Get best of the week

Wie Verkehrsanalysesysteme MITRE ATT & CK-Hacker-Taktiken mithilfe der PT Network Attack Discovery erkennen



Im vorherigen Artikel haben wir die Techniken zweier MITRE ATT & CK-Taktiken untersucht - den ersten Zugriff und die Ausführung sowie das Erkennen verdächtiger Aktivitäten im Netzwerkverkehr mithilfe unserer NTA-Lösung . Jetzt zeigen wir Ihnen, wie unsere Technologien mit Persistenz-, Privilegieneskalations- und Verteidigungshinterziehungstechniken funktionieren.

Befestigung (Ausdauer)


Angreifer verwenden Pinning-Taktiken, um ihre fortgesetzte Präsenz im angegriffenen System sicherzustellen. Sie müssen sicher sein, dass auch nach dem Neustart des Systems oder dem Ändern der Anmeldeinformationen der Zugriff auf das System erhalten bleibt. So können sie jederzeit ein kompromittiertes System steuern, sich entlang der Infrastruktur bewegen und ihre Ziele erreichen.

Mithilfe der Verkehrsanalyse können Sie fünf Pinning-Techniken entdecken.

1. T1133 : Externe Remote-Dienste


Die Technik der Verwendung externer Remote-Services zur externen Konsolidierung der internen Ressourcen des Unternehmens. Beispiele für solche Dienste: VPN und Citrix.

Was PT Network Attack Discovery (PT NAD) tut : Es werden Netzwerksitzungen angezeigt, die über VPN oder Citrix im internen Netzwerk des Unternehmens eingerichtet wurden. Der Analyst kann solche Sitzungen im Detail studieren und eine Schlussfolgerung über ihre Legitimität ziehen.

2. T1053 : Geplante Aufgabe


Verwenden des Windows Task Schedulers und anderer Dienstprogramme zum Programmieren des Starts von Programmen oder Skripten zu einem bestimmten Zeitpunkt. Angreifer erstellen solche Aufgaben in der Regel remote, was bedeutet, dass solche Sitzungen mit dem Start von Aufgabenplanern im Datenverkehr sichtbar sind.

Was PT NAD tut : Wenn ein Domänencontroller XML-Dateien sendet, die Aufgaben beschreiben, die durch Gruppenrichtlinien erstellt wurden, extrahiert unsere NTA-Lösung solche Dateien automatisch. Sie enthalten Informationen zur Häufigkeit des Startens der Aufgabe, die möglicherweise auf die Verwendung des Aufgabenplaners für die Konsolidierung im Netzwerk hinweisen.

3. T1078 : gültige Konten


Verwendung von Anmeldeinformationen: Standard, lokal oder Domain für die Autorisierung externer und interner Dienste.

Was PT NAD tut : Extrahiert automatisch Anmeldeinformationen aus HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Im Allgemeinen ist dies ein Benutzername, ein Kennwort und ein Zeichen für den Erfolg der Authentifizierung. Wenn sie verwendet wurden, werden sie auf der entsprechenden Sitzungskarte angezeigt.

4. T1100 : Web-Shell


Ein Skript, das auf einem Webserver gehostet wird und es einem Angreifer ermöglicht, die Kontrolle über diesen Server zu erlangen. Da solche Skripte im automatischen Modus arbeiten und auch nach dem Neustart des Servers weiter funktionieren, kann diese Technik von Cyberkriminellen während der Fixierungsphase im System verwendet werden.

Was PT NAD tut : Es erkennt automatisch das Laden gängiger Web-Shells, greift über HTTP-Anforderungen darauf zu und sendet Befehle.

5. T1084 : Windows Management Instrumentation-Ereignisabonnement


Abonnieren von Ereignissen in WMI - Technologien zum Verwalten von Komponenten lokaler und Remote-Betriebssysteme. Angreifer können WMI verwenden, um bestimmte Ereignisse zu abonnieren und die Ausführung von Schadcode auszulösen, wenn dieses Ereignis auftritt. Angreifer sorgen somit für eine konstante Präsenz im System. Beispiele für Ereignisse, die Sie abonnieren können: das Einsetzen einer bestimmten Zeit auf der Systemuhr oder das Ablaufen einer bestimmten Anzahl von Sekunden ab dem Start des Betriebssystems.

Was macht PT NAD?: Erkennt die Verwendung der Windows Management Instrumentation Event Subscription-Technik anhand von Regeln. Eine davon funktioniert, wenn das Netzwerk die Standard-Abonnentenklasse ActiveScriptEventConsumer verwendet, mit der Code ausgeführt werden kann, wenn ein Ereignis auftritt, und der Angreifer dadurch an einen Netzwerkknoten angehängt wird.

Nach der Analyse der Sitzungskarte mit der auslösenden Regel sehen wir beispielsweise, dass diese Aktivität durch das Hacker-Tool Impacket verursacht wurde: In derselben Sitzung funktionierte der Detektor für die Verwendung dieses Tools für die Remotecodeausführung.



Die Sitzungskarte, auf der die Verwendung des Impacket-Tools enthüllt wurde. Mit seiner Hilfe verwenden Angreifer einen Standardabonnenten, um Befehle remote auszuführen

Eskalation von Berechtigungen


Techniken zur Eskalation von Berechtigungen zielen darauf ab, Berechtigungen auf höherer Ebene im angegriffenen System zu erhalten. Zu diesem Zweck nutzen Angreifer die Schwachstellen von Systemen aus, nutzen Konfigurationsfehler und Schwachstellen aus.

1. T1078 : gültige Konten


Dies ist Identitätsdiebstahl: Standard, lokal oder Domain.

Was PT NAD tut : Es sieht, welcher Benutzer sich angemeldet hat, wodurch unzulässige Eingaben identifiziert werden können. Eine der häufigsten Möglichkeiten zum Erhöhen der Berechtigungen auf einem Remote- oder lokalen Host, auf dem Windows ausgeführt wird, besteht darin, eine Windows-Taskplanungsaufgabe zu erstellen, die im Auftrag von NT AUTHORITY \ SYSTEM ausgeführt wird. Auf diese Weise können Befehle mit maximalen Berechtigungen auf dem System ausgeführt werden.

Betrachten Sie den Fall, dass Sie eine solche Aufgabe mit dem ATExec-Tool über das Netzwerk erstellen. Es basiert auf den Komponenten der Impacket-Bibliothek und wurde erstellt, um die Fähigkeit der Bibliothek zu demonstrieren, mit dem Remote-Protokoll für den Taskplaner zu arbeiten. Seine Arbeit ist im Netzwerkverkehr sichtbar und veranschaulicht die Technik des Erhöhens von Berechtigungen von der Administratorebene eines Netzwerkknotens auf die Ebene NT AUTHORITY \ SYSTEM.

PT NAD hat die Erstellung von Scheduler-Aufgaben auf dem Remote-Host automatisch erkannt. Die folgende Angriffskarte zeigt, dass die Verbindung im Auftrag des Benutzers contoso \ user02 hergestellt wurde. Eine erfolgreiche SMB-Verbindung zur ADMIN $ -Ressource des Zielhosts zeigt an, dass dieser Benutzer Mitglied der lokalen Administratorgruppe auf dem Zielhost ist. Die XML-Beschreibung der Aufgabe gibt jedoch an, dass sie im Kontext von NT AUTHORITY \ SYSTEM (SID S-1-5-18) ausgeführt wird:



Erkennen der Erstellung von Remote-Aufgaben mit dem Dienstprogramm ATExec

Verteidigungshinterziehung


Diese Taktik vereint Techniken, mit denen ein Angreifer böswillige Aktivitäten verbergen und die Erkennung durch Schutz vermeiden kann. Neun dieser Techniken können mit Verkehrsanalysesystemen erkannt werden.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)


Angreifer bereiten eine spezielle .inf-Datei für die böswillige Installation für das Windows Connectivity Manager-Dienstprogramm zur Profilinstallation (CMSTP.exe) vor. CMSTP.exe verwendet die Datei als Parameter und legt das Dienstprofil für eine Remoteverbindung fest. Daher kann CMSTP.exe verwendet werden, um dynamisch verbundene Bibliotheken (* .dll) oder Scriptlets (* .sct) von Remoteservern herunterzuladen und auszuführen. Auf diese Weise können Angreifer die Whitelist-Richtlinie zum Ausführen von Programmen umgehen.

Was PT NAD tut : Es erkennt automatisch die Übertragung spezieller INF-Dateien im HTTP-Verkehr. Darüber hinaus sieht er die Übertragung von schädlichen Scriptlets und dynamisch verbundenen Bibliotheken über das HTTP-Protokoll von einem Remote-Server.

2. T1090 : Verbindungsproxy


Angreifer können einen Proxyserver als Vermittler verwenden, um Daten mit einem C2-Server auszutauschen. So vermeiden sie direkte Verbindungen zu ihrer Infrastruktur und erschweren die Erkennung.

Was PT NAD tut : Bestimmt die Verwendung des SOCKS5-Protokolls (es sendet Daten vom Client über einen Proxyserver unsichtbar an den Zielserver) und eines HTTP-Proxys. Wenn Verbindungen über das SOCKS 5-Protokoll oder über einen HTTP-Proxyserver mit verdächtigen Ereignissen verbunden sind, können solche Verbindungen auf einen Kompromiss hinweisen.

3. T1207 : DCShadow


Erstellen eines gefälschten Domänencontrollers zur Umgehung der Erkennung durch SIEM-Systeme, der böswillige Änderungen am AD-Schema über den Replikationsmechanismus ermöglicht.

Was PT NAD tut : Bei Verwendung der DCShadow-Technik wird ein gefälschter Domänencontroller erstellt, der keine Ereignisse an SIEM sendet. Mit einem solchen Domänencontroller kann ein Angreifer Active Directory-Daten ändern, z. B. Informationen zu Domänendomänen, Benutzeranmeldeinformationen und Schlüsseln.

Die Verwendung einer solchen Technik kann durch den Verkehr identifiziert werden. Es zeigt deutlich das Hinzufügen eines neuen Objekts zum Konfigurationsschema des Domänencontrollertyps. Das NTA-System erkennt einen Versuch, DCShadow anzugreifen, indem es den für einen Domänencontroller spezifischen Datenverkehr von einem Netzwerkknoten erkennt, der kein Domänencontroller ist.



PT NAD hat einen Versuch aufgezeichnet, DCShadow anzugreifen

4. T1211 : Ausbeutung zur Umgehung der Verteidigung


Ausnutzen von Schwachstellen des Zielsystems, um Sicherheitsfunktionen zu umgehen.

Was PT NAD tut : Erkennt automatisch mehrere gängige Ausnutzungstechniken für Schwachstellen. Beispielsweise identifiziert er eine Technik zur Umgehung der Sicherheit von Webanwendungen basierend auf doppelten HTTP-Headern.

5. T1170 : mshta


Verwenden des Dienstprogramms mshta.exe, mit dem Microsoft HTML-Anwendungen (HTA) mit der Erweiterung .hta ausgeführt werden. Da mshta Dateien verarbeitet, die die Sicherheitseinstellungen des Browsers umgehen, können Angreifer mit mshta.exe schädliche HTA-, JavaScript- oder VBScript-Dateien ausführen. Angreifer verwenden die mshta-Technik am häufigsten, um Whitelist-Richtlinien zum Ausführen von Programmen und zum Auslösen von SIEM-Erkennungsregeln zu umgehen.

Was PT NAD tut : Erkennt die Übertragung von schädlichen HTA-Dateien automatisch. Es erfasst Dateien und Informationen darüber können auf der Sitzungskarte angezeigt werden.

6. T1027 : Verschleierte Dateien oder Informationen


Ein Versuch, die Erkennung und Analyse einer ausführbaren Datei oder eines Netzwerkverkehrs für Sicherheitstools durch Verschlüsselung, Codierung oder Verschleierung (Verschleierung) ihres Inhalts zu erschweren.

Was PT NAD tut : Es erkennt die Übertragung von ausführbaren Dateien, die mit Base64-, ROT13-Algorithmen codiert oder mit Gamma verschlüsselt wurden. Verschleierter Datenverkehr, den einige Malware erstellt, wird ebenfalls automatisch erkannt.

7. T1108 : Redundanter Zugriff


Eine Technik, bei der Angreifer mehr als ein RAS-Dienstprogramm verwenden. Wenn eines der Tools erkannt und blockiert wird, haben die Angreifer weiterhin Zugriff auf das Netzwerk.

Was PT NAD tut : Analysiert gängige Protokolle, sodass die Aktivität jedes Netzwerkknotens angezeigt wird. Mithilfe von Filtern kann der Analyst alle Sitzungen von RAS-Tools finden, die von einem Knoten installiert wurden.

8. T1064 : Skripterstellung


Ausführung von Skripten zur Automatisierung verschiedener Aktionen von Angreifern, einschließlich der Umgehung von Whitelist-Richtlinien zum Starten von Programmen.

Was PT NAD tut : Es enthüllt die Fakten der Skriptübertragung über das Netzwerk, dh noch bevor sie gestartet werden. Es erkennt den Inhalt von Skripten im Rohdatenverkehr und die Übertragung von Dateien über das Netzwerk mit Erweiterungen, die gängigen Skriptsprachen entsprechen.

9. T1045 : Software-Packing


Eine Technik, bei der Angreifer spezielle Dienstprogramme verwenden, um eine ausführbare Datei zu komprimieren oder zu verschlüsseln, um die Erkennung durch Signaturschutzsysteme zu vermeiden. Solche Dienstprogramme werden Packer genannt.

Was PT NAD tut : Es erkennt automatisch Anzeichen dafür, dass die übertragene ausführbare Datei mit dem beliebten Packer geändert wurde.

Anstelle einer Schlussfolgerung


Wir erinnern Sie daran, dass die vollständige Zuordnung von PT NAD zur MITRE ATT & CK-Matrix auf Habré veröffentlicht ist .

In den folgenden Artikeln werden wir über andere Taktiken und Techniken von Hackern sprechen und wie das PT Network Attack Discovery NTA-System hilft, sie zu identifizieren. Bleib bei uns!

Autoren:

  • Anton Kutepov, Spezialist, PT Expert Security Center Positive Technologien
  • Natalia Kazankova, Produktvermarkterin Positive Technologies

More articles:


All Articles