Get best of the week

Cómo los sistemas de análisis de tráfico detectan las tácticas de hackers MITER ATT y CK utilizando PT Network Attack Discovery



Según Verizon , la mayoría (87%) de los incidentes de seguridad de la información ocurren en minutos, y el 68% de las empresas tarda meses en detectarlos. Esto lo confirma el estudio del Instituto Ponemon , según el cual la mayoría de las organizaciones tardan un promedio de 206 días en detectar un incidente. Según la experiencia de nuestras investigaciones, los piratas informáticos pueden controlar la infraestructura de la empresa durante años y no ser detectados. Entonces, en una de las organizaciones donde nuestros expertos investigaron el incidente de IS, se reveló que los piratas informáticos controlaron por completo toda la infraestructura de la organización y regularmente robaron información importante durante ocho años .

Supongamos que ya tiene SIEM en ejecución, que recopila registros y analiza eventos, y los antivirus están instalados en los nodos finales. Sin embargo,No todo se puede detectar con SIEM , ya que es imposible implementar sistemas EDR en toda la red, lo que significa que no se pueden evitar los puntos ciegos. Los sistemas de análisis de tráfico de red (NTA) ayudan a hacerles frente. Estas decisiones revelan la actividad de los atacantes en las primeras etapas de penetración en la red, así como durante los intentos de establecerse y desarrollar un ataque dentro de la red.

Hay dos tipos de NTA: algunos funcionan con NetFlow, el segundo analiza el tráfico sin procesar. La ventaja de los segundos sistemas es que pueden almacenar registros de tráfico sin procesar. Gracias a esto, el especialista en seguridad de la información puede verificar el éxito del ataque, localizar la amenaza, comprender cómo ocurrió el ataque y cómo prevenir uno similar en el futuro.

Mostraremos cómo, con la ayuda de NTA, es posible, mediante signos directos o indirectos, identificar todas las tácticas de ataque conocidas descritas en la base de conocimiento MITER ATT & CK . Hablaremos sobre cada una de las 12 tácticas, analizaremos las técnicas que detecta el tráfico y demostraremos su detección utilizando nuestro sistema NTA.

Sobre la base de conocimiento ATT & CK


MITRE ATT & CK es una base de conocimiento público desarrollada y mantenida por MITRE Corporation basada en el análisis de APT reales. Es un conjunto estructurado de tácticas y técnicas utilizadas por los atacantes. Esto permite a los profesionales de seguridad de la información de todo el mundo hablar el mismo idioma. La base se expande y actualiza constantemente con nuevos conocimientos.

En la base de datos, se distinguen 12 tácticas, que se dividen por las etapas de un ciberataque:

  • acceso inicial
  • ejecución
  • consolidación (persistencia);
  • escalada de privilegios
  • prevención de detección (evasión de defensa);
  • obtener acceso de credenciales;
  • inteligencia (descubrimiento);
  • movimiento dentro del perímetro (movimiento lateral);
  • recopilación de datos (recopilación);
  • gestión y control (comando y control);
  • exfiltración
  • impacto

Para cada táctica, la base de conocimiento ATT & CK enumera una lista de técnicas que ayudan a los atacantes a alcanzar sus objetivos en la etapa actual del ataque. Dado que la misma técnica se puede utilizar en diferentes etapas, puede relacionarse con varias tácticas.

La descripción de cada técnica incluye:

  • identificador
  • lista de tácticas en las que se aplica;
  • ejemplos de uso por grupos APT;
  • medidas para reducir el daño de su uso;
  • recomendaciones de detección.

Los especialistas en seguridad de la información pueden usar el conocimiento de la base de datos para estructurar la información sobre los métodos de ataque actuales y, con esto en mente, construir un sistema de seguridad efectivo. Comprender cómo operan los grupos APT reales, incluso puede ser una fuente de hipótesis para una búsqueda proactiva de amenazas en el marco de la caza de amenazas .

Acerca de PT Network Attack Discovery


Identificaremos el uso de técnicas de la matriz ATT & CK utilizando el sistema PT Network Attack Discovery: sistema NTA de Positive Technologies diseñado para detectar ataques en el perímetro y dentro de la red. PT NAD en diversos grados cubre las 12 tácticas de la matriz MITER ATT & CK. Es más poderoso en la identificación de técnicas para acceso inicial, movimiento lateral y comando y control. En ellos, PT NAD cubre más de la mitad de las técnicas conocidas, revelando su uso por signos directos o indirectos.

El sistema detecta ataques usando técnicas ATT y CK usando las reglas de detección creadas por el equipo de PT Expert Security Center(PT ESC), aprendizaje automático, indicadores de compromiso, análisis en profundidad y análisis retrospectivo. El análisis de tráfico en tiempo real en combinación con una retrospectiva le permite identificar la actividad maliciosa oculta actual y rastrear los vectores de desarrollo y el historial de ataques.

Aquí está el mapeo completo de PT NAD a la matriz MITER ATT & CK. La imagen es grande, por lo que le sugerimos que la considere en una ventana separada.

Acceso inicial



Las tácticas para obtener acceso inicial incluyen técnicas para penetrar en la red de la empresa. El objetivo de los atacantes en esta etapa es entregar código malicioso al sistema atacado y garantizar la posibilidad de su posterior ejecución.

El análisis de tráfico con PT NAD revela siete técnicas para obtener acceso inicial:

1. T1189 : compromiso de conducción


Una técnica en la que una víctima abre un sitio web que utilizan los ciberdelincuentes para operar un navegador web y obtener tokens de acceso para una aplicación.

Qué hace PT NAD : si el tráfico web no está cifrado, PT NAD inspecciona el contenido de las respuestas del servidor HTTP. Es en estas respuestas que hay vulnerabilidades que permiten a los atacantes ejecutar código arbitrario dentro del navegador. PT NAD detecta automáticamente dichos exploits utilizando reglas de detección.

Además, PT NAD detecta una amenaza en el paso anterior. Las reglas e indicadores de compromiso se activan si un usuario visita un sitio que lo redirige a un sitio con muchas vulnerabilidades.

2. T1190 : explotar la aplicación pública


Explotación de vulnerabilidades en servicios accesibles desde Internet.

Qué hace PT NAD : realiza una inspección profunda del contenido de los paquetes de red, revelando signos de actividad anormal en él. En particular, hay reglas que le permiten detectar ataques en el sistema de administración de contenido principal (CMS), interfaces web de equipos de red, ataques en servidores de correo y FTP.

3. T1133 : servicios remotos externos


El uso de servicios de acceso remoto por parte de atacantes para conectarse a recursos de red internos desde el exterior.

Qué hace PT NAD : dado que el sistema reconoce los protocolos no por números de puerto, sino por el contenido de los paquetes, los usuarios del sistema pueden filtrar el tráfico para que puedan encontrar todas las sesiones de protocolos de acceso remoto y verificar su legitimidad.

4. T1193 : accesorio de pesca submarina


Estamos hablando de los notorios archivos adjuntos de phishing.

Qué hace PT NAD : Extrae automáticamente archivos del tráfico y los compara con indicadores de compromiso. Los archivos ejecutables en archivos adjuntos se detectan mediante reglas que analizan el contenido del tráfico de correo. En un entorno corporativo, dicha inversión se considera anormal.

5. T1192 : enlace de pesca submarina


Usando enlaces de phishing. La técnica consiste en enviar correos electrónicos de phishing por parte de un usuario malintencionado con un enlace que, al hacer clic, descarga un programa malicioso. Por lo general, el enlace va acompañado de un texto compilado de acuerdo con todas las reglas de la ingeniería social.

Qué hace PT NAD : detecta enlaces de phishing utilizando indicadores de compromiso. Por ejemplo, en la interfaz PT NAD vemos una sesión en la que había una conexión HTTP usando un enlace que figura en la lista de URL de phishing.



Vinculación de la lista de indicadores de URL de phishing de compromiso

6. T1199 : relación de confianza


Acceso a la red de la víctima a través de terceros con quienes la víctima tiene una relación de confianza. Los atacantes pueden hackear una organización confiable y conectarse a través de ella a la red objetivo. Para hacer esto, utilizan conexiones VPN o fideicomisos de dominio, que pueden detectarse mediante análisis de tráfico.

Qué hace PT NAD : analiza los protocolos de aplicación y guarda los campos analizados en la base de datos, por lo que el analista de IB puede usar los filtros para encontrar todas las conexiones VPN sospechosas o conexiones de dominio cruzado en la base de datos.

7. T1078 : cuentas válidas


Uso de credenciales estándar, locales o de dominio para la autorización en servicios externos e internos.

Qué hace PT NAD : extrae automáticamente las credenciales de los protocolos HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. En general, este es un nombre de usuario, contraseña y un signo de autenticación exitosa. Si se usaron, se muestran en la tarjeta de sesión correspondiente.

Ejecución


Las tácticas de ejecución incluyen técnicas que los ciberdelincuentes usan para ejecutar código en sistemas comprometidos. La ejecución de código malicioso ayuda a los atacantes a consolidar su presencia (tácticas de persistencia) y ampliar el acceso a sistemas remotos en la red al moverse dentro del perímetro.

PT NAD puede detectar el uso por parte de los atacantes de 14 técnicas utilizadas para ejecutar código malicioso.

1. T1191 : CMSTP (instalador del perfil de Microsoft Connection Manager)


Una táctica en la que los atacantes preparan un archivo INF especial de instalación maliciosa para la utilidad CMSTP.exe (instalador del perfil del administrador de conexión) integrado en Windows. CMSTP.exe toma el archivo como parámetro y establece el perfil de servicio para una conexión remota. Como resultado, CMSTP.exe se puede usar para descargar y ejecutar bibliotecas conectadas dinámicamente (* .dll) o scriptlets (* .sct) desde servidores remotos.

Qué hace PT NAD : detecta automáticamente la transmisión de archivos .inf especiales en el tráfico HTTP. Además de esto, detecta la transferencia de scriptlets maliciosos y bibliotecas conectadas dinámicamente a través del protocolo HTTP desde un servidor remoto.

2. T1059 : interfaz de línea de comandos


Interacción con la interfaz de línea de comando. Puede interactuar con la interfaz de línea de comandos de forma local o remota, por ejemplo, utilizando utilidades de acceso remoto.

Qué hace PT NAD : detecta automáticamente la presencia de shells respondiendo a los comandos para iniciar varias utilidades de línea de comandos, como ping, ifconfig.

3. T1175 : modelo de objeto componente y COM distribuido


Uso de tecnologías COM o DCOM para ejecutar código en sistemas locales o remotos cuando se mueve a través de una red.

Qué hace PT NAD : detecta llamadas sospechosas de DCOM que los atacantes suelen usar para ejecutar programas.

4. T1203 : explotación para la ejecución del cliente.


Explotación de vulnerabilidades para ejecutar código arbitrario en una estación de trabajo. Los exploits más útiles para los atacantes son aquellos que permiten que el código se ejecute en un sistema remoto, ya que con su ayuda los atacantes pueden obtener acceso a dicho sistema. La técnica se puede implementar utilizando los siguientes métodos: lista de correo maliciosa, sitio web con exploits de exploradores y explotación remota de vulnerabilidades de aplicaciones.

Qué hace PT NAD : mientras analiza el tráfico de correo, PT NAD lo comprueba en busca de archivos ejecutables en el archivo adjunto. Extrae automáticamente documentos de oficina de cartas en las que puede haber vulnerabilidades. Los intentos de explotar vulnerabilidades son visibles en el tráfico que PT NAD detecta automáticamente.

5. T1170 : mshta


Usando la utilidad mshta.exe, que ejecuta aplicaciones HTML de Microsoft (HTA) con la extensión .hta. Dado que mshta procesa archivos sin pasar por la configuración de seguridad del navegador, los atacantes pueden usar mshta.exe para ejecutar archivos maliciosos HTA, JavaScript o VBScript.

Qué hace PT NAD : los archivos .hta para ejecución a través de mshta se transmiten incluso a través de la red; esto se puede ver en el tráfico. PT NAD detecta la transferencia de dichos archivos maliciosos automáticamente. Captura archivos, y la información sobre ellos se puede ver en la tarjeta de sesión.

6. T1086 : PowerShell


Usando PowerShell para buscar información y ejecutar código malicioso.

Qué hace PT NAD : cuando los atacantes usan PowerShell de forma remota, PT NAD lo detecta mediante reglas. Descubre palabras clave de PowerShell que se usan con mayor frecuencia en scripts maliciosos y transfiere scripts de PowerShell utilizando el protocolo SMB.

7. T1053 : tarea programada
Use el programador de tareas de Windows y otras utilidades para iniciar automáticamente programas o scripts en un momento específico.

¿Qué hace PT NAD?: los atacantes crean tales tareas, generalmente de forma remota, lo que significa que dichas sesiones son visibles en el tráfico. PT NAD detecta automáticamente operaciones de creación y modificación de tareas sospechosas utilizando las interfaces ATSVC e ITaskSchedulerService RPC.

8. T1064 : scripting


Ejecución de scripts para automatizar diversas acciones de ataque.

Lo que hace PT NAD : revela los hechos de la transmisión de scripts a través de la red, es decir, incluso antes de su lanzamiento. Detecta el contenido de los scripts en el tráfico sin procesar y detecta la transferencia de archivos a través de la red con extensiones correspondientes a los populares lenguajes de scripting.

9. T1035 : ejecución del servicio


Ejecute un archivo ejecutable, instrucciones de interfaz de línea de comandos o un script interactuando con los servicios de Windows, como un Administrador de control de servicios (SCM).

Qué hace PT NAD : inspecciona el tráfico SMB y detecta el acceso SCM a las reglas para crear, modificar e iniciar un servicio.

La técnica de iniciar servicios se puede implementar utilizando la utilidad para la ejecución remota de comandos PSExec. PT NAD analiza el protocolo SMB y detecta el uso de PSExec cuando utiliza el archivo PSEXESVC.exe o el nombre del servicio estándar PSEXECSVC para ejecutar el código en una máquina remota. El usuario debe verificar la lista de comandos ejecutados y la legitimidad de la ejecución remota de comandos desde el nodo.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


Una técnica en la que los atacantes obtienen acceso al software de administración remota o un sistema de implementación de software corporativo y los utilizan para lanzar código malicioso. Ejemplos de dicho software: SCCM, VNC, TeamViewer, HBSS, Altiris.
Por cierto, la técnica es especialmente relevante en relación con la transición masiva al trabajo remoto y, como resultado, la conexión de numerosos dispositivos inseguros para el hogar a través de canales de acceso remoto cuestionables.

¿Qué hace PT NAD?: Detecta automáticamente el funcionamiento de dicho software en la red. Por ejemplo, las reglas se activan por los hechos de la conexión VNC y la actividad del troyano EvilVNC, que instala secretamente el servidor VNC en el host de la víctima y lo inicia automáticamente. PT NAD también detecta automáticamente el protocolo TeamViewer, esto ayuda al analista a usar el filtro para encontrar todas esas sesiones y verificar su legitimidad.

11. T1204 : ejecución del usuario


Una técnica en la que un usuario ejecuta archivos que pueden conducir a la ejecución de código. Esto puede ser, por ejemplo, si abre un archivo ejecutable o ejecuta un documento de Office con una macro.

Qué hace PT NAD : ve dichos archivos en la etapa de transferencia, antes de que se inicien. La información sobre ellos se puede estudiar en las sesiones de tarjetas, en las que se transmitieron.

12. T1047 : Instrumentación de administración de Windows


Usando la herramienta WMI, que proporciona acceso local y remoto a los componentes del sistema de Windows. Usando WMI, los atacantes pueden interactuar con sistemas locales y remotos y realizar muchas tareas, por ejemplo, recopilar información con fines de reconocimiento e iniciar procesos de forma remota durante el movimiento horizontal.

Qué hace PT NAD : dado que las interacciones con sistemas remotos a través de WMI son visibles en el tráfico, PT NAD detecta automáticamente las solicitudes de red para establecer sesiones WMI y verifica el tráfico para la transmisión de secuencias de comandos que usan WMI.

13. T1028 : Administración remota de Windows


Usando el servicio y protocolo de Windows, que permite al usuario interactuar con sistemas remotos.

Lo que hace PT NAD : ve las conexiones de red establecidas mediante la Administración remota de Windows. Dichas sesiones son detectadas automáticamente por las reglas.

14. T1220 : Procesamiento de script XSL (Lenguaje de hoja de estilo extensible)


El lenguaje de marcado XSL se utiliza para describir el procesamiento y la visualización de datos en archivos XML. Para admitir operaciones complejas, el estándar XSL incluye soporte para scripts incrustados en varios idiomas. Estos lenguajes permiten la ejecución de código arbitrario, lo que conduce a omitir las políticas de seguridad basadas en listas blancas.

Qué hace PT NAD : revela los hechos de la transferencia de dichos archivos a través de la red, es decir, incluso antes de su lanzamiento. Detecta automáticamente el hecho de que los archivos XSL se transmiten a través de la red y los archivos con marcado XSL anómalo.

En los siguientes artículos, veremos cómo el sistema PT Network Attack Discovery NTA encuentra otras tácticas y técnicas de atacantes de acuerdo con MITER ATT & CK. ¡Manténganse al tanto!

autores :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles