Get best of the week

Comment les systèmes d'analyse du trafic détectent les tactiques des pirates par MITRE ATT & CK, partie 5



Ceci est le dernier article du cycle ( première , deuxième , troisième et quatrième parties), dans lequel nous considérons les techniques et tactiques des pirates conformément à MITRE ATT & CK, et montrons également comment reconnaître une activité suspecte dans le trafic réseau. Dans le dernier article, nous examinerons les techniques de commandement et de contrôle, l'exfiltration et l'impact.

Gestion et contrôle


Les techniques de commandement et de contrôle (C2 ou C&C) sont utilisées pour connecter les attaquants à des systèmes contrôlés dans le réseau de la victime. Les attaquants imitent généralement le comportement normal du trafic pour éviter la détection.

L'analyse du trafic à l'aide de PT Network Attack Discovery (PT NAD) détecte 18 techniques C&C courantes.

1. T1043 : port couramment utilisé


Les attaquants communiquent avec le serveur de commandes via des ports, qui sont généralement autorisés à établir une connexion sortante. Des exemples de tels ports sont: TCP: 80 (HTTP), TCP: 443 (HTTPS), TCP: 25 (SMTP), TCP / UDP: 53 (DNS). Cela permet de contourner la détection de pare-feu et de faire semblant d'être une activité réseau standard. De plus, les contrevenants peuvent utiliser à la fois le protocole d'application correspondant attribué à un numéro de port spécifique et tout autre protocole de niveau application, jusqu'au transfert de données sur des sockets bruts.

Que fait PT NAD?: Détecte automatiquement une incompatibilité entre un protocole d'application commun et son port standard, par exemple, lors de l'envoi de requêtes HTTP au port 53. Pour les cas plus complexes, un spécialiste de la sécurité des informations peut examiner les cartes de session suspectes dans PT NAD, qui stocke des informations sur les ports et les protocoles de connexion réseau. Cela révèle l'utilisation de ports standard pour la communication avec le centre de commande.

2. T1090 : proxy de connexion


Les attaquants peuvent utiliser un serveur proxy comme intermédiaire pour échanger des données avec un serveur C&C. Ils évitent ainsi les connexions directes à leur infrastructure et compliquent leur découverte.

Ce que fait PT NAD : pour le proxy de trafic, les attaquants peuvent utiliser des réseaux P2P peer-to-peer. Protocoles P2P populaires PT NAD détecte automatiquement. PT NAD détecte également les sessions avec les protocoles SOCKS5, HTTP et SSH dans le trafic à travers lesquelles les attaquants créent le plus souvent des canaux proxy pour la sortie d'informations. Si des connexions utilisant de tels protocoles sont associées à des événements suspects, elles peuvent indiquer un compromis.

3. T1094 : protocole de commande et de contrôle personnalisé


Utilisation de protocoles de contrôle et de surveillance propriétaires au lieu d'encapsuler des commandes dans un protocole standard existant au niveau de l'application.

Ce que fait PT NAD : Détecte automatiquement les types de tunnels populaires via les protocoles d'application et de couche réseau, tels que les tunnels ICMP, DNS, POP3, SCTP, WebSocket, ainsi que SSH sur HTTP, SOCKS5 et l'activité d'égal à égal.

4. T1024 : protocole cryptographique personnalisé


Une technique dans laquelle les attaquants utilisent un protocole ou un algorithme de chiffrement pour cacher le trafic C&C.

Ce que fait PT NAD : détecte les signes d'activité malveillante dans le trafic crypté. Ceci est mis en œuvre par la méthode de cryptanalyse des canaux latéraux d'information . Cette approche vous permet de détecter le trafic malveillant même lorsque vous utilisez des protocoles cryptographiques auto-écrits.

5. T1132 : codage des données


Les attaquants utilisent des algorithmes de cryptage de données standard lors de la transmission d'informations sur un canal C&C.

Ce que fait PT NAD : détecte les scripts malveillants lorsque son texte est codé sous la forme d'une chaîne composée de codes de caractères et décode les données chiffrées avec l'algorithme Base64. Par exemple, il détecte les réponses de l'agent Cobalt Strike encodées en Base64.

6. T1001 : obscurcissement des données


Détection compliquée des communications C&C. Les méthodes d'obscurcissement des données incluent l'ajout de données supplémentaires au trafic de protocole, l'application de la stéganographie, le mélange du trafic C&C avec du trafic légitime et l'utilisation d'un système de codage non standard.

Ce que fait PT NAD : peut détecter les faits de transfert de données encodés à l'aide de l'algorithme Base64 en utilisant un alphabet non standard, le transfert de scripts obscurcis, de codes shell et d'instructions shell.

7. T1483 : algorithmes de génération de domaine


Une technique dans laquelle au lieu de lister des adresses IP ou des domaines IP statiques, les attaquants utilisent l'algorithme de génération automatique de domaine (DGA) pour y diriger le trafic C&C. Cela complique le travail des défenseurs: il peut y avoir des milliers de domaines auxquels les logiciels malveillants peuvent se connecter.

Action de PT NAD : à l'aide d'un algorithme spécial, PT NAD détecte les noms de domaine générés automatiquement dans les sessions réseau.



Exemples de domaines DGA découverts à l'aide de PT NAD

8. T1008 : canaux de repli


Les attaquants utilisent une sauvegarde ou un canal de communication alternatif pour augmenter la fiabilité de la communication avec le serveur C&C et pour éviter de dépasser le seuil de quantité de données transmises. De tels canaux sont nécessaires lorsque le canal C&C principal est compromis ou inaccessible.

Ce que fait PT NAD : Un spécialiste de la sécurité de l'information peut détecter l'utilisation d'une telle technique en analysant les données de connexion de logiciels malveillants stockées dans les cartes de session dans PT NAD. Si un logiciel malveillant se connecte à différentes adresses IP (serveurs C&C) à partir d'un nœud de réseau, cela peut indiquer que les attaquants utilisent un canal de communication de secours.

9. T1188 : proxy multi-sauts


Les attaquants créent des chaînes à partir de plusieurs serveurs proxy pour masquer la source du trafic malveillant. Un tel multiproxing complique l'identification de la source source, obligeant la partie défenderesse à surveiller le trafic malveillant via plusieurs serveurs proxy.

Ce que fait PT NAD : si les attaquants créent une chaîne de proxys à l'intérieur du réseau de la victime, elle peut être retracée dans PT NAD en analysant les données de session. Les connexions entre les nœuds sont affichées visuellement dans le graphique de liaison réseau. Cela permet de suivre la séquence des procurations.

10. T1104 : canaux à plusieurs étages


Les attaquants utilisent des canaux C&C à plusieurs niveaux, ce qui les rend difficiles à détecter. Ils réalisent cela en divisant l'attaque en étapes (ou étapes). Chaque étape utilise ses propres serveurs de gestion et ses propres outils (chevaux de Troie, RAT). Une telle séparation de la fonctionnalité en étapes avec différents serveurs de gestion rend difficile la détection des attaquants.

Ce que fait PT NAD : l'utilisation de canaux C&C multi-étapes PT NAD détecte automatiquement par des signes d'activité du malware correspondant. Par exemple, il découvre le fonctionnement des modules de regroupement MuddyWater. Des données détaillées sur chaque canal C&C identifié sont stockées dans des fiches de session - ces données sont utiles lors des enquêtes et des recherches proactives sur les menaces.

11. T1026: multiband communication


Les attaquants partagent un canal de communication entre différents protocoles. Par exemple, les commandes peuvent être transmises à l'aide d'un seul protocole et les résultats de leur exécution peuvent être différents. Cela permet de contourner les limitations des pare-feu et d'éviter les notifications de dépassement des valeurs de seuil des données transmises.

Ce que fait PT NAD : il détecte automatiquement l'utilisation de la séparation du canal de communication en fonction des signes du malware correspondant. Par exemple, de cette manière, il détecte l'activité des agents Cobalt Strike, qui peuvent partager le canal de sortie avec les serveurs C&C entre les protocoles HTTP, HTTPS et DNS. Dans le même temps, PT NAD stocke des données sur chaque connexion C&C avec des informations sur le protocole utilisé, ce qui aide à détecter l'utilisation de la technique T1026 pendant les enquêtes ou la chasse aux menaces.

12. T1079 : cryptage multicouche


L'utilisation de plusieurs niveaux de cryptage C & C-communications. Un exemple typique est le transfert de données cryptées via des protocoles sécurisés tels que HTTPS ou SMTPS.

Ce que fait PT NAD : malgré plusieurs couches de chiffrement, en analysant les canaux cryptographiques latéraux, PT NAD détecte un certain nombre de familles de logiciels malveillants à l'aide de règles. Exemples de menaces détectées: logiciels malveillants des familles RTM et Ursnif (Gozi-ISFB) qui transmettent des données déjà chiffrées à l'aide du protocole HTTPS.

13. T1219 : outils d'accès à distance


Un attaquant utilise un logiciel légitime pour accéder à distance à des systèmes contrôlés. Ces outils sont couramment utilisés par les services d'assistance technique et peuvent être ajoutés à la liste blanche. Ainsi, ses actions seront effectuées au nom du syndic et via le canal de communication autorisé. Parmi les utilitaires populaires figurent TeamViewer, VNC, Go2Assist, LogMeIn, Ammyy Admin.

Ce que fait PT NAD: Un exemple de

détection PT NAD détermine le fonctionnement du réseau de tous les utilitaires d'accès à distance courants - de cette façon, vous pouvez analyser toutes les sessions d'accès à distance établies à l'aide de RAT et vérifier leur légitimité.

Par exemple, PT NAD a détecté une activité malveillante qui utilise le système d'accès à distance du bureau VNC pour se connecter à une adresse IP externe. VNC ainsi que les attaquants Ammyy et TeamViewer utilisent plus souvent que les autres RAT.



Détection des outils d'accès à distance

14. T1105 : copie de fichier à distance


Les attaquants copient des fichiers d'un système à un autre pour déployer leurs outils ou voler des informations. Les fichiers peuvent être copiés à partir d'un système externe contrôlé par un attaquant, via un canal de communication avec un centre de commande, ou en utilisant d'autres outils utilisant des protocoles alternatifs, tels que FTP.

Ce que fait PT NAD : il détecte les transferts de fichiers à l'aide des principaux protocoles d'application et peut les extraire pour une analyse plus approfondie, par exemple dans le bac à sable.

15. T1071 : protocole standard de couche application


Les attaquants utilisent des protocoles d'application courants tels que HTTP, HTTPS, SMTP, DNS. Ainsi, leur activité est mélangée à du trafic légitime standard, ce qui complique la détection.

Ce que fait PT NAD : voit toutes les sessions utilisant des protocoles d'application populaires. Pour chaque session, une fiche détaillée est stockée, à la disposition des utilisateurs pour une analyse manuelle.

16. T1032 : protocole cryptographique standard


L'utilisation d'algorithmes de cryptage bien connus pour masquer le trafic C&C.

Ce que fait PT NAD : En utilisant des indicateurs ou des règles de compromis, PT NAD détecte automatiquement les connexions aux serveurs des cybercriminels. Si les connexions avec eux sont protégées par le protocole TLS, le spécialiste de la sécurité de l'information le verra dans l'interface PT NAD (le système détermine le protocole TLS) et découvrira ainsi l'utilisation de la technique de protocole cryptographique standard.

17. T1095 : protocole standard de couche non applicative


Les attaquants utilisent des protocoles non liés aux applications pour la communication entre un nœud de réseau et un serveur C&C ou entre des nœuds de réseau compromis.

Ce que fait PT NAD : puisque PT NAD analyse le trafic brut, il détecte automatiquement l'activité des familles de logiciels malveillants courants qui transmettent des données via des sockets brutes, c'est-à-dire via des protocoles TCP ou UDP sans utiliser de protocoles de couche application. Des shells TCP Metasploit sont également détectés.

18. T1065 : port rarement utilisé


Communication C&C via un port non standard pour contourner les serveurs proxy et les pare-feu qui n'ont pas été correctement configurés.

Ce que fait PT NAD : il détermine les protocoles d'application par le contenu des paquets et non par les numéros de port, il détecte donc automatiquement l'utilisation de ports non standard pour les protocoles standard.

Exfiltration


Les tactiques d'exfiltration rassemblent des techniques que les cybercriminels utilisent pour voler des données d'un réseau compromis. Pour éviter la détection, les données sont souvent regroupées en les combinant avec la compression et le chiffrement. En règle générale, les attaquants utilisent C&C ou un autre canal pour l'exfiltration.

PT NAD détecte deux techniques d'exfiltration de données.

1. T1048 : exfiltration sur protocole alternatif


Les attaquants utilisent des protocoles pour voler des données autres que celles qui fournissent la communication avec les centres de commandement. Parmi les protocoles alternatifs: FTP, SMTP, HTTP / S, DNS. Les services Web externes tels que le stockage cloud peuvent également être utilisés pour l'exfiltration.

Ce que fait PT NAD: exemple de détection \

L'outil DNSCAT2 est utilisé par les attaquants pour contrôler à distance un nœud de réseau et exfiltrer des données vers un serveur de commandes en utilisant respectivement T1059: interface de ligne de commande et T1048: exfiltration sur des techniques de protocole alternatives.

PT NAD a détecté une activité de trafic DNSTCAT2. L'outil vous permet de canaliser le trafic réseau via le protocole DNS vers un serveur C & C. Dans le trafic, il ressemble à un grand flux de requêtes et de réponses DNS.



Détection d'application de la technique T1048: une exfiltration sur des protocoles

DNS alternatifs est visible sur la carte de session. Il y avait une demande d'enregistrement TXT pour un domaine de troisième niveau illisible et très long, un jeu de caractères illisible similaire est venu en réponse. Dans le même temps, la durée de vie du paquet (TTL) est courte. Ce sont tous des indicateurs d'un tunnel DNS.



Les requêtes DNS pour résoudre les noms DNS longs et illisibles sont visibles sur la carte de session

2. T1041 : exfiltration sur le canal de commandement et de contrôle


Les attaquants utilisent le canal C&C pour voler des données.

PT NAD voit 18 techniques courantes pour communiquer des logiciels malveillants avec un centre de commande des attaquants. Les signes d'utilisation de chacune de ces méthodes sur le réseau indiquent la présence d'un canal C&C sur le réseau à travers lequel les données volées peuvent être transmises.

Impact


À la dernière étape, les attaquants tentent de contrôler les systèmes et les données, d'interférer dans leur travail ou de les détruire. Pour ce faire, ils utilisent des techniques qui vous permettent de perturber la disponibilité ou l'intégrité des systèmes en gérant les processus opérationnels et commerciaux.

3. T1498 : déni de service du réseau


Attaque par déni de service pour réduire ou bloquer la disponibilité des ressources ciblées pour les utilisateurs.

Ce que fait PT NAD : détecte l'amplification (amplification) d'une attaque et l'utilisation d'exploits qui conduisent à un déni de service.

Pendant l'amplification (de l'anglais. Amplification - amplification), l'attaquant envoie des requêtes au nom du serveur de la victime au serveur DNS public. L'objectif des attaquants est de remplir le canal du serveur de la victime avec des réponses volumétriques des serveurs DNS publics.

4. T1496 : détournement de ressources


Utilisation non autorisée des ressources système pour résoudre des problèmes gourmands en ressources. Cela peut affecter la disponibilité du système ou du service hébergé.

Que fait PT NAD?

: voit l'activité des protocoles de crypto mining et des torrents dans le réseau, ce qui indique une charge inappropriée supplémentaire sur le réseau et l'équipement.

5. T1489 : arrêt de service


Les attaquants peuvent arrêter ou désactiver des services dans le système pour les rendre inaccessibles aux utilisateurs légitimes.

Ce que fait PT NAD est un exemple de détection : les cybercriminels ont arrêté le service de serveur Web IIS pour bloquer l'accès au portail de service client. PT NAD a détecté un appel au Service Control Manager (SCM) pour arrêter le service. Ceci est possible grâce à l'inspection du trafic SMB.



Détection d'une attaque dans laquelle les attaquants ont envoyé une demande de déconnexion des services du serveur Web

PT NAD détecte automatiquement les appels à SCM pour créer, modifier, démarrer et arrêter les services.

Nous vous rappelons que la cartographie complète de PT NAD à la matrice MITRE ATT & CK est  publiée sur Habré .

Au lieu d'une conclusion: pourquoi avez-vous besoin d'un NTA


Le trafic est une source de données utile pour détecter les attaques. Dans celui-ci, vous pouvez voir les signes des 12 tactiques qui utilisent des groupes APT. En analysant le trafic à l'aide des systèmes NTA, les entreprises réduisent les chances des attaquants de réussir une attaque et de compromettre complètement le réseau. Il existe d'autres scénarios d'utilisation des systèmes de classe NTA.

  • Contrôle de conformité réseau

Le succès d'une cyberattaque contre une entreprise dépend du niveau de sécurité de son infrastructure d'entreprise. L'analyse du trafic des grandes entreprises russes a montré que dans 94% des cas, les employés ne respectent pas les politiques de sécurité de l'information . Les politiques de sécurité de nombreuses organisations interdisent aux employés de visiter des ressources douteuses, de télécharger des torrents, d'installer des messageries instantanées ou d'utiliser divers utilitaires pour l'accès à distance.

Lors de l'analyse des protocoles réseau, le système NTA voit la transmission des mots de passe sous une forme claire, des messages électroniques non cryptés, l'utilisation de logiciels pour l'accès à distance. Cela permet de contrôler la mise en œuvre des politiques de mot de passe, l'utilisation de RAT et les protocoles de transfert de données non sécurisés.

Pour savoir quelles violations des règles de sécurité de l'information sont les plus courantes, car elles sont détectées par PT NAD et résoudre ce problème, consultez le webinaire ou lisez un article expert Security Center PT Expert Security Center .

  • Enquête d'attaque

Les systèmes NTA qui stockent les métadonnées de session et le trafic brut aident à enquêter sur les incidents: localiser une menace, restaurer l'historique des attaques, identifier les vulnérabilités de l'infrastructure et élaborer des mesures compensatoires.

Voir un exemple d'enquête sur une attaque contre une société mère d'une grande entreprise.

  • Chasse au thé

Les outils NTA peuvent également être utilisés pour la chasse aux menaces. Chasse aux menaces - processus de recherche de menaces qui ne sont pas détectées par les outils de sécurité traditionnels. Le spécialiste émet une hypothèse, par exemple, sur la présence d'un groupe de hackers sur le réseau, sur la présence d'un intrus interne ou une fuite de données, et vérifie. Cette méthode vous permet d'identifier les compromis et les vulnérabilités de l'infrastructure, même lorsque les systèmes de sécurité n'émettent aucun signal.

Regardez un webinaire avec trois études de cas de chasse aux menaces utilisant PT NAD.

Comment attaquent-ils votre entreprise? Dans le réseau, 97% des entreprises ont une activité de trafic suspecte . Vérifiez ce qui se passe sur votre réseau - remplissez une demande de «pilote» gratuit du système d'analyse du trafic PT NAD .

Auteurs :

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles