Get best of the week

Wie Verkehrsanalysesysteme MITRE ATT & CK-Hacker-Taktiken mithilfe der PT Network Attack Discovery erkennen



Laut Verizon ereignen sich die meisten (87%) Informationssicherheitsvorfälle innerhalb von Minuten, und 68% der Unternehmen benötigen Monate, um sie zu erkennen. Dies wird durch die Studie des Ponemon Institute bestätigt , wonach die meisten Organisationen durchschnittlich 206 Tage benötigen , um einen Vorfall zu erkennen. Nach den Erfahrungen unserer Untersuchungen können Hacker die Infrastruktur des Unternehmens jahrelang kontrollieren und werden nicht entdeckt. In einer der Organisationen, in denen unsere Experten den IS-Vorfall untersuchten, stellte sich heraus, dass Hacker die gesamte Infrastruktur der Organisation vollständig kontrollierten und acht Jahre lang regelmäßig wichtige Informationen stahlen .

Angenommen, Sie haben bereits SIEM ausgeführt, das Protokolle sammelt und Ereignisse analysiert, und auf den Endknoten sind Virenschutzprogramme installiert. Dennoch,Mit SIEM kann nicht alles erkannt werden , so wie es unmöglich ist, EDR-Systeme im gesamten Netzwerk zu implementieren, sodass tote Winkel nicht vermieden werden können. NTA-Systeme (Network Traffic Analysis) helfen bei der Bewältigung dieser Probleme. Diese Entscheidungen zeigen die Aktivität von Angreifern in den frühesten Stadien des Eindringens in das Netzwerk sowie bei Versuchen, Fuß zu fassen und einen Angriff innerhalb des Netzwerks zu entwickeln.

Es gibt zwei Arten von NTAs: Einige arbeiten mit NetFlow, die zweite analysiert den Rohdatenverkehr. Der Vorteil der zweiten Systeme besteht darin, dass sie rohe Verkehrsaufzeichnungen speichern können. Auf diese Weise kann der Informationssicherheitsspezialist den Erfolg des Angriffs überprüfen, die Bedrohung lokalisieren, verstehen, wie der Angriff stattgefunden hat und wie ein ähnlicher Angriff in Zukunft verhindert werden kann.

Wir werden zeigen, wie es mit Hilfe von NTA durch direkte oder indirekte Zeichen möglich ist, alle bekannten Angriffstaktiken zu identifizieren, die in der MITRE ATT & CK- Wissensdatenbank beschrieben sind . Wir werden über jede der 12 Taktiken sprechen, die Techniken analysieren, die vom Verkehr erkannt werden, und ihre Erkennung mithilfe unseres NTA-Systems demonstrieren.

Informationen zur ATT & CK Knowledge Base


MITRE ATT & CK ist eine öffentliche Wissensbasis, die von der MITRE Corporation auf der Grundlage der Analyse realer APTs entwickelt und gepflegt wird. Es ist eine strukturierte Reihe von Taktiken und Techniken, die von Angreifern verwendet werden. Auf diese Weise können Fachleute für Informationssicherheit aus aller Welt dieselbe Sprache sprechen. Die Basis wird ständig erweitert und mit neuem Wissen aktualisiert.

In der Datenbank werden 12 Taktiken unterschieden, die durch die Phasen eines Cyberangriffs unterteilt sind:

  • Erstzugriff
  • Ausführung
  • Konsolidierung (Persistenz);
  • Eskalation von Privilegien
  • Erkennungsprävention (Abwehrhinterziehung);
  • Zugang zu Anmeldeinformationen erhalten;
  • Intelligenz (Entdeckung);
  • Bewegung innerhalb des Umfangs (seitliche Bewegung);
  • Datenerfassung (Sammlung);
  • Management und Kontrolle (Befehl und Kontrolle);
  • Exfiltration;
  • Einschlag

Für jede Taktik enthält die ATT & CK-Wissensdatenbank eine Liste von Techniken, mit denen Angreifer ihre Ziele in der aktuellen Phase des Angriffs erreichen können. Da dieselbe Technik in verschiedenen Phasen angewendet werden kann, kann sie sich auf mehrere Taktiken beziehen.

Die Beschreibung jeder Technik beinhaltet:

  • Kennung;
  • Liste der Taktiken, in denen es angewendet wird;
  • Anwendungsbeispiele für APT-Gruppen;
  • Maßnahmen zur Verringerung des Schadens durch seine Verwendung;
  • Erkennungsempfehlungen.

Informationssicherheitsspezialisten können das Wissen aus der Datenbank nutzen, um Informationen über aktuelle Angriffsmethoden zu strukturieren und vor diesem Hintergrund ein effektives Sicherheitssystem aufzubauen. Das Verständnis der Funktionsweise realer APT-Gruppen kann eine Quelle für Hypothesen für eine proaktive Suche nach Bedrohungen im Rahmen der Bedrohungssuche sein .

Informationen zur PT Network Attack Discovery


Wir werden die Verwendung von Techniken aus der ATT & CK-Matrix mithilfe des PT Network Attack Discovery- Systems - Positive Technologies NTA-Systems zur Erkennung von Angriffen auf den Perimeter und innerhalb des Netzwerks identifizieren. PT NAD deckt in unterschiedlichem Maße alle 12 Taktiken der MITRE ATT & CK-Matrix ab. Er ist am leistungsfähigsten bei der Identifizierung von Techniken für den Erstzugriff, die seitliche Bewegung sowie für Befehl und Kontrolle. In ihnen deckt PT NAD mehr als die Hälfte der bekannten Techniken ab und zeigt ihre Verwendung durch direkte oder indirekte Zeichen.

Das System erkennt Angriffe mithilfe von ATT- und CK-Techniken anhand der vom PT Expert Security Center- Team erstellten Erkennungsregeln(PT ESC), maschinelles Lernen, Kompromissindikatoren, eingehende Analyse und retrospektive Analyse. Mithilfe der Echtzeit-Verkehrsanalyse in Kombination mit einer Retrospektive können Sie aktuelle versteckte böswillige Aktivitäten identifizieren und die Entwicklungsvektoren und den Angriffsverlauf verfolgen.

Hier ist die vollständige Zuordnung von PT NAD zur MITRE ATT & CK-Matrix. Das Bild ist groß, daher empfehlen wir Ihnen, es in einem separaten Fenster zu betrachten.

Erstzugriff



Die Taktik für den erstmaligen Zugriff umfasst Techniken zur Durchdringung des Unternehmensnetzwerks. Das Ziel von Angreifern in dieser Phase ist es, schädlichen Code an das angegriffene System zu liefern und die Möglichkeit seiner weiteren Ausführung sicherzustellen.

Die Verkehrsanalyse mit PT NAD zeigt sieben Techniken für den Erstzugriff:

1. T1189 : Drive-by-Kompromiss


Eine Technik, bei der ein Opfer eine Website öffnet, die von Cyberkriminellen verwendet wird, um einen Webbrowser zu bedienen und Zugriffstoken für eine Anwendung zu erhalten.

Was PT NAD tut : Wenn der Webverkehr nicht verschlüsselt ist, überprüft PT NAD den Inhalt der Antworten des HTTP-Servers. In diesen Antworten gibt es Exploits, mit denen Angreifer beliebigen Code im Browser ausführen können. PT NAD erkennt solche Exploits automatisch anhand von Erkennungsregeln.

Darüber hinaus erkennt PT NAD im vorherigen Schritt eine Bedrohung. Die Regeln und Indikatoren für Kompromisse werden ausgelöst, wenn ein Benutzer eine Site besucht, die ihn zu einer Site mit einer Reihe von Exploits weiterleitet.

2. T1190 : Öffentliche Anwendung ausnutzen


Ausnutzen von Schwachstellen in Diensten, auf die über das Internet zugegriffen werden kann.

Was PT NAD tut : Führt eine gründliche Überprüfung des Inhalts von Netzwerkpaketen durch und zeigt Anzeichen abnormaler Aktivität darin auf. Insbesondere gibt es Regeln, mit denen Sie Angriffe auf das Haupt-Content-Management-System (CMS), Webschnittstellen von Netzwerkgeräten, Angriffe auf E-Mail- und FTP-Server erkennen können.

3. T1133 : Externe Remote-Dienste


Die Verwendung von RAS-Diensten durch Angreifer, um von außen eine Verbindung zu internen Netzwerkressourcen herzustellen.

Was PT NAD tut : Da das System Protokolle nicht anhand der Portnummern, sondern anhand des Inhalts von Paketen erkennt, können Benutzer des Systems den Datenverkehr filtern, sodass sie alle Sitzungen von RAS-Protokollen finden und ihre Legitimität überprüfen können.

4. T1193 : Spearphishing-Aufsatz


Wir sprechen über die berüchtigten Phishing-Anhänge.

Was PT NAD tut : Extrahiert automatisch Dateien aus dem Datenverkehr und vergleicht sie mit Kompromissindikatoren. Ausführbare Dateien in Anhängen werden durch Regeln erkannt, die den Inhalt des E-Mail-Verkehrs analysieren. In einem Unternehmensumfeld wird eine solche Investition als abnormal angesehen.

5. T1192 : Spearphishing-Link


Verwenden von Phishing-Links. Bei dieser Technik werden Phishing-E-Mails von einem böswilligen Benutzer mit einem Link gesendet, über den beim Klicken ein Schadprogramm heruntergeladen wird. In der Regel wird der Link von einem Text begleitet, der gemäß allen Regeln des Social Engineering erstellt wurde.

Was PT NAD tut : Erkennt Phishing-Links mithilfe von Kompromissindikatoren. In der PT NAD-Schnittstelle sehen wir beispielsweise eine Sitzung, in der eine HTTP-Verbindung über einen in der Liste der Phishing-URLs aufgeführten Link bestand.



Verlinkung aus der Liste der Indikatoren für Kompromiss-Phishing-URLs

6. T1199 : Vertrauenswürdige Beziehung


Zugriff auf das Netzwerk des Opfers über Dritte, mit denen das Opfer eine vertrauenswürdige Beziehung hat. Angreifer können sich in eine vertrauenswürdige Organisation hacken und über diese eine Verbindung zum Zielnetzwerk herstellen. Dazu verwenden sie VPN-Verbindungen oder Domänenvertrauensstellungen, die mithilfe der Verkehrsanalyse erkannt werden können.

Was PT NAD tut : Es analysiert die Anwendungsprotokolle und speichert die analysierten Felder in der Datenbank, sodass der IB-Analyst die Filter verwenden kann, um alle verdächtigen VPN-Verbindungen oder domänenübergreifenden Verbindungen in der Datenbank zu finden.

7. T1078 : gültige Konten


Verwendung von Standard-, lokalen oder Domänenanmeldeinformationen für die Autorisierung externer und interner Dienste.

Was PT NAD tut : Extrahiert automatisch Anmeldeinformationen aus HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Im Allgemeinen ist dies ein Benutzername, ein Kennwort und ein Zeichen für den Erfolg der Authentifizierung. Wenn sie verwendet wurden, werden sie auf der entsprechenden Sitzungskarte angezeigt.

Ausführung


Zu den Ausführungstaktiken gehören Techniken, mit denen Cyberkriminelle Code auf kompromittierten Systemen ausführen. Durch das Ausführen von Schadcode können Angreifer ihre Präsenz festigen (Persistenztaktiken) und den Zugriff auf Remote-Systeme im Netzwerk erweitern, indem sie sich innerhalb des Perimeters bewegen.

PT NAD kann die Verwendung von 14 Techniken zur Ausführung von Schadcode durch Angreifer erkennen.

1. T1191 : CMSTP (Microsoft Connection Manager-Profilinstallationsprogramm)


Eine Taktik, bei der Angreifer eine spezielle INF-Datei für die böswillige Installation für das in Windows integrierte Dienstprogramm CMSTP.exe (das Verbindungsinstallationsprogramm für Verbindungsmanager) vorbereiten. CMSTP.exe verwendet die Datei als Parameter und legt das Dienstprofil für eine Remoteverbindung fest. Daher kann CMSTP.exe verwendet werden, um dynamisch verbundene Bibliotheken (* .dll) oder Scriptlets (* .sct) von Remoteservern herunterzuladen und auszuführen.

Was PT NAD tut : Es erkennt automatisch die Übertragung spezieller INF-Dateien im HTTP-Verkehr. Darüber hinaus erkennt es die Übertragung von schädlichen Scriptlets und dynamisch verbundenen Bibliotheken über das HTTP-Protokoll von einem Remote-Server.

2. T1059 : Befehlszeilenschnittstelle


Interaktion mit der Befehlszeilenschnittstelle. Sie können lokal oder remote mit der Befehlszeilenschnittstelle interagieren, z. B. mithilfe von RAS-Dienstprogrammen.

Was PT NAD tut : Es erkennt automatisch das Vorhandensein von Shells, indem es auf Befehle reagiert, um verschiedene Befehlszeilen-Dienstprogramme wie Ping und ifconfig zu starten.

3. T1175 : Komponentenobjektmodell und verteiltes COM


Verwenden von COM- oder DCOM-Technologien zum Ausführen von Code auf lokalen oder Remote-Systemen beim Bewegen durch ein Netzwerk.

Was PT NAD tut : Erkennt verdächtige DCOM-Aufrufe, mit denen Angreifer normalerweise Programme ausführen.

4. T1203 : Ausnutzung für die Clientausführung


Ausnutzen von Sicherheitslücken, um beliebigen Code auf einer Workstation auszuführen. Die nützlichsten Exploits für Angreifer sind solche, mit denen Code auf einem Remote-System ausgeführt werden kann, da Angreifer mit ihrer Hilfe Zugriff auf ein solches System erhalten können. Die Technik kann mit den folgenden Methoden implementiert werden: böswillige Mailingliste, Website mit Browser-Exploits und Remote-Ausnutzung von Anwendungsschwachstellen.

Was PT NAD tut : Während der Analyse des E-Mail-Verkehrs überprüft PT NAD ihn auf ausführbare Dateien im Anhang. Extrahiert automatisch Office-Dokumente aus Briefen, in denen möglicherweise Exploits enthalten sind. Versuche, Schwachstellen auszunutzen, sind im Datenverkehr sichtbar, den PT NAD automatisch erkennt.

5. T1170 : mshta


Verwenden des Dienstprogramms mshta.exe, mit dem Microsoft HTML-Anwendungen (HTA) mit der Erweiterung .hta ausgeführt werden. Da mshta Dateien verarbeitet, die die Sicherheitseinstellungen des Browsers umgehen, können Angreifer mit mshta.exe schädliche HTA-, JavaScript- oder VBScript-Dateien ausführen.

Was PT NAD tut : .hta-Dateien zur Ausführung über mshta werden auch über das Netzwerk übertragen - dies ist im Verkehr sichtbar. PT NAD erkennt die Übertragung solcher schädlichen Dateien automatisch. Es erfasst Dateien und Informationen dazu können auf der Sitzungskarte angezeigt werden.

6. T1086 : PowerShell


Verwenden von PowerShell zum Suchen nach Informationen und Ausführen von Schadcode.

Was PT NAD tut : Wenn PowerShell von Angreifern remote verwendet wird, erkennt PT NAD dies anhand von Regeln. Es erkennt PowerShell-Schlüsselwörter, die am häufigsten in böswilligen Skripten verwendet werden, und überträgt PowerShell-Skripts mithilfe des SMB-Protokolls.

7. T1053 : Geplante Aufgabe
Verwenden Sie den Windows- Aufgabenplaner und andere Dienstprogramme, um Programme oder Skripts zu einem bestimmten Zeitpunkt automatisch auszuführen.

Was macht PT NAD?: Angreifer erstellen solche Aufgaben normalerweise remote, was bedeutet, dass solche Sitzungen im Datenverkehr sichtbar sind. PT NAD erkennt verdächtige Aufgabenerstellungs- und Änderungsvorgänge automatisch über die RPC-Schnittstellen ATSVC und ITaskSchedulerService.

8. T1064 : Skripterstellung


Ausführen von Skripten zur Automatisierung verschiedener Angriffsaktionen.

Was PT NAD tut : Es enthüllt die Fakten der Skriptübertragung über das Netzwerk, dh noch bevor sie gestartet werden. Es erkennt den Inhalt von Skripten im Rohdatenverkehr und die Übertragung von Dateien über das Netzwerk mit Erweiterungen, die gängigen Skriptsprachen entsprechen.

9. T1035 : Dienstausführung


Führen Sie eine ausführbare Datei, Anweisungen für die Befehlszeilenschnittstelle oder ein Skript aus, indem Sie mit Windows-Diensten wie einem Service Control Manager (SCM) interagieren.

Was PT NAD tut : Überprüft den SMB-Verkehr und erkennt den SCM-Zugriff auf die Regeln zum Erstellen, Ändern und Starten eines Dienstes.

Die Technik zum Starten von Diensten kann mithilfe des Dienstprogramms zur Remote-Ausführung von PSExec-Befehlen implementiert werden. PT NAD analysiert das SMB-Protokoll und erkennt die Verwendung von PSExec, wenn die Datei PSEXESVC.exe oder der Standardname des PSEXECSVC-Dienstes zum Ausführen von Code auf einem Remotecomputer verwendet werden. Der Benutzer muss die Liste der ausgeführten Befehle und die Legitimität der Remote-Ausführung von Befehlen vom Knoten überprüfen.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


Eine Technik, mit der Angreifer Zugriff auf Remoteverwaltungssoftware oder ein Bereitstellungssystem für Unternehmenssoftware erhalten und diese zum Starten von Schadcode verwenden. Beispiele für solche Software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Übrigens ist die Technik besonders relevant im Zusammenhang mit dem massiven Übergang zur Fernarbeit und damit der Verbindung zahlreicher unsicherer Heimgeräte über fragwürdige Fernzugriffskanäle.

Was PT NAD tut: Erkennt automatisch den Betrieb solcher Software im Netzwerk. Die Regeln werden beispielsweise durch die Fakten der VNC-Verbindung und die Aktivität des EvilVNC-Trojaners ausgelöst, der den VNC-Server heimlich auf dem Host des Opfers installiert und automatisch startet. PT NAD erkennt auch automatisch das TeamViewer-Protokoll. Dies hilft dem Analysten, mithilfe des Filters alle derartigen Sitzungen zu finden und ihre Legitimität zu überprüfen.

11. T1204 : Benutzerausführung


Eine Technik, bei der ein Benutzer Dateien ausführt, die zur Codeausführung führen können. Dies kann beispielsweise der Fall sein, wenn er eine ausführbare Datei öffnet oder ein Office-Dokument mit einem Makro ausführt.

Was PT NAD tut : sieht solche Dateien in der Übertragungsphase, bevor sie gestartet werden. Informationen über sie können in den Kartensitzungen studiert werden, in denen sie übertragen wurden.

12. T1047 : Windows-Verwaltungsinstrumentierung


Verwenden des WMI-Tools, das lokalen und Remotezugriff auf Windows-Systemkomponenten ermöglicht. Mithilfe von WMI können Angreifer mit lokalen und Remote-Systemen interagieren und viele Aufgaben ausführen, z. B. Informationen zu Aufklärungszwecken sammeln und Prozesse während der horizontalen Bewegung aus der Ferne starten.

Was PT NAD tut : Da Interaktionen mit Remote-Systemen über WMI im Datenverkehr sichtbar sind, erkennt PT NAD automatisch Netzwerkanforderungen zum Einrichten von WMI-Sitzungen und überprüft den Datenverkehr auf die Übertragung von Skripten, die WMI verwenden.

13. T1028 : Windows- Remoteverwaltung


Verwenden des Windows-Dienstes und -Protokolls, mit dem der Benutzer mit Remote-Systemen interagieren kann.

Was PT NAD tut : sieht Netzwerkverbindungen, die mit Windows Remote Management hergestellt wurden. Solche Sitzungen werden von den Regeln automatisch erkannt.

14. T1220 : XSL- Skriptverarbeitung (Extensible Stylesheet Language)


Die XSL-Auszeichnungssprache wird verwendet, um die Verarbeitung und Visualisierung von Daten in XML-Dateien zu beschreiben. Zur Unterstützung komplexer Vorgänge unterstützt der XSL-Standard eingebettete Skripts in mehreren Sprachen. Diese Sprachen ermöglichen die Ausführung von beliebigem Code, was dazu führt, dass Sicherheitsrichtlinien basierend auf Whitelists umgangen werden.

Was PT NAD tut : Es enthüllt die Fakten der Übertragung solcher Dateien über das Netzwerk, dh noch bevor sie gestartet werden. Es erkennt automatisch, dass XSL-Dateien über das Netzwerk übertragen werden und Dateien mit anomalem XSL-Markup.

In den folgenden Artikeln werden wir untersuchen, wie das PT Network Attack Discovery NTA-System andere Taktiken und Techniken von Angreifern gemäß MITRE ATT & CK findet. Bleib dran!

Autoren :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles