♑️ 🎺 📧 कैसे ट्रैफिक एनालिसिस सिस्टम MITER ATT & CK, भाग 4 द्वारा हैकर रणनीति का पता लगाता है 😽 👓 👨🏼‍⚖️

पिछले पोस्टों ( पहले , दूसरे और तीसरे भाग) में, हमने MITER ATT & CK: की सात रणनीति की तकनीकों की जांच की।

प्रारंभिक पहुँच
क्रियान्वयन
समेकन (दृढ़ता);
सुविधा वृद्धि
पता लगाने की रोकथाम (रक्षा चोरी);
क्रेडेंशियल एक्सेस प्राप्त करना;
बुद्धि (खोज)।

हमने यह भी दिखाया कि कैसे हमारे एनटीए-समाधान की मदद से नेटवर्क ट्रैफ़िक में संदिग्ध गतिविधि को पहचानना संभव है। अब हम आपको दिखाएंगे कि हमारी तकनीकें पार्श्व आंदोलन और संग्रह तकनीकों के साथ कैसे काम करती हैं।

परिधि के भीतर आंदोलन (पार्श्व आंदोलन)

हमलावर नेटवर्क पर पहुंच और नियंत्रण के लिए, मैलवेयर स्थापित करने और धीरे-धीरे बुनियादी ढांचे में अपनी उपस्थिति का विस्तार करने के लिए परिधि आंदोलन तकनीकों का उपयोग करते हैं। हमलावरों का मुख्य लक्ष्य नेटवर्क पर प्रशासकों, उनके कंप्यूटर, प्रमुख संपत्ति और डेटा की पहचान करना है ताकि अंततः बुनियादी ढांचे पर पूर्ण नियंत्रण हासिल किया जा सके।
निम्नलिखित परिधि आंदोलन तकनीकों का वर्णन है जो ट्रैफ़िक का विश्लेषण करके पता लगाया जा सकता है। उनमें से नौ हैं।

1. T1175 : घटक वस्तु मॉडल और वितरित COM

नेटवर्क के माध्यम से चलते समय स्थानीय या दूरस्थ सिस्टम पर कोड निष्पादित करने के लिए COM या DCOM तकनीकों का उपयोग करना।

पीटी नेटवर्क अटैक डिस्कवरी (पीटी एनएडी) क्या करता है: जब इस तकनीक का उपयोग रिमोट सिस्टम तक पहुंचने के लिए किया जाता है, तो ट्रैफिक का विश्लेषण करके इसका पता लगाया जा सकता है। पीटी एनएडी संदिग्ध डीसीओएम कॉल का पता लगाता है जो साइबर क्रिमिनल्स आमतौर पर नेटवर्क के माध्यम से अग्रिम करने के लिए उपयोग करते हैं।

2. T1210 : दूरस्थ सेवाओं का शोषण

नेटवर्क के चारों ओर जाने के लिए नेटवर्क सेवाओं में कमजोरियों को उजागर करना।

पीटी एनएडी क्या करता है : आम कमजोरियों के शोषण का पता लगाता है। उनमें से RMBonig नेटवर्क डिवाइस विन्यास प्रणाली में, Redis DBMS में SMB (MS17-010) और प्रिंट सिस्टम रिमोट प्रोटोकॉल (MS-RPRN) प्रोटोकॉल में कमजोरियां हैं।

3. T1075 : हैश पास

स्पष्ट में अपने पासवर्ड तक पहुंच के बिना किसी उपयोगकर्ता को प्रमाणित करने की एक विधि। हमलावर मानक प्रमाणीकरण चरणों को दरकिनार कर देते हैं जिसके लिए पासवर्ड की आवश्यकता होती है और सीधे प्रमाणीकरण के उस हिस्से पर जाते हैं जो पासवर्ड हैश का उपयोग करता है। हमलावर क्रेडेंशियल अधिग्रहण तकनीकों का उपयोग करके अग्रिम में हैश प्राप्त करेंगे।

PT NAD क्या करता है : यह हैकर उपयोगिता Mimikatz की नेटवर्क गतिविधि के विभिन्न संकेतों का पता लगाता है, जो हमलावर हैश को पार करने के लिए उपयोग करते हैं (पास हैश हमले को विकसित करते हुए)।

4. T1097 : टिकट पास करें

एक खाता पासवर्ड के उपयोग के बिना करबरोस टिकटों का उपयोग कर एक प्रणाली पर प्रमाणीकरण विधि। इसका उपयोग हमलावरों द्वारा परिधि के चारों ओर किसी दूरस्थ प्रणाली में जाने के पहले चरण के रूप में किया जा सकता है।

पीटी एनएडी क्या करता है : टिकट तकनीक पास की तैयारी के चरण का पता लगाता है, नेटवर्क पर निर्यात किए गए केर्बरोस टिकट के साथ फ़ाइलों के हस्तांतरण का पता लगाता है।

5. T1076 : दूरस्थ डेस्कटॉप प्रोटोकॉल

एक तकनीक जो हमलावरों को आरडीपी दूरस्थ डेस्कटॉप प्रोटोकॉल का उपयोग करके एक दूरस्थ प्रणाली तक पहुंचने की अनुमति देती है यदि इसे नेटवर्क पर उपयोग करने की अनुमति है और उपयोगकर्ताओं को अपने क्रेडेंशियल्स का उपयोग करके अपने कंप्यूटर से कनेक्ट करने की अनुमति देता है।

पीटी एनएडी क्या करता है : कार्यक्रम में, आप प्रोटोकॉल (उदाहरण के लिए, आरडीपी) द्वारा सभी सहेजे गए सत्रों को फ़िल्टर कर सकते हैं और प्रत्येक संदिग्ध का विश्लेषण कर सकते हैं। यह कार्य जांच और सक्रिय रूप से खतरों (खतरे के शिकार) की खोज में उपयोगी है।

6. T1021 : दूरस्थ सेवाएं

टेलीनेट, एसएसएच, या वीएनसी जैसे दूरस्थ कनेक्शन को स्वीकार करने के लिए डिज़ाइन की गई सेवा में प्रवेश करने के लिए वैध खातों का उपयोग करें। उसके बाद, लॉग-इन उपयोगकर्ता की ओर से हमलावर कार्रवाई करने में सक्षम होंगे।

पीटी एनएडी क्या करता है : स्वचालित रूप से वीएनसी कनेक्शन और एविलवीएनसी ट्रोजन की गतिविधि का पता लगाता है। यह ट्रोजन गुप्त रूप से पीड़ित के मेजबान पर एक वीएनसी सर्वर स्थापित करता है और स्वचालित रूप से इसे शुरू करता है। SSH और TELNET प्रोटोकॉल का उपयोग करके दूरस्थ कनेक्शन की वैधता की जाँच करने के लिए, PT NAD उपयोगकर्ता ऐसे कनेक्शन वाले सभी सत्रों को फ़िल्टर कर सकते हैं और प्रत्येक संदिग्ध का विश्लेषण कर सकते हैं।

7. T1072 : तृतीय-पक्ष सॉफ़्टवेयर

वह तकनीक जिसके द्वारा हमलावर नेटवर्क प्रशासन सॉफ़्टवेयर (तृतीय-पक्ष सॉफ़्टवेयर और सॉफ़्टवेयर परिनियोजन सिस्टम) तक पहुँच प्राप्त करते हैं और दुर्भावनापूर्ण कोड लॉन्च करने के लिए इसका उपयोग करते हैं। तृतीय-पक्ष सॉफ़्टवेयर के उदाहरण: SCCM, VNC, HBSS, Altiris। इस तरह की प्रणालियों तक पहुंच प्राप्त करने की स्थिति में, प्रतिकूल सॉफ्टवेयर की तैनाती, निगरानी या प्रशासन प्रणाली से जुड़े सभी नोड्स पर दूरस्थ रूप से कोड चला सकते हैं।

पीटी एनएडी क्या करता है : यह स्वचालित रूप से नेटवर्क पर ऐसे सॉफ़्टवेयर के संचालन का पता लगाता है। उदाहरण के लिए, नियम VNC प्रोटोकॉल के माध्यम से कनेक्शन के तथ्यों और EvilVNC ट्रोजन की गतिविधि पर काम करते हैं, जो गुप्त रूप से पीड़ित के मेजबान पर VNC सर्वर को स्थापित करता है और स्वचालित रूप से इस सर्वर को शुरू करता है।

8. T1077 : विंडोज एडमिन शेयर

केवल प्रशासक द्वारा सुलभ छिपे हुए नेटवर्क फ़ोल्डर का उपयोग करना, उदाहरण के लिए C $, ADMIN $, IPC $। वे फ़ाइलों और अन्य प्रशासनिक कार्यों को दूरस्थ रूप से कॉपी करने की क्षमता प्रदान करते हैं।

पीटी एनएडी क्या करता है:

पीटी एनएडी खोज उदाहरण ने एससीएम (सेवा नियंत्रण प्रबंधक) के माध्यम से कमांड के दूरस्थ निष्पादन का पता लगाया । यह केवल विंडोज एडमिन शेयर प्रशासनिक शेयरों तक पहुंच के साथ संभव है।

T1077 तकनीक के अनुप्रयोग का पता लगाना: विंडोज एडमिन शेयर

यदि आप एक सत्र खोलते हैं, तो आप देख सकते हैं कि इम्पेकेट टूल के लिए नियम ने इसमें काम किया है। कमांड निष्पादन परिणाम प्राप्त करने के लिए यह $ C तक नेटवर्क पहुंच का उपयोग करता है।

प्रशासक के नेटवर्क फ़ोल्डर से डाउनलोड की गई फाइलें दिखा रहा है

9. टी 1028 : विंडोज रिमोट मैनेजमेंट

विंडोज सेवा और प्रोटोकॉल का उपयोग करना, जो उपयोगकर्ता को दूरस्थ सिस्टम के साथ बातचीत करने की अनुमति देता है।

पीटी एनएडी क्या करता है : विंडोज रिमोट मैनेजमेंट का उपयोग करके स्थापित नेटवर्क कनेक्शन देखता है। ऐसे सत्रों को नियमों द्वारा स्वचालित रूप से पता लगाया जाता है

आंकड़ा संग्रहण

हमलावर जानकारी एकत्र करने के लिए संग्रह रणनीति का उपयोग करते हैं जो वे तब डेटा एक्सफ़िल्टरेशन तकनीकों का उपयोग करके चोरी करने की योजना बनाते हैं। विशिष्ट डेटा स्रोतों में विभिन्न प्रकार के ड्राइव, ब्राउज़र, ऑडियो, वीडियो और ईमेल शामिल हैं।

ट्रैफ़िक विश्लेषण नेटवर्क में दो डेटा संग्रह तकनीकों के उपयोग का संकेत दे सकता है।

1. T1039 : नेटवर्क साझा ड्राइव से डेटा

सार्वजनिक नेटवर्क ड्राइव वाले दूरस्थ सिस्टम से डेटा एकत्र करें।

पीटी एनएडी क्या करता है:

नेटवर्क ड्राइव से फाइल ट्रांसफर का एक उदाहरण ट्रैफिक द्वारा दिखाई देता है, पीटी एनएडी में फाइल ट्रांसफर सेशन का विस्तार से अध्ययन किया जा सकता है।

आइए इस परिकल्पना की जांच करें कि हमलावरों ने T1039 तकनीक का इस्तेमाल किया और कंपनी के वित्तीय विभाग के फ़ाइल सर्वर तक पहुंचने में सक्षम थे। ऐसा करने के लिए, हम फ़ाइल भंडारण के आईपी पते से गतिविधि के आधार पर सभी सत्रों को फ़िल्टर करते हैं और उन कनेक्शनों को खोजते हैं जिनमें फाइलें डाउनलोड की गई थीं। ऐसे सत्रों में से एक के कार्ड में प्रवेश करने के बाद, हम देखते हैं कि TopSecretReport_2020 फ़ाइल डाउनलोड हो गई है।

फ़ाइल को डाउनलोड करने और देखने के बाद, हम समझते हैं कि हमलावर किन विशिष्ट सूचनाओं को जब्त करने में कामयाब रहे।

2. T1185 : ब्राउज़र में आदमी

एक तकनीक जिससे एक हमलावर पीड़ित के ब्राउज़र की भेद्यता का फायदा उठाता है और वेब सामग्री को बदलता है और जानकारी को स्वीकार करता है। एक उदाहरण: एक हमलावर सॉफ्टवेयर को ब्राउज़र में इंजेक्ट करता है जो आपको कुकीज, एचटीटीपी सत्र, क्लाइंट एसएसएल सर्टिफिकेट को इंटरसेप्ट करने और इंट्रानेट पर जाने के लिए ब्राउजर का उपयोग करने की अनुमति देता है।

पीटी एनएडी क्या करता है : डाउनलोड करने योग्य वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट की शुरूआत के आधार पर स्वचालित रूप से ब्राउज़र हमले में एक आदमी का पता लगाता है। पीटी एनएडी दो तरह से ऐसे हमलों का पता लगाता है: समझौता किए गए प्रमाणपत्रों से जो पहले ऐसे हमलों में इस्तेमाल किए गए थे, और ब्राउज़र में कोड इंजेक्ट करने के उद्देश्य से दुर्भावनापूर्ण कार्यक्रमों की विशेषता नेटवर्क गतिविधि द्वारा (उदाहरण के लिए, ज़ीउस)।

एक निष्कर्ष के बजाय

हम आपको याद दिलाते हैं कि MITER ATT & CK मैट्रिक्स में PT NAD की पूरी मैपिंग Habré पर प्रकाशित होती है ।

निम्नलिखित लेखों में, हम हैकर्स की अन्य रणनीति और तकनीकों के बारे में बात करेंगे और पीटी नेटवर्क अटैक डिस्कवरी एनटीए-सिस्टम उनकी पहचान करने में कैसे मदद करता है। हमारे साथ रहें!

लेखक :

एंटोन कुटेपोव, विशेषज्ञ, पीटी विशेषज्ञ सुरक्षा केंद्र पॉजिटिव टेक्नोलॉजीज
नतालिया कज़ानकोवा, उत्पाद बाजार पॉजिटिव टेक्नोलॉजीज

कैसे ट्रैफिक एनालिसिस सिस्टम MITER ATT & CK, भाग 4 द्वारा हैकर रणनीति का पता लगाता है