Get best of the week

Comment les systèmes d'analyse du trafic détectent les tactiques des hackers MITER ATT et CK à l'aide de la détection d'attaques réseau PT



Dans un article précédent , nous avons examiné les techniques de deux tactiques MITRE ATT & CK - l'accès initial et l'exécution, ainsi que la façon de détecter une activité suspecte dans le trafic réseau à l' aide de notre solution NTA . Nous allons maintenant vous montrer comment nos technologies fonctionnent avec les techniques de persistance, d'escalade de privilèges et d'évasion de défense.

Fixation (persistance)


Les attaquants utilisent des tactiques d'épinglage pour assurer leur présence continue dans le système attaqué. Ils doivent être sûrs que même après le redémarrage du système ou la modification des informations d'identification, leur accès au système restera. Ils pourront ainsi à tout moment contrôler un système compromis, évoluer le long de l'infrastructure et atteindre leurs objectifs.

En utilisant l'analyse du trafic, vous pouvez découvrir cinq techniques d'épinglage.

1. T1133 : services distants externes


La technique d'utilisation des services externes à distance pour se consolider en externe sur les ressources internes de l'entreprise. Exemples de tels services: VPN et Citrix.

Ce que fait PT Network Attack Discovery (PT NAD) : il voit les sessions réseau établies via VPN ou Citrix dans le réseau interne de l'entreprise. L'analyste peut étudier ces sessions en détail et tirer une conclusion sur leur légitimité.

2. T1053 : tâche planifiée


Utilisation du Planificateur de tâches Windows et d'autres utilitaires pour programmer le lancement de programmes ou de scripts à un moment précis. Les attaquants créent de telles tâches, en règle générale, à distance, ce qui signifie que ces sessions avec le lancement des planificateurs de tâches sont visibles dans le trafic.

Ce que fait PT NAD : si un contrôleur de domaine envoie des fichiers XML décrivant les tâches créées via des stratégies de groupe, notre solution NTA extrait automatiquement ces fichiers. Ils contiennent des informations sur la fréquence de lancement de la tâche, ce qui peut indiquer l'utilisation du planificateur de tâches pour la consolidation dans le réseau.

3. T1078 : comptes valides


Utilisation des informations d'identification: standard, local ou domaine pour l'autorisation sur les services externes et internes.

Ce que fait PT NAD : extrait automatiquement les informations d'identification de HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. En général, il s'agit d'un nom d'utilisateur, d'un mot de passe et d'un signe de réussite de l'authentification. S'ils ont été utilisés, ils sont affichés dans la fiche de session correspondante.

4. T1100 : shell web


Un script qui est hébergé sur un serveur Web et permet à un attaquant de prendre le contrôle de ce serveur. Étant donné que ces scripts fonctionnent en mode automatique et continuent de fonctionner même après le redémarrage du serveur, cette technique peut être utilisée par les cybercriminels pendant la phase de correction du système.

Ce que fait PT NAD : il détecte automatiquement le chargement des shells web courants, y accède via des requêtes HTTP et envoie des commandes.

5. T1084 : abonnement aux événements de Windows Management Instrumentation


Abonnement aux événements WMI - technologies de gestion des composants des systèmes d'exploitation locaux et distants. Les attaquants peuvent utiliser WMI pour s'abonner à certains événements et déclencher l'exécution de code malveillant lorsque cet événement se produit. Ainsi, les attaquants assurent une présence constante dans le système. Exemples d'événements auxquels vous pouvez vous abonner: le début d'une certaine heure sur l'horloge système ou l'expiration d'un certain nombre de secondes à partir du démarrage du système d'exploitation.

Que fait PT NAD?: Détecte l'utilisation de la technique d'abonnement aux événements de Windows Management Instrumentation à l'aide de règles. L'un d'eux fonctionne lorsque le réseau utilise la classe d'abonné standard ActiveScriptEventConsumer, qui permet d'exécuter du code lorsqu'un événement se produit et d'attacher ainsi l'attaquant à un nœud de réseau.

Par exemple, après avoir analysé la carte de session avec le déclenchement de la règle, nous voyons que cette activité a été provoquée par l'outil de piratage Impacket: dans la même session, le détecteur pour utiliser cet outil pour l'exécution de code à distance a fonctionné.



La carte de session dans laquelle l'utilisation de l'outil Impacket a été révélée. Avec son aide, les attaquants utilisent un abonné standard pour exécuter à distance des commandes

Escalade de privilèges


Les techniques d'escalade de privilèges visent à obtenir des autorisations de niveau supérieur dans le système attaqué. Pour ce faire, les attaquants exploitent les faiblesses des systèmes, exploitent les erreurs de configuration et les vulnérabilités.

1. T1078 : comptes valides


Il s'agit du vol d'identité: standard, local ou domaine.

Ce que fait PT NAD : il voit quel utilisateur s'est connecté, ce qui permet d'identifier les entrées illégitimes. L'une des façons les plus courantes d'augmenter les privilèges sur un hôte distant ou local qui exécute Windows est de créer une tâche du planificateur de tâches Windows qui s'exécutera au nom de NT AUTHORITY \ SYSTEM, ce qui permet d'exécuter des commandes avec des privilèges maximaux sur le système.

Prenons le cas de la création d'une telle tâche sur le réseau à l'aide de l'outil ATExec. Il est basé sur les composants de la bibliothèque Impacket et a été créé pour démontrer la capacité de la bibliothèque à travailler avec le protocole distant pour le planificateur de tâches. Son travail est visible dans le trafic réseau et illustre bien la technique d'élévation des privilèges du niveau administrateur d'un nœud de réseau au niveau NT AUTHORITY \ SYSTEM.

PT NAD a automatiquement détecté la création de tâches de planificateur sur l'hôte distant. La carte d'attaque ci-dessous montre que la connexion a été établie au nom de l'utilisateur contoso \ user02. Une connexion SMB réussie à la ressource ADMIN $ de l'hôte cible indique que cet utilisateur est membre du groupe d'administrateurs local sur l'hôte de destination. Cependant, la description XML de la tâche indique qu'elle sera exécutée dans le contexte de NT AUTHORITY \ SYSTEM (SID S-1-5-18):



Détection de la création de tâche à distance à l'aide de l'utilitaire ATExec

Evasion de défense


Cette tactique rassemble des techniques par lesquelles un attaquant peut cacher une activité malveillante et éviter la détection au moyen d'une protection. Neuf de ces techniques peuvent être détectées à l'aide de systèmes d'analyse du trafic.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)


Les attaquants préparent un fichier .inf d'installation malveillante spécial pour l'utilitaire Windows Connectivity Manager Profile Installer (CMSTP.exe). CMSTP.exe prend le fichier en paramètre et définit le profil de service pour une connexion à distance. Par conséquent, CMSTP.exe peut être utilisé pour télécharger et exécuter des bibliothèques connectées dynamiquement (* .dll) ou des scriptlets (* .sct) à partir de serveurs distants. De cette façon, les attaquants peuvent contourner la politique de liste blanche pour l'exécution des programmes.

Ce que fait PT NAD : il détecte automatiquement la transmission de fichiers .inf spéciaux dans le trafic HTTP. En plus de cela, il voit la transmission par protocole HTTP de scriptlets malveillants et de bibliothèques connectées dynamiquement à partir d'un serveur distant.

2. T1090 : proxy de connexion


Les attaquants peuvent utiliser un serveur proxy comme intermédiaire pour échanger des données avec un serveur C2. Ils évitent ainsi les connexions directes à leur infrastructure et compliquent la capacité de les détecter.

Ce que fait PT NAD : détermine l'utilisation du protocole SOCKS5 (il leur envoie les données du client au serveur de destination via un serveur proxy invisible) et d'un proxy HTTP. Si des connexions via le protocole SOCKS 5 ou via un serveur proxy HTTP sont associées à des événements suspects, ces connexions peuvent indiquer un compromis.

3. T1207 : DCShadow


Création d'un faux contrôleur de domaine pour contourner la détection par les systèmes SIEM, ce qui permet des modifications malveillantes du schéma AD via le mécanisme de réplication.

Ce que fait PT NAD : lors de l'utilisation de la technique DCShadow, un faux contrôleur de domaine est créé qui n'envoie pas d'événements à SIEM. À l'aide d'un tel contrôleur de domaine, un attaquant peut modifier les données Active Directory - par exemple, des informations sur tout objet de domaine, les informations d'identification de l'utilisateur et les clés.

L'utilisation d'une telle technique peut être identifiée par le trafic. Il montre clairement l'ajout d'un nouvel objet au schéma de configuration du type contrôleur de domaine. Le système NTA détecte une tentative d'attaque de DCShadow en détectant le trafic spécifique à un contrôleur de domaine à partir d'un nœud de réseau qui n'est pas un contrôleur de domaine.



PT NAD a enregistré une tentative d'attaque de DCShadow

4. T1211 : exploitation pour évasion de la défense


Exploiter les vulnérabilités du système cible pour contourner les fonctions de sécurité.

Ce que fait PT NAD : détecte automatiquement plusieurs techniques d'exploitation populaires pour les vulnérabilités. Par exemple, il identifie une technique pour contourner la sécurité des applications Web basée sur des en-têtes HTTP en double.

5. T1170 : mshta


Utilisation de l'utilitaire mshta.exe, qui exécute les applications Microsoft HTML (HTA) avec l'extension .hta. Étant donné que mshta traite les fichiers en contournant les paramètres de sécurité du navigateur, les attaquants peuvent utiliser mshta.exe pour exécuter des fichiers HTA, JavaScript ou VBScript malveillants. Les attaquants utilisent le plus souvent la technique mshta pour contourner les politiques de mise en liste blanche pour l'exécution des programmes et le déclenchement des règles de détection SIEM.

Ce que fait PT NAD : détecte automatiquement le transfert de fichiers HTA malveillants. Il capture les fichiers et les informations les concernant peuvent être consultées sur la fiche de session.

6. T1027 : fichiers ou informations obscurcis


Une tentative de rendre un fichier exécutable ou le trafic réseau difficile à détecter et à analyser pour les outils de sécurité en chiffrant, en codant ou en obscurcissant (obscurcissant) son contenu.

Ce que fait PT NAD : il détecte le transfert de fichiers exécutables encodés à l'aide des algorithmes Base64, ROT13 ou cryptés à l'aide de gamma. Le trafic obscurci créé par certains logiciels malveillants est également détecté automatiquement.

7. T1108 : accès redondant


Une technique dans laquelle les attaquants utilisent plus d'un utilitaire d'accès à distance. Si l'un des outils est détecté et bloqué, les attaquants auront toujours accès au réseau.

Ce que fait PT NAD : analyse les protocoles populaires, de sorte qu'il voit l'activité de chaque nœud de réseau. À l'aide de filtres, l'analyste peut trouver toutes les sessions d'outils d'accès à distance installées à partir d'un nœud.

8. T1064 : script


Exécution de scripts pour automatiser diverses actions d'attaque, y compris le contournement des politiques de liste blanche pour le lancement de programmes.

Ce que fait PT NAD : il révèle les faits de la transmission de scripts sur le réseau, c'est-à-dire avant même leur lancement. Il détecte le contenu des scripts dans le trafic brut et détecte le transfert de fichiers sur le réseau avec des extensions correspondant aux langages de script populaires.

9. T1045 : emballage logiciel


Une technique dans laquelle les attaquants utilisent des utilitaires spéciaux pour compresser ou crypter un fichier exécutable afin d'éviter la détection par les systèmes de protection des signatures. Ces utilitaires sont appelés packers.

Ce que fait PT NAD : il détecte automatiquement les signes que le fichier exécutable transmis a été modifié à l'aide du packer populaire.

Au lieu d'une conclusion


Nous vous rappelons que la cartographie complète de PT NAD à la matrice MITRE ATT & CK est publiée sur Habré .

Dans les articles suivants, nous parlerons d'autres tactiques et techniques des pirates et comment le système PT NTA Discovery Attack Discovery aide à les identifier. Rester avec nous!

Auteurs:

  • Anton Kutepov, spécialiste, PT Expert Security Center Positive Technologies
  • Natalia Kazankova, distributeur de produits Positive Technologies

More articles:


All Articles