Get best of the week

Wie Verkehrsanalysesysteme Hacker-Taktiken erkennen von MITRE ATT & CK, Teil 3



In früheren Beiträgen ( erster und zweiter Teil) haben wir die Techniken der fünf Taktiken von MITRE ATT & CK untersucht:

  • Erstzugriff
  • Ausführung
  • Konsolidierung (Persistenz);
  • Eskalation von Privilegien
  • Präventionserkennung (Abwehrhinterziehung).

Darüber hinaus haben wir gezeigt, wie mit Hilfe unserer NTA-Lösung verdächtige Aktivitäten im Netzwerkverkehr erkannt werden können. Jetzt zeigen wir Ihnen, wie unsere Technologien mit Zugriffs- und Ermittlungstechniken für Anmeldeinformationen funktionieren.

Zugriff auf Anmeldeinformationen


Diese Taktik umfasst Techniken zum Stehlen von Daten, die zur Authentifizierung verwendet werden können (z. B. Benutzernamen und Kennwörter). Die Verwendung legitimer Konten hilft Angreifern, Zugriff auf Systeme zu erhalten, mehr zu sichernde Datensätze zu erstellen und das Erkennen der Anwesenheit von Angreifern im Netzwerk zu erschweren.

Im Folgenden sind vier Techniken aufgeführt, die durch verdächtige Aktivitäten im Verkehr identifiziert werden können.

1. T1110 : rohe Gewalt


Die Technik, mit Brute-Force-Methoden auf Dienste zuzugreifen, wenn Anmeldeinformationen unbekannt oder teilweise bekannt sind. Normalerweise wählen sie Benutzernamen, Passwörter oder Hash-Summen von Passwörtern aus.

Was bedeutet PT Network Attack Discovery (PT NAD) : Im automatischen Modus werden Anzeichen einer Kennwortauswahl für die Authentifizierung über LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP erkannt. Darüber hinaus werden Versuche identifiziert, Anmeldeinformationen für beliebte Webdienste wie phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL und Tomcat auszuwählen. Solche Angriffe erzeugen eine große Anzahl erfolgloser Authentifizierungsversuche, die im Datenverkehr sichtbar werden.

2. T1003 : Dumping der Anmeldeinformationen


Abrufen von Anmeldeinformationen (normalerweise ein Hash oder ein offenes Kennwort) von Betriebssystemen oder Software. Wir werden diese Technik genauer betrachten, um ihre Erkennung im Verkehr zu demonstrieren.

Was PT NAD tut: Ein Beispiel für die
PT NAD-Erkennung hat den Zugriff auf die Domänencontroller-Registrierung mithilfe des Hacker-Dienstprogramms Secretsdump aufgezeichnet, der auf den Impacket-Bibliotheksmodulen basiert. Die Hauptaufgabe des Dienstprogramms besteht darin, Benutzerkennwort-Hashes abzurufen. Mithilfe dieser Hilfe authentifizieren sich die Angreifer über das SMB-Protokoll beim Domänencontroller, stellen eine Verbindung zum Service Control Manager (SCM) her, stellen dann mithilfe des WINREG-Protokolls eine Verbindung zur Remoteregistrierung her und kopieren die erforderlichen Daten in die lokale Datei. Danach wird die Datei über SMB auf Ihren Netzwerkknoten heruntergeladen.



Identifizieren einer Abfrage für den LSA-Registrierungsschlüssel, der die Hashes von Domänenbenutzerkennwörtern enthält

In derselben Sitzung, in der PT NAD den Zugriff auf die Domänencontrollerregistrierung aufzeichnete, wurden dieselben Dateien übertragen, in die das Dienstprogramm Secretsdump wichtige Informationen aus der Domänencontrollerregistrierung gespeichert hat. An den Namen der ausgelösten Regeln in der PT NAD-Schnittstelle ist ersichtlich, dass die Angreifer Kennwort-Hashes von Domänenbenutzern von LSA und lokalen von SAM erhalten haben:



Die Dateien, die die Angreifer herunterladen konnten, werden auf der Sitzungskarte angezeigt

3. T1212 : Ausnutzung für den Zugriff auf Anmeldeinformationen


Eine Technik, mit der ein Angreifer aufgrund der Ausnutzung von Sicherheitslücken in der Software auf Anmeldeinformationen zugreifen kann.

Was PT NAD tut : Verkehr, der viele Schwachstellen ausnutzt. Beispielsweise könnte MS14-068 verwendet werden, um Kerberos-Tickets zu fälschen. Ein Angreifer fordert ein Ticket eines bestimmten Typs an (TGT, Ticket Granted Ticket), fügt sich einer privilegierten Gruppe hinzu und ändert dieses Ticket so, dass der anfällige Domänencontroller es als gültig erkennt. PT NAD identifiziert Anfragen für solche Tickets.

4. T1208 : Kerberoasting


Eine Methode zum Abrufen von Dienstkonten aus Active Directory als regulärer Benutzer. Jeder Domänenbenutzer kann ein Kerberos-Ticket anfordern, um auf den Dienst im Active Directory (Ticket Granting Service) zuzugreifen. TGS wird mit dem Kennwort-Hash des Kontos verschlüsselt, von dem aus der Zieldienst ausgeführt wird. Ein Angreifer, der auf diese Weise TGS erhalten hat, kann es jetzt entschlüsseln, ein Kennwort abrufen und hat keine Angst vor dem Blockieren, da es offline ausgeführt wird. Bei Erfolg erhält er ein Kennwort von einem Konto, das dem Dienst zugeordnet ist und häufig privilegiert ist.

Was macht PT NAD?: Behebt Anforderungen zum Auflisten von Diensten in Active Directory, die möglicherweise Ziele für einen Angriff werden. Diese Phase ist erforderlich, damit Angreifer einen anzugreifenden Dienst auswählen können, und geht der Anforderung eines TGS-Tickets und der Offline-Auswahl voraus. PT NAD erkennt auch automatisch Anforderungen für TGS-Tickets, die mit dem RC4-Algorithmus verschlüsselt sind. Dies ist eines der Anzeichen für einen Kerberoasting-Angriff.

Entdeckung


Nachdem Angreifer Fuß gefasst und Zugang zum System erhalten haben, müssen sie verstehen, wo sie sich in der Infrastruktur befinden, was sie umgibt und was sie steuern können. Während der Aufklärung sammeln Angreifer Daten über das System und das interne Netzwerk, um in der Infrastruktur zu navigieren und zu entscheiden, wie vorgegangen werden soll. Hierzu werden häufig eingebaute Tools von Betriebssystemen verwendet.
Die Verkehrsanalyse zeigt die Verwendung von zehn Intelligenztechniken.

1. T1087 : Kontoerkennung


Es wird versucht, eine Liste der lokalen System- oder Domänenkonten abzurufen.

Was PT NAD tut: Ein Beispiel für die Erkennung
Angreifer haben versucht, über LDAP, ein leichtes Verzeichniszugriffsprotokoll, Informationen von einem Domänencontroller über Domänenkonten abzurufen. PT NAD hat eine LDAP-Anforderung erkannt. Diese Methode zum Abrufen von Domänenkonten kann sowohl für die T1087-Technik (Kontoerkennung) als auch für T1069 (Berechtigungsgruppenerkennung) angewendet werden.



Intelligence-Versuch, Domänenkontoinformationen über LDAP abzurufen

2. T1482 : Erkennung der Domänenvertrauensstellung


Suchen Sie nach Domain-Vertrauensinformationen. Angreifer verwenden solche Beziehungen für horizontale Bewegungen in Infrastrukturen mit mehreren Domänen.

Was PT NAD tut : Eine Liste der Vertrauensbeziehungen zwischen Domänen kann mithilfe von RPC- und LDAP-Abfragen abgerufen werden. PT NAD erkennt automatisch Versuche, Vertrauensstellungen zwischen Domänen mithilfe des LDAP-Protokolls und des EnumTrustDom-RPC-Aufrufs aufzulisten.

3. T1046 : Scannen des Netzwerkdienstes


Es wird versucht, eine Liste der Dienste abzurufen, die auf Remote-Netzwerkknoten ausgeführt werden. Dies ist mithilfe installierter Port-Scan-Tools und Schwachstellen möglich.

Was PT NAD tut : Erkennt Anzeichen von Port-Scan-Tools und Schwachstellen (z. B. Nmap-Dienstprogramme) sowie nicht standardmäßige Anforderungen an bekannte Ports.

4. T1135 : Erkennung von Netzwerkfreigaben


Suchen Sie nach freigegebenen Netzwerklaufwerken und Ordnern, die den Zugriff auf Dateiverzeichnisse auf verschiedenen Netzwerksystemen ermöglichen.

Was PT NAD tut : Erkennt eine Anforderung nach einer Liste freigegebener Netzlaufwerke und Ordner auf dem Remotecomputer.

5. T1201 : Kennwortrichtlinienerkennung


Eine Technik, mit der ein Angreifer nach Informationen zu einer Kennwortrichtlinie in der Infrastruktur eines Unternehmens sucht. Beispielsweise kann eine Richtlinie eine Mindestkennwortlänge und die Anzahl der zulässigen fehlgeschlagenen Authentifizierungsversuche festlegen. Wenn Sie die Anzahl der Zeichen kennen, können Angreifer eine Liste geeigneter gängiger Kennwörter erstellen, das Erraten von Wörterbüchern mithilfe eines Wörterbuchs oder eine umfassende Suche starten (T1110: Brute Force).

Was PT NAD tut : Erkennt automatisch Kennwortrichtlinienanforderungen über SAMR.

6. T1069 : Erkennung von Berechtigungsgruppen


Mit dieser Technik versuchen Angreifer, lokale oder Domänengruppen und ihre Zugriffseinstellungen zu finden. Solche Informationen können von Angreifern verwendet werden, wenn sie ein Ziel für einen Angriff auswählen.

Was PT NAD tut : Erkennt automatisch Versuche, Informationen über Domänengruppen über LDAP und SAMR abzurufen. Ein Beispiel für die Identifizierung dieser Technik ist im obigen Screenshot dargestellt.

7. T1018 : Remote-Systemerkennung


Eine Technik, bei der Angreifer versuchen, mithilfe von RAS-Systemen oder integrierten Systemdienstprogrammen eine Liste der Systeme in einem angegriffenen Netzwerk abzurufen. Dies ist über die IP-Adresse, den Hostnamen oder eine andere Kennung möglich, die später verwendet werden kann, um sich vom aktuellen System aus horizontal über das Netzwerk zu bewegen.

Was PT NAD tut : sieht Anfragen nach Listen von Domänencontrollern, Arbeitsstationen und Servern, SPN (Service Principle Name).

8. T1063 : Erkennung von Sicherheitssoftware


Eine Technik, bei der Angreifer versuchen, Informationen über installierte Sicherheitssysteme, deren Konfiguration und Sensoren zu erhalten. Eine Möglichkeit, diese Liste zu erhalten, sind DCE / RPC-Anforderungen.

Was PT NAD tut: sieht DCE / RPC-Anforderungen. Der Systembenutzer kann alle Sitzungen mit diesen Anforderungen finden und Versuche erkennen, Informationen über Sicherheitsfunktionen aus der Ferne zu empfangen.

9. T1033 : Systembesitzer / Benutzererkennung


Bei der Implementierung dieser Technik können Angreifer den Hauptbenutzer des Systems, den aktuell angemeldeten Benutzer, die Gruppe von Benutzern, die das System normalerweise verwenden, identifizieren und bestimmen, wie aktiv das System verwendet wird.

Was PT NAD tut : Cyberkriminelle können mithilfe von SRVSVC-basierten Abfragen eine Liste aktiver Benutzersitzungen auf einem Remote-Host abrufen. PT NAD erkennt solche Anforderungen automatisch.

10. T1007 : Systemdiensterkennung


Angreifer suchen nach Informationen zu registrierten Diensten.

Was PT NAD tut : Angreifer können diese Art von Informationen mithilfe von DCE / RPC-Netzwerkanforderungen abrufen. PT NAD erkennt Anrufe an Service Control Manager (SCM) automatisch mithilfe des DCE / RPC-Protokolls, einschließlich Befehlen zum Abrufen einer Liste von Diensten auf einem Remote-Netzwerkknoten und des Status ihrer Aktivität.

Anstelle einer Schlussfolgerung


Wir erinnern Sie daran, dass die vollständige Zuordnung von PT NAD zur MITRE ATT & CK-Matrix  auf Habré veröffentlicht ist .

In den folgenden Artikeln werden wir über die anderen Taktiken und Techniken von Hackern sprechen und wie das PT Network Attack Discovery NTA-System hilft, sie zu identifizieren. Bleib bei uns!



Autoren :

  • Anton Kutepov, Spezialist, PT Expert Security Center Positive Technologien
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles