Get best of the week

Comment les systèmes d'analyse du trafic détectent les tactiques des pirates par MITRE ATT & CK, partie 4



Dans les articles précédents ( première , deuxième et troisième parties), nous avons examiné les techniques des sept tactiques de MITRE ATT & CK:

  • accès initial
  • exĂ©cution
  • consolidation (persistance);
  • Ă©lĂ©vation de privilèges
  • prĂ©vention de la dĂ©tection (Ă©vasion de la dĂ©fense);
  • obtenir l'accès aux informations d'identification;
  • intelligence (dĂ©couverte).

Nous avons Ă©galement montrĂ© comment, Ă  l'aide de notre  solution NTA,  il est possible de reconnaĂ®tre une activitĂ© suspecte dans le trafic rĂ©seau. Nous allons maintenant vous montrer comment nos technologies fonctionnent avec les techniques de mouvement latĂ©ral et de collecte.

Mouvement à l'intérieur du périmètre (mouvement latéral)


Les attaquants utilisent des techniques de dĂ©placement de pĂ©rimètre pour accĂ©der et contrĂ´ler les systèmes distants sur le rĂ©seau, installer des logiciels malveillants et Ă©tendre progressivement leur prĂ©sence dans l'infrastructure. Le principal objectif des attaquants est d'identifier les administrateurs du rĂ©seau, leurs ordinateurs, les ressources clĂ©s et les donnĂ©es afin de finalement contrĂ´ler totalement l'infrastructure. 
Les descriptions suivantes décrivent les techniques de déplacement de périmètre qui peuvent être détectées en analysant le trafic. Il y en a neuf.

1. T1175 : Modèle d'objet composant et COM distribué


Utilisation des technologies COM ou DCOM pour exécuter du code sur des systèmes locaux ou distants lors du déplacement sur un réseau.

Rôle de PT Network Attack Discovery (PT NAD) : lorsque cette technologie est utilisée pour accéder à des systèmes distants, elle peut être détectée en analysant le trafic. PT NAD détecte les appels DCOM suspects que les cybercriminels utilisent généralement pour avancer sur le réseau.

2. T1210 : exploitation de services Ă  distance


Exploiter les vulnérabilités des services réseau pour se déplacer sur le réseau.

Ce que fait PT NAD : détecte l'exploitation des vulnérabilités courantes. Parmi elles, des vulnérabilités dans les protocoles SMB (MS17-010) et Print System Remote Protocol (MS-RPRN), dans le SGBD Redis, dans le système de configuration de périphérique réseau rConfig.

3. T1075 : passer le hachage


Une méthode d'authentification d'un utilisateur sans accès à son mot de passe en clair. Les attaquants contournent les étapes d'authentification standard qui nécessitent un mot de passe et accèdent directement à la partie de l'authentification qui utilise le hachage de mot de passe. Les attaquants obtiendront des hachages à l'avance en utilisant des techniques d'acquisition d'informations d'identification.

Ce que fait PT NAD : il détecte divers signes d'activité réseau de l'utilitaire de piratage Mimikatz, que les attaquants utilisent pour attaquer passer outre le hachage (développer le passage l'attaque de hachage).

4. T1097 : passez le ticket


Méthode d'authentification sur un système utilisant des tickets Kerberos sans accès à un mot de passe de compte. Il peut être utilisé par les attaquants comme première étape pour se déplacer dans le périmètre vers un système distant.

Ce que fait PT NAD : détecte la phase préparatoire de la technique du pass the ticket, détecte le transfert de fichiers avec des tickets Kerberos exportés sur le réseau.

5. T1076 : protocole de bureau Ă  distance


Une technique qui permet aux attaquants d'accéder à un système distant en utilisant le protocole de bureau à distance RDP s'il est autorisé à être utilisé sur un réseau et permet aux utilisateurs de se connecter à leur ordinateur en utilisant leurs informations d'identification.

Ce que fait PT NAD : dans le programme, vous pouvez filtrer toutes les sessions enregistrées par des protocoles (par exemple, RDP) et analyser chacune des sessions suspectes. Cette fonctionnalité est utile pour enquêter et rechercher de manière proactive les menaces (chasse aux menaces).

6. T1021 : services Ă  distance


Utilisez des comptes valides pour vous connecter à un service conçu pour accepter les connexions à distance, telles que Telnet, SSH ou VNC. Après cela, les attaquants pourront effectuer des actions au nom de l'utilisateur connecté.

Ce que fait PT NAD : détecte automatiquement les connexions VNC et l'activité du cheval de Troie EvilVNC. Ce cheval de Troie installe secrètement un serveur VNC sur l'hôte de la victime et le démarre automatiquement. Pour vérifier la légitimité des connexions à distance à l'aide des protocoles SSH et TELNET, les utilisateurs PT NAD peuvent filtrer toutes les sessions avec de telles connexions et analyser chacune des suspectes.

7. T1072 : logiciel tiers


Technique permettant aux attaquants d'accéder aux logiciels d'administration réseau (logiciels tiers et systèmes de déploiement de logiciels) et de les utiliser pour lancer du code malveillant. Exemples de logiciels tiers: SCCM, VNC, HBSS, Altiris. En cas d'accès à ces systèmes, l'adversaire peut exécuter à distance le code sur tous les nœuds connectés au système de déploiement, de surveillance ou d'administration du logiciel.

Ce que fait PT NAD : il détecte automatiquement le fonctionnement de ces logiciels sur le réseau. Par exemple, les règles fonctionnent sur les faits de connexion via le protocole VNC et l'activité du cheval de Troie EvilVNC, qui installe secrètement le serveur VNC sur l'hôte de la victime et démarre automatiquement ce serveur.

8. T1077 : Partages Admin Windows


Utilisation de dossiers réseau masqués disponibles uniquement pour les administrateurs, par exemple C $, ADMIN $, IPC $. Ils offrent la possibilité de copier à distance des fichiers et d'autres fonctions administratives.

Action de PT NAD: l'exemple de

découverte PT NAD a détecté l'exécution à distance de commandes via le SCM (Service Control Manager). Cela n'est possible qu'avec l'accès aux partages administratifs des partages d'administration Windows.



DĂ©tection de l'application de la technique T1077: Partages Admin Windows

Si vous ouvrez une session, vous pouvez voir que la règle de l'outil Impacket y a fonctionné. Il utilise l'accès réseau à C $ pour obtenir les résultats de l'exécution des commandes.



Carte de session affichant les fichiers téléchargés à partir du dossier réseau de l'administrateur

9. T1028 : Gestion Ă  distance de Windows


Utilisation du service et du protocole Windows, qui permet à l'utilisateur d'interagir avec des systèmes distants.

Ce que fait PT NAD : voit les connexions réseau établies à l'aide de la gestion à distance de Windows. Ces sessions sont détectées automatiquement par les règles.

Collecte de données


Les attaquants utilisent des tactiques de collecte pour collecter des informations qu'ils prévoient ensuite de voler à l'aide de techniques d'exfiltration de données. Les sources de données typiques incluent différents types de lecteurs, navigateurs, audio, vidéo et e-mail.

L'analyse du trafic peut indiquer l'utilisation de deux techniques de collecte de données dans le réseau.

1. T1039 : données du lecteur partagé réseau


Collectez des données à partir de systèmes distants dotés de lecteurs de réseau public.

Ce que fait PT NAD: un exemple de détection

Le transfert de fichiers à partir de lecteurs réseau est visible par le trafic, les sessions de transfert de fichiers peuvent être étudiées en détail dans PT NAD.

Vérifions l'hypothèse que les attaquants ont utilisé la technique T1039 et ont pu accéder au serveur de fichiers du service financier de l'entreprise. Pour ce faire, nous filtrons toutes les sessions en fonction de l'activité à partir de l'adresse IP du stockage de fichiers et trouvons parmi elles les connexions dans lesquelles les fichiers ont été téléchargés. Après avoir entré la fiche de l'une de ces sessions, nous constatons que le fichier TopSecretReport_2020 a été téléchargé.



Après avoir téléchargé et consulté le fichier, nous comprenons quelles informations spécifiques les attaquants ont réussi à saisir.

2. T1185 : l'homme dans le navigateur


Technique par laquelle un attaquant exploite la vulnérabilité du navigateur d'une victime et modifie le contenu Web et intercepte les informations. Un exemple: un attaquant injecte un logiciel dans le navigateur qui vous permet d'intercepter les cookies, les sessions HTTP, les certificats SSL client et d'utiliser le navigateur pour s'authentifier et accéder à l'intranet.

Ce que fait PT NAD : Détecte automatiquement un homme dans l'attaque du navigateur sur la base de l'introduction de scripts malveillants dans les pages Web téléchargeables. PT NAD détecte ces attaques de deux manières: par des certificats compromis qui étaient auparavant utilisés dans de telles attaques, et par l'activité réseau caractéristique des programmes malveillants visant à injecter du code dans le navigateur (par exemple, Zeus).

Au lieu d'une conclusion


Nous vous rappelons que la cartographie complète de PT NAD à la matrice MITRE ATT & CK est publiée sur Habré .

Dans les articles suivants, nous parlerons d'autres tactiques et techniques des pirates et comment le système PT NTA Discovery Attack Discovery aide à les identifier. Rester avec nous!

Auteurs :

  • Anton Kutepov, spĂ©cialiste, PT Expert Security Center Positive Technologies
  • Natalia Kazankova, distributeur de produits Positive Technologies

More articles:


All Articles