Get best of the week

Cómo los sistemas de análisis de tráfico detectan tácticas de piratas informáticos por MITER ATT & CK, Parte 5



Este es el artículo final del ciclo ( primera , segunda , tercera y cuarta partes), en el que consideramos las técnicas y tácticas de piratas informáticos de acuerdo con MITER ATT & CK, y también mostramos cómo puede reconocer actividades sospechosas en el tráfico de la red. En el artículo final, consideraremos las técnicas de comando y control, exfiltración e impacto.

Gestión y control


Las técnicas de comando y control (C2 o C&C) se utilizan para conectar a los atacantes con sistemas controlados en la red de la víctima. Los atacantes suelen imitar el comportamiento normal del tráfico para evitar la detección.

El análisis de tráfico utilizando PT Network Attack Discovery (PT NAD) detecta 18 técnicas comunes de C&C.

1. T1043 : puerto de uso común


Los atacantes se comunican con el servidor de comandos a través de los puertos, que generalmente pueden establecer una conexión saliente. Ejemplos de tales puertos son: TCP: 80 (HTTP), TCP: 443 (HTTPS), TCP: 25 (SMTP), TCP / UDP: 53 (DNS). Esto ayuda a evitar la detección de firewall y pretende ser una actividad de red estándar. Además, los infractores pueden usar tanto el protocolo de aplicación correspondiente asignado a un número de puerto específico como cualquier otro protocolo de nivel de aplicación, hasta la transferencia de datos a través de sockets sin procesar.

¿Qué hace PT NAD?: Detecta automáticamente una falta de coincidencia entre un protocolo de aplicación común y su puerto estándar, por ejemplo, al enviar solicitudes HTTP al puerto 53. Para casos más complejos, un especialista en seguridad de la información puede examinar tarjetas de sesión sospechosas en PT NAD, que almacena información sobre puertos y protocolos de conexión de red. Esto revela el uso de puertos estándar para la comunicación con el centro de comando.

2. T1090 : proxy de conexión


Los atacantes pueden usar un servidor proxy como intermediario para intercambiar datos con un servidor C&C. Por lo tanto, evitan las conexiones directas a su infraestructura y complican su descubrimiento.

Lo que hace PT NAD : para el tráfico proxy, los atacantes pueden usar redes P2P punto a punto. Protocolos P2P populares PT NAD detecta automáticamente. PT NAD también detecta sesiones con protocolos SOCKS5, HTTP y SSH en el tráfico a través del cual los atacantes suelen crear canales proxy para la salida de información. Si las conexiones que utilizan dichos protocolos están asociadas con eventos sospechosos, pueden indicar un compromiso.

3. T1094 : comando personalizado y protocolo de control


Usar protocolos de control y monitoreo patentados en lugar de encapsular comandos en un protocolo de nivel de aplicación estándar existente.

Qué hace PT NAD : Detecta automáticamente los tipos populares de túneles a través de protocolos de capa de aplicación y red, como los túneles ICMP, DNS, POP3, SCTP, WebSocket, así como SSH sobre HTTP, SOCKS5 y actividad de igual a igual.

4. T1024 : protocolo criptográfico personalizado


Una técnica en la cual los atacantes usan un protocolo o algoritmo de encriptación para ocultar el tráfico de C&C.

Qué hace PT NAD : detecta signos de actividad de malware en el tráfico encriptado. Esto se implementa mediante el método de criptoanálisis de canales laterales de información . Este enfoque le permite detectar tráfico malicioso incluso cuando utiliza protocolos criptográficos escritos por usted mismo.

5. T1132 : codificación de datos


Los atacantes utilizan algoritmos de cifrado de datos estándar cuando transmiten información a través de un canal de C&C.

Qué hace PT NAD : detecta scripts maliciosos cuando su texto se codifica como una cadena que consiste en códigos de caracteres y decodifica datos cifrados con el algoritmo Base64. Por ejemplo, detecta las respuestas del agente Cobalt Strike codificadas en Base64.

6. T1001 : ofuscación de datos


Detección complicada de comunicaciones C&C. Los métodos de ofuscación de datos incluyen agregar datos adicionales al tráfico del protocolo, aplicar esteganografía, mezclar el tráfico de C&C con los legítimos y usar un sistema de codificación no estándar.

Qué hace PT NAD : puede detectar hechos de transferencia de datos codificados usando el algoritmo Base64 usando un alfabeto no estándar, transferencia de scripts ofuscados, códigos de shell e instrucciones de shell.

7. T1483 : algoritmos de generación de dominio


Una técnica en la que en lugar de enumerar dominios o direcciones IP estáticas, los atacantes utilizan el algoritmo de generación automática de dominio (DGA) para dirigir el tráfico de C&C allí. Esto complica el trabajo de los defensores: puede haber miles de dominios a los que se puede conectar el malware.

Qué hace PT NAD : mediante un algoritmo especial, PT NAD detecta automáticamente los nombres de dominio generados en las sesiones de red.



Ejemplos de dominios DGA descubiertos utilizando PT NAD

8. T1008 : canales de reserva


Los atacantes usan un respaldo o un canal de comunicación alternativo para aumentar la confiabilidad de la comunicación con el servidor de C&C y para evitar exceder el umbral de la cantidad de datos transmitidos. Dichos canales son necesarios cuando el canal principal de C&C está comprometido o es inaccesible.

Qué hace PT NAD : un especialista en seguridad de la información puede detectar el uso de dicha técnica analizando los datos de conexión de malware almacenados en tarjetas de sesión en PT NAD. Si el malware se conecta a diferentes direcciones IP (servidores C&C) desde un nodo de red, esto puede indicar que los atacantes están utilizando un canal de comunicación de respaldo.

9. T1188 : proxy de múltiples saltos


Los atacantes crean cadenas de varios servidores proxy para enmascarar la fuente del tráfico malicioso. Tal multiproxificación complica la identificación de la fuente fuente, requiriendo que la parte defensora monitoree el tráfico malicioso a través de varios servidores proxy.

Qué hace PT NAD : si los atacantes crean una cadena de servidores proxy dentro de la red de la víctima, se puede rastrear en PT NAD analizando los datos de la sesión. Las conexiones entre nodos se muestran visualmente en el gráfico de enlace de red. Esto ayuda a rastrear la secuencia de proxies.

10. T1104 : canales de etapas múltiples


Los atacantes usan canales C&C de varias etapas, lo que los hace difíciles de detectar. Se dan cuenta de esto dividiendo el ataque en etapas (o etapas). Cada etapa utiliza sus propios servidores de administración y sus propias herramientas (troyanos, RAT). Tal separación de la funcionalidad en etapas con diferentes servidores de administración dificulta la detección de atacantes.

Qué hace PT NAD : el uso de canales C&C de múltiples etapas PT NAD detecta automáticamente por signos de actividad del malware correspondiente. Por ejemplo, descubre el funcionamiento de los módulos de agrupación MuddyWater. Los datos detallados de cada canal de C&C identificado se almacenan en tarjetas de sesión; estos datos son útiles durante las investigaciones y búsquedas proactivas de amenazas.

11. T1026: multiband communication


Los atacantes comparten un canal de comunicación entre diferentes protocolos. Por ejemplo, los comandos pueden transmitirse usando un protocolo, y los resultados de su ejecución pueden ser diferentes. Esto ayuda a eludir las limitaciones de los firewalls y a evitar las notificaciones sobre el exceder los valores umbral de los datos transmitidos.

Qué hace PT NAD : detecta automáticamente el uso de la separación del canal de comunicación de acuerdo con los signos del malware correspondiente. Por ejemplo, de esta manera, detecta la actividad de los agentes de Cobalt Strike, que pueden compartir el canal de salida a los servidores C&C entre los protocolos HTTP, HTTPS y DNS. Al mismo tiempo, PT NAD almacena datos en cada conexión de C&C con información sobre el protocolo utilizado, lo que ayuda a detectar el uso de la técnica T1026 durante las investigaciones o la búsqueda de amenazas.

12. T1079 : cifrado multicapa


El uso de varios niveles de encriptación C & C-comunicaciones. Un ejemplo típico es la transferencia de datos cifrados a través de protocolos seguros como HTTPS o SMTPS.

Qué hace PT NAD : a pesar de varias capas de cifrado, al analizar los canales criptográficos secundarios, PT NAD detecta una serie de familias de malware que utilizan reglas. Ejemplos de amenazas detectadas: malware de las familias RTM y Ursnif (Gozi-ISFB) que transmiten datos ya encriptados a través del protocolo HTTPS.

13. T1219 : herramientas de acceso remoto


Un atacante utiliza software legítimo para acceder de forma remota a sistemas controlados. Dichas herramientas son comúnmente utilizadas por los servicios de soporte técnico y pueden incluirse en la lista blanca. Por lo tanto, sus acciones se realizarán en nombre del administrador y a través del canal de comunicación autorizado. Entre las utilidades populares se encuentran TeamViewer, VNC, Go2Assist, LogMeIn, Ammyy Admin.

Qué hace PT NAD: un ejemplo de

detección de PT NAD determina el funcionamiento de la red de todas las utilidades de acceso remoto comunes; de esta manera, puede analizar todas las sesiones de acceso remoto establecidas mediante RAT y verificar su legitimidad.

Por ejemplo, PT NAD detectó actividad de malware que utiliza el sistema de acceso remoto de escritorio VNC para conectarse a una dirección IP externa. VNC junto con los atacantes Ammyy y TeamViewer usan con más frecuencia que otras RAT.



Detección de herramientas de acceso remoto

14. T1105 : copia remota de archivos


Los atacantes copian archivos de un sistema a otro para implementar sus herramientas o robar información. Los archivos se pueden copiar desde un sistema externo controlado por un atacante, a través de un canal de comunicación con un centro de comando o utilizando otras herramientas que utilizan protocolos alternativos, como FTP.

Qué hace PT NAD : detecta las transferencias de archivos utilizando los principales protocolos de aplicación y puede extraerlos para su posterior análisis, por ejemplo, en el sandbox.

15. T1071 : protocolo de capa de aplicación estándar


Los atacantes usan protocolos de aplicación comunes como HTTP, HTTPS, SMTP, DNS. Por lo tanto, su actividad se mezcla con el tráfico legítimo estándar, lo que complica la detección.

Lo que hace PT NAD : ve todas las sesiones utilizando protocolos de aplicación populares. Para cada sesión, se almacena una tarjeta detallada, que está disponible para que los usuarios la analicen manualmente.

16. T1032 : protocolo criptográfico estándar


El uso de algoritmos de cifrado bien conocidos para ocultar el tráfico C&C.

Qué hace PT NAD : mediante el uso de indicadores o reglas de compromiso, PT NAD detecta automáticamente las conexiones a los servidores de los ciberdelincuentes. Si las conexiones a ellos están protegidas por el protocolo TLS, entonces el especialista en seguridad de la información lo verá en la interfaz PT NAD (el sistema determina el protocolo TLS) y descubrirá el uso de la técnica de protocolo criptográfico estándar.

17. T1095 : protocolo de capa estándar sin aplicación


Los atacantes usan protocolos que no son de nivel de aplicación para la comunicación entre un nodo de red y un servidor C&C o entre nodos de red comprometidos.

Qué hace PT NAD : dado que PT NAD analiza el tráfico sin procesar, detecta automáticamente la actividad de las familias comunes de malware que transmiten datos a través de sockets sin procesar, es decir, a través de protocolos TCP o UDP sin usar protocolos de capa de aplicación. También se detectan shells Metasploit TCP.

18. T1065 : puerto poco utilizado


Comunicación C&C a través de un puerto no estándar para omitir servidores proxy y firewalls que no se configuraron correctamente.

Qué hace PT NAD : determina los protocolos de aplicación por el contenido de los paquetes y no por los números de puerto, por lo tanto, detecta automáticamente el uso de puertos no estándar para protocolos estándar.

Exfiltración


Las tácticas de exfiltración reúnen técnicas que los ciberdelincuentes usan para robar datos de una red comprometida. Para evitar la detección, los datos a menudo se empaquetan combinándolos con compresión y cifrado. Como regla, los atacantes usan C&C o un canal alternativo para la exfiltración.

PT NAD detecta dos técnicas de exfiltración de datos.

1. T1048 : exfiltración sobre protocolo alternativo


Los atacantes usan protocolos para robar datos que no sean los que proporcionan comunicación con los centros de comando. Entre los protocolos alternativos: FTP, SMTP, HTTP / S, DNS. Los servicios web externos, como el almacenamiento en la nube, también se pueden utilizar para la exfiltración.

Qué hace PT NAD: ejemplo de detección \

La herramienta DNSCAT2 es utilizada por los atacantes para controlar de forma remota un nodo de red y filtrar datos a un servidor de comando utilizando el T1059: interfaz de línea de comando y T1048: exfiltración sobre técnicas de protocolo alternativas, respectivamente.

PT NAD detectó actividad de tráfico DNSTCAT2. La herramienta le permite tunelizar el tráfico de red a través del protocolo DNS a un servidor C&C. En el tráfico, parece un gran flujo de consultas y respuestas DNS.



Detección de la aplicación de la técnica T1048:

en la tarjeta de sesión se pueden ver exfiltraciones sobre protocolos alternativos de consultas DNS. Hubo una solicitud de un registro TXT para un dominio de tercer nivel ilegible y muy largo, como respuesta apareció un conjunto de caracteres ilegible similar. Al mismo tiempo, la vida útil del paquete (TTL) es corta. Todos estos son indicadores de un túnel DNS.



Las solicitudes de DNS para resolver nombres DNS largos e ilegibles son visibles en la tarjeta de sesión

2. T1041 : exfiltración sobre el canal de comando y control


Los atacantes usan el canal C&C para robar datos.

PT NAD ve 18 técnicas comunes para comunicar malware con un centro de comando atacante. Las señales de uso de cada uno de estos métodos en la red indican la presencia de un canal de C&C en la red a través del cual se pueden transmitir datos robados.

Impacto


En el último paso, los atacantes intentan controlar los sistemas y los datos, interferir en su trabajo o destruirlos. Para hacer esto, utilizan técnicas que le permiten interrumpir la disponibilidad o integridad de los sistemas mediante la gestión de procesos operativos y comerciales.

3. T1498 : red denegación de servicio


Ataque de denegación de servicio para reducir o bloquear la disponibilidad de recursos específicos para los usuarios.

Qué hace PT NAD : detecta la amplificación (amplificación) de un ataque y el uso de exploits que conducen a una denegación de servicio.

Durante la amplificación (del inglés. Amplificación - amplificación), el atacante envía solicitudes en nombre del servidor de la víctima al servidor DNS público. El objetivo de los atacantes es llenar el canal del servidor de la víctima con respuestas volumétricas de servidores DNS públicos.

4. T1496 : secuestro de recursos


Uso no autorizado de recursos del sistema para resolver problemas de uso intensivo de recursos. Esto puede afectar la disponibilidad del sistema o servicio alojado.

¿Qué hace PT NAD?

: ve la actividad de los protocolos de cripto minería y los torrents en la red, lo que indica una carga inapropiada adicional en la red y el equipo.

5. T1489 : parada de servicio


Los atacantes pueden detener o deshabilitar los servicios en el sistema para que los usuarios legítimos no puedan acceder a ellos.

Lo que PT NAD hace es un ejemplo de detección : los cibercriminales detuvieron el servicio del servidor web IIS para bloquear el acceso al portal de servicio al cliente. PT NAD detectó una llamada al Administrador de control de servicios (SCM) para detener el servicio. Esto es posible gracias a la inspección del tráfico SMB.



Detección de un ataque en el que los atacantes enviaron una solicitud para desconectar los servicios del servidor web.

PT NAD detecta automáticamente las llamadas a SCM para crear, modificar, iniciar y detener los servicios.

Le recordamos que el mapeo completo de PT NAD a la matriz MITER ATT & CK se  publica en Habré .

En lugar de una conclusión: ¿por qué más necesitamos un sistema NTA?


El tráfico es una fuente de datos útil para detectar ataques. En él, puedes ver los signos de las 12 tácticas que usan grupos APT. Al analizar el tráfico utilizando sistemas NTA, las compañías reducen las posibilidades de los atacantes de desarrollar con éxito un ataque y comprometer completamente la red. Hay otros escenarios para usar sistemas de clase NTA.

  • Control de cumplimiento de red

El éxito de un ataque cibernético en una empresa depende del nivel de seguridad de su infraestructura corporativa. El análisis del tráfico de las grandes empresas rusas mostró que en el 94% de los casos, los empleados no cumplen con las políticas de seguridad de la información . Las políticas de seguridad de muchas organizaciones prohíben que los empleados visiten recursos cuestionables, descarguen torrents, instalen mensajeros instantáneos o utilicen varias utilidades para acceso remoto.

Al analizar los protocolos de red, el sistema NTA ve la transmisión de contraseñas en forma clara, mensajes de correo no encriptados, el uso de software para acceso remoto. Esto ayuda a controlar la implementación de políticas de contraseña, el uso de RAT y protocolos de transferencia de datos inseguros.

Para averiguar qué violaciones de las normas de seguridad de la información son las más comunes, ya que PT NAD las detecta y soluciona este problema, consulte el seminario web o lea un artículo experto en el Centro de seguridad PT Expert Security Center .

  • Investigación de ataque

Los sistemas NTA que almacenan metadatos de sesión y tráfico sin procesar ayudan a investigar incidentes: localizar la amenaza, restaurar el historial de ataques, identificar vulnerabilidades en la infraestructura y elaborar medidas compensatorias.

Vea un ejemplo de una investigación sobre un caso de ataque a una empresa matriz de una gran empresa.

  • Caza de teatro

Las herramientas NTA también se pueden usar para la caza de amenazas. Búsqueda de amenazas: el proceso de búsqueda de amenazas que las herramientas de seguridad tradicionales no detectan. El especialista presenta una hipótesis, por ejemplo, sobre la presencia de un grupo de hackers en la red, sobre la presencia de un intruso interno o una fuga de datos, y la verifica. Este método le permite identificar compromisos y vulnerabilidades en la infraestructura, incluso cuando los sistemas de seguridad no dan ninguna señal.

Vea un seminario web con tres estudios de casos de búsqueda de amenazas utilizando PT NAD.

¿Cómo están atacando a su empresa? En la red, el 97% de las empresas tienen actividad de tráfico sospechosa . Compruebe lo que está sucediendo en su red: complete una solicitud para un "piloto" gratuito del sistema de análisis de tráfico PT NAD .

autores :

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles