Get best of the week

Comment les systèmes d'analyse du trafic détectent les tactiques des pirates par MITRE ATT & CK, partie 3



Dans les articles précédents ( première et deuxième parties), nous avons examiné les techniques des cinq tactiques de MITRE ATT & CK:

  • accès initial
  • exécution
  • consolidation (persistance);
  • élévation de privilèges
  • détection préventive (évasion de la défense).

De plus, nous avons montré comment à l'aide de notre solution NTA, il est possible de reconnaître une activité suspecte dans le trafic réseau. Nous allons maintenant vous montrer comment nos technologies fonctionnent avec les techniques d'accès et de découverte des informations d'identification.

Obtenir un accès aux informations d'identification


Cette tactique implique des techniques visant à voler des données qui peuvent être utilisées pour l'authentification (par exemple, les noms d'utilisateur et les mots de passe). L'utilisation de comptes légitimes permet aux attaquants d'accéder aux systèmes, de créer plus d'enregistrements à sécuriser et rend plus difficile la détection de la présence d'attaquants sur le réseau.

Vous trouverez ci-dessous quatre techniques qui peuvent être identifiées par une activité suspecte dans le trafic.

1. T1110 : force brute


Technique permettant d'accéder aux services à l'aide de méthodes de force brute lorsque les informations d'identification sont inconnues ou partiellement connues. Habituellement, ils sélectionnent les noms d'utilisateur, les mots de passe ou les sommes de hachage des mots de passe.

Qu'est-ce que PT Network Attack Discovery (PT NAD) : en mode automatique, il détecte les signes de sélection de mot de passe pour l'authentification via LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. En outre, il identifie les tentatives de sélection des informations d'identification pour les services Web populaires tels que phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. De telles attaques génèrent un grand nombre de tentatives d'authentification infructueuses, qui peuvent être observées dans le trafic.

2. T1003 : dumping des informations d'identification


Obtention d'informations d'identification (généralement un hachage ou un mot de passe ouvert) à partir de systèmes d'exploitation ou de logiciels. Nous considérerons cette technique plus en détail pour démontrer sa détection dans le trafic.

Ce que fait PT NAD: Un exemple de détection
PT NAD a enregistré l'accès au registre du contrôleur de domaine à l'aide de l'utilitaire hacker secretsdump, basé sur les modules de la bibliothèque Impacket. La tâche principale de l'utilitaire est d'obtenir des hachages de mot de passe utilisateur. Avec son aide, les attaquants s'authentifient auprès du contrôleur de domaine via le protocole SMB, se connectent au Service Control Manager (SCM), puis utilisent le protocole WINREG pour se connecter au registre distant et copier les données nécessaires dans le fichier local. Après cela, le fichier est téléchargé sur votre nœud de réseau via SMB.



Identification d'une requête pour la clé de registre LSA contenant les hachages des mots de passe des utilisateurs du domaine

Dans la même session, où PT NAD a enregistré l'accès au registre du contrôleur de domaine, les mêmes fichiers ont été transférés vers lesquels l'utilitaire secretsdump a enregistré des informations importantes du registre du contrôleur de domaine. Par les noms des règles déclenchées dans l'interface PT NAD, il est évident que les attaquants ont obtenu des hachages de mot de passe des utilisateurs de domaine de LSA et des utilisateurs locaux de SAM:



les fichiers que les attaquants ont réussi à télécharger sont reflétés dans la carte de session

3. T1212 : exploitation pour l'accès aux informations d'identification


Technique permettant à un attaquant d'accéder aux informations d'identification suite à l'exploitation de vulnérabilités logicielles.

Ce que fait PT NAD : voit le trafic exploiter de nombreuses vulnérabilités. Par exemple, MS14-068 pourrait être utilisé pour truquer des tickets Kerberos. Un attaquant demande un ticket d'un type spécial (TGT, Ticket Granted Ticket), s'ajoute à un groupe privilégié et modifie ce ticket pour que le contrôleur de domaine vulnérable le reconnaisse comme valide. PT NAD identifie les demandes de tels billets.

4. T1208 : kerberoasting


Une méthode pour récupérer des comptes de service à partir d'Active Directory en tant qu'utilisateur régulier. Tout utilisateur de domaine peut demander un ticket Kerberos pour accéder au service dans Active Directory (Ticket Granting Service). TGS est chiffré avec le hachage de mot de passe du compte à partir duquel le service cible s'exécute. Un attaquant qui a ainsi obtenu TGS peut désormais le décrypter, en récupérant un mot de passe et sans avoir peur de le bloquer, car il le fait hors ligne. En cas de succès, il reçoit un mot de passe d'un compte associé au service, qui est souvent privilégié.

Que fait PT NAD?: Corrige les demandes de listage des services dans Active Directory pouvant devenir la cible d'une attaque. Cette étape est nécessaire aux attaquants pour sélectionner un service à attaquer, et précède la demande de ticket TGS et la sélection hors ligne. PT NAD détecte également automatiquement les demandes de tickets TGS chiffrées avec l'algorithme RC4, qui est l'un des signes d'une attaque Kerberoasting.

Découverte


Ayant pris pied et accédé au système, les attaquants doivent comprendre où ils se trouvent dans l'infrastructure, ce qui les entoure, ce qu'ils peuvent contrôler. Pendant la reconnaissance, les attaquants collectent des données sur le système et le réseau interne, ce qui aide à naviguer dans l'infrastructure et à décider comment procéder. Pour cela, des outils intégrés de systèmes d'exploitation sont souvent utilisés.
L'analyse du trafic révèle l'utilisation de dix techniques de renseignement.

1. T1087 : découverte de compte


Essayer d'obtenir une liste des comptes de système ou de domaine locaux.

Ce que fait PT NAD: un exemple de détection Les
attaquants ont tenté d'obtenir des informations d'un contrôleur de domaine sur les comptes de domaine via LDAP, un protocole d'accès à l'annuaire léger. PT NAD a détecté une requête LDAP. Cette méthode d'obtention de comptes de domaine peut s'appliquer à la fois à la technique T1087 (découverte de compte) et à T1069 (découverte de groupes d'autorisations).



Intelligence tente d'obtenir des informations de compte de domaine via LDAP

2. T1482 : découverte d'approbation de domaine


Recherchez des informations d'approbation de domaine. Les attaquants utilisent ces relations pour le mouvement horizontal dans les infrastructures multi-domaines.

Action de PT NAD : Une liste des relations de confiance entre les domaines peut être obtenue à l'aide de requêtes RPC et LDAP. PT NAD détecte automatiquement les tentatives d'énumération des approbations entre les domaines à l'aide du protocole LDAP et de l'appel EnumTrustDom RPC.

3. T1046 : analyse des services réseau


Essayer d'obtenir une liste de services exécutés sur des nœuds de réseau distants. Cela est possible à l'aide des outils et des vulnérabilités de scan des ports installés.

Ce que fait PT NAD : détecte les signes d'outils de vulnérabilité des ports et les vulnérabilités (par exemple, les utilitaires Nmap), ainsi que les requêtes non standard vers les ports connus.

4. T1135 : découverte de partage réseau


Recherchez les lecteurs et dossiers réseau partagés qui permettent d'accéder aux répertoires de fichiers sur divers systèmes réseau.

Action de PT NAD : détecte une demande de liste de lecteurs réseau partagés et de dossiers sur la machine distante.

5. T1201 : découverte de la politique de mot de passe


Technique par laquelle un attaquant recherche des informations sur une politique de mot de passe dans l'infrastructure d'une entreprise. Par exemple, une stratégie peut définir une longueur de mot de passe minimale et le nombre de tentatives d'authentification échouées autorisées. Connaître le nombre de caractères aidera les attaquants à dresser une liste de mots de passe communs appropriés, à commencer à deviner le dictionnaire à l'aide d'un dictionnaire ou à utiliser une recherche exhaustive (T1110: force brute).

Ce que fait PT NAD : détecte automatiquement les demandes de politique de mot de passe via SAMR.

6. T1069 : découverte de groupes d'autorisations


En utilisant cette technique, les attaquants tentent de trouver des groupes locaux ou de domaine et leurs paramètres d'accès. Ces informations peuvent être utilisées par les attaquants lorsqu'ils choisissent une cible pour une attaque.

Action de PT NAD : détecte automatiquement les tentatives d'obtention d'informations sur les groupes de domaine via LDAP et SAMR. Un exemple d'identification de cette technique est illustré dans la capture d'écran ci-dessus.

7. T1018 : découverte de système à distance


Une technique dans laquelle les attaquants tentent d'obtenir une liste des systèmes d'un réseau attaqué à l'aide de systèmes d'accès à distance ou d'utilitaires système intégrés. Ceci est possible par l'adresse IP, le nom d'hôte ou un autre identifiant, qui peut ensuite être utilisé pour se déplacer horizontalement sur le réseau à partir du système actuel.

Ce que fait PT NAD : voit les demandes de listes de contrôleurs de domaine, de postes de travail et de serveurs, SPN (Service Principle Name).

8. T1063 : découverte de logiciels de sécurité


Une technique dans laquelle les attaquants tentent d'obtenir des informations sur les systèmes de sécurité installés, leur configuration et leurs capteurs. Une façon d'obtenir cette liste consiste à utiliser les requêtes DCE / RPC.

Que fait PT NAD: voit les demandes DCE / RPC. L'utilisateur système peut trouver toutes les sessions contenant ces demandes et détecter les tentatives de réception à distance d'informations sur les fonctions de sécurité.

9. T1033 : découverte du propriétaire / utilisateur du système


Lors de la mise en œuvre de cette technique, les attaquants peuvent identifier l'utilisateur principal du système, l'utilisateur actuellement connecté, le groupe d'utilisateurs qui utilisent généralement le système et déterminer dans quelle mesure le système est utilisé.

Ce que fait PT NAD : les cybercriminels peuvent obtenir une liste des sessions utilisateur actives sur un hôte distant en utilisant des requêtes via le protocole SRVSVC. PT NAD détecte automatiquement ces demandes.

10. T1007 : découverte du service système


Les attaquants recherchent des informations sur les services enregistrés.

Ce que fait PT NAD : les attaquants peuvent obtenir ce type d'informations en utilisant les requêtes réseau DCE / RPC. PT NAD détecte automatiquement les appels à Service Control Manager (SCM) à l'aide du protocole DCE / RPC, y compris les commandes pour obtenir une liste de services sur un nœud de réseau distant et l'état de leur activité.

Au lieu d'une conclusion


Nous vous rappelons que la cartographie complète de PT NAD à la matrice MITRE ATT & CK est  publiée sur Habré .

Dans les articles suivants, nous parlerons d'autres tactiques et techniques des pirates et comment le système PT NTA Discovery Attack Discovery aide à les identifier. Rester avec nous!



Auteurs :

  • Anton Kutepov, spécialiste, PT Expert Security Center Positive Technologies
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles