Get best of the week

Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas oleh MITER ATT & CK, Bagian 3



Dalam posting sebelumnya ( bagian pertama dan kedua ), kami memeriksa teknik lima taktik MITER ATT & CK:

  • akses awal
  • eksekusi
  • konsolidasi (kegigihan);
  • eskalasi hak istimewa
  • deteksi pencegahan (penghindaran pertahanan).

Selain itu, kami menunjukkan bagaimana dengan bantuan solusi NTA kami memungkinkan untuk mengenali aktivitas mencurigakan dalam lalu lintas jaringan. Sekarang kami akan menunjukkan kepada Anda bagaimana teknologi kami bekerja dengan akses kredensial dan teknik penemuan.

Mendapatkan Akses Kredensial


Taktik ini melibatkan teknik yang bertujuan mencuri data yang dapat digunakan untuk otentikasi (misalnya, nama pengguna dan kata sandi). Penggunaan akun yang sah membantu penyerang mendapatkan akses ke sistem, membuat lebih banyak catatan untuk diamankan, dan membuatnya lebih sulit untuk mendeteksi keberadaan penyerang di jaringan.

Di bawah ini adalah empat teknik yang dapat diidentifikasi oleh aktivitas mencurigakan dalam lalu lintas.

1. T1110 : brute force


Teknik mendapatkan akses ke layanan menggunakan metode brute force ketika kredensial tidak diketahui atau diketahui sebagian. Biasanya mereka memilih nama pengguna, kata sandi atau jumlah hash kata sandi.

Apa yang dilakukan PT Network Attack Discovery (PT NAD) : dalam mode otomatis, mendeteksi tanda-tanda pemilihan kata sandi untuk otentikasi melalui LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. Selain itu, mengidentifikasi upaya untuk memilih kredensial untuk layanan web populer seperti phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. Serangan semacam itu menghasilkan sejumlah besar upaya otentikasi yang gagal, yang dapat dilihat dalam lalu lintas.

2. T1003 : dumping kredensial


Memperoleh kredensial (biasanya hash atau kata sandi terbuka) dari sistem operasi atau perangkat lunak. Kami akan mempertimbangkan teknik ini secara lebih rinci untuk menunjukkan pendeteksiannya dalam lalu lintas.

Apa yang dilakukan PT NAD: Contoh penemuan
PT NAD mencatat akses ke registri pengontrol domain menggunakan utilitas hacker secretsdump, berdasarkan modul perpustakaan Impacket. Tugas utama dari utilitas adalah untuk mendapatkan hash kata sandi pengguna. Dengan bantuannya, penyerang mengotentikasi dengan pengontrol domain melalui protokol SMB, sambungkan ke Service Control Manager (SCM), kemudian gunakan protokol WINREG untuk menyambungkan ke registri jarak jauh dan menyalin data yang diperlukan ke file lokal. Setelah itu, file diunduh ke node jaringan Anda melalui SMB.



Mengidentifikasi kueri untuk kunci registri LSA yang berisi hash kata sandi pengguna domain

Dalam sesi yang sama, di mana PT NAD mencatat akses ke registri pengontrol domain, file yang sama dipindahkan ke mana utilitas secretsdump menyimpan informasi penting dari registri pengontrol domain. Dengan nama aturan yang dipicu di antarmuka PT NAD, terbukti bahwa penyerang memperoleh hash kata sandi pengguna domain dari LSA dan yang lokal dari SAM:



File yang berhasil diunduh oleh penyerang tercermin dalam kartu sesi

3. T1212 : eksploitasi untuk akses kredensial


Teknik bagi penyerang untuk mendapatkan akses ke kredensial sebagai hasil dari mengeksploitasi kerentanan dalam perangkat lunak.

Apa yang dilakukan PT NAD : melihat lalu lintas mengeksploitasi banyak kerentanan. Misalnya, MS14-068 dapat digunakan untuk tiket Kerberos palsu. Penyerang meminta tiket jenis khusus (TGT, Ticket Granted Ticket), menambahkan dirinya ke grup istimewa dan memodifikasi tiket ini sehingga pengontrol domain yang rentan mengenalinya sebagai valid. PT NAD mengidentifikasi permintaan tiket tersebut.

4. T1208 : kerberoasting


Metode untuk mengambil akun layanan dari Active Directory sebagai pengguna biasa. Setiap pengguna domain dapat meminta tiket Kerberos untuk mengakses layanan di Active Directory (Layanan Pemberian Tiket). TGS dienkripsi dengan hash kata sandi akun tempat layanan target dijalankan. Seorang penyerang yang dengan demikian memperoleh TGS sekarang dapat mendekripsi, mengambil kata sandi dan tidak takut memblokir, karena melakukannya secara offline. Jika berhasil, ia menerima kata sandi dari akun yang terkait dengan layanan, yang sering diistimewakan.

Apa yang dilakukan PT NAD?: Memperbaiki permintaan untuk mendaftarkan layanan di Active Directory yang dapat menjadi target serangan. Tahap ini diperlukan bagi penyerang untuk memilih layanan yang akan diserang, dan mendahului permintaan tiket TGS dan pemilihan offline. PT NAD juga secara otomatis mendeteksi permintaan tiket TGS yang dienkripsi dengan algoritma RC4, yang merupakan salah satu tanda serangan Kerberoasting.

Penemuan


Setelah mendapatkan pijakan dan mendapatkan akses ke sistem, penyerang perlu memahami di mana mereka berada dalam infrastruktur, apa yang mengelilingi mereka, apa yang dapat mereka kontrol. Selama pengintaian, penyerang mengumpulkan data tentang sistem dan jaringan internal, yang membantu menavigasi infrastruktur dan memutuskan bagaimana untuk melanjutkan. Untuk ini, alat bawaan dari sistem operasi sering digunakan.
Analisis lalu lintas mengungkapkan penggunaan sepuluh teknik intelijen.

1. T1087 : penemuan akun


Mencoba mendapatkan daftar akun sistem atau domain lokal.

Apa yang dilakukan PT NAD: contoh deteksi
Penyerang mencoba memperoleh informasi dari pengontrol domain tentang akun domain melalui LDAP, protokol akses direktori ringan. PT NAD mendeteksi permintaan LDAP. Metode mendapatkan akun domain ini dapat berlaku untuk teknik T1087 (penemuan akun), dan untuk T1069 (penemuan grup izin).



Upaya Intelijen untuk Mendapatkan Informasi Akun Domain melalui LDAP

2. T1482 : penemuan kepercayaan domain


Cari informasi kepercayaan domain. Penyerang menggunakan hubungan seperti itu untuk gerakan horizontal dalam infrastruktur multi-domain.

Apa yang dilakukan PT NAD : Daftar hubungan kepercayaan antara domain dapat diperoleh menggunakan kueri RPC dan LDAP. PT NAD secara otomatis mendeteksi upaya untuk menghitung kepercayaan antara domain menggunakan protokol LDAP dan panggilan RPC EnumTrustDom.

3. T1046 : pemindaian layanan jaringan


Mencoba mendapatkan daftar layanan yang berjalan di node jaringan jarak jauh. Ini dimungkinkan dengan bantuan alat dan kerentanan pemindaian port yang diinstal.

Apa yang dilakukan PT NAD : mendeteksi tanda-tanda alat dan kerentanan pemindaian port (misalnya, utilitas Nmap), serta permintaan non-standar ke port yang dikenal.

4. T1135 : penemuan berbagi jaringan


Cari drive jaringan dan folder bersama yang memungkinkan akses ke direktori file di berbagai sistem jaringan.

Apa yang dilakukan PT NAD : mendeteksi permintaan daftar drive jaringan dan folder bersama pada mesin jarak jauh.

5. T1201 : penemuan kebijakan kata sandi


Suatu teknik dimana penyerang mencari informasi tentang kebijakan kata sandi dalam infrastruktur perusahaan. Misalnya, kebijakan dapat menetapkan panjang kata sandi minimum dan jumlah upaya otentikasi gagal yang diizinkan. Mengetahui jumlah karakter akan membantu penyerang membuat daftar kata sandi umum yang sesuai, mulai menebak kamus menggunakan kamus, atau menggunakan pencarian lengkap (T1110: brute force).

Apa yang dilakukan PT NAD : Secara otomatis mendeteksi permintaan kebijakan kata sandi melalui SAMR.

6. T1069 : penemuan kelompok izin


Dengan menggunakan teknik ini, penyerang mencoba menemukan grup lokal atau domain dan pengaturan akses mereka. Informasi tersebut dapat digunakan oleh penyerang ketika memilih target untuk serangan.

Apa yang dilakukan PT NAD : Secara otomatis mendeteksi upaya untuk memperoleh informasi tentang grup domain melalui LDAP dan SAMR. Contoh mengidentifikasi teknik ini ditunjukkan pada tangkapan layar di atas.

7. T1018 : penemuan sistem jarak jauh


Teknik di mana penyerang mencoba untuk mendapatkan daftar sistem dalam jaringan yang diserang menggunakan sistem akses jarak jauh atau utilitas sistem bawaan. Ini dimungkinkan dengan alamat IP, nama host, atau pengidentifikasi lainnya, yang nantinya dapat digunakan untuk bergerak secara horizontal di jaringan dari sistem saat ini.

Apa yang dilakukan PT NAD : melihat permintaan daftar pengontrol domain, workstation dan server, SPN (Nama Prinsip Layanan).

8. T1063 : penemuan perangkat lunak keamanan


Teknik di mana penyerang mencoba untuk mendapatkan informasi tentang sistem keamanan yang diinstal, konfigurasi dan sensor mereka. Salah satu cara untuk mendapatkan daftar ini adalah melalui permintaan DCE / RPC.

Apa yang dilakukan PT NAD: melihat permintaan DCE / RPC. Pengguna sistem dapat menemukan semua sesi dengan permintaan ini dan mendeteksi upaya untuk menerima informasi tentang fitur keamanan dari jarak jauh.

9. T1033 : penemuan pemilik / pengguna sistem


Ketika menerapkan teknik ini, penyerang dapat mengidentifikasi pengguna utama sistem, pengguna login saat ini, kelompok pengguna yang biasanya menggunakan sistem, dan menentukan seberapa aktif sistem digunakan.

Apa yang dilakukan PT NAD : penjahat cyber dapat memperoleh daftar sesi pengguna aktif pada host jarak jauh menggunakan pertanyaan melalui protokol SRVSVC. PT NAD secara otomatis mendeteksi permintaan tersebut.

10. T1007 : penemuan layanan sistem


Penyerang mencari informasi tentang layanan terdaftar.

Apa yang dilakukan PT NAD : penyerang bisa mendapatkan informasi semacam ini menggunakan permintaan jaringan DCE / RPC. PT NAD secara otomatis mendeteksi panggilan ke Service Control Manager (SCM) menggunakan protokol DCE / RPC, termasuk perintah untuk mendapatkan daftar layanan pada node jaringan jarak jauh dan status aktivitas mereka.

Alih-alih sebuah kesimpulan


Kami mengingatkan Anda bahwa pemetaan penuh PT NAD ke matriks MITER ATT & CK  diterbitkan di Habré .

Dalam artikel berikut, kita akan berbicara tentang taktik dan teknik peretas lainnya dan bagaimana sistem PT Network Attack Discovery NTA membantu mengidentifikasi mereka. Tetaplah bersama kami!



Penulis :

  • Anton Kutepov, Spesialis, PT Expert Security Center Teknologi Positif
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles