Get best of the week

Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas oleh MITER ATT & CK, Bagian 4



Dalam posting sebelumnya (bagian pertama , kedua dan ketiga ), kami memeriksa teknik tujuh taktik MITER ATT & CK:

  • akses awal
  • eksekusi
  • konsolidasi (kegigihan);
  • eskalasi hak istimewa
  • pencegahan deteksi (penghindaran pertahanan);
  • mendapatkan akses kredensial;
  • kecerdasan (penemuan).

Kami juga menunjukkan bagaimana dengan bantuan solusi NTA kami   memungkinkan untuk mengenali aktivitas mencurigakan dalam lalu lintas jaringan. Sekarang kami akan menunjukkan kepada Anda bagaimana teknologi kami bekerja dengan gerakan lateral dan teknik pengumpulan.

Gerakan di dalam perimeter (gerakan lateral)


Penyerang menggunakan teknik gerakan perimeter untuk mendapatkan akses dan mengontrol sistem jarak jauh di jaringan, untuk menginstal malware, dan untuk secara bertahap memperluas kehadiran mereka di infrastruktur. Tujuan utama penyerang adalah untuk mengidentifikasi administrator di jaringan, komputer mereka, aset utama dan data untuk akhirnya mendapatkan kontrol penuh atas infrastruktur. 
Berikut ini adalah deskripsi teknik gerakan perimeter yang dapat dideteksi dengan menganalisis lalu lintas. Ada sembilan dari mereka.

1. T1175 : Model Obyek Komponen dan COM Terdistribusi


Menggunakan teknologi COM atau DCOM untuk mengeksekusi kode pada sistem lokal atau jarak jauh ketika bergerak melalui jaringan.

Apa yang PT Network Attack Discovery (PT NAD) lakukan: Ketika teknologi ini digunakan untuk mengakses sistem jarak jauh, itu dapat dideteksi dengan menganalisis lalu lintas. PT NAD mendeteksi panggilan DCOM yang mencurigakan yang biasanya digunakan penjahat cyber untuk maju melalui jaringan.

2. T1210 : eksploitasi layanan jarak jauh


Memanfaatkan kerentanan dalam layanan jaringan untuk bergerak di sekitar jaringan.

Apa yang dilakukan PT NAD : mendeteksi eksploitasi kerentanan umum. Diantaranya adalah kerentanan dalam protokol SMB (MS17-010) dan Print System Remote Protocol (MS-RPRN), dalam DBIS Redis, dalam sistem konfigurasi perangkat jaringan rConfig.

3. T1075 : lulus hash


Metode otentikasi pengguna tanpa akses ke kata sandi di tempat yang jelas. Penyerang memotong langkah otentikasi standar yang memerlukan kata sandi dan langsung menuju bagian otentikasi yang menggunakan hash kata sandi. Penyerang akan mendapatkan hash di muka menggunakan teknik akuisisi kredensial.

Apa yang dilakukan PT NAD : mendeteksi berbagai tanda aktivitas jaringan utilitas hacker Mimikatz, yang digunakan penyerang untuk menyerang overhash hash (mengembangkan serangan pass hash).

4. T1097 : lulus tiket


Metode otentikasi pada sistem yang menggunakan tiket Kerberos tanpa akses ke kata sandi akun. Ini dapat digunakan oleh penyerang sebagai langkah pertama dalam bergerak di sekeliling perimeter ke sistem jarak jauh.

Apa yang dilakukan PT NAD : mendeteksi tahap persiapan dari teknik pass the ticket, mendeteksi transfer file dengan tiket Kerberos yang diekspor melalui jaringan.

5. T1076 : protokol desktop jarak jauh


Teknik yang memungkinkan penyerang mengakses sistem jarak jauh menggunakan protokol desktop jarak jauh RDP jika diizinkan untuk digunakan pada jaringan dan memungkinkan pengguna untuk terhubung ke komputer mereka menggunakan kredensial mereka.

Apa yang dilakukan PT NAD : dalam program ini, Anda dapat memfilter semua sesi yang disimpan berdasarkan protokol (misalnya, RDP) dan menganalisis setiap sesi yang mencurigakan. Fungsi ini berguna dalam menyelidiki dan secara proaktif mencari ancaman (berburu ancaman).

6. T1021 : layanan jarak jauh


Gunakan akun yang valid untuk masuk ke layanan yang dirancang untuk menerima koneksi jarak jauh, seperti Telnet, SSH, atau VNC. Setelah itu, penyerang akan dapat melakukan tindakan atas nama pengguna yang masuk.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi koneksi VNC dan aktivitas trojan EvilVNC. Trojan ini secara diam-diam memasang server VNC pada host korban dan secara otomatis memulainya. Untuk memeriksa keabsahan koneksi jarak jauh menggunakan protokol SSH dan TELNET, pengguna PT NAD dapat menyaring semua sesi dengan koneksi tersebut dan menganalisis masing-masing yang mencurigakan.

7. T1072 : perangkat lunak pihak ketiga


Teknik dimana penyerang mendapatkan akses ke perangkat lunak administrasi jaringan (perangkat lunak pihak ketiga dan sistem penyebaran perangkat lunak) dan menggunakannya untuk meluncurkan kode jahat. Contoh perangkat lunak pihak ketiga: SCCM, VNC, HBSS, Altiris. Dalam hal mendapatkan akses ke sistem seperti itu, musuh dapat menjalankan kode pada jarak jauh pada semua node yang terhubung ke penyebaran perangkat lunak, pemantauan atau sistem administrasi.

Apa yang dilakukan PT NAD : secara otomatis mendeteksi pengoperasian perangkat lunak tersebut di jaringan. Misalnya, aturan bekerja pada fakta koneksi melalui protokol VNC dan aktivitas trojan EvilVNC, yang secara diam-diam menginstal server VNC pada host korban dan secara otomatis memulai server ini.

8. T1077 : Berbagi Admin Windows


Menggunakan folder jaringan tersembunyi yang hanya dapat diakses oleh administrator, misalnya C $, $ ADMIN, IPC $. Mereka menyediakan kemampuan untuk menyalin file dan fungsi administrasi lainnya dari jarak jauh.

Apa yang dilakukan PT NAD: Contoh

penemuan PT NAD telah mendeteksi eksekusi perintah jarak jauh melalui Service Control Manager (SCM). Ini hanya mungkin dengan akses ke saham administrasi Windows Admin Share.



Deteksi penerapan teknik T1077: Berbagi Admin Windows

Jika Anda membuka sesi, Anda dapat melihat bahwa aturan untuk alat Impacket berfungsi di dalamnya. Ini menggunakan akses jaringan ke C $ untuk mendapatkan hasil eksekusi perintah.



Kartu sesi menampilkan file yang diunduh dari folder jaringan administrator

9. T1028 : Manajemen Jarak Jauh Windows


Menggunakan layanan dan protokol Windows, yang memungkinkan pengguna untuk berinteraksi dengan sistem jarak jauh.

Apa yang dilakukan PT NAD : melihat koneksi jaringan yang dibuat menggunakan Windows Remote Management. Sesi seperti itu dideteksi secara otomatis oleh aturan.

Pengumpulan data


Penyerang menggunakan taktik pengumpulan untuk mengumpulkan informasi yang kemudian mereka rencanakan untuk dicuri menggunakan teknik exfiltrasi data. Sumber data yang umum termasuk berbagai jenis drive, browser, audio, video, dan email.

Analisis lalu lintas dapat menunjukkan penggunaan dua teknik pengumpulan data dalam jaringan.

1. T1039 : data dari drive yang dibagikan jaringan


Kumpulkan data dari sistem jarak jauh yang memiliki drive jaringan publik.

Apa yang dilakukan PT NAD: contoh deteksi

Transfer file dari drive jaringan dapat dilihat oleh lalu lintas, sesi transfer file dapat dipelajari secara terperinci di PT NAD.

Mari kita periksa hipotesis bahwa penyerang menggunakan teknik T1039 dan dapat mengakses server file departemen keuangan perusahaan. Untuk melakukan ini, kami memfilter semua sesi berdasarkan aktivitas dari alamat IP penyimpanan file dan menemukan di antara mereka koneksi di mana file diunduh. Setelah memasukkan kartu dari salah satu sesi tersebut, kami melihat bahwa file TopSecretReport_2020 telah diunduh.



Setelah mengunduh dan melihat file, kami memahami informasi spesifik apa yang berhasil disita oleh penyerang.

2. T1185 : man di browser


Suatu teknik di mana penyerang mengeksploitasi kerentanan browser korban dan mengubah konten web dan memotong informasi. Salah satu contoh: penyerang menyuntikkan perangkat lunak ke dalam peramban yang memungkinkan Anda mencegat cookie, sesi HTTP, sertifikat SSL klien dan menggunakan peramban untuk mengautentikasi dan menuju ke intranet.

Apa yang dilakukan PT NAD : Secara otomatis mendeteksi seorang pria dalam serangan browser berdasarkan pengenalan skrip berbahaya ke halaman web yang dapat diunduh. PT NAD mendeteksi serangan tersebut dengan dua cara: dengan sertifikat yang dikompromikan yang sebelumnya digunakan dalam serangan tersebut, dan oleh aktivitas jaringan yang khas dari program jahat yang bertujuan menyuntikkan kode ke dalam browser (misalnya, Zeus).

Alih-alih sebuah kesimpulan


Kami mengingatkan Anda bahwa pemetaan penuh PT NAD ke matriks MITER ATT & CK diterbitkan di Habré .

Dalam artikel berikut, kita akan berbicara tentang taktik dan teknik peretas lainnya dan bagaimana sistem PT Network Attack Discovery NTA membantu mengidentifikasi mereka. Tetaplah bersama kami!

Penulis :

  • Anton Kutepov, Spesialis, PT Expert Security Center Teknologi Positif
  • Natalia Kazankova, pemasar produk Positive Technologies

More articles:


All Articles