🏳️‍🌈 🏉 🙇🏾 Cómo los sistemas de análisis de tráfico detectan las tácticas de hackers MITER ATT y CK utilizando PT Network Attack Discovery 🏂 🦓 🧗🏿

En un artículo anterior , examinamos las técnicas de dos tácticas MITER ATT y CK: acceso inicial y ejecución, así como también cómo detectar actividad sospechosa en el tráfico de red utilizando nuestra solución NTA . Ahora le mostraremos cómo funcionan nuestras tecnologías con técnicas de persistencia, escalada de privilegios y evasión de defensa.

Fijación (persistencia)

Los atacantes utilizan tácticas de fijación para garantizar su presencia continua en el sistema atacado. Deben asegurarse de que incluso después de reiniciar el sistema o cambiar las credenciales, su acceso al sistema se mantendrá. Por lo tanto, en cualquier momento podrán controlar un sistema comprometido, moverse a lo largo de la infraestructura y lograr sus objetivos.

Mediante el análisis de tráfico, puede descubrir cinco técnicas de fijación.

1. T1133 : servicios remotos externos

La técnica de utilizar servicios remotos externos para consolidar externamente los recursos internos de la empresa. Ejemplos de tales servicios: VPN y Citrix.

Qué hace PT Network Attack Discovery (PT NAD) : ve las sesiones de red establecidas a través de VPN o Citrix en la red interna de la compañía. El analista puede estudiar tales sesiones en detalle y llegar a una conclusión sobre su legitimidad.

2. T1053 : tarea programada

Usar el Programador de tareas de Windows y otras utilidades para programar el lanzamiento de programas o scripts en un momento específico. Los atacantes crean tales tareas, como regla, de forma remota, lo que significa que tales sesiones con el lanzamiento de los programadores de tareas son visibles en el tráfico.

Qué hace PT NAD : si un controlador de dominio envía archivos XML que describen tareas creadas a través de políticas de grupo, nuestra solución NTA extrae automáticamente dichos archivos. Contienen información sobre la frecuencia de lanzamiento de la tarea, lo que puede indicar el uso del programador de tareas para la consolidación en la red.

3. T1078 : cuentas válidas

Uso de credenciales: estándar, local o de dominio para autorización en servicios externos e internos.

Qué hace PT NAD : extrae automáticamente las credenciales de los protocolos HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. En general, este es un nombre de usuario, contraseña y un signo de autenticación exitosa. Si se usaron, se muestran en la tarjeta de sesión correspondiente.

4. T1100 : shell web

Un script que está alojado en un servidor web y permite a un atacante obtener el control de ese servidor. Dado que dichos scripts funcionan en modo automático y continúan funcionando incluso después de reiniciar el servidor, los ciberdelincuentes pueden utilizar esta técnica durante la fase de reparación del sistema.

Qué hace PT NAD : detecta automáticamente la carga de shells web comunes, accediendo a ellos a través de solicitudes HTTP y enviando comandos.

5. T1084 : Suscripción de eventos de instrumentación de administración de Windows

Suscripción a eventos en WMI: tecnologías para administrar componentes de sistemas operativos locales y remotos. Los atacantes pueden usar WMI para suscribirse a ciertos eventos y activar la ejecución de código malicioso cuando ocurre este evento. Por lo tanto, los atacantes aseguran una presencia constante en el sistema. Ejemplos de eventos a los que puede suscribirse: el inicio de una determinada hora en el reloj del sistema o la caducidad de una determinada cantidad de segundos desde el momento en que se inicia el sistema operativo.

¿Qué hace PT NAD?: Detecta el uso de la técnica de suscripción de eventos de instrumentación de administración de Windows mediante reglas. Uno de ellos funciona cuando la red utiliza la clase de suscriptor estándar ActiveScriptEventConsumer, que permite que el código se ejecute cuando se produce un evento y, por lo tanto, conecta al atacante al nodo de la red.

Por ejemplo, después de analizar una tarjeta de sesión con una activación de regla, vemos que esta actividad fue causada por la herramienta hacker Impacket: en la misma sesión, funcionó un detector para usar esta herramienta para la ejecución remota de código.

La tarjeta de sesión en la que se reveló el uso de la herramienta Impacket. Con su ayuda, los atacantes usan un suscriptor estándar para ejecutar comandos de forma remota

Escalada de privilegios

Las técnicas de escalada de privilegios están destinadas a obtener permisos de nivel superior en el sistema atacado. Para hacer esto, los atacantes explotan las debilidades de los sistemas, explotan los errores de configuración y las vulnerabilidades.

1. T1078 : cuentas válidas

Esto es robo de identidad: estándar, local o dominio.

Qué hace PT NAD : ve qué usuario ha iniciado sesión, por lo que es posible identificar entradas ilegítimas. Una de las formas más comunes de aumentar los privilegios en un host remoto o local que ejecuta Windows es crear una tarea del planificador de tareas de Windows que se ejecutará en nombre de NT AUTHORITY \ SYSTEM, lo que hace posible ejecutar comandos con privilegios máximos en el sistema.

Considere el caso de crear dicha tarea a través de la red utilizando la herramienta ATExec. Se basa en los componentes de la biblioteca Impacket y se creó para demostrar la capacidad de la biblioteca para trabajar con el protocolo remoto para el programador de tareas. Su trabajo es visible en el tráfico de red, e ilustra bien la técnica de elevar privilegios desde el nivel de administrador de un nodo de red al nivel NT AUTHORITY \ SYSTEM.

PT NAD detectó automáticamente la creación de tareas del planificador en el host remoto. La tarjeta de ataque a continuación muestra que la conexión se realizó en nombre del usuario contoso \ user02. Una conexión SMB exitosa al recurso ADMIN $ del host de destino indica que este usuario es miembro del grupo de administradores locales en el host de destino. Sin embargo, la descripción XML de la tarea indica que se ejecutará en el contexto de NT AUTHORITY \ SYSTEM (SID S-1-5-18):

detección de la creación de tareas remotas utilizando la utilidad ATExec

Evasión de defensa

Esta táctica reúne técnicas mediante las cuales un atacante puede ocultar actividades maliciosas y evitar la detección por medio de protección. Nueve de estas técnicas se pueden detectar utilizando sistemas de análisis de tráfico.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

Los atacantes están preparando un archivo .inf de instalación maliciosa especial para la utilidad Instalador de perfiles de Windows Connectivity Manager (CMSTP.exe). CMSTP.exe toma el archivo como parámetro y establece el perfil de servicio para una conexión remota. Como resultado, CMSTP.exe se puede usar para descargar y ejecutar bibliotecas conectadas dinámicamente (* .dll) o scriptlets (* .sct) desde servidores remotos. De esta manera, los atacantes pueden omitir la política de la lista blanca para ejecutar programas.

Qué hace PT NAD : detecta automáticamente la transmisión de archivos .inf especiales en el tráfico HTTP. Además de esto, ve la transmisión del protocolo HTTP de scriptlets maliciosos y bibliotecas conectadas dinámicamente desde un servidor remoto.

2. T1090 : proxy de conexión

Los atacantes pueden usar un servidor proxy como intermediario para intercambiar datos con un servidor C2. Por lo tanto, evitan las conexiones directas a su infraestructura y complican la capacidad de detectarlos.

Qué hace PT NAD : determina el uso del protocolo SOCKS5 (envía datos desde el cliente al servidor de destino a través de un servidor proxy invisible para ellos) y un proxy HTTP. Si las conexiones a través del protocolo SOCKS 5 oa través de un servidor proxy HTTP están asociadas con eventos sospechosos, entonces dichas conexiones pueden indicar un compromiso.

3. T1207 : DCShadow

Crear un controlador de dominio falso para evitar la detección por parte de los sistemas SIEM, que permite modificaciones maliciosas en el esquema AD a través del mecanismo de replicación.

Qué hace PT NAD : cuando se usa la técnica DCShadow, se crea un controlador de dominio falso que no envía eventos a SIEM. Usando dicho controlador de dominio, un atacante puede modificar los datos de Active Directory, por ejemplo, información sobre cualquier objeto de dominio, credenciales de usuario y claves.

El uso de dicha técnica se puede identificar por el tráfico. Muestra claramente la adición de un nuevo objeto al esquema de configuración del tipo de controlador de dominio. El sistema NTA detecta un intento de atacar DCShadow detectando el tráfico específico de un controlador de dominio desde un nodo de red que no es un controlador de dominio.

PT NAD registró un intento de atacar DCShadow

4. T1211 : explotación para evasión de defensa

Explotación de vulnerabilidades del sistema de destino para eludir las características de seguridad.

Qué hace PT NAD : Detecta automáticamente varias técnicas populares de explotación de vulnerabilidades. Por ejemplo, identifica una técnica para eludir la seguridad de la aplicación web basada en encabezados HTTP duplicados.

5. T1170 : mshta

Usando la utilidad mshta.exe, que ejecuta aplicaciones HTML de Microsoft (HTA) con la extensión .hta. Dado que mshta procesa archivos sin pasar por la configuración de seguridad del navegador, los atacantes pueden usar mshta.exe para ejecutar archivos maliciosos HTA, JavaScript o VBScript. Los atacantes utilizan la técnica mshta con mayor frecuencia para eludir las políticas de listas blancas para ejecutar programas y activar las reglas de detección SIEM.

Qué hace PT NAD : detecta la transferencia de archivos HTA maliciosos automáticamente. Captura archivos y la información sobre ellos se puede ver en la tarjeta de sesión.

6. T1027 : archivos ofuscados o información

Intento de dificultar la detección y el análisis de un archivo ejecutable o tráfico de red para que las herramientas de seguridad puedan detectar y analizar cifrando, codificando u ofuscando (ofuscando) su contenido.

Lo que hace PT NAD : detecta la transferencia de archivos ejecutables codificados con algoritmos Base64, ROT13 o cifrados con gamma. El tráfico ofuscado que crea algún malware también se detecta automáticamente.

7. T1108 : acceso redundante

Una técnica en la que los atacantes usan más de una utilidad de acceso remoto. Si se detecta y bloquea una de las herramientas, los atacantes seguirán teniendo acceso a la red.

Lo que hace PT NAD : analiza protocolos populares, por lo que ve la actividad de cada nodo de red. Usando filtros, el analista puede encontrar todas las sesiones de herramientas de acceso remoto instaladas desde un nodo.

8. T1064 : scripting

Ejecución de scripts para automatizar diversas acciones de los atacantes, incluida la omisión de las políticas de listas blancas para iniciar programas.

Lo que hace PT NAD : revela los hechos de la transmisión de scripts a través de la red, es decir, incluso antes de su lanzamiento. Detecta el contenido de los scripts en el tráfico sin procesar y detecta la transferencia de archivos a través de la red con extensiones correspondientes a los populares lenguajes de scripting.

9. T1045 : embalaje de software

Una técnica en la que los atacantes utilizan utilidades especiales para comprimir o cifrar un archivo ejecutable para evitar ser detectados por los sistemas de protección de firmas. Tales utilidades se llaman empacadores.

Qué hace PT NAD : detecta automáticamente signos de que el archivo ejecutable transmitido ha sido modificado usando el popular empaquetador.

En lugar de una conclusión

Le recordamos que el mapeo completo de PT NAD a la matriz MITER ATT & CK se publica en Habré .

En los siguientes artículos, hablaremos sobre otras tácticas y técnicas de los piratas informáticos y cómo el sistema NTA de PT Network Attack Discovery ayuda a identificarlos. ¡Quédate con nosotros!

Autores

Anton Kutepov, especialista, PT Expert Security Center Positive Technologies
Natalia Kazankova, comercializadora de productos Positive Technologies

Cómo los sistemas de análisis de tráfico detectan las tácticas de hackers MITER ATT y CK utilizando PT Network Attack Discovery