS و DNS. في نفس الوقت ، يخزن PT NAD البيانات على كل اتصال C&C بمعلومات حول البروتوكول المستخدم ، مما يساعد على اكتشاف استخدام تقنية T1026 أثناء التحقيقات أو البحث عن التهديدات.

12. T1079 : تشفير متعدد الطبقات

استخدام العديد من مستويات التشفير C & C- الاتصالات. مثال نموذجي هو نقل البيانات المشفرة عبر البروتوكولات الآمنة مثل HTTPS أو SMTPS.

ما يفعله PT NAD : على الرغم من عدة طبقات من التشفير ، من خلال تحليل قنوات التشفير الجانبية ، يكتشف PT NAD عددًا من عائلات البرامج الضارة باستخدام القواعد. أمثلة على التهديدات المكتشفة: البرامج الضارة من عائلات RTM و Ursnif (Gozi-ISFB) التي ترسل بيانات مشفرة بالفعل باستخدام بروتوكول HTTPS.

13. T1219 : أدوات الوصول عن بعد

يستخدم المهاجم برنامجًا قانونيًا للوصول إلى الأنظمة التي يتم التحكم فيها عن بُعد. يتم استخدام هذه الأدوات بشكل شائع بواسطة خدمات الدعم الفني ويمكن إضافتها إلى القائمة البيضاء. وبالتالي ، سيتم تنفيذ أفعاله نيابة عن الوصي ومن خلال قناة الاتصال المعتمدة. من بين الأدوات المساعدة الشائعة TeamViewer و VNC و Go2Assist و LogMeIn و Ammyy Admin.

ما يفعله PT NAD: يحدد مثال

للكشف عن PT NAD تشغيل الشبكة لجميع أدوات الوصول عن بعد الشائعة - وبهذه الطريقة يمكنك تحليل جميع جلسات الوصول عن بعد التي تم إنشاؤها باستخدام RAT والتحقق من شرعيتها.

على سبيل المثال ، اكتشف PT NAD نشاط البرامج الضارة الذي يستخدم نظام الوصول عن بعد الخاص بسطح المكتب VNC للاتصال بعنوان IP خارجي. يستخدم VNC مع مهاجمين Ammyy و TeamViewer أكثر من RATs الأخرى.

الكشف عن أدوات الوصول عن بعد

14. T1105 : نسخة ملف بعيد

يقوم المهاجمون بنسخ الملفات من نظام إلى آخر لنشر أدواتهم أو سرقة المعلومات. يمكن نسخ الملفات من نظام خارجي يسيطر عليه مهاجم ، من خلال قناة اتصال مع مركز قيادة ، أو باستخدام أدوات أخرى باستخدام بروتوكولات بديلة ، مثل FTP.

ما يفعله PT NAD : فهو يكتشف عمليات نقل الملفات باستخدام بروتوكولات التطبيق الرئيسية ويمكنه استخلاصها لمزيد من التحليل ، على سبيل المثال ، في وضع الحماية.

15. T1071 : بروتوكول طبقة التطبيق القياسي

يستخدم المهاجمون بروتوكولات التطبيقات الشائعة مثل HTTP و HTTPS و SMTP و DNS. وبالتالي ، يتم مزج نشاطهم مع حركة المرور المشروعة القياسية ، مما يعقد الكشف.

ما يفعله PT NAD : يرى جميع الجلسات باستخدام بروتوكولات التطبيق الشائعة. لكل جلسة ، يتم تخزين بطاقة مفصلة ، وهي متاحة للمستخدمين للتحليل اليدوي.

16. T1032 : بروتوكول تشفير قياسي

استخدام خوارزميات التشفير المعروفة لإخفاء حركة المرور C & C.

ما يفعله PT NAD : باستخدام مؤشرات أو قواعد الاختراق ، يكتشف PT NAD تلقائيًا الاتصالات بخوادم المجرمين الإلكترونيين. إذا كانت الاتصالات بها محمية بواسطة بروتوكول TLS ، فإن أخصائي أمن المعلومات سيرى ذلك في واجهة PT NAD (يحدد النظام بروتوكول TLS) وبالتالي يكتشف استخدام تقنية بروتوكول التشفير القياسية.

17. T1095 : بروتوكول طبقة التطبيق القياسي

يستخدم المهاجمون بروتوكولات ليست على مستوى التطبيق للاتصال بين عقدة الشبكة وخادم C&C أو بين عُقد الشبكة المخترقة.

ما يفعله PT NAD : نظرًا لأن PT NAD يحلل حركة المرور الأولية ، فإنه يكتشف تلقائيًا نشاط عائلات البرامج الضارة الشائعة التي تنقل البيانات من خلال مآخذ التوصيل الخام ، أي عبر بروتوكولات TCP أو UDP دون استخدام بروتوكولات طبقة التطبيق. تم الكشف عن قذائف TCP Metaploit.

18. T1065 : منفذ غير شائع الاستخدام

اتصال C&C من خلال منفذ غير قياسي لتجاوز الخوادم الوكيلة وجدران الحماية التي لم يتم تكوينها بشكل صحيح.

ما يفعله PT NAD : فهو يحدد بروتوكولات التطبيق من خلال محتويات الحزم وليس من خلال أرقام المنافذ ، وبالتالي فإنه يكتشف تلقائيًا استخدام المنافذ غير القياسية للبروتوكولات القياسية.

الترشيح

تجمع تكتيكات التسلل بين التقنيات التي يستخدمها مجرمو الإنترنت لسرقة البيانات من شبكة مخترقة. لتجنب الكشف ، غالبًا ما يتم تجميع البيانات عن طريق دمجها مع الضغط والتشفير. كقاعدة ، يستخدم المهاجمون C&C أو قناة بديلة للتسرب.

يكشف PT NAD عن طريقتين لاستخراج البيانات.

1. T1048 : الاستخراج عبر بروتوكول بديل

يستخدم المهاجمون البروتوكولات لسرقة البيانات بخلاف تلك التي توفر التواصل مع مراكز القيادة. من بين البروتوكولات البديلة: FTP ، SMTP ، HTTP / S ، DNS. يمكن أيضًا استخدام خدمات الويب الخارجية مثل التخزين السحابي للاستخراج.

ما يفعله PT NAD: مثال الكشف \

يستخدم المهاجمون أداة DNSCAT2 للتحكم عن بُعد في عقدة الشبكة ونقل البيانات إلى خادم أوامر باستخدام T1059: واجهة سطر الأوامر و T1048: الاستخراج عبر تقنيات البروتوكول البديلة ، على التوالي.

اكتشف PT NAD نشاط حركة DNSTCAT2. تسمح لك الأداة بنقل حركة مرور الشبكة من خلال بروتوكول DNS إلى خادم C & C. في حركة المرور ، يبدو أن هناك دفقًا كبيرًا من استعلامات واستجابات DNS.

الكشف عن تطبيق تقنية T1048: الاستخراج عبر

استعلامات DNS للبروتوكول البديل مرئية في بطاقة الجلسة. كان هناك طلب للحصول على سجل TXT لنطاق من المستوى الثالث غير قابل للقراءة وطويل جدًا ، جاءت مجموعة أحرف مماثلة غير قابلة للقراءة استجابة. في نفس الوقت ، عمر الحزمة (TTL) قصير. هذه كلها مؤشرات لنفق DNS.

تظهر طلبات DNS لحل أسماء DNS الطويلة وغير القابلة للقراءة في بطاقة الجلسة

2. T1041 : التطهير فوق قناة القيادة والتحكم

يستخدم المهاجمون قناة C&C لسرقة البيانات.

يرى PT NAD 18 تقنية شائعة لتوصيل البرامج الضارة بمركز قيادة المهاجم. تشير علامات استخدام كل من هذه الأساليب على الشبكة إلى وجود قناة C&C على الشبكة يمكن من خلالها إرسال البيانات المسروقة.

تأثير

في الخطوة الأخيرة ، يحاول المهاجمون التحكم في الأنظمة والبيانات ، أو التدخل في عملهم أو تدميرها. للقيام بذلك ، يستخدمون تقنيات تسمح لك بتعطيل توفر أو سلامة الأنظمة من خلال إدارة العمليات التشغيلية والتجارية.

3. T1498 : رفض الخدمة على الشبكة

هجوم رفض الخدمة لتقليل أو منع توافر الموارد المستهدفة للمستخدمين.

ما يفعله PT NAD : يكتشف تضخيم (تضخيم) الهجوم واستخدام مآثر تؤدي إلى رفض الخدمة.

أثناء التضخيم (من اللغة الإنجليزية. التضخيم - التضخيم) ، يرسل المهاجم الطلبات نيابة عن خادم الضحية إلى خادم DNS العام. هدف المهاجمين هو ملء قناة خادم الضحية باستجابات حجمية من خوادم DNS العامة.

4. T1496 : سرقة الموارد

الاستخدام غير المصرح به لموارد النظام لحل المشاكل الكثيفة الموارد. قد يؤثر هذا على توفر النظام أو الخدمة المستضافة.

ماذا تفعل PT NAD؟

: يرى نشاط بروتوكولات التعدين والتورنت في الشبكة ، مما يشير إلى حمل إضافي غير مناسب على الشبكة والمعدات.

5. T1489 : توقف الخدمة

يمكن للمهاجمين إيقاف أو تعطيل الخدمات في النظام لجعلها غير متاحة للمستخدمين الشرعيين.

ما يفعله PT NAD هو مثال للكشف : أوقف مجرمو الإنترنت خدمة خادم ويب IIS لمنع الوصول إلى بوابة خدمة العملاء. اكتشف PT NAD مكالمة إلى إدارة التحكم بالخدمة (SCM) لإيقاف الخدمة. هذا ممكن بفضل فحص حركة مرور SMB.

الكشف عن هجوم أرسل فيه المهاجمون طلبًا لقطع اتصال خدمات خادم الويب.

يكتشف PT NAD تلقائيًا المكالمات إلى SCM لإنشاء الخدمات وتعديلها وبدءها وإيقافها.

نذكركم بأن خريطة PT NAD الكاملة لمصفوفة MITER ATT & CK منشورة على حبري .

بدلاً من الاستنتاج: لماذا نحتاج أيضًا إلى نظام NTA

تعد حركة المرور مصدر بيانات مفيدًا لاكتشاف الهجمات. في ذلك ، يمكنك أن ترى علامات جميع التكتيكات الـ 12 التي تستخدم مجموعات APT. من خلال تحليل حركة المرور باستخدام أنظمة NTA ، تقلل الشركات من فرص المهاجمين في تطوير هجوم بنجاح وتهديد الشبكة تمامًا. هناك سيناريوهات أخرى لاستخدام أنظمة فئة NTA.

مراقبة توافق الشبكة

يعتمد نجاح الهجوم السيبراني على الشركة على مستوى الأمن للبنية التحتية للشركة. أظهر تحليل حركة الشركات الروسية الكبيرة أنه في 94٪ من الحالات ، لا يلتزم الموظفون بسياسات أمن المعلومات . تمنع السياسات الأمنية للعديد من المؤسسات الموظفين من زيارة الموارد المشكوك فيها أو تنزيل السيول أو تثبيت برامج المراسلة الفورية أو استخدام أدوات مساعدة متنوعة للوصول عن بُعد.

عند تحليل بروتوكولات الشبكة ، يرى نظام NTA إرسال كلمات المرور بشكل واضح ، ورسائل البريد غير المشفرة ، واستخدام البرامج للوصول عن بعد. يساعد هذا في التحكم في تنفيذ سياسات كلمات المرور ، واستخدام RAT وبروتوكولات نقل البيانات غير الآمنة.

لمعرفة ما هي انتهاكات لوائح أمن المعلومات الأكثر شيوعًا ، حيث يتم اكتشافها بواسطة PT NAD وإصلاح هذه المشكلة ، تحقق من الندوة على الويب أو اقرأ مقالة مركز الأمان الخبير PT Expert Security Center .

التحقيق في الهجوم

تساعد أنظمة NTA التي تخزن البيانات الوصفية للجلسات وحركة المرور الأولية في التحقيق في الحوادث: تحديد موقع التهديد ، واستعادة سجل الهجمات ، وتحديد نقاط الضعف في البنية التحتية ، ووضع تدابير تعويضية.

شاهد مثالاً على تحقيق في هجوم على شركة أم لشركة كبيرة.

الصيد

يمكن أيضًا استخدام أدوات NTA لصيد التهديدات. البحث عن التهديدات - عملية البحث عن التهديدات التي لم تكتشفها أدوات الأمان التقليدية. يطرح الأخصائي فرضية ، على سبيل المثال ، حول وجود مجموعة قراصنة على الشبكة ، حول وجود متسلل داخلي أو تسرب للبيانات ، والتحقق منها. تتيح لك هذه الطريقة تحديد الاختراق والثغرات الأمنية في البنية التحتية ، حتى عندما لا تعطي أنظمة الأمان أي إشارات.

شاهد ندوة عبر الإنترنت مع ثلاث دراسات حالة بحث عن التهديدات باستخدام PT NAD.

كيف يهاجمون شركتك؟ في الشبكة ، 97٪ من الشركات لديها نشاط مروري مريب . تحقق مما يحدث على شبكتك - املأ طلبًا للحصول على "تجريبي" مجاني لنظام تحليل حركة المرور PT NAD .

المؤلفون : 

, (PT Expert Security Center) Positive Technologies
, Positive Technologies

كيف تكشف أنظمة تحليل حركة المرور تكتيكات القراصنة بواسطة MITER ATT & CK ، الجزء 5