Get best of the week

Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas MITT ATT & CK Menggunakan PT Network Attack Discovery



Menurut Verizon , sebagian besar (87%) insiden keamanan informasi terjadi dalam hitungan menit, dan butuh berbulan-bulan bagi 68% perusahaan untuk mendeteksi mereka. Hal ini dikonfirmasi oleh studi Ponemon Institute , yang menurutnya sebagian besar organisasi membutuhkan rata-rata 206 hari untuk mendeteksi suatu insiden. Menurut pengalaman penyelidikan kami, peretas dapat mengontrol infrastruktur perusahaan selama bertahun-tahun dan tidak terdeteksi. Jadi, di salah satu organisasi tempat para ahli kami menyelidiki insiden IS, terungkap bahwa peretas sepenuhnya mengendalikan seluruh infrastruktur organisasi dan secara teratur mencuri informasi penting selama delapan tahun .

Misalkan Anda sudah menjalankan SIEM, yang mengumpulkan log dan menganalisis peristiwa, dan antivirus diinstal pada node akhir. Namun,tidak semuanya dapat dideteksi menggunakan SIEM , seperti halnya tidak mungkin untuk mengimplementasikan sistem EDR pada seluruh jaringan, yang berarti bahwa blind spot tidak dapat dihindari. Sistem analisis lalu lintas jaringan (NTA) membantu mengatasinya. Keputusan-keputusan ini mengungkapkan aktivitas penyerang pada tahap paling awal menembus jaringan, serta selama upaya untuk mendapatkan pijakan dan mengembangkan serangan dalam jaringan.

Ada dua jenis NTA: beberapa bekerja dengan NetFlow, yang kedua menganalisis lalu lintas mentah. Keuntungan dari sistem kedua adalah mereka dapat menyimpan catatan lalu lintas mentah. Berkat ini, spesialis keamanan informasi dapat memverifikasi keberhasilan serangan, melokalisasi ancaman, memahami bagaimana serangan itu terjadi dan bagaimana mencegah yang serupa di masa depan.

Kami akan menunjukkan bagaimana dengan bantuan NTA adalah mungkin, dengan tanda-tanda langsung atau tidak langsung, untuk mengidentifikasi semua taktik serangan yang dikenal yang dijelaskan dalam basis pengetahuan MITER ATT & CK . Kami akan berbicara tentang masing-masing dari 12 taktik, menganalisis teknik yang terdeteksi oleh lalu lintas, dan menunjukkan deteksi mereka menggunakan sistem NTA kami.

Tentang Basis Pengetahuan ATT & CK


MITER ATT & CK adalah basis pengetahuan publik yang dikembangkan dan dikelola oleh MITER Corporation berdasarkan analisis APT nyata. Ini adalah seperangkat taktik dan teknik terstruktur yang digunakan oleh penyerang. Ini memungkinkan para profesional keamanan informasi dari seluruh dunia untuk berbicara dalam bahasa yang sama. Pangkalan ini terus berkembang dan diperbarui dengan pengetahuan baru.

Dalam database, 12 taktik dibedakan, yang dibagi berdasarkan tahapan serangan siber:

  • akses awal
  • eksekusi
  • konsolidasi (kegigihan);
  • eskalasi hak istimewa
  • pencegahan deteksi (penghindaran pertahanan);
  • mendapatkan akses kredensial;
  • kecerdasan (penemuan);
  • gerakan di dalam perimeter (gerakan lateral);
  • pengumpulan data (koleksi);
  • manajemen dan kontrol (perintah dan kontrol);
  • pengelupasan kulit;
  • dampak

Untuk setiap taktik, basis pengetahuan ATT & CK mencantumkan daftar teknik yang membantu penyerang mencapai tujuan mereka pada tahap serangan saat ini. Karena teknik yang sama dapat digunakan pada tahapan yang berbeda, teknik ini dapat berhubungan dengan beberapa taktik.

Deskripsi masing-masing teknik meliputi:

  • pengidentifikasi;
  • daftar taktik yang menerapkannya;
  • contoh penggunaan oleh kelompok APT;
  • langkah-langkah untuk mengurangi kerusakan dari penggunaannya;
  • rekomendasi deteksi.

Spesialis keamanan informasi dapat menggunakan pengetahuan dari database untuk menyusun informasi tentang metode serangan saat ini dan, dengan ini, membangun sistem keamanan yang efektif. Memahami bagaimana kelompok-kelompok APT yang nyata beroperasi, termasuk dapat menjadi sumber hipotesis untuk pencarian proaktif terhadap ancaman dalam rangka perburuan ancaman .

Tentang PT Network Attack Discovery


Kami akan mengidentifikasi penggunaan teknik dari matriks ATT & CK menggunakan sistem PT Network Attack Discovery - sistem Positive Technologies NTA yang dirancang untuk mendeteksi serangan pada perimeter dan di dalam jaringan. PT NAD dengan berbagai tingkatan mencakup 12 taktik dari matriks MITER ATT & CK. Dia paling kuat dalam mengidentifikasi teknik untuk akses awal, pergerakan lateral, dan perintah dan kontrol. Di dalamnya, PT NAD mencakup lebih dari setengah teknik yang dikenal, mengungkapkan penggunaannya dengan tanda-tanda langsung atau tidak langsung.

Sistem mendeteksi serangan menggunakan teknik ATT & CK menggunakan aturan deteksi yang dibuat oleh tim Pusat Pakar Keamanan PT(PT ESC), pembelajaran mesin, indikator kompromi, analitik mendalam dan analisis retrospektif. Analisis lalu lintas waktu-nyata dalam kombinasi dengan retrospektif memungkinkan Anda untuk mengidentifikasi aktivitas berbahaya tersembunyi saat ini dan melacak vektor pengembangan dan sejarah serangan.

Berikut adalah pemetaan penuh PT NAD ke matriks MITER ATT & CK. Gambarnya besar, jadi kami sarankan Anda mempertimbangkannya di jendela terpisah.

Akses awal



Taktik untuk mendapatkan akses awal termasuk teknik untuk menembus jaringan perusahaan. Tujuan penyerang pada tahap ini adalah untuk mengirimkan kode berbahaya ke sistem yang diserang dan untuk memastikan kemungkinan eksekusi lebih lanjut.

Analisis lalu lintas dengan PT NAD mengungkapkan tujuh teknik untuk mendapatkan akses awal:

1. T1189 : kompromi drive-by


Teknik di mana korban membuka situs web yang digunakan oleh penjahat cyber untuk mengoperasikan browser web dan mendapatkan token akses untuk suatu aplikasi.

Apa yang dilakukan PT NAD : Jika lalu lintas web tidak dienkripsi, PT NAD memeriksa isi tanggapan server HTTP. Dalam jawaban ini ada eksploit yang memungkinkan penyerang untuk mengeksekusi kode arbitrer di dalam browser. PT NAD secara otomatis mendeteksi eksploit tersebut menggunakan aturan deteksi.

Selain itu, PT NAD mendeteksi ancaman di langkah sebelumnya. Aturan dan indikator kompromi dipicu jika pengguna mengunjungi situs yang mengarahkannya ke situs dengan banyak eksploitasi.

2. T1190 : mengeksploitasi aplikasi yang menghadap publik


Memanfaatkan kerentanan dalam layanan yang dapat diakses dari Internet.

Apa yang dilakukan PT NAD : melakukan inspeksi mendalam terhadap isi paket jaringan, mengungkapkan tanda-tanda aktivitas abnormal di dalamnya. Secara khusus, ada aturan yang memungkinkan Anda untuk mendeteksi serangan pada sistem manajemen konten utama (CMS), antarmuka web dari peralatan jaringan, serangan pada server mail dan FTP.

3. T1133 : layanan jarak jauh eksternal


Penggunaan layanan akses jarak jauh oleh penyerang untuk terhubung ke sumber daya jaringan internal dari luar.

Apa yang dilakukan PT NAD : karena sistem mengenali protokol bukan dengan nomor port, tetapi dengan isi paket, pengguna sistem dapat menyaring lalu lintas sehingga mereka dapat menemukan semua sesi protokol akses jarak jauh dan memeriksa legitimasinya.

4. T1193 : lampiran spearphishing


Kita berbicara tentang lampiran phishing yang terkenal buruk.

Apa yang dilakukan PT NAD : Secara otomatis mengekstrak file dari lalu lintas dan memeriksanya terhadap indikator kompromi. File yang dapat dieksekusi dalam lampiran terdeteksi oleh aturan yang menganalisis konten lalu lintas email. Dalam lingkungan perusahaan, investasi semacam itu dianggap abnormal.

5. T1192 : tautan spearphishing


Menggunakan tautan phishing. Teknik ini melibatkan pengiriman email phishing oleh pengguna jahat dengan tautan yang, ketika diklik, mengunduh program jahat. Biasanya, tautan disertai dengan teks yang disusun sesuai dengan semua aturan rekayasa sosial.

Apa yang dilakukan PT NAD : mendeteksi tautan phishing menggunakan indikator kompromi. Misalnya, di antarmuka PT NAD kita melihat sesi di mana ada koneksi HTTP menggunakan tautan yang tercantum dalam daftar phishing-url.



Menautkan dari daftar indikator kompilasi phishing-url

6. T1199 : hubungan tepercaya


Akses ke jaringan korban melalui pihak ketiga yang memiliki hubungan tepercaya dengan korban. Penyerang dapat meretas ke organisasi tepercaya dan menyambungkannya ke jaringan target. Untuk melakukan ini, mereka menggunakan koneksi VPN atau trust domain, yang dapat dideteksi menggunakan analisis lalu lintas.

Apa yang PT NAD lakukan : mem-parsing protokol aplikasi dan menyimpan bidang yang di-parsing ke database, sehingga analis IB dapat menggunakan filter untuk menemukan semua koneksi VPN yang mencurigakan atau koneksi lintas domain dalam database.

7. T1078 : akun yang valid


Penggunaan kredensial standar, lokal, atau domain untuk otorisasi pada layanan eksternal dan internal.

Apa yang dilakukan PT NAD : secara otomatis mengekstrak kredensial dari HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Secara umum, ini adalah nama pengguna, kata sandi, dan tanda keberhasilan otentikasi. Jika digunakan, mereka ditampilkan dalam kartu sesi yang sesuai.

Eksekusi


Taktik eksekusi mencakup teknik yang digunakan penjahat cyber untuk mengeksekusi kode pada sistem yang dikompromikan. Menjalankan kode jahat membantu penyerang mengkonsolidasikan keberadaan mereka (taktik kegigihan) dan memperluas akses ke sistem jarak jauh di jaringan dengan bergerak dalam batas.

PT NAD dapat mendeteksi penggunaan oleh penyerang dari 14 teknik yang digunakan untuk mengeksekusi kode berbahaya.

1. T1191 : CMSTP (Pemasang Profil Manajer Koneksi Microsoft)


Taktik di mana penyerang menyiapkan file INF instalasi berbahaya khusus untuk CMSTP.exe (penginstal profil manajer koneksi) utilitas Windows bawaan. CMSTP.exe mengambil file sebagai parameter dan menetapkan profil layanan untuk koneksi jarak jauh. Akibatnya, CMSTP.exe dapat digunakan untuk mengunduh dan menjalankan pustaka yang terhubung secara dinamis (* .dll) atau skrip (* .sct) dari server jarak jauh.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi pengiriman file .inf khusus dalam lalu lintas HTTP. Selain itu, ini mendeteksi transfer scriptlets berbahaya dan perpustakaan yang terhubung secara dinamis melalui protokol HTTP dari server jauh.

2. T1059 : antarmuka baris perintah


Interaksi dengan antarmuka baris perintah. Anda dapat berinteraksi dengan antarmuka baris perintah secara lokal atau jarak jauh, misalnya menggunakan utilitas akses jarak jauh.

Apa yang dilakukan PT NAD : ia secara otomatis mendeteksi keberadaan cangkang dengan merespons perintah untuk meluncurkan berbagai utilitas baris perintah, seperti ping, ifconfig.

3. T1175 : model objek komponen dan didistribusikan COM


Menggunakan teknologi COM atau DCOM untuk mengeksekusi kode pada sistem lokal atau jarak jauh ketika bergerak melalui jaringan.

Apa yang dilakukan PT NAD : mendeteksi panggilan DCOM yang mencurigakan yang biasanya digunakan penyerang untuk menjalankan program.

4. T1203 : eksploitasi untuk eksekusi klien


Memanfaatkan kerentanan untuk mengeksekusi kode arbitrer pada workstation. Eksploitasi yang paling berguna bagi penyerang adalah mereka yang memungkinkan kode untuk dieksekusi pada sistem jarak jauh, karena dengan bantuan mereka penyerang dapat memperoleh akses ke sistem seperti itu. Teknik ini dapat diimplementasikan menggunakan metode berikut: milis berbahaya, situs web dengan eksploitasi browser, dan eksploitasi kerentanan aplikasi jarak jauh.

Apa yang dilakukan PT NAD : saat mem-parsing lalu lintas surat, PT NAD memeriksanya untuk file yang dapat dieksekusi dalam lampiran. Secara otomatis mengekstrak dokumen kantor dari surat yang mungkin ada eksploitasinya. Upaya untuk mengeksploitasi kerentanan terlihat dalam lalu lintas yang dideteksi oleh PT NAD secara otomatis.

5. T1170 : mshta


Menggunakan utilitas mshta.exe, yang menjalankan aplikasi Microsoft HTML (HTA) dengan ekstensi .hta. Karena mshta memproses file yang melewati pengaturan keamanan browser, penyerang dapat menggunakan mshta.exe untuk menjalankan file HTA, JavaScript, atau VBScript berbahaya.

Apa yang dilakukan PT NAD : .hta file untuk dieksekusi melalui mshta dikirim termasuk melalui jaringan - ini terlihat dalam lalu lintas. PT NAD mendeteksi transfer file berbahaya tersebut secara otomatis. Ini menangkap file, dan informasi tentang mereka dapat dilihat di kartu sesi.

6. T1086 : PowerShell


Menggunakan PowerShell untuk mencari informasi dan mengeksekusi kode berbahaya.

Apa yang dilakukan PT NAD : Ketika PowerShell digunakan dari jarak jauh oleh penyerang, PT NAD mendeteksi ini menggunakan aturan. Ini menemukan kata kunci PowerShell yang paling sering digunakan dalam skrip berbahaya, dan mentransfer skrip PowerShell menggunakan protokol SMB.

7. T1053 : tugas terjadwal
Gunakan penjadwal tugas Windows dan utilitas lain untuk secara otomatis meluncurkan program atau skrip pada waktu tertentu.

Apa yang dilakukan PT NAD?: penyerang membuat tugas seperti itu, biasanya dari jarak jauh, yang berarti bahwa sesi tersebut terlihat dalam lalu lintas. PT NAD secara otomatis mendeteksi pembuatan tugas yang mencurigakan dan operasi modifikasi menggunakan antarmuka ATSVC dan ITaskSchedulerService RPC.

8. T1064 : scripting


Menjalankan skrip untuk mengotomatiskan berbagai tindakan menyerang.

Apa yang dilakukan PT NAD : ini mengungkapkan fakta-fakta pengiriman naskah melalui jaringan, yaitu, bahkan sebelum diluncurkan. Ini mendeteksi konten skrip dalam lalu lintas mentah dan mendeteksi transfer file melalui jaringan dengan ekstensi yang sesuai dengan bahasa skrip populer.

9. T1035 : eksekusi layanan


Jalankan file yang dapat dieksekusi, instruksi antarmuka baris perintah, atau skrip dengan berinteraksi dengan layanan Windows, seperti Service Control Manager (SCM).

Apa yang dilakukan PT NAD : memeriksa lalu lintas SMB dan mendeteksi akses SCM ke aturan untuk membuat, memodifikasi, dan memulai layanan.

Teknik memulai layanan dapat diimplementasikan menggunakan utilitas untuk eksekusi perintah PSExec dari jauh. PT NAD mem-parsing protokol SMB dan mendeteksi penggunaan PSExec ketika menggunakan file PSEXESVC.exe atau nama layanan PSEXECSVC standar untuk mengeksekusi kode pada mesin jarak jauh. Pengguna perlu memeriksa daftar perintah yang dieksekusi dan legitimasi eksekusi perintah jarak jauh dari node.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


Teknik di mana penyerang mendapatkan akses ke perangkat lunak administrasi jarak jauh atau sistem penyebaran perangkat lunak perusahaan dan menggunakannya untuk meluncurkan kode berbahaya. Contoh perangkat lunak tersebut: SCCM, VNC, TeamViewer, HBSS, Altiris.
By the way, teknik ini sangat relevan sehubungan dengan transisi besar-besaran untuk kerja jarak jauh dan, sebagai hasilnya, koneksi berbagai perangkat rumah tidak aman melalui saluran akses remote dipertanyakan.

Apa PT NAD tidak: Secara otomatis mendeteksi pengoperasian perangkat lunak tersebut di jaringan. Misalnya, aturan dipicu oleh fakta-fakta koneksi VNC dan aktivitas trojan EvilVNC, yang secara diam-diam menginstal server VNC pada host korban dan secara otomatis memulainya. PT NAD juga secara otomatis mendeteksi protokol TeamViewer, ini membantu analis menggunakan filter untuk menemukan semua sesi tersebut dan memverifikasi keabsahannya.

11. T1204 : eksekusi pengguna


Teknik di mana pengguna menjalankan file yang dapat menyebabkan eksekusi kode. Ini bisa, misalnya, jika ia membuka file yang dapat dieksekusi atau menjalankan dokumen kantor dengan makro.

Apa yang dilakukan PT NAD : melihat file-file tersebut pada tahap transfer, sebelum diluncurkan. Informasi tentang mereka dapat dipelajari dalam sesi kartu, di mana mereka dikirimkan.

12. T1047 : Instrumentasi Manajemen Windows


Menggunakan alat WMI, yang menyediakan akses lokal dan jarak jauh ke komponen sistem Windows. Menggunakan WMI, penyerang dapat berinteraksi dengan sistem lokal dan jarak jauh dan melakukan banyak tugas, misalnya, mengumpulkan informasi untuk tujuan pengintaian dan memulai proses jarak jauh selama gerakan horizontal.

Apa yang dilakukan PT NAD : karena interaksi dengan sistem jarak jauh melalui WMI terlihat dalam lalu lintas, PT NAD secara otomatis mendeteksi permintaan jaringan untuk membuat sesi WMI dan memeriksa lalu lintas untuk pengiriman skrip yang menggunakan WMI.

13. T1028 : Manajemen Jarak Jauh Windows


Menggunakan layanan dan protokol Windows, yang memungkinkan pengguna untuk berinteraksi dengan sistem jarak jauh.

Apa yang dilakukan PT NAD : melihat koneksi jaringan yang dibuat menggunakan Windows Remote Management. Sesi seperti itu dideteksi secara otomatis oleh aturan.

14. T1220 : pemrosesan skrip XSL (Extensible Stylesheet Language)


Bahasa markup XSL digunakan untuk menggambarkan pemrosesan dan visualisasi data dalam file XML. Untuk mendukung operasi yang kompleks, standar XSL mencakup dukungan untuk skrip tertanam dalam berbagai bahasa. Bahasa-bahasa ini memungkinkan kode arbitrer untuk dieksekusi, yang mengarah ke memotong kebijakan keamanan berdasarkan daftar putih.

Apa yang dilakukan PT NAD : mengungkapkan fakta mentransfer file-file tersebut melalui jaringan, yaitu, bahkan sebelum diluncurkan. Secara otomatis mendeteksi fakta bahwa file XSL ditransmisikan melalui jaringan dan file dengan markup XSL anomali.

Dalam artikel berikut, kita akan melihat bagaimana sistem PT Network Attack Discovery NTA menemukan taktik dan teknik penyerang lain sesuai dengan MITER ATT & CK. Tetap disini!

Penulis :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles