👆 🏪 💇🏾 कैसे ट्रैफिक एनालिसिस सिस्टम पीटी नेटवर्क अटैक डिस्कवरी का उपयोग करके MITER ATT & CK हैकर टैक्टिक्स का पता लगाता है 👩🏼‍🎤 🤣 🖕🏾

एक में पिछले प्रारंभिक उपयोग और निष्पादन के साथ ही के रूप में - लेख, हम दो MITER ATT और सी.के. रणनीति की तकनीक की जांच की नेटवर्क ट्रैफ़िक में संदिग्ध गतिविधि का पता लगाने के हमारे उपयोग करते हुए NTA समाधान । अब हम आपको दिखाएंगे कि हमारी तकनीकें दृढ़ता, विशेषाधिकार वृद्धि और रक्षा चोरी तकनीकों के साथ कैसे काम करती हैं।

बन्धन (दृढ़ता)

हमलावर सिस्टम में अपनी निरंतर उपस्थिति सुनिश्चित करने के लिए पिनिंग रणनीति का उपयोग करते हैं। उन्हें यह सुनिश्चित करने की आवश्यकता है कि सिस्टम को पुनरारंभ करने या क्रेडेंशियल बदलने के बाद भी, सिस्टम तक उनकी पहुंच बनी रहेगी। इसलिए वे किसी भी समय एक समझौता प्रणाली को नियंत्रित करने, बुनियादी ढांचे के साथ आगे बढ़ने और अपने लक्ष्यों को प्राप्त करने में सक्षम होंगे।

ट्रैफ़िक विश्लेषण का उपयोग करके, आप पाँच फ़िक्सिंग तकनीकों की खोज कर सकते हैं।

1. T1133 : बाहरी दूरस्थ सेवाएँ

कंपनी के आंतरिक संसाधनों पर बाहरी रूप से समेकित करने के लिए बाहरी दूरस्थ सेवाओं का उपयोग करने की तकनीक। ऐसी सेवाओं के उदाहरण: वीपीएन और सिट्रिक्स।

पीटी नेटवर्क अटैक डिस्कवरी (पीटी एनएडी) क्या करता है : यह कंपनी के आंतरिक नेटवर्क में वीपीएन या साइट्रिक्स के माध्यम से स्थापित नेटवर्क सत्र देखता है। विश्लेषक ऐसे सत्रों का विस्तार से अध्ययन कर सकते हैं और उनकी वैधता के बारे में निष्कर्ष निकाल सकते हैं।

2. T1053 : निर्धारित कार्य

किसी विशिष्ट समय पर प्रोग्राम या स्क्रिप्ट लॉन्च करने के लिए विंडोज टास्क शेड्यूलर और अन्य उपयोगिताओं का उपयोग करना। हमलावर ऐसे कार्यों को, एक नियम के रूप में, दूरस्थ रूप से बनाते हैं, जिसका अर्थ है कि कार्य अनुसूचियों के लॉन्च के साथ ऐसे सत्र यातायात में दिखाई देते हैं।

पीटी एनएडी क्या करता है : यदि एक डोमेन नियंत्रक समूह की नीतियों के माध्यम से बनाए गए कार्यों का वर्णन करने वाली एक्सएमएल फाइलें भेजता है, तो हमारा एनटीए समाधान स्वचालित रूप से ऐसी फाइलें निकालता है। उनमें कार्य को लॉन्च करने की आवृत्ति के बारे में जानकारी होती है, जो नेटवर्क में समेकन के लिए कार्य अनुसूचक के उपयोग का संकेत दे सकती है।

3. T1078 : मान्य खाते

क्रेडेंशियल्स का उपयोग: बाहरी और आंतरिक सेवाओं पर प्राधिकरण के लिए मानक, स्थानीय या डोमेन।

पीटी एनएडी क्या करता है : स्वचालित रूप से HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, कर्बरोस से क्रेडेंशियल्स निकालता है। सामान्य तौर पर, यह एक उपयोगकर्ता नाम, पासवर्ड और प्रमाणीकरण सफलता का संकेत है। यदि उनका उपयोग किया गया था, तो उन्हें संबंधित सत्र कार्ड में प्रदर्शित किया जाता है।

4. T1100 : वेब शेल

एक स्क्रिप्ट जो एक वेब सर्वर पर होस्ट की जाती है और एक हमलावर को उस सर्वर का नियंत्रण प्राप्त करने की अनुमति देती है। चूंकि ऐसी स्क्रिप्ट स्वचालित मोड में काम करती हैं और सर्वर के रिबूट होने के बाद भी कार्य करना जारी रखती हैं, इस तकनीक का उपयोग सिस्टम में फिक्सिंग चरण के दौरान साइबर अपराधियों द्वारा किया जा सकता है।

पीटी एनएडी क्या करता है : यह स्वचालित रूप से सामान्य वेब शेल के लोडिंग का पता लगाता है, उन्हें HTTP अनुरोधों के माध्यम से एक्सेस करता है और कमांड भेजता है।

5. T1084 : विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन इवेंट सब्सक्रिप्शन

डब्ल्यूएमआई में घटनाओं की सदस्यता - स्थानीय और रिमोट ऑपरेटिंग सिस्टम के घटकों के प्रबंधन के लिए प्रौद्योगिकियां। हमलावर कुछ घटनाओं की सदस्यता लेने और इस घटना के होने पर दुर्भावनापूर्ण कोड के निष्पादन को ट्रिगर करने के लिए WMI का उपयोग कर सकते हैं। इस प्रकार, हमलावर सिस्टम में एक निरंतर उपस्थिति सुनिश्चित करते हैं। उन घटनाओं के उदाहरण जिन्हें आप सब्सक्राइब कर सकते हैं: सिस्टम घड़ी पर एक निश्चित समय की शुरुआत या ऑपरेटिंग सिस्टम शुरू होने के कुछ सेकंड से समाप्ति की संख्या।

पीटी एनएडी क्या करता है?: नियमों का उपयोग करते हुए विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन इवेंट सब्सक्रिप्शन तकनीक के उपयोग का पता लगाता है। उनमें से एक तब काम करता है जब नेटवर्क ActiveScriptEventConsumer मानक ग्राहक वर्ग का उपयोग करता है, जो किसी घटना के होने पर कोड को निष्पादित करने की अनुमति देता है और इस तरह हमलावर को नेटवर्क नोड में संलग्न करता है।

उदाहरण के लिए, नियम ट्रिगर के साथ सत्र कार्ड का विश्लेषण करने के बाद, हम देखते हैं कि यह गतिविधि हैकर टूल इम्पेकेट के कारण हुई थी: उसी सत्र में, रिमोट कोड निष्पादन के लिए इस उपकरण का उपयोग करने के लिए डिटेक्टर ने काम किया।

सत्र कार्ड जिसमें इम्पेकेट टूल का उपयोग किया गया था। इसकी मदद से, हमलावर दूरस्थ रूप से कमांड निष्पादित करने के लिए एक मानक ग्राहक का उपयोग करते हैं

सुविधा वृद्धि

प्रिविलेज एस्केलेशन तकनीक का उद्देश्य हमला किए गए सिस्टम में उच्च-स्तरीय अनुमतियाँ प्राप्त करना है। ऐसा करने के लिए, हमलावर सिस्टम की कमजोरियों का फायदा उठाते हैं, कॉन्फ़िगरेशन की त्रुटियों और कमजोरियों का फायदा उठाते हैं।

1. T1078 : मान्य खाते

यह पहचान की चोरी है: मानक, स्थानीय या डोमेन।

पीटी एनएडी क्या करता है : यह देखता है कि किस उपयोगकर्ता ने लॉग इन किया है, जिससे अवैध इनपुट की पहचान करना संभव है। Windows चला रहे दूरस्थ या स्थानीय होस्ट पर विशेषाधिकारों को बढ़ाने के सबसे सामान्य तरीकों में से एक Windows कार्य शेड्यूलर कार्य है जो NT AUTHORITY \ SYSTEM की ओर से चलेगा, जो सिस्टम पर अधिकतम विशेषाधिकारों के साथ कमांड निष्पादित करना संभव बनाता है।

ATExec उपकरण का उपयोग करके नेटवर्क पर इस तरह के कार्य को बनाने के मामले पर विचार करें। यह इम्पेकेट लाइब्रेरी के घटकों पर आधारित है और कार्य अनुसूचक के लिए दूरस्थ प्रोटोकॉल के साथ काम करने के लिए पुस्तकालय की क्षमता का प्रदर्शन करने के लिए बनाया गया था। इसका काम नेटवर्क ट्रैफ़िक में दिखाई देता है, और यह नेटवर्क नोड के व्यवस्थापक स्तर से NT AUTHORITY \ SYSTEM स्तर तक विशेषाधिकार बढ़ाने की तकनीक को अच्छी तरह से दिखाता है।

पीटी एनएडी ने स्वचालित रूप से दूरस्थ मेजबान पर अनुसूचक कार्यों के निर्माण का पता लगाया। नीचे दिए गए हमले के कार्ड से पता चलता है कि कनेक्शन उपयोगकर्ता contoso \ user02 की ओर से बनाया गया था। लक्ष्य होस्ट के ADMIN $ संसाधन के लिए एक सफल SMB कनेक्शन इंगित करता है कि यह उपयोगकर्ता गंतव्य होस्ट पर स्थानीय व्यवस्थापक समूह का सदस्य है। हालाँकि, कार्य का XML विवरण इंगित करता है कि इसे NT AUTHORITY \ SYSTEM (SID S-1-5-18) के संदर्भ में निष्पादित किया जाएगा:

ATExec उपयोगिता का उपयोग करके दूरस्थ कार्य निर्माण का पता लगाना

रक्षा रक्षा

यह रणनीति एक साथ तकनीक लाती है जिसके द्वारा एक हमलावर दुर्भावनापूर्ण गतिविधि को छिपा सकता है और सुरक्षा के माध्यम से पता लगाने से बच सकता है। ट्रैफ़िक विश्लेषण प्रणालियों का उपयोग करके इन तकनीकों में से नौ का पता लगाया जा सकता है।

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

हमलावर विंडोज कनेक्टिविटी मैनेजर प्रोफाइल इंस्टॉलर उपयोगिता (CMSTP.exe) के लिए एक विशेष दुर्भावनापूर्ण स्थापना .inf फ़ाइल तैयार कर रहे हैं। CMSTP.exe फ़ाइल को एक पैरामीटर के रूप में लेता है और दूरस्थ कनेक्शन के लिए सेवा प्रोफ़ाइल सेट करता है। परिणामस्वरूप, CMSTP.exe का उपयोग रिमोट सर्वर से गतिशील रूप से जुड़े पुस्तकालयों (*। Dll) या बुलेटलेट (* .sct) को डाउनलोड करने और निष्पादित करने के लिए किया जा सकता है। इस तरह, हमलावर प्रोग्राम चलाने के लिए श्वेतसूची नीति को दरकिनार कर सकते हैं।

पीटी एनएडी क्या करता है : यह HTTP ट्रैफ़िक में विशेष .inf फ़ाइलों के प्रसारण का पता लगाता है। इसके अलावा, वह दुर्भावनापूर्ण स्क्रिप्टलेट्स के HTTP प्रोटोकॉल ट्रांसमिशन और रिमोट सर्वर से गतिशील रूप से जुड़े पुस्तकालयों को देखता है।

2. T1090 : कनेक्शन प्रॉक्सी

हमलावर C2 सर्वर के साथ डेटा का आदान-प्रदान करने के लिए एक मध्यस्थ के रूप में एक प्रॉक्सी सर्वर का उपयोग कर सकते हैं। इसलिए वे अपने बुनियादी ढांचे से सीधे संपर्क से बचते हैं और उनका पता लगाने की क्षमता को जटिल बनाते हैं।

पीटी एनएडी क्या करता है : SOCKS5 प्रोटोकॉल का उपयोग निर्धारित करता है (यह क्लाइंट से गंतव्य सर्वर को प्रॉक्सी सर्वर के माध्यम से अदृश्य रूप से डेटा भेजता है) और एक HTTP प्रॉक्सी। यदि SOCKS 5 प्रोटोकॉल के माध्यम से या HTTP प्रॉक्सी सर्वर के माध्यम से कनेक्शन संदिग्ध घटनाओं से जुड़े हैं, तो ऐसे कनेक्शन एक समझौता का संकेत दे सकते हैं।

3. T1207 : DCShadow

एक फर्जी डोमेन कंट्रोलर बनाने के लिए डामर सिस्टम द्वारा बायपास का पता लगाना, जो प्रतिकृति तंत्र के माध्यम से विज्ञापन योजना के लिए दुर्भावनापूर्ण संशोधनों की अनुमति देता है।

पीटी एनएडी क्या करता है : DCShadow तकनीक का उपयोग करते समय, एक नकली डोमेन नियंत्रक बनाया जाता है जो इवेंट्स को CRM में नहीं भेजता है। ऐसे डोमेन नियंत्रक का उपयोग करते हुए, एक हमलावर सक्रिय निर्देशिका डेटा को संशोधित कर सकता है - उदाहरण के लिए, किसी भी डोमेन ऑब्जेक्ट, उपयोगकर्ता क्रेडेंशियल्स और कुंजियों के बारे में जानकारी।

इस तरह की तकनीक के इस्तेमाल से ट्रैफिक की पहचान की जा सकती है। यह स्पष्ट रूप से डोमेन नियंत्रक प्रकार की कॉन्फ़िगरेशन योजना के लिए एक नई वस्तु को जोड़ने को दर्शाता है। एनटीए प्रणाली एक नेटवर्क नियंत्रक से डोमेन नियंत्रक के लिए ट्रैफ़िक का पता लगाकर DCShadow पर हमला करने की कोशिश का पता लगाती है जो कि एक डोमेन नियंत्रक नहीं है।

पीटी एनएडी ने DCShadow पर हमला करने का प्रयास दर्ज किया

4. T1211 : रक्षा चोरी के लिए शोषण

सुरक्षा सुविधाओं को बाईपास करने के लिए लक्ष्य प्रणाली की कमजोरियों को उजागर करना।

पीटी एनएडी क्या करता है : कमजोरियों के लिए कई लोकप्रिय शोषण तकनीकों का स्वचालित रूप से पता लगाता है। उदाहरण के लिए, वह डुप्लिकेट HTTP हेडर के आधार पर वेब एप्लिकेशन सुरक्षा को दरकिनार करने के लिए एक तकनीक की पहचान करता है।

5. T1170 : mshta

Mshta.exe उपयोगिता का उपयोग करना, जो कि .hta एक्सटेंशन के साथ Microsoft HTML एप्लिकेशन (HTA) चलाता है। चूंकि mshta ब्राउज़र सुरक्षा सेटिंग्स को दरकिनार कर फाइलों को संसाधित करता है, हमलावर दुर्भावनापूर्ण HTA, जावास्क्रिप्ट, या VBScript फ़ाइलों को निष्पादित करने के लिए mshta.exe का उपयोग कर सकते हैं। हमलावर प्रोग्राम चलाने के लिए और नीतियों का पता लगाने के लिए और अधिक से अधिक एमएमएस डिटेक्शन नियमों को चालू करने के लिए श्वेत तकनीक का इस्तेमाल करते हैं।

PT NAD क्या करता है : स्वचालित रूप से दुर्भावनापूर्ण HTA फ़ाइलों के हस्तांतरण का पता लगाता है। यह फाइलों को पकड़ता है और सत्र कार्ड में उनके बारे में जानकारी देखी जा सकती है।

6. T1027 : obfuscated फ़ाइलें या जानकारी

सुरक्षा उपकरणों के लिए एक निष्पादन योग्य फ़ाइल या नेटवर्क ट्रैफ़िक को बनाने की कोशिश करना, उसकी सामग्री को एन्क्रिप्ट, एन्कोडिंग या ओफ़्यूसैकेटिंग (ओफ़्फ़ुसेटिंग) द्वारा पता लगाना और विश्लेषण करना मुश्किल है।

पीटी एनएडी क्या करता है : यह बेस 64, आरओटी 13 एल्गोरिदम या गामा का उपयोग कर एन्क्रिप्टेड का उपयोग करके एन्कोडेड निष्पादन योग्य फ़ाइलों के हस्तांतरण का पता लगाता है। कुछ ट्रैफ़िक बनाने वाले ट्रैफ़िक को भी स्वचालित रूप से पता लगाया जाता है।

7. T1108 : बेमानी पहुंच

एक तकनीक जिसमें हमलावर एक से अधिक रिमोट एक्सेस उपयोगिता का उपयोग करते हैं। यदि उपकरणों में से एक का पता लगाया और अवरुद्ध किया गया है, तो हमलावरों के पास अभी भी नेटवर्क तक पहुंच होगी।

पीटी एनएडी क्या करता है : लोकप्रिय प्रोटोकॉल को पार्स करता है, इसलिए यह प्रत्येक नेटवर्क नोड की गतिविधि को देखता है। फ़िल्टर का उपयोग करके, विश्लेषक एक नोड से स्थापित रिमोट एक्सेस टूल के सभी सत्रों को पा सकते हैं।

8. T1064 : स्क्रिप्टिंग

हमलावरों के विभिन्न कार्यों को स्वचालित करने के लिए लिपियों का निष्पादन, कार्यक्रमों को लॉन्च करने के लिए श्वेतसूची नीतियों को दरकिनार करना।

पीटी एनएडी क्या करता है : यह नेटवर्क पर स्क्रिप्ट ट्रांसमिशन के तथ्यों को प्रकट करता है , अर्थात, लॉन्च होने से पहले ही। यह कच्चे ट्रैफ़िक में स्क्रिप्ट की सामग्री का पता लगाता है और लोकप्रिय स्क्रिप्टिंग भाषाओं के अनुरूप एक्सटेंशन वाले नेटवर्क पर फ़ाइलों के हस्तांतरण का पता लगाता है।

9. T1045 : सॉफ्टवेयर पैकिंग

एक ऐसी तकनीक जिसमें हमलावर सुरक्षा प्रणालियों का पता लगाने से बचने के लिए एक निष्पादन योग्य फ़ाइल को संपीड़ित या एन्क्रिप्ट करने के लिए विशेष उपयोगिताओं का उपयोग करते हैं। ऐसी उपयोगिताओं को पैकर्स कहा जाता है।

पीटी एनएडी क्या करता है : यह स्वचालित रूप से उन संकेतों का पता लगाता है कि प्रेषित निष्पादन योग्य फ़ाइल को लोकप्रिय पैकर का उपयोग करके संशोधित किया गया है।

एक निष्कर्ष के बजाय

हम आपको याद दिलाते हैं कि MITER ATT & CK मैट्रिक्स में PT NAD की पूरी मैपिंग Habré पर प्रकाशित होती है ।

निम्नलिखित लेखों में, हम हैकर्स की अन्य रणनीति और तकनीकों के बारे में बात करेंगे और पीटी नेटवर्क अटैक डिस्कवरी एनटीए-सिस्टम उनकी पहचान करने में कैसे मदद करता है। हमारे साथ रहें!

लेखक:

एंटोन कुटेपोव, विशेषज्ञ, पीटी विशेषज्ञ सुरक्षा केंद्र पॉजिटिव टेक्नोलॉजीज
नतालिया कज़ानकोवा, उत्पाद विपणनकर्ता पॉजिटिव टेक्नोलॉजीज

कैसे ट्रैफिक एनालिसिस सिस्टम पीटी नेटवर्क अटैक डिस्कवरी का उपयोग करके MITER ATT & CK हैकर टैक्टिक्स का पता लगाता है