Get best of the week

Wie Verkehrsanalysesysteme Hacker-Taktiken erkennen von MITRE ATT & CK, Teil 4



In früheren Beiträgen ( erster , zweiter und dritter Teil) haben wir die Techniken der sieben Taktiken von MITRE ATT & CK untersucht:

  • Erstzugriff
  • Ausführung
  • Konsolidierung (Persistenz);
  • Eskalation von Privilegien
  • Erkennungsprävention (Abwehrhinterziehung);
  • Zugang zu Anmeldeinformationen erhalten;
  • Intelligenz (Entdeckung).

Wir haben auch gezeigt, wie mit Hilfe unserer  NTA-Lösung  verdächtige Aktivitäten im Netzwerkverkehr erkannt werden können. Jetzt zeigen wir Ihnen, wie unsere Technologien mit seitlichen Bewegungs- und Sammeltechniken funktionieren.

Bewegung innerhalb des Umfangs (seitliche Bewegung)


Angreifer verwenden Perimeterbewegungstechniken, um Zugriff auf Remote-Systeme im Netzwerk zu erhalten und diese zu steuern, Malware zu installieren und ihre Präsenz in der Infrastruktur schrittweise auszubauen. Das Hauptziel der Angreifer besteht darin, die Administratoren im Netzwerk, ihre Computer, Schlüsselressourcen und Daten zu identifizieren, um letztendlich die vollständige Kontrolle über die Infrastruktur zu erlangen. 
Im Folgenden finden Sie Beschreibungen von Perimeterbewegungstechniken, die durch Analyse des Verkehrs erkannt werden können. Es gibt neun von ihnen.

1. T1175 : Komponentenobjektmodell und verteiltes COM


Verwenden von COM- oder DCOM-Technologien zum Ausführen von Code auf lokalen oder Remote-Systemen beim Bewegen durch ein Netzwerk.

Funktionsweise von PT Network Attack Discovery (PT NAD) : Wenn diese Technologie für den Zugriff auf Remote-Systeme verwendet wird, kann sie durch Analyse des Datenverkehrs erkannt werden. PT NAD erkennt verdächtige DCOM-Anrufe, die Cyberkriminelle normalerweise verwenden, um durch das Netzwerk zu gelangen.

2. T1210 : Nutzung von Remote-Diensten


Ausnutzen von Schwachstellen in Netzwerkdiensten, um sich im Netzwerk zu bewegen.

Was PT NAD tut : Erkennt die Ausnutzung häufiger Schwachstellen. Darunter befinden sich Schwachstellen in den Protokollen SMB (MS17-010) und Print System Remote Protocol (MS-RPRN), im Redis DBMS und im Konfigurationssystem für rConfig-Netzwerkgeräte.

3. T1075 : Übergeben Sie den Hash


Eine Methode zur Authentifizierung eines Benutzers ohne Zugriff auf sein Kennwort im Klartext. Angreifer umgehen die Standardauthentifizierungsschritte, für die ein Kennwort erforderlich ist, und wechseln direkt zu dem Teil der Authentifizierung, der den Kennwort-Hash verwendet. Angreifer erhalten Hashes im Voraus mithilfe von Techniken zum Erwerb von Anmeldeinformationen.

Was PT NAD tut : Es erkennt verschiedene Anzeichen von Netzwerkaktivität des Hacker-Dienstprogramms Mimikatz, mit dem Angreifer über den Hash hinweg angreifen (Entwicklung des Pass-the-Hash-Angriffs).

4. T1097 : Ticket weitergeben


Authentifizierungsmethode auf einem System mit Kerberos-Tickets ohne Zugriff auf ein Kontokennwort. Es kann von Angreifern als erster Schritt verwendet werden, um den Umkreis auf ein entferntes System zu verschieben.

Was PT NAD tut : Erkennt die Vorbereitungsphase des Passes der Ticket-Technik, erkennt die Übertragung von Dateien mit exportierten Kerberos-Tickets über das Netzwerk.

5. T1076 : Remotedesktopprotokoll


Die Technik, mit der sich Angreifer mithilfe des RDP-Remotedesktopprotokolls bei einem Remotesystem anmelden, wenn es für die Verwendung in einem Netzwerk zulässig ist und Benutzer mithilfe ihrer Anmeldeinformationen eine Verbindung zu ihrem Computer herstellen können.

Was PT NAD tut : Im Programm können Sie alle gespeicherten Sitzungen nach Protokollen (z. B. RDP) filtern und jede verdächtige Sitzung analysieren. Die Funktion ist nützlich bei der Untersuchung und proaktiven Suche nach Bedrohungen (Bedrohungssuche).

6. T1021 : Ferndienste


Verwenden Sie gültige Konten, um sich bei einem Dienst anzumelden, der Remoteverbindungen wie Telnet, SSH oder VNC akzeptiert. Danach können Angreifer Aktionen für den angemeldeten Benutzer ausführen.

Was PT NAD tut : Erkennt automatisch VNC-Verbindungen und die Aktivität des EvilVNC-Trojaners. Dieser Trojaner installiert heimlich einen VNC-Server auf dem Host des Opfers und startet ihn automatisch. Um die Legitimität von Remoteverbindungen mithilfe von SSH- und TELNET-Protokollen zu überprüfen, können PT NAD-Benutzer alle Sitzungen mit solchen Verbindungen herausfiltern und jede verdächtige analysieren.

7. T1072 : Software von Drittanbietern


Die Technik, mit der Angreifer auf Netzwerkverwaltungssoftware (Software von Drittanbietern und Softwarebereitstellungssysteme) zugreifen und diese zum Starten von Schadcode verwenden. Beispiele für Software von Drittanbietern: SCCM, VNC, HBSS, Altiris. Im Falle des Zugriffs auf solche Systeme kann der Gegner den Code remote auf allen Knoten ausführen, die mit dem Softwarebereitstellungs-, Überwachungs- oder Verwaltungssystem verbunden sind.

Was PT NAD tut : Es erkennt automatisch den Betrieb einer solchen Software im Netzwerk. Die Regeln arbeiten beispielsweise mit den Fakten der Verbindung über das VNC-Protokoll und der Aktivität des EvilVNC-Trojaners, der den VNC-Server heimlich auf dem Host des Opfers installiert und diesen Server automatisch startet.

8. T1077 : Windows Admin- Freigaben


Verwenden versteckter Netzwerkordner, auf die nur Administratoren zugreifen können, z. B. C $, ADMIN $, IPC $. Sie bieten die Möglichkeit, Dateien und andere Verwaltungsfunktionen aus der Ferne zu kopieren.

Funktionsweise von PT NAD: In einem Beispiel für die

PT NAD-Erkennung wurde die Ausführung von Remotebefehlen über den Service Control Manager (SCM) erkannt. Dies ist nur mit Zugriff auf Administratorfreigaben für Windows-Administratorfreigaben möglich.



Erkennung der Anwendung der T1077-Technik: Windows-Administratorfreigaben

Wenn Sie eine Sitzung öffnen, können Sie sehen, dass die Regel für das Impacket-Tool darin funktioniert hat. Es verwendet den Netzwerkzugriff auf C $, um Ergebnisse für die Befehlsausführung zu erhalten.



Sitzungskarte mit heruntergeladenen Dateien aus dem Netzwerkordner des Administrators

9. T1028 : Windows- Remoteverwaltung


Verwenden des Windows-Dienstes und -Protokolls, mit dem der Benutzer mit Remote-Systemen interagieren kann.

Was PT NAD tut : sieht Netzwerkverbindungen, die mit Windows Remote Management hergestellt wurden. Solche Sitzungen werden von den Regeln automatisch erkannt.

Datensammlung


Angreifer verwenden Erfassungstaktiken, um Informationen zu sammeln, die sie dann mithilfe von Datenexfiltrationstechniken stehlen möchten. Typische Datenquellen sind verschiedene Arten von Laufwerken, Browsern, Audio, Video und E-Mail.

Eine Verkehrsanalyse kann auf die Verwendung von zwei Datenerfassungstechniken im Netzwerk hinweisen.

1. T1039 : Daten vom gemeinsam genutzten Netzwerklaufwerk


Sammeln Sie Daten von Remote-Systemen mit öffentlichen Netzwerklaufwerken.

Was PT NAD tut: Ein Beispiel für die Erkennung Die

Dateiübertragung von Netzwerklaufwerken ist im Datenverkehr sichtbar. Dateiübertragungssitzungen können in PT NAD detailliert untersucht werden.

Überprüfen wir die Hypothese, dass die Angreifer die T1039-Technik verwendet haben und auf den Dateiserver der Finanzabteilung des Unternehmens zugreifen konnten. Zu diesem Zweck filtern wir alle Sitzungen basierend auf der Aktivität aus der IP-Adresse des Dateispeichers heraus und finden unter ihnen die Verbindungen, in denen die Dateien heruntergeladen wurden. Nachdem wir die Karte einer solchen Sitzung eingegeben haben, sehen wir, dass die Datei TopSecretReport_2020 heruntergeladen wurde.



Nach dem Herunterladen und Betrachten der Datei wissen wir, welche spezifischen Informationen die Angreifer erfasst haben.

2. T1185 : Mann im Browser


Eine Technik, mit der ein Angreifer die Browser-Schwachstelle eines Opfers ausnutzt, Webinhalte ändert und Informationen abfängt. Ein Beispiel: Ein Angreifer fügt Software in den Browser ein, mit der Sie Cookies, HTTP-Sitzungen und Client-SSL-Zertifikate abfangen und den Browser zur Authentifizierung und zum Aufrufen des Intranets verwenden können.

Was PT NAD tut : Erkennt automatisch einen Mann im Browser-Angriff, basierend auf der Einführung bösartiger Skripte in herunterladbare Webseiten. PT NAD erkennt solche Angriffe auf zwei Arten: durch kompromittierte Zertifikate, die zuvor bei solchen Angriffen verwendet wurden, und durch die charakteristische Netzwerkaktivität von Schadprogrammen, die darauf abzielen, Code in den Browser (z. B. Zeus) einzufügen.

Anstelle einer Schlussfolgerung


Wir erinnern Sie daran, dass die vollständige Zuordnung von PT NAD zur MITRE ATT & CK-Matrix auf Habré veröffentlicht ist .

In den folgenden Artikeln werden wir über die anderen Taktiken und Techniken von Hackern sprechen und wie das PT Network Attack Discovery NTA-System hilft, sie zu identifizieren. Bleib bei uns!

Autoren :

  • Anton Kutepov, Spezialist, PT Expert Security Center Positive Technologien
  • Natalia Kazankova, Produktvermarkterin Positive Technologies

More articles:


All Articles