Get best of the week

Wie Verkehrsanalysesysteme Hacker-Taktiken erkennen von MITRE ATT & CK, Teil 5



Dies ist der letzte Artikel aus dem Zyklus ( erster , zweiter , dritter und vierter Teil), in dem wir Hackertechniken und -taktiken gemäß MITRE ATT & CK betrachten und auch zeigen, wie es möglich ist, verdächtige Aktivitäten im Netzwerkverkehr zu erkennen. Im letzten Artikel werden wir die Techniken von Befehl und Kontrolle, Exfiltration und Auswirkung betrachten.

Management und Kontrolle


Die Befehls- und Steuerungstechniken (C2 oder C & C) werden verwendet, um Angreifer mit kontrollierten Systemen im Netzwerk des Opfers zu verbinden. Angreifer ahmen normalerweise das normale Verkehrsverhalten nach, um eine Erkennung zu vermeiden.

Die Verkehrsanalyse mit PT Network Attack Discovery (PT NAD) erkennt 18 gängige C & C-Techniken.

1. T1043 : häufig verwendeter Port


Angreifer kommunizieren mit dem Befehlsserver über Ports, die normalerweise eine ausgehende Verbindung herstellen dürfen. Beispiele für solche Ports sind: TCP: 80 (HTTP), TCP: 443 (HTTPS), TCP: 25 (SMTP), TCP / UDP: 53 (DNS). Dies hilft dabei, die Firewall-Erkennung zu umgehen und sich als Standard-Netzwerkaktivität auszugeben. Darüber hinaus können Verstöße sowohl das entsprechende Anwendungsprotokoll, das einer bestimmten Portnummer zugewiesen ist, als auch jedes andere Protokoll auf Anwendungsebene bis zur Übertragung von Daten über Raw-Sockets verwenden.

Was macht PT NAD?: Erkennt automatisch eine Nichtübereinstimmung zwischen einem allgemeinen Anwendungsprotokoll und seinem Standardport, z. B. beim Senden von HTTP-Anforderungen an Port 53. In komplexeren Fällen kann ein Informationssicherheitsspezialist verdächtige Sitzungskarten in PT NAD untersuchen, in denen Informationen zu Ports und Netzwerkverbindungsprotokollen gespeichert sind. Dies zeigt die Verwendung von Standardports für die Kommunikation mit der Kommandozentrale.

2. T1090 : Verbindungsproxy


Angreifer können einen Proxyserver als Vermittler verwenden, um Daten mit einem C & C-Server auszutauschen. So vermeiden sie direkte Verbindungen zu ihrer Infrastruktur und erschweren ihre Entdeckung.

Was PT NAD tut : Für den Proxy-Verkehr können Angreifer Peer-to-Peer-P2P-Netzwerke verwenden. Beliebte P2P-Protokolle PT NAD erkennt automatisch. PT NAD erkennt auch Sitzungen mit SOCKS5-, HTTP- und SSH-Protokollen im Datenverkehr, über die Angreifer am häufigsten Proxy-Kanäle für die Ausgabe von Informationen erstellen. Wenn Verbindungen, die solche Protokolle verwenden, mit verdächtigen Ereignissen verbunden sind, können sie auf einen Kompromiss hinweisen.

3. T1094 : Benutzerdefiniertes Befehls- und Steuerprotokoll


Verwenden proprietärer Steuerungs- und Überwachungsprotokolle anstelle der Kapselung von Befehlen in einem vorhandenen Standardprotokoll auf Anwendungsebene.

Was PT NAD tut : Erkennt gängige Tunneltypen automatisch über Anwendungs- und Netzwerkebenenprotokolle wie ICMP-, DNS-, POP3-, SCTP-, WebSocket-Tunnel sowie SSH über HTTP, SOCKS5 und Peer-to-Peer-Aktivitäten.

4. T1024 : Benutzerdefiniertes kryptografisches Protokoll


Eine Technik, bei der Angreifer ein Protokoll oder einen Verschlüsselungsalgorithmus verwenden, um den C & C-Verkehr zu verbergen.

Was PT NAD tut : Erkennt Anzeichen von Malware-Aktivität im verschlüsselten Verkehr. Dies wird durch das Verfahren der Kryptoanalyse von Seiteninformationskanälen implementiert . Mit diesem Ansatz können Sie böswilligen Datenverkehr auch dann erkennen, wenn Sie selbst geschriebene kryptografische Protokolle verwenden.

5. T1132 : Datencodierung


Angreifer verwenden Standard-Datenverschlüsselungsalgorithmen, wenn sie Informationen über einen C & C-Kanal übertragen.

Was PT NAD tut : Erkennt schädliche Skripte, wenn sein Text als Zeichenfolge codiert wird, und decodiert mit Base64 verschlüsselte Daten. Beispielsweise werden in Base64 codierte Cobalt Strike-Agentenantworten erkannt.

6. T1001 : Datenverschleierung


Komplizierte Erkennung von C & C-Kommunikation. Zu den Methoden der Datenverschleierung gehören das Hinzufügen zusätzlicher Daten zum Protokollverkehr, das Anwenden von Steganographie, das Mischen von C & C-Verkehr mit legitimen Daten und die Verwendung eines nicht standardmäßigen Codierungssystems.

Was PT NAD tut : Kann Fakten der Datenübertragung erkennen, die mit dem Base64-Algorithmus unter Verwendung eines nicht standardmäßigen Alphabets codiert wurden, und verschleierte Skripte, Shell-Codes und Shell-Anweisungen übertragen.

7. T1483 : Algorithmen zur Domänengenerierung


Eine Technik, bei der Angreifer anstelle der Auflistung statischer IP-Adressen oder Domänen den DGA-Algorithmus (Automatic Domain Generation) verwenden, um den C & C-Verkehr dorthin zu leiten. Dies erschwert die Arbeit von Verteidigern: Möglicherweise gibt es Tausende von Domänen, mit denen Malware eine Verbindung herstellen kann.

Was PT NAD tut : Mithilfe eines speziellen Algorithmus erkennt PT NAD automatisch generierte Domänennamen in Netzwerksitzungen.



Beispiele für mit PT NAD entdeckte DGA-Domänen

8. T1008 : Fallback-Kanäle


Angreifer verwenden einen Backup- oder alternativen Kommunikationskanal, um die Zuverlässigkeit der Kommunikation mit dem C & C-Server zu erhöhen und zu vermeiden, dass der Schwellenwert für die Menge der übertragenen Daten überschritten wird. Solche Kanäle werden benötigt, wenn der Haupt-C & C-Kanal kompromittiert oder nicht zugänglich ist.

Was PT NAD tut : Ein Informationssicherheitsspezialist kann die Verwendung einer solchen Technik erkennen, indem er Malware-Verbindungsdaten analysiert, die in Sitzungskarten in PT NAD gespeichert sind. Wenn Malware von einem Netzwerkknoten aus eine Verbindung zu verschiedenen IP-Adressen (C & C-Servern) herstellt, kann dies darauf hinweisen, dass die Angreifer einen Sicherungskommunikationskanal verwenden.

9. T1188 : Multi-Hop-Proxy


Angreifer erstellen Ketten von mehreren Proxyservern, um die Quelle des böswilligen Datenverkehrs zu maskieren. Ein solches Multiproxing erschwert die Identifizierung der Quellquelle und erfordert, dass die verteidigende Partei böswilligen Datenverkehr über mehrere Proxyserver überwacht.

Was PT NAD tut : Wenn Angreifer eine Kette von Proxys innerhalb des Netzwerks des Opfers erstellen, kann dies in PT NAD durch Analyse der Sitzungsdaten verfolgt werden. Verbindungen zwischen Knoten werden im Netzwerkverbindungsdiagramm visuell angezeigt. Dies hilft, die Reihenfolge der Proxys zu verfolgen.

10. T1104 : mehrstufige Kanäle


Angreifer verwenden mehrstufige C & C-Kanäle, wodurch sie schwer zu erkennen sind. Sie erkennen dies, indem sie den Angriff in Stufen (oder Stufen) aufteilen. Jede Stufe verwendet ihre eigenen Verwaltungsserver und ihre eigenen Tools (Trojaner, RATs). Eine solche Aufteilung der Funktionalität in Stufen mit verschiedenen Verwaltungsservern macht es schwierig, Angreifer zu erkennen.

Was PT NAD tut : Die Verwendung mehrstufiger C & C-Kanäle PT NAD erkennt automatisch anhand von Aktivitätszeichen die entsprechende Malware. Beispielsweise wird die Funktionsweise der MuddyWater-Gruppierungsmodule ermittelt. Detaillierte Daten zu jedem identifizierten C & C-Kanal werden in Sitzungskarten gespeichert. Diese Daten sind bei Untersuchungen und proaktiven Bedrohungssuchen hilfreich.

11. T1026: multiband communication


Angreifer teilen sich einen Kommunikationskanal zwischen verschiedenen Protokollen. Beispielsweise können Befehle unter Verwendung eines Protokolls übertragen werden, und die Ergebnisse ihrer Ausführung können unterschiedlich sein. Dies hilft, die Einschränkungen von Firewalls zu umgehen und Benachrichtigungen über das Überschreiten von Schwellenwerten für übertragene Daten zu vermeiden.

Was PT NAD tut : Es erkennt automatisch die Verwendung der Trennung des Kommunikationskanals anhand der Anzeichen der entsprechenden Malware. Auf diese Weise wird beispielsweise die Aktivität von Cobalt Strike-Agenten erkannt, die den Ausgabekanal für C & C-Server zwischen den Protokollen HTTP, HTTPS und DNS gemeinsam nutzen können. Gleichzeitig speichert PT NAD Daten zu jeder C & C-Verbindung mit Informationen zum verwendeten Protokoll, mit deren Hilfe die Verwendung der T1026-Technik bei Untersuchungen oder bei der Bedrohungssuche erkannt werden kann.

12. T1079 : Mehrschichtverschlüsselung


Die Verwendung mehrerer Verschlüsselungsstufen C & C-Kommunikation. Ein typisches Beispiel ist die Übertragung verschlüsselter Daten über sichere Protokolle wie HTTPS oder SMTPS.

Was PT NAD tut : Trotz mehrerer Verschlüsselungsebenen erkennt PT NAD durch Analyse der seitlichen kryptografischen Kanäle eine Reihe von Malware-Familien anhand von Regeln. Beispiele für erkannte Bedrohungen: Malware aus den Familien RTM und Ursnif (Gozi-ISFB), die bereits verschlüsselte Daten über das HTTPS-Protokoll übertragen.

13. T1219 : Fernzugriffstools


Ein Angreifer verwendet legitime Software, um remote auf kontrollierte Systeme zuzugreifen. Solche Tools werden häufig von technischen Supportdiensten verwendet und können in die Whitelist aufgenommen werden. Somit werden seine Handlungen im Namen des Treuhänders und über den autorisierten Kommunikationskanal ausgeführt. Zu den beliebten Dienstprogrammen gehören TeamViewer, VNC, Go2Assist, LogMeIn und Ammyy Admin.

Funktionsweise von PT NAD: Ein Beispiel für die

PT NAD-Erkennung bestimmt den Netzwerkbetrieb aller gängigen RAS-Dienstprogramme. Auf diese Weise können Sie alle mit RAT eingerichteten RAS-Sitzungen analysieren und ihre Legitimität überprüfen.

Beispielsweise hat PT NAD Malware-Aktivitäten erkannt, bei denen über das VNC-Desktop-Remotezugriffssystem eine Verbindung zu einer externen IP-Adresse hergestellt wird. VNC und Ammyy- und TeamViewer-Angreifer verwenden häufiger als andere RATs.



Erkennen von RAS-Tools

14. T1105 : Remote-Dateikopie


Angreifer kopieren Dateien von einem System auf ein anderes, um ihre Tools bereitzustellen oder Informationen zu stehlen. Dateien können von einem externen System, das von einem Angreifer gesteuert wird, über einen Kommunikationskanal mit einer Kommandozentrale oder mithilfe anderer Tools unter Verwendung alternativer Protokolle wie FTP kopiert werden.

Was PT NAD tut : Es erkennt Dateiübertragungen mithilfe der Hauptanwendungsprotokolle und kann sie zur weiteren Analyse extrahieren, beispielsweise in der Sandbox.

15. T1071 : Standardprotokoll der Anwendungsschicht


Angreifer verwenden gängige Anwendungsprotokolle wie HTTP, HTTPS, SMTP, DNS. Daher wird ihre Aktivität mit legitimem Standardverkehr gemischt, was die Erkennung erschwert.

Was PT NAD tut : Alle Sitzungen werden mit gängigen Anwendungsprotokollen angezeigt. Für jede Sitzung wird eine detaillierte Karte gespeichert, die den Benutzern zur manuellen Analyse zur Verfügung steht.

16. T1032 : Standard-Kryptographieprotokoll


Die Verwendung bekannter Verschlüsselungsalgorithmen, um den C & C-Verkehr zu verbergen.

Was PT NAD tut : Mithilfe von Kompromissindikatoren oder -regeln erkennt PT NAD automatisch Verbindungen zu Servern von Cyberkriminellen. Wenn die Verbindungen zu ihnen durch das TLS-Protokoll geschützt sind, sieht der Informationssicherheitsspezialist dies in der PT NAD-Schnittstelle (das System bestimmt das TLS-Protokoll) und erkennt so die Verwendung der Standardtechnik des kryptografischen Protokolls.

17. T1095 : Standardprotokoll ohne Anwendungsschicht


Angreifer verwenden Protokolle außerhalb der Anwendungsebene für die Kommunikation zwischen einem Netzwerkknoten und einem C & C-Server oder zwischen gefährdeten Netzwerkknoten.

Was PT NAD tut : Da PT NAD den Rohdatenverkehr analysiert, erkennt es automatisch die Aktivität gängiger Malware-Familien, die Daten über Rohsockets übertragen, dh über TCP- oder UDP-Protokolle, ohne Protokolle der Anwendungsschicht zu verwenden. Metasploit-TCP-Shells werden ebenfalls erkannt.

18. T1065 : Gelegentlich verwendeter Port


C & C-Kommunikation über einen nicht standardmäßigen Port zum Umgehen von Proxyservern und Firewalls, die nicht richtig konfiguriert wurden.

Was PT NAD tut : Es bestimmt Anwendungsprotokolle anhand des Inhalts von Paketen und nicht anhand der Portnummern. Daher erkennt es automatisch die Verwendung von nicht standardmäßigen Ports für Standardprotokolle.

Exfiltration


Exfiltrationstaktiken bringen Techniken zusammen, mit denen Cyberkriminelle Daten aus einem kompromittierten Netzwerk stehlen. Um eine Erkennung zu vermeiden, werden Daten häufig durch Kombination mit Komprimierung und Verschlüsselung gepackt. Angreifer verwenden in der Regel C & C oder einen alternativen Kanal zur Exfiltration.

PT NAD erkennt zwei Datenexfiltrationstechniken.

1. T1048 : Exfiltration über alternatives Protokoll


Angreifer verwenden Protokolle, um andere Daten als die zu stehlen, die die Kommunikation mit Kommandozentralen ermöglichen. Unter den alternativen Protokollen: FTP, SMTP, HTTP / S, DNS. Externe Webdienste wie Cloud-Speicher können ebenfalls zur Exfiltration verwendet werden.

Was PT NAD tut: Erkennungsbeispiel \

Das DNSCAT2-Tool wird von Angreifern verwendet, um einen Netzwerkknoten fernzusteuern und Daten über die Befehlszeilenschnittstelle T1059: und die Exfiltration T1048: über alternative Protokolltechniken an einen Befehlsserver zu filtern.

PT NAD hat die DNSTCAT2-Verkehrsaktivität erkannt. Mit dem Tool können Sie den Netzwerkverkehr über das DNS-Protokoll zu einem C & C-Server tunneln. Im Datenverkehr sieht es aus wie ein großer Strom von DNS-Abfragen und -Antworten.



Erkennung der Anwendung der T1048-Technik: Die Exfiltration über alternative Protokoll-

DNS-Abfragen ist auf der Sitzungskarte sichtbar. Es wurde ein TXT-Datensatz für eine unlesbare und sehr lange Domain der dritten Ebene angefordert. Als Antwort kam ein ähnlicher unlesbarer Zeichensatz. Gleichzeitig ist die Paketlebensdauer (TTL) kurz. Dies sind alles Indikatoren für einen DNS-Tunnel.



DNS-Anforderungen zum Auflösen langer und nicht lesbarer DNS-Namen sind auf der Sitzungskarte sichtbar

2. T1041 : Exfiltration über Befehls- und Steuerkanal


Angreifer nutzen den C & C-Kanal, um Daten zu stehlen.

PT NAD sieht 18 gängige Techniken zur Kommunikation von Malware mit einer Angreifer-Kommandozentrale. Anzeichen für die Verwendung jeder dieser Methoden im Netzwerk weisen auf das Vorhandensein eines C & C-Kanals im Netzwerk hin, über den gestohlene Daten übertragen werden können.

Einschlag


Im letzten Schritt versuchen Angreifer, Systeme und Daten zu kontrollieren, in ihre Arbeit einzugreifen oder sie zu zerstören. Zu diesem Zweck verwenden sie Techniken, mit denen Sie die Verfügbarkeit oder Integrität von Systemen durch die Verwaltung von Betriebs- und Geschäftsprozessen stören können.

3. T1498 : Netzwerk-Denial-of-Service


Denial-of-Service-Angriff, um die Verfügbarkeit von Zielressourcen für Benutzer zu verringern oder zu blockieren.

Was PT NAD tut : Erkennt die Verstärkung (Verstärkung) eines Angriffs und die Verwendung von Exploits, die zu einem Denial-of-Service führen.

Während der Verstärkung (aus dem Englischen. Verstärkung - Verstärkung) sendet der Angreifer im Namen des Servers des Opfers Anforderungen an den öffentlichen DNS-Server. Ziel der Angreifer ist es, den Serverkanal des Opfers mit volumetrischen Antworten von öffentlichen DNS-Servern zu füllen.

4. T1496 : Ressourcenentführung


Nicht autorisierte Verwendung von Systemressourcen zur Lösung ressourcenintensiver Probleme. Dies kann sich auf die Verfügbarkeit des Systems oder des gehosteten Dienstes auswirken.

Was macht PT NAD?

: Zeigt die Aktivität von Crypto Mining-Protokollen und Torrents im Netzwerk an, was auf eine zusätzliche unangemessene Belastung des Netzwerks und der Geräte hinweist.

5. T1489 : Servicestopp


Angreifer können Dienste im System stoppen oder deaktivieren, um sie für legitime Benutzer unzugänglich zu machen.

Was PT NAD tut, ist ein Beispiel für die Erkennung : Cyberkriminelle haben den IIS-Webserverdienst gestoppt, um den Zugriff auf das Kundendienstportal zu blockieren. PT NAD hat einen Anruf beim Service Control Manager (SCM) erkannt, um den Dienst zu beenden. Dies ist dank der Inspektion des SMB-Verkehrs möglich.



Erkennung eines Angriffs, bei dem Angreifer eine Anforderung zum Trennen von Webserverdiensten gesendet haben

PT NAD erkennt automatisch Anrufe an SCM, um Dienste zu erstellen, zu ändern, zu starten und zu stoppen.

Wir erinnern Sie daran, dass die vollständige Zuordnung von PT NAD zur MITRE ATT & CK-Matrix  auf Habré veröffentlicht ist .

Anstelle einer Schlussfolgerung: Warum brauchen wir sonst ein NTA-System?


Der Datenverkehr ist eine nützliche Datenquelle zum Erkennen von Angriffen. Darin sehen Sie die Zeichen aller 12 Taktiken, die APT-Gruppen verwenden. Durch die Analyse des Datenverkehrs mithilfe von NTA-Systemen verringern Unternehmen die Wahrscheinlichkeit, dass Angreifer einen Angriff erfolgreich entwickeln und das Netzwerk vollständig gefährden. Es gibt andere Szenarien für die Verwendung von NTA-Klassensystemen.

  • Kontrolle der Netzwerkkonformität

Der Erfolg eines Cyberangriffs auf ein Unternehmen hängt vom Sicherheitsniveau seiner Unternehmensinfrastruktur ab. Die Analyse des Verkehrs großer russischer Unternehmen ergab, dass Mitarbeiter in 94% der Fälle die Richtlinien zur Informationssicherheit nicht einhalten . Sicherheitsrichtlinien vieler Organisationen verbieten Mitarbeitern, fragwürdige Ressourcen zu besuchen, Torrents herunterzuladen, Instant Messenger zu installieren oder verschiedene Dienstprogramme für den Remotezugriff zu verwenden.

Bei der Analyse von Netzwerkprotokollen sieht das NTA-System die Übertragung von Passwörtern in klarer Form, unverschlüsselte E-Mail-Nachrichten und die Verwendung von Software für den Fernzugriff. Dies hilft bei der Steuerung der Implementierung von Kennwortrichtlinien, der Verwendung von RAT und unsicheren Datenübertragungsprotokollen.

Lesen Sie das Webinar oder lesen Sie einen Artikel des Security Center-Experten PT Expert Security Center , um herauszufinden, welche Verstöße gegen die Vorschriften zur Informationssicherheit am häufigsten auftreten, da sie von PT NAD erkannt werden, und um dieses Problem zu beheben .

  • Angriffsuntersuchung

NTA-Systeme, in denen Sitzungsmetadaten und unformatierter Datenverkehr gespeichert sind, helfen bei der Untersuchung von Vorfällen: Lokalisieren Sie eine Bedrohung, stellen Sie den Angriffsverlauf wieder her, identifizieren Sie Schwachstellen in der Infrastruktur und erarbeiten Sie Ausgleichsmaßnahmen.

Sehen Sie sich ein Beispiel für eine Untersuchung eines Fallangriffs auf eine Muttergesellschaft eines großen Unternehmens an.

  • Theaterjagd

NTA-Tools können auch für die Bedrohungssuche verwendet werden. Bedrohungssuche - der Prozess der Suche nach Bedrohungen, die von herkömmlichen Sicherheitstools nicht erkannt werden. Der Spezialist stellt beispielsweise eine Hypothese über das Vorhandensein einer Hacker-Gruppe im Netzwerk, über das Vorhandensein eines internen Eindringlings oder eines Datenlecks auf und überprüft diese. Mit dieser Methode können Sie Kompromisse und Schwachstellen in der Infrastruktur identifizieren, auch wenn Sicherheitssysteme keine Signale geben.

Sehen Sie sich ein Webinar mit drei Fallstudien zur Bedrohungssuche mit PT NAD an.

Wie greifen sie Ihr Unternehmen an? Im Netzwerk haben 97% der Unternehmen verdächtige Verkehrsaktivitäten. Überprüfen Sie, was in Ihrem Netzwerk passiert - füllen Sie einen Antrag für einen kostenlosen „Piloten“ des PT NAD-Verkehrsanalysesystems aus .

Autoren :

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles