Get best of the week

Cómo los sistemas de análisis de tráfico detectan tácticas de piratas informáticos por MITER ATT & CK, Parte 3



En publicaciones anteriores ( primera y segunda parte), examinamos las técnicas de las cinco tácticas de MITER ATT & CK:

  • acceso inicial
  • ejecución
  • consolidación (persistencia);
  • escalada de privilegios
  • detección preventiva (evasión de defensa).

Además, mostramos cómo, con la ayuda de nuestra solución NTA, es posible reconocer actividades sospechosas en el tráfico de la red. Ahora le mostraremos cómo funcionan nuestras tecnologías con acceso a credenciales y técnicas de descubrimiento.

Obteniendo acceso de credenciales


Esta táctica implica técnicas destinadas a robar datos que pueden usarse para la autenticación (por ejemplo, nombres de usuario y contraseñas). El uso de cuentas legítimas ayuda a los atacantes a obtener acceso a los sistemas, a crear más registros para proteger y hace que sea más difícil detectar la presencia de atacantes en la red.

A continuación hay cuatro técnicas que pueden identificarse por actividad sospechosa en el tráfico.

1. T1110 : fuerza bruta


La técnica de obtener acceso a los servicios utilizando métodos de fuerza bruta cuando las credenciales son desconocidas o parcialmente conocidas. Por lo general, seleccionan nombres de usuario, contraseñas o sumas hash de contraseñas.

Qué hace PT Network Attack Discovery (PT NAD) : detecta automáticamente signos de adivinación de contraseña durante la autenticación utilizando los protocolos LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. Además, identifica intentos de seleccionar credenciales para servicios web populares como phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. Dichos ataques generan una gran cantidad de intentos de autenticación fallidos, que se pueden ver en el tráfico.

2. T1003 : dumping de credenciales


Obtención de credenciales (generalmente un hash o una contraseña abierta) de sistemas operativos o software. Consideraremos esta técnica con más detalle para demostrar su detección en el tráfico.

Qué hace PT NAD: Un ejemplo de
acceso registrado de detección de PT NAD al registro del controlador de dominio utilizando la utilidad secreta hacker, basada en los módulos de la biblioteca Impacket. La tarea principal de la utilidad es obtener hash de contraseña de usuario. Con su ayuda, los atacantes se autentican con el controlador de dominio a través del protocolo SMB, se conectan al Service Control Manager (SCM), luego usan el protocolo WINREG para conectarse al registro remoto y copiar los datos necesarios al archivo local. Después de eso, el archivo se descarga a su nodo de red a través de SMB.



Identificación de una consulta para la clave de registro LSA que contiene los hash de las contraseñas de usuario de dominio

En la misma sesión, donde PT NAD registró el acceso al registro del controlador de dominio, se transfirieron los mismos archivos en los que la utilidad secretsdump guardó información importante del registro del controlador de dominio. Por los nombres de las reglas activadas en la interfaz PT NAD, es evidente que los atacantes obtuvieron hashes de contraseñas de usuarios de dominio de LSA y locales de SAM:



los archivos que los atacantes lograron descargar se reflejan en la tarjeta de sesión

3. T1212 : explotación para acceso de credenciales


Una técnica para que un atacante obtenga acceso a las credenciales como resultado de la explotación de vulnerabilidades en el software.

Lo que hace PT NAD : ve el tráfico explotando muchas vulnerabilidades. Por ejemplo, MS14-068 podría usarse para falsificar tickets de Kerberos. Un atacante solicita un ticket de un tipo especial (TGT, Ticket Granted Ticket), se agrega a un grupo privilegiado y modifica este ticket para que el controlador de dominio vulnerable lo reconozca como válido. PT NAD identifica las solicitudes de dichos tickets.

4. T1208 : kerberoasting


Un método para recuperar cuentas de servicio de Active Directory como usuario normal. Cualquier usuario de dominio puede solicitar un ticket Kerberos para acceder al servicio en Active Directory (Servicio de concesión de tickets). TGS se cifra con el hash de contraseña de la cuenta desde la que se ejecuta el servicio de destino. Un atacante que obtuvo TGS ahora puede descifrarlo, tomar una contraseña y no tener miedo de bloquear, ya que lo hace sin conexión. Si tiene éxito, recibe una contraseña de una cuenta asociada con el servicio, que a menudo es privilegiada.

¿Qué hace PT NAD?: Corrige las solicitudes de inclusión de servicios en Active Directory que pueden convertirse en objetivos para un ataque. Esta etapa es necesaria para que los atacantes seleccionen un servicio para atacar, y precede a la solicitud de un boleto TGS y selección fuera de línea. PT NAD también detecta automáticamente las solicitudes de tickets TGS encriptados con el algoritmo RC4, que es uno de los signos de un ataque de Kerberoasting.

Descubrimiento


Después de establecerse y acceder al sistema, los atacantes deben comprender dónde se encuentran en la infraestructura, qué los rodea y qué pueden controlar. Durante el reconocimiento, los atacantes recopilan datos sobre el sistema y la red interna, lo que ayuda a navegar por la infraestructura y decidir cómo proceder. Para esto, a menudo se utilizan herramientas integradas de sistemas operativos.
El análisis del tráfico revela el uso de diez técnicas de inteligencia.

1. T1087 : descubrimiento de cuenta


Intentando obtener una lista de cuentas de dominio o sistema local.

Lo que hace PT NAD: un ejemplo de detección Los
atacantes intentaron obtener información de un controlador de dominio sobre cuentas de dominio a través de LDAP, un protocolo ligero de acceso a directorios. PT NAD detectó una solicitud LDAP. Este método de obtención de cuentas de dominio puede aplicarse tanto a la técnica T1087 (descubrimiento de cuenta) como a T1069 (descubrimiento de grupos de permisos).



Intento de inteligencia para obtener información de la cuenta de dominio a través de LDAP

2. T1482 : descubrimiento de confianza de dominio


Busque información de confianza de dominio. Los atacantes usan tales relaciones para el movimiento horizontal en infraestructuras multidominio.

Qué hace PT NAD : se puede obtener una lista de relaciones de confianza entre dominios mediante consultas RPC y LDAP. PT NAD detecta automáticamente los intentos de enumerar confianzas entre dominios utilizando el protocolo LDAP y la llamada EnumTrustDom RPC.

3. T1046 : escaneo de servicios de red


Intentando obtener una lista de servicios que se ejecutan en nodos de red remotos. Esto es posible con la ayuda de las herramientas y vulnerabilidades de escaneo de puertos instaladas.

Qué hace PT NAD : detecta signos de herramientas de escaneo de puertos y vulnerabilidades (por ejemplo, utilidades de Nmap), así como solicitudes no estándar a puertos conocidos.

4. T1135 : descubrimiento de redes compartidas


Busque unidades y carpetas de red compartidas que permitan acceder a directorios de archivos en varios sistemas de red.

Qué hace PT NAD : detecta una solicitud de una lista de unidades y carpetas de red compartidas en la máquina remota.

5. T1201 : descubrimiento de políticas de contraseña


Una técnica mediante la cual un atacante busca información sobre una política de contraseña en la infraestructura de una empresa. Por ejemplo, una política puede establecer una longitud mínima de contraseña y el número de intentos de autenticación fallidos permitidos. Conocer la cantidad de caracteres ayudará a los atacantes a hacer una lista de contraseñas comunes adecuadas, comenzar a adivinar contraseñas utilizando un diccionario o mediante una búsqueda exhaustiva (T1110: fuerza bruta).

Qué hace PT NAD : Detecta automáticamente las solicitudes de política de contraseña a través de SAMR.

6. T1069 : descubrimiento de grupos de permisos


Con esta técnica, los atacantes intentan encontrar grupos locales o de dominio y sus configuraciones de acceso. Los atacantes pueden utilizar dicha información al elegir un objetivo para un ataque.

Qué hace PT NAD : Detecta automáticamente intentos de obtener información sobre grupos de dominio a través de LDAP y SAMR. Un ejemplo de identificación de esta técnica se muestra en la captura de pantalla anterior.

7. T1018 : descubrimiento de sistema remoto


Una técnica en la que los atacantes intentan obtener una lista de sistemas en una red atacada utilizando sistemas de acceso remoto o utilidades de sistema integradas. Esto es posible mediante la dirección IP, el nombre de host u otro identificador, que luego puede usarse para moverse horizontalmente a través de la red desde el sistema actual.

Lo que hace PT NAD : ve las solicitudes de listas de controladores de dominio, estaciones de trabajo y servidores, SPN (Service Principle Name).

8. T1063 : descubrimiento de software de seguridad


Una técnica en la que los atacantes intentan obtener información sobre los sistemas de seguridad instalados, su configuración y sensores. Una forma de obtener esta lista es a través de solicitudes DCE / RPC.

Lo que hace PT NAD: ve las solicitudes DCE / RPC. El usuario del sistema puede encontrar todas las sesiones con estas solicitudes y detectar intentos de recibir de forma remota información sobre características de seguridad.

9. T1033 : descubrimiento del propietario / usuario del sistema


Al implementar esta técnica, los atacantes pueden identificar al usuario principal del sistema, el usuario conectado actualmente, el grupo de usuarios que usualmente usan el sistema y determinar qué tan activamente se usa el sistema.

Qué hace PT NAD : los ciberdelincuentes pueden obtener una lista de sesiones de usuario activas en un host remoto utilizando consultas sobre el protocolo SRVSVC. PT NAD detecta automáticamente tales solicitudes.

10. T1007 : descubrimiento del servicio del sistema


Los atacantes buscan información sobre servicios registrados.

Qué hace PT NAD : los atacantes pueden obtener este tipo de información mediante solicitudes de red DCE / RPC. PT NAD detecta automáticamente las llamadas a Service Control Manager (SCM) utilizando el protocolo DCE / RPC, incluidos los comandos para obtener una lista de servicios en un nodo de red remoto y el estado de su actividad.

En lugar de una conclusión


Le recordamos que el mapeo completo de PT NAD a la matriz MITER ATT & CK se  publica en Habré .

En los siguientes artículos, hablaremos sobre otras tácticas y técnicas de los piratas informáticos y cómo el sistema NTA de PT Network Attack Discovery ayuda a identificarlos. ¡Quédate con nosotros!



autores :

  • Anton Kutepov, especialista, PT Expert Security Center Positive Technologies
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles