Get best of the week

Comment les systèmes d'analyse du trafic détectent les tactiques des hackers MITER ATT et CK à l'aide de la détection d'attaques réseau PT



Selon Verizon , la plupart (87%) des incidents de sécurité des informations se produisent en quelques minutes, et 68% des entreprises mettent des mois à les détecter. Cela est confirmé par l' étude du Ponemon Institute , selon laquelle la plupart des organisations mettent en moyenne 206 jours pour détecter un incident. Selon l'expérience de nos enquêtes, les pirates peuvent contrôler l'infrastructure de l'entreprise pendant des années et ne pas être détectés. Ainsi, dans l'une des organisations où nos experts ont enquêté sur l'incident de l'EI, il a été révélé que des pirates contrôlaient complètement toute l'infrastructure de l'organisation et ont régulièrement volé des informations importantes pendant huit ans .

Supposons que SIEM soit déjà en cours d'exécution, qui collecte les journaux et analyse les événements, et que des antivirus soient installés sur les nœuds finaux. Toutefois,tout ne peut pas être détecté à l'aide de SIEM , tout comme il est impossible de mettre en œuvre des systèmes EDR sur l'ensemble du réseau, ce qui signifie que les angles morts ne peuvent être évités. Les systèmes d'analyse du trafic réseau (NTA) aident à y faire face. Ces décisions révèlent l'activité des attaquants dès les premiers stades de la pénétration du réseau, ainsi que lors des tentatives pour prendre pied et développer une attaque au sein du réseau.

Il existe deux types de NTA: certains fonctionnent avec NetFlow, le second analyse le trafic brut. L'avantage des seconds systèmes est qu'ils peuvent stocker des enregistrements de trafic bruts. Grâce à cela, le spécialiste de la sécurité de l'information peut vérifier le succès de l'attaque, localiser la menace, comprendre comment l'attaque s'est produite et comment empêcher une attaque similaire à l'avenir.

Nous montrerons comment, avec l'aide de NTA, il est possible, par des signes directs ou indirects, d'identifier toutes les tactiques d'attaque connues décrites dans la base de connaissances MITRE ATT & CK . Nous parlerons de chacune des 12 tactiques, analyserons les techniques détectées par le trafic et démontrerons leur détection à l'aide de notre système NTA.

À propos de la base de connaissances ATT & CK


MITRE ATT & CK est une base de connaissances publique développée et maintenue par MITRE Corporation basée sur l'analyse de vrais APT. Il s'agit d'un ensemble structuré de tactiques et de techniques utilisées par les attaquants. Cela permet aux professionnels de la sécurité de l'information du monde entier de parler la même langue. La base est en constante expansion et mise à jour avec de nouvelles connaissances.

Dans la base de données, 12 tactiques sont distinguées, divisées par les étapes d'une cyberattaque:

  • accès initial
  • exécution
  • consolidation (persistance);
  • élévation de privilèges
  • prévention de la détection (évasion de la défense);
  • obtenir l'accès aux informations d'identification;
  • intelligence (découverte);
  • mouvement à l'intérieur du périmètre (mouvement latéral);
  • collecte de données (collecte);
  • gestion et contrôle (commandement et contrôle);
  • exfiltration;
  • impact

Pour chaque tactique, la base de connaissances ATT & CK répertorie une liste de techniques qui aident les attaquants à atteindre leurs objectifs au stade actuel de l'attaque. Étant donné que la même technique peut être utilisée à différents stades, elle peut concerner plusieurs tactiques.

La description de chaque technique comprend:

  • identifiant;
  • liste des tactiques dans lesquelles il est appliqué;
  • exemples d'utilisation par les groupes APT;
  • des mesures pour réduire les dommages causés par son utilisation;
  • recommandations de détection.

Les spécialistes de la sécurité de l'information peuvent utiliser les connaissances de la base de données pour structurer les informations sur les méthodes d'attaque actuelles et, dans cet esprit, construire un système de sécurité efficace. Comprendre le fonctionnement des groupes APT réels, y compris peut être une source d'hypothèses pour une recherche proactive des menaces dans le cadre de la chasse aux menaces .

À propos de PT Network Attack Discovery


Nous identifierons l' utilisation des techniques de la matrice ATT & CK en utilisant le système PT Network Attack Discovery - Positive Technologies NTA-system conçu pour détecter les attaques sur le périmètre et à l'intérieur du réseau. PT NAD à des degrés divers couvre les 12 tactiques de la matrice MITRE ATT & CK. Il est le plus puissant pour identifier les techniques d'accès initial, de mouvement latéral et de commandement et contrôle. En eux, PT NAD couvre plus de la moitié des techniques connues, révélant leur utilisation par des signes directs ou indirects.

Le système détecte les attaques en utilisant les techniques ATT et CK en utilisant les règles de détection créées par l'équipe PT Expert Security Center(PT ESC), machine learning, indicateurs de compromis, analyse approfondie et analyse rétrospective. L'analyse du trafic en temps réel en combinaison avec une rétrospective vous permet d'identifier l'activité malveillante cachée actuelle et de suivre les vecteurs de développement et l'historique des attaques.

Voici le mappage complet de PT NAD à la matrice MITRE ATT & CK. L'image est grande, nous vous suggérons donc de la considérer dans une fenêtre séparée.

Accès initial



La tactique d'obtention de l'accès initial comprend des techniques pour pénétrer le réseau de l'entreprise. Le but des attaquants à ce stade est de fournir du code malveillant au système attaqué et d'assurer la possibilité de son exécution ultérieure.

L'analyse du trafic avec PT NAD révèle sept techniques pour obtenir un accès initial:

1. T1189 : compromis au volant


Technique dans laquelle une victime ouvre un site Web utilisé par des cybercriminels pour faire fonctionner un navigateur Web et obtenir des jetons d'accès pour une application.

Action de PT NAD : Si le trafic Web n'est pas chiffré, PT NAD inspecte le contenu des réponses du serveur HTTP. C'est dans ces réponses qu'il y a des exploits qui permettent aux attaquants d'exécuter du code arbitraire à l'intérieur du navigateur. PT NAD détecte automatiquement ces exploits à l'aide de règles de détection.

De plus, PT NAD détecte une menace à l'étape précédente. Les règles et les indicateurs de compromis sont déclenchés si un utilisateur visite un site qui le redirige vers un site avec un tas d'exploits.

2. T1190 : exploiter une application accessible au public


Exploiter les vulnérabilités des services accessibles depuis Internet.

Ce que fait PT NAD : effectue une inspection approfondie du contenu des paquets réseau, révélant des signes d'activité anormale en son sein. En particulier, il existe des règles qui vous permettent de détecter les attaques sur le principal système de gestion de contenu (CMS), les interfaces Web des équipements réseau, les attaques sur les serveurs de messagerie et FTP.

3. T1133 : services distants externes


L'utilisation de services d'accès à distance par des attaquants pour se connecter aux ressources réseau internes de l'extérieur.

Ce que fait PT NAD : puisque le système reconnaît les protocoles non pas par les numéros de port, mais par le contenu des paquets, les utilisateurs du système peuvent filtrer le trafic afin qu'ils puissent trouver toutes les sessions de protocoles d'accès à distance et vérifier leur légitimité.

4. T1193 : accessoire de chasse sous -marine


Nous parlons des pièces jointes de phishing notoires.

Ce que fait PT NAD : extrait automatiquement les fichiers du trafic et les compare aux indicateurs de compromis. Les fichiers exécutables dans les pièces jointes sont détectés par des règles qui analysent le contenu du trafic de messagerie. Dans un environnement d'entreprise, un tel investissement est considéré comme anormal.

5. T1192 : lien de chasse sous-marine


Utilisation de liens de phishing. La technique consiste à envoyer des e-mails de phishing par un utilisateur malveillant avec un lien qui, lorsqu'il est cliqué, télécharge un programme malveillant. En règle générale, le lien est accompagné d'un texte compilé conformément à toutes les règles de l'ingénierie sociale.

Ce que fait PT NAD : détecte les liens de phishing à l'aide d'indicateurs de compromis. Par exemple, dans l'interface PT NAD, nous voyons une session dans laquelle il y avait une connexion HTTP utilisant un lien répertorié dans la liste des phishing-urls.



Lien à partir de la liste des indicateurs de compromis phishing-urls

6. T1199 : relation de confiance


Accès au réseau de la victime via des tiers avec lesquels la victime entretient une relation de confiance. Les attaquants peuvent pirater une organisation de confiance et se connecter via celle-ci au réseau cible. Pour ce faire, ils utilisent des connexions VPN ou des approbations de domaine, qui peuvent être détectées à l'aide de l'analyse du trafic.

Ce que fait PT NAD : il analyse les protocoles d'application et enregistre les champs analysés dans la base de données, afin que l'analyste IB puisse utiliser les filtres pour trouver toutes les connexions VPN suspectes ou les connexions interdomaines dans la base de données.

7. T1078 : comptes valides


Utilisation d'informations d'identification standard, locales ou de domaine pour l'autorisation sur les services externes et internes.

Ce que fait PT NAD : extrait automatiquement les informations d'identification de HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. En général, il s'agit d'un nom d'utilisateur, d'un mot de passe et d'un signe de réussite de l'authentification. S'ils ont été utilisés, ils sont affichés dans la fiche de session correspondante.

Exécution


Les tactiques d'exécution incluent des techniques que les cybercriminels utilisent pour exécuter du code sur des systèmes compromis. L'exécution de code malveillant aide les attaquants à consolider leur présence (tactiques de persistance) et à étendre l'accès aux systèmes distants sur le réseau en se déplaçant dans le périmètre.

PT NAD peut détecter l'utilisation par les attaquants de 14 techniques utilisées pour exécuter du code malveillant.

1. T1191 : CMSTP (programme d'installation de profil Microsoft Connection Manager)


Une tactique dans laquelle les attaquants préparent un fichier INF d'installation malveillante spécial pour l'utilitaire CMSTP.exe (programme d'installation du profil du gestionnaire de connexions) intégré à Windows. CMSTP.exe prend le fichier en paramètre et définit le profil de service pour une connexion à distance. Par conséquent, CMSTP.exe peut être utilisé pour télécharger et exécuter des bibliothèques connectées dynamiquement (* .dll) ou des scriptlets (* .sct) à partir de serveurs distants.

Ce que fait PT NAD : il détecte automatiquement la transmission de fichiers .inf spéciaux dans le trafic HTTP. De plus, il détecte le transfert de scriptlets malveillants et de bibliothèques connectées dynamiquement via le protocole HTTP à partir d'un serveur distant.

2. T1059 : interface de ligne de commande


Interaction avec l'interface de ligne de commande. Vous pouvez interagir avec l'interface de ligne de commande localement ou à distance, par exemple en utilisant des utilitaires d'accès à distance.

Ce que fait PT NAD : il détecte automatiquement la présence de shells en répondant aux commandes pour lancer divers utilitaires de ligne de commande, tels que ping, ifconfig.

3. T1175 : modèle objet composant et COM distribué


Utilisation des technologies COM ou DCOM pour exécuter du code sur des systèmes locaux ou distants lors du déplacement sur un réseau.

Ce que fait PT NAD : détecte les appels DCOM suspects que les attaquants utilisent généralement pour exécuter des programmes.

4. T1203 : exploitation pour exécution client


Exploiter les vulnérabilités pour exécuter du code arbitraire sur un poste de travail. Les exploits les plus utiles pour les attaquants sont ceux qui permettent l'exécution de code sur un système distant, car avec leur aide, les attaquants peuvent accéder à un tel système. La technique peut être mise en œuvre à l'aide des méthodes suivantes: liste de diffusion malveillante, site Web avec des exploits de navigateur et exploitation à distance des vulnérabilités des applications.

Action de PT NAD : lors de l'analyse du trafic de messagerie, PT NAD recherche les fichiers exécutables dans la pièce jointe. Extrait automatiquement les documents de bureau des lettres dans lesquelles il pourrait y avoir des exploits. Les tentatives d'exploitation des vulnérabilités sont visibles dans le trafic que PT NAD détecte automatiquement.

5. T1170 : mshta


Utilisation de l'utilitaire mshta.exe, qui exécute les applications Microsoft HTML (HTA) avec l'extension .hta. Étant donné que mshta traite les fichiers en contournant les paramètres de sécurité du navigateur, les attaquants peuvent utiliser mshta.exe pour exécuter des fichiers HTA, JavaScript ou VBScript malveillants.

Ce que fait PT NAD : les fichiers .hta à exécuter via mshta sont transmis, y compris sur le réseau - cela est visible dans le trafic. PT NAD détecte automatiquement le transfert de ces fichiers malveillants. Il capture des fichiers et des informations à leur sujet peuvent être consultées sur la carte de session.

6. T1086 : PowerShell


Utilisation de PowerShell pour rechercher des informations et exécuter du code malveillant.

Action de PT NAD : lorsque PowerShell est utilisé à distance par des attaquants, PT NAD le détecte à l'aide de règles. Il découvre les mots clés PowerShell qui sont le plus souvent utilisés dans les scripts malveillants et transfère les scripts PowerShell à l'aide du protocole SMB.

7. T1053 : tâche planifiée
Utilisez le planificateur de tâches Windows et d'autres utilitaires pour lancer automatiquement des programmes ou des scripts à un moment précis.

Que fait PT NAD?: les attaquants créent de telles tâches, généralement à distance, ce qui signifie que ces sessions sont visibles dans le trafic. PT NAD détecte automatiquement les opérations de création et de modification de tâches suspectes à l'aide des interfaces RPC ATSVC et ITaskSchedulerService.

8. T1064 : script


Exécution de scripts pour automatiser diverses actions d'attaque.

Ce que fait PT NAD : il révèle les faits de la transmission de scripts sur le réseau, c'est-à-dire avant même leur lancement. Il détecte le contenu des scripts dans le trafic brut et détecte le transfert de fichiers sur le réseau avec des extensions correspondant aux langages de script populaires.

9. T1035 : exécution du service


Exécutez un fichier exécutable, des instructions d'interface de ligne de commande ou un script en interagissant avec les services Windows, tels que Service Control Manager (SCM).

Action de PT NAD : inspecte le trafic SMB et détecte l'accès SCM aux règles de création, de modification et de démarrage d'un service.

La technique de démarrage des services peut être implémentée à l'aide de l'utilitaire pour l'exécution à distance des commandes PSExec. PT NAD analyse le protocole SMB et détecte l'utilisation de PSExec lorsqu'il utilise le fichier PSEXESVC.exe ou le nom de service PSEXECSVC standard pour exécuter du code sur une machine distante. L'utilisateur doit vérifier la liste des commandes exécutées et la légitimité de l'exécution à distance des commandes à partir du nœud.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


Une technique dans laquelle les attaquants accèdent à un logiciel d'administration à distance ou à un système de déploiement de logiciels d'entreprise et les utilisent pour lancer du code malveillant. Exemples de tels logiciels: SCCM, VNC, TeamViewer, HBSS, Altiris.
Soit dit en passant, la technique est particulièrement pertinente dans le cadre de la transition massive vers le travail à distance et, par conséquent, la connexion de nombreux appareils non sécurisés pour la maison via des canaux d'accès à distance douteux.

Que fait PT NAD?: Détecte automatiquement le fonctionnement de ces logiciels sur le réseau. Par exemple, les règles fonctionnent sur les faits de connexion via le protocole VNC et l'activité du cheval de Troie EvilVNC, qui installe secrètement le serveur VNC sur l'hôte de la victime et le démarre automatiquement. PT NAD détecte également automatiquement le protocole TeamViewer, ce qui aide l'analyste à utiliser le filtre pour trouver toutes ces sessions et vérifier leur légitimité.

11. T1204 : exécution utilisateur


Une technique dans laquelle un utilisateur exécute des fichiers qui peuvent conduire à l'exécution de code. Cela peut être, par exemple, s'il ouvre un fichier exécutable ou exécute un document Office avec une macro.

Ce que fait PT NAD : voit ces fichiers au stade du transfert, avant leur lancement. Les informations les concernant peuvent être étudiées lors des sessions de cartes, au cours desquelles elles ont été transmises.

12. T1047 : Instrumentation de gestion Windows


Utilisation de l'outil WMI, qui fournit un accès local et à distance aux composants du système Windows. À l'aide de WMI, les attaquants peuvent interagir avec des systèmes locaux et distants et effectuer de nombreuses tâches, par exemple la collecte d'informations à des fins de reconnaissance et le démarrage à distance de processus lors d'un mouvement horizontal.

Ce que fait PT NAD : puisque les interactions avec les systèmes distants via WMI sont visibles dans le trafic, PT NAD détecte automatiquement les demandes du réseau pour établir des sessions WMI et vérifie le trafic pour la transmission des scripts qui utilisent WMI.

13. T1028 : Gestion à distance de Windows


Utilisation du service et du protocole Windows, qui permet à l'utilisateur d'interagir avec des systèmes distants.

Ce que fait PT NAD : voit les connexions réseau établies à l'aide de la gestion à distance de Windows. Ces sessions sont détectées automatiquement par les règles.

14. T1220 : Traitement de script XSL (Extensible Stylesheet Language)


Le langage de balisage XSL est utilisé pour décrire le traitement et la visualisation des données dans des fichiers XML. Pour prendre en charge des opérations complexes, la norme XSL inclut la prise en charge des scripts intégrés dans plusieurs langues. Ces langages permettent l'exécution de code arbitraire, ce qui conduit à contourner les politiques de sécurité basées sur des listes blanches.

Ce que fait PT NAD : il révèle les faits du transfert de tels fichiers sur le réseau, c'est-à-dire avant même leur lancement. Il détecte automatiquement le fait que les fichiers XSL sont transmis sur le réseau et les fichiers avec un balisage XSL anormal.

Dans les articles suivants, nous verrons comment le système PT Network Discovery Attack Discovery NTA trouve d'autres tactiques et techniques d'attaquants conformément à MITRE ATT & CK. Restez à l'écoute!

Auteurs :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles