🗡️ ⏲️ 👧🏾 Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas MITT ATT & CK Menggunakan PT Network Attack Discovery 🤞🏽 ☑️ 🤵🏻

Dalam artikel sebelumnya , kami memeriksa teknik dua taktik ATT & CK MITER - akses dan eksekusi awal, serta cara mendeteksi aktivitas mencurigakan dalam lalu lintas jaringan menggunakan solusi NTA kami . Sekarang kami akan menunjukkan kepada Anda bagaimana teknologi kami bekerja dengan ketekunan, peningkatan hak istimewa, dan teknik penghindaran pertahanan.

Fastening (ketekunan)

Penyerang menggunakan taktik menjepit untuk memastikan kehadiran mereka yang berkelanjutan dalam sistem yang diserang. Mereka perlu memastikan bahwa bahkan setelah memulai ulang sistem atau mengubah kredensial, akses mereka ke sistem akan tetap ada. Sehingga mereka akan dapat setiap saat mengendalikan sistem yang dikompromikan, bergerak di sepanjang infrastruktur dan mencapai tujuan mereka.

Dengan menggunakan analisis traffic, Anda dapat menemukan lima teknik pinning.

1. T1133 : layanan jarak jauh eksternal

Teknik menggunakan layanan jarak jauh eksternal untuk mengkonsolidasikan secara eksternal pada sumber daya internal perusahaan. Contoh layanan tersebut: VPN dan Citrix.

Apa yang dilakukan oleh PT Network Attack Discovery (PT NAD) : melihat sesi jaringan dibuat melalui VPN atau Citrix di jaringan internal perusahaan. Analis dapat mempelajari sesi-sesi tersebut secara terperinci dan membuat kesimpulan tentang legitimasi mereka.

2. T1053 : tugas yang dijadwalkan

Menggunakan Penjadwal Tugas Windows dan utilitas lain untuk memprogram peluncuran program atau skrip pada waktu tertentu. Penyerang membuat tugas seperti itu, sebagai aturan, dari jarak jauh, yang berarti bahwa sesi tersebut dengan peluncuran penjadwal tugas terlihat dalam lalu lintas.

Apa yang dilakukan PT NAD : jika pengontrol domain mengirim file XML yang menjelaskan tugas yang dibuat melalui kebijakan grup, solusi NTA kami secara otomatis mengekstraksi file tersebut. Mereka berisi informasi tentang frekuensi peluncuran tugas, yang dapat menunjukkan penggunaan penjadwal tugas untuk konsolidasi dalam jaringan.

3. T1078 : akun yang valid

Penggunaan kredensial: standar, lokal atau domain untuk otorisasi pada layanan eksternal dan internal.

Apa yang dilakukan PT NAD : secara otomatis mengekstrak kredensial dari HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Secara umum, ini adalah nama pengguna, kata sandi, dan tanda keberhasilan otentikasi. Jika digunakan, mereka ditampilkan dalam kartu sesi yang sesuai.

4. T1100 : shell web

Sebuah skrip yang di-host di server web dan memungkinkan penyerang untuk mendapatkan kontrol dari server itu. Karena skrip tersebut berfungsi dalam mode otomatis dan terus berfungsi bahkan setelah server di-boot ulang, teknik ini dapat digunakan oleh penjahat dunia maya selama fase perbaikan dalam sistem.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi pemuatan shell web umum, mengaksesnya melalui permintaan HTTP dan mengirim perintah.

5. T1084 : Berlangganan Acara Instrumentasi Manajemen Windows

Berlangganan acara di WMI - teknologi untuk mengelola komponen sistem operasi lokal dan jarak jauh. Penyerang dapat menggunakan WMI untuk berlangganan acara tertentu dan memicu eksekusi kode berbahaya saat acara ini terjadi. Dengan demikian, penyerang memastikan kehadiran konstan dalam sistem. Contoh acara yang dapat Anda ikuti: permulaan waktu tertentu pada jam sistem atau berakhirnya sejumlah detik tertentu dari saat sistem operasi dimulai.

Apa yang dilakukan PT NAD?: Mendeteksi penggunaan teknik Berlangganan Kejadian Instrumentasi Manajemen Windows menggunakan aturan. Salah satunya bekerja ketika jaringan menggunakan kelas pelanggan standar ActiveScriptEventConsumer, yang memungkinkan kode untuk dieksekusi ketika suatu peristiwa terjadi dan dengan demikian melampirkan penyerang ke node jaringan.

Misalnya, setelah menganalisis kartu sesi dengan pemicu aturan, kita melihat bahwa kegiatan ini disebabkan oleh alat peretas Impacket: di sesi yang sama, detektor untuk menggunakan alat ini untuk eksekusi kode jarak jauh berfungsi.

Kartu sesi di mana penggunaan alat Impacket diungkapkan. Dengan bantuannya, penyerang menggunakan pelanggan standar untuk mengeksekusi perintah dari jarak jauh

Eskalasi hak istimewa

Teknik peningkatan hak istimewa ditujukan untuk memperoleh izin tingkat yang lebih tinggi dalam sistem yang diserang. Untuk melakukan ini, penyerang mengeksploitasi kelemahan sistem, mengeksploitasi kesalahan konfigurasi dan kerentanan.

1. T1078 : akun yang valid

Ini adalah pencurian identitas: standar, lokal, atau domain.

Apa yang dilakukan PT NAD : melihat pengguna mana yang telah masuk, di mana dimungkinkan untuk mengidentifikasi input yang tidak sah. Salah satu cara paling umum untuk meningkatkan hak istimewa pada host jarak jauh atau lokal yang menjalankan Windows adalah dengan membuat tugas penjadwal tugas Windows yang akan berjalan atas nama NT AUTHORITY \ SYSTEM, yang memungkinkan untuk menjalankan perintah dengan hak istimewa maksimum pada sistem.

Pertimbangkan kasus membuat tugas seperti itu melalui jaringan menggunakan alat ATExec. Ini didasarkan pada komponen perpustakaan Impacket dan diciptakan untuk menunjukkan kemampuan perpustakaan untuk bekerja dengan protokol jarak jauh untuk penjadwal tugas. Pekerjaannya terlihat dalam lalu lintas jaringan, dan itu menggambarkan dengan baik teknik meningkatkan hak istimewa dari tingkat administrator dari node jaringan ke tingkat NT AUTHORITY \ SYSTEM.

PT NAD secara otomatis mendeteksi pembuatan tugas penjadwal pada host jarak jauh. Kartu serangan di bawah ini menunjukkan bahwa koneksi dilakukan atas nama pengguna contoso \ user02. Sambungan SMB yang berhasil ke sumber daya ADMIN $ dari host target menunjukkan bahwa pengguna ini adalah anggota grup administrator lokal di host tujuan. Namun, deskripsi XML tugas menunjukkan bahwa itu akan dieksekusi dalam konteks NT AUTHORITY \ SYSTEM (SID S-1-5-18):

Mendeteksi pembuatan tugas jarak jauh menggunakan utilitas ATExec

Evasion Pertahanan

Taktik ini menyatukan teknik yang digunakan penyerang untuk menyembunyikan aktivitas jahat dan menghindari deteksi dengan cara perlindungan. Sembilan dari teknik ini dapat dideteksi menggunakan sistem analisis lalu lintas.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

Penyerang sedang mempersiapkan file .inf instalasi berbahaya khusus untuk utilitas Penginstal Profil Konektivitas Windows Manager (CMSTP.exe). CMSTP.exe mengambil file sebagai parameter dan menetapkan profil layanan untuk koneksi jarak jauh. Akibatnya, CMSTP.exe dapat digunakan untuk mengunduh dan menjalankan pustaka yang terhubung secara dinamis (* .dll) atau skrip (* .sct) dari server jarak jauh. Dengan cara ini, penyerang dapat mem-bypass kebijakan daftar putih untuk menjalankan program.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi pengiriman file .inf khusus dalam lalu lintas HTTP. Selain itu, ia melihat transmisi protokol HTTP scriptlets berbahaya dan perpustakaan yang terhubung secara dinamis dari server jarak jauh.

2. T1090 : proxy koneksi

Penyerang dapat menggunakan server proxy sebagai perantara untuk bertukar data dengan server C2. Jadi mereka menghindari koneksi langsung ke infrastruktur mereka dan mempersulit kemampuan untuk mendeteksi mereka.

Apa yang dilakukan PT NAD : menentukan penggunaan protokol SOCKS5 (mengirimkan data dari klien ke server tujuan melalui server proxy tanpa terlihat oleh mereka) dan proxy HTTP. Jika koneksi melalui protokol SOCKS 5 atau melalui server proxy HTTP dikaitkan dengan peristiwa mencurigakan, maka koneksi tersebut dapat mengindikasikan kompromi.

3. T1207 : DCShadow

Membuat pengontrol domain palsu untuk memintas deteksi oleh sistem SIEM, yang memungkinkan modifikasi berbahaya ke skema AD melalui mekanisme replikasi.

Apa yang dilakukan PT NAD : saat menggunakan teknik DCShadow, pengontrol domain palsu dibuat yang tidak mengirim acara ke SIEM. Menggunakan pengontrol domain seperti itu, penyerang dapat memodifikasi data Active Directory - misalnya, informasi tentang objek domain, kredensial pengguna, dan kunci.

Penggunaan teknik semacam itu dapat diidentifikasi oleh lalu lintas. Ini jelas menunjukkan penambahan objek baru ke skema konfigurasi tipe pengontrol domain. Sistem NTA mendeteksi upaya untuk menyerang DCShadow dengan mendeteksi lalu lintas khusus ke pengontrol domain dari node jaringan yang bukan pengontrol domain.

PT NAD mencatat upaya untuk menyerang DCShadow

4. T1211 : eksploitasi untuk menghindari pertahanan

Memanfaatkan kerentanan sistem target untuk mem-bypass fitur keamanan.

Apa yang dilakukan PT NAD : Secara otomatis mendeteksi beberapa teknik eksploitasi populer untuk kerentanan. Misalnya, ia mengidentifikasi teknik untuk menghindari keamanan aplikasi web berdasarkan header HTTP duplikat.

5. T1170 : mshta

Menggunakan utilitas mshta.exe, yang menjalankan aplikasi Microsoft HTML (HTA) dengan ekstensi .hta. Karena mshta memproses file yang melewati pengaturan keamanan browser, penyerang dapat menggunakan mshta.exe untuk menjalankan file HTA, JavaScript, atau VBScript berbahaya. Penyerang menggunakan teknik mshta paling sering untuk memotong kebijakan daftar putih untuk menjalankan program dan memicu aturan deteksi SIEM.

Apa yang dilakukan PT NAD : mendeteksi transfer file HTA berbahaya secara otomatis. Ini menangkap file dan informasi tentang mereka dapat dilihat di kartu sesi.

6. T1027 : file atau informasi yang dikaburkan

Upaya membuat file atau lalu lintas jaringan yang dapat dieksekusi menjadi sulit bagi alat keamanan untuk mendeteksi dan menganalisis dengan mengenkripsi, menyandikan, atau mengaburkan (mengaburkan) isinya.

Apa yang dilakukan PT NAD : mendeteksi transfer file yang dapat dieksekusi yang dikodekan menggunakan algoritma Base64, ROT13 atau dienkripsi menggunakan gamma. Lalu lintas yang dikaburkan yang diciptakan beberapa malware juga terdeteksi secara otomatis.

7. T1108 : akses berlebihan

Teknik di mana penyerang menggunakan lebih dari satu utilitas akses jarak jauh. Jika salah satu alat terdeteksi dan diblokir, penyerang masih akan memiliki akses ke jaringan.

Apa yang dilakukan PT NAD : mem-parsing protokol populer, sehingga ia melihat aktivitas setiap node jaringan. Menggunakan filter, analis dapat menemukan semua sesi alat akses jarak jauh yang diinstal dari satu node.

8. T1064 : scripting

Eksekusi skrip untuk mengotomatiskan berbagai tindakan penyerang, termasuk mem-bypass kebijakan daftar putih untuk meluncurkan program.

Apa yang dilakukan PT NAD : ini mengungkapkan fakta-fakta pengiriman naskah melalui jaringan, yaitu, bahkan sebelum diluncurkan. Ini mendeteksi konten skrip dalam lalu lintas mentah dan mendeteksi transfer file melalui jaringan dengan ekstensi yang sesuai dengan bahasa skrip populer.

9. T1045 : pengemasan perangkat lunak

Teknik di mana penyerang menggunakan utilitas khusus untuk memampatkan atau mengenkripsi file yang dapat dieksekusi untuk menghindari deteksi oleh sistem perlindungan tanda tangan. Utilitas semacam itu disebut pengepak.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi tanda-tanda bahwa file yang dapat dieksekusi yang ditransmisikan telah dimodifikasi menggunakan pengemas populer.

Alih-alih sebuah kesimpulan

Kami mengingatkan Anda bahwa pemetaan penuh PT NAD ke matriks MITER ATT & CK diterbitkan di Habré .

Dalam artikel berikut, kita akan berbicara tentang taktik dan teknik peretas lainnya dan bagaimana sistem PT Network Attack Discovery NTA membantu mengidentifikasi mereka. Tetaplah bersama kami!

Penulis:

Anton Kutepov, Spesialis, PT Expert Security Center Teknologi Positif
Natalia Kazankova, pemasar produk Positive Technologies

Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas MITT ATT & CK Menggunakan PT Network Attack Discovery