Get best of the week

Bagaimana Sistem Analisis Lalu Lintas Mendeteksi Taktik Peretas oleh MITER ATT & CK, Bagian 5



Ini adalah artikel terakhir dari siklus (bagian pertama , kedua , ketiga dan keempat ), di mana kami mempertimbangkan teknik dan taktik peretas sesuai dengan MITER ATT & CK, dan juga menunjukkan bagaimana Anda dapat mengenali aktivitas mencurigakan dalam lalu lintas jaringan. Dalam artikel terakhir, kita akan mempertimbangkan teknik komando dan kontrol, pengelupasan, dan dampak.

Manajemen dan kontrol


Teknik perintah dan kontrol (C2 atau C&C) digunakan untuk menghubungkan penyerang dengan sistem yang terkontrol di jaringan korban. Penyerang biasanya meniru perilaku lalu lintas normal untuk menghindari deteksi.

Analisis lalu lintas menggunakan PT Network Attack Discovery (PT NAD) mendeteksi 18 teknik C&C yang umum.

1. T1043 : port yang biasa digunakan


Penyerang berkomunikasi dengan server perintah melalui port, yang biasanya diizinkan untuk membuat koneksi keluar. Contoh port tersebut adalah: TCP: 80 (HTTP), TCP: 443 (HTTPS), TCP: 25 (SMTP), TCP / UDP: 53 (DNS). Ini membantu memintas deteksi firewall dan berpura-pura menjadi aktivitas jaringan standar. Selain itu, pelanggar dapat menggunakan protokol aplikasi terkait yang ditugaskan untuk nomor port tertentu, dan protokol level aplikasi lainnya, hingga transfer data melalui soket mentah.

Apa yang dilakukan PT NAD?: Secara otomatis mendeteksi ketidakcocokan antara protokol aplikasi umum dan port standarnya, misalnya, ketika mengirim permintaan HTTP ke port 53. Untuk kasus yang lebih kompleks, spesialis keamanan informasi dapat memeriksa kartu sesi yang mencurigakan di PT NAD, yang menyimpan informasi tentang port dan protokol koneksi jaringan. Ini mengungkapkan penggunaan port standar untuk komunikasi dengan pusat komando.

2. T1090 : proxy koneksi


Penyerang dapat menggunakan server proxy sebagai perantara untuk bertukar data dengan server C&C. Jadi mereka menghindari koneksi langsung ke infrastruktur mereka dan mempersulit penemuan mereka.

Apa yang dilakukan PT NAD : untuk mem-proxy lalu lintas, penyerang dapat menggunakan jaringan P2P peer-to-peer. Protokol P2P populer PT NAD mendeteksi secara otomatis. PT NAD juga mendeteksi sesi dengan protokol SOCKS5, HTTP, dan SSH dalam lalu lintas di mana penyerang paling sering membangun saluran proxy untuk menghasilkan informasi. Jika koneksi yang menggunakan protokol tersebut dikaitkan dengan peristiwa yang mencurigakan, mereka mungkin mengindikasikan kompromi.

3. T1094 : perintah kustom dan protokol kontrol


Menggunakan kontrol eksklusif dan protokol pemantauan alih-alih merangkum perintah dalam protokol tingkat aplikasi standar yang ada.

Apa yang dilakukan PT NAD : Secara otomatis mendeteksi tipe terowongan yang populer melalui aplikasi dan protokol lapisan jaringan, seperti ICMP, DNS, POP3, SCTP, terowongan WebSocket, serta SSH melalui HTTP, SOCKS5 dan aktivitas peer-to-peer.

4. T1024 : protokol kriptografi khusus


Teknik di mana penyerang menggunakan protokol atau algoritma enkripsi untuk menyembunyikan lalu lintas C&C.

Apa yang dilakukan PT NAD : mendeteksi tanda-tanda aktivitas malware dalam lalu lintas terenkripsi. Ini diimplementasikan dengan metode cryptanalysis saluran samping informasi . Pendekatan ini memungkinkan Anda untuk mendeteksi lalu lintas berbahaya bahkan ketika menggunakan protokol kriptografi yang ditulis sendiri.

5. T1132 : pengodean data


Penyerang menggunakan algoritma enkripsi data standar ketika mengirimkan informasi melalui saluran C&C.

Apa yang dilakukan PT NAD : mendeteksi skrip berbahaya ketika teksnya dikodekan sebagai string yang terdiri dari kode karakter, dan mendekode data yang dienkripsi dengan algoritma Base64. Misalnya, ia mendeteksi respons agen Cobalt Strike yang disandikan dalam Base64.

6. T1001 : kebingungan data


Deteksi rumit komunikasi C&C. Metode kebingungan data termasuk menambahkan data ekstra ke lalu lintas protokol, menerapkan steganografi, mencampur lalu lintas C&C dengan yang sah, dan menggunakan sistem pengkodean non-standar.

Apa yang dilakukan PT NAD : dapat mendeteksi fakta transfer data yang disandikan menggunakan algoritma Base64 menggunakan alfabet non-standar, transfer skrip yang dikaburkan, kode shell, dan instruksi shell.

7. T1483 : algoritma pembuatan domain


Sebuah teknik di mana alih-alih daftar alamat IP statis atau domain, penyerang menggunakan algoritma generasi domain otomatis (DGA) untuk mengarahkan lalu lintas C&C di sana. Ini mempersulit pekerjaan para pembela HAM: mungkin ada ribuan domain yang bisa disambungkan malware.

Apa yang dilakukan PT NAD : Menggunakan algoritma khusus, PT NAD mendeteksi nama domain yang dihasilkan secara otomatis dalam sesi jaringan.



Contoh Domain DGA Ditemukan Menggunakan PT NAD

8. T1008 : saluran mundur


Penyerang menggunakan cadangan atau saluran komunikasi alternatif untuk meningkatkan keandalan komunikasi dengan server C&C dan untuk menghindari melebihi ambang batas jumlah data yang dikirimkan. Saluran semacam itu diperlukan ketika saluran C&C utama terganggu atau tidak dapat diakses.

Apa yang dilakukan PT NAD : Spesialis keamanan informasi dapat mendeteksi penggunaan teknik semacam itu dengan menganalisis data koneksi malware yang disimpan dalam kartu sesi di PT NAD. Jika malware menghubungkan ke berbagai alamat IP (server C&C) dari satu node jaringan, ini mungkin mengindikasikan bahwa penyerang menggunakan saluran komunikasi cadangan.

9. T1188 : proxy multi-hop


Penyerang membuat rantai dari beberapa server proxy untuk menutupi sumber lalu lintas berbahaya. Multiproxing semacam itu mempersulit identifikasi sumber sumber, mengharuskan pihak yang membela untuk memantau lalu lintas berbahaya melalui beberapa server proxy.

Apa yang dilakukan PT NAD : jika penyerang membangun rantai proxy di dalam jaringan korban, ia dapat dilacak di PT NAD dengan menganalisis data sesi. Koneksi antara node secara visual ditampilkan dalam grafik tautan jaringan. Ini membantu untuk melacak urutan proksi.

10. T1104 : saluran multi-tahap


Penyerang menggunakan saluran C&C multi-tahap, yang membuatnya sulit dideteksi. Mereka menyadari hal ini dengan membagi serangan menjadi beberapa tahapan (atau tahapan). Setiap tahap menggunakan server manajemennya sendiri dan alat-alatnya sendiri (trojan, RAT). Pemisahan fungsi menjadi beberapa tahap dengan server manajemen yang berbeda membuat sulit untuk mendeteksi penyerang.

Apa yang dilakukan PT NAD : penggunaan saluran C&C multi-tahap PT NAD secara otomatis mendeteksi dengan tanda-tanda aktivitas malware yang sesuai. Misalnya, ia menemukan pengoperasian modul pengelompokan MuddyWater. Data terperinci tentang setiap saluran K&C yang teridentifikasi disimpan dalam kartu sesi - data ini berguna selama investigasi dan pencarian ancaman proaktif.

11. T1026: multiband communication


Penyerang berbagi saluran komunikasi antara protokol yang berbeda. Misalnya, perintah dapat dikirim menggunakan satu protokol, dan hasil eksekusi mungkin berbeda. Ini membantu menghindari batasan firewall dan menghindari pemberitahuan tentang melebihi nilai ambang batas dari data yang dikirimkan.

Apa yang dilakukan PT NAD : ia secara otomatis mendeteksi penggunaan pemisahan saluran komunikasi sesuai dengan tanda-tanda malware yang sesuai. Misalnya, dengan cara ini mendeteksi aktivitas agen Cobalt Strike, yang dapat berbagi saluran keluaran ke server C&C antara protokol HTTP, HTTPS, dan DNS. Pada saat yang sama, PT NAD menyimpan data pada setiap koneksi C&C dengan informasi tentang protokol yang digunakan, yang membantu mendeteksi penggunaan teknik T1026 selama investigasi atau berburu ancaman.

12. T1079 : enkripsi multilayer


Penggunaan beberapa level enkripsi C&C-komunikasi. Contoh khas adalah transfer data terenkripsi melalui protokol aman seperti HTTPS atau SMTPS.

Apa yang PT NAD lakukan : meskipun ada beberapa lapisan enkripsi, dengan menganalisis saluran kriptografi samping, PT NAD mendeteksi sejumlah keluarga malware menggunakan aturan. Contoh ancaman yang terdeteksi: malware dari keluarga RTM dan Ursnif (Gozi-ISFB) yang mengirimkan data yang sudah dienkripsi menggunakan protokol HTTPS.

13. T1219 : alat akses jarak jauh


Seorang penyerang menggunakan perangkat lunak yang sah untuk mengakses sistem yang dikendalikan dari jarak jauh. Alat semacam itu biasanya digunakan oleh layanan dukungan teknis dan dapat dimasukkan dalam daftar putih. Dengan demikian, tindakannya akan dilakukan atas nama wali amanat dan melalui saluran komunikasi resmi. Di antara utilitas populer adalah TeamViewer, VNC, Go2Assist, LogMeIn, Ammyy Admin.

Apa yang dilakukan PT NAD: Contoh

deteksi PT NAD menentukan operasi jaringan semua utilitas akses jarak jauh yang umum - dengan cara ini Anda dapat menganalisis semua sesi akses jarak jauh yang dibuat menggunakan RAT dan memverifikasi keabsahannya.

Misalnya, PT NAD mendeteksi aktivitas malware yang menggunakan sistem akses jarak jauh desktop VNC untuk menyambung ke alamat IP eksternal. VNC bersama dengan Ammyy dan penyerang TeamViewer menggunakan lebih sering daripada RAT lainnya.



Mendeteksi Alat Akses Jarak Jauh

14. T1105 : salinan file jarak jauh


Penyerang menyalin file dari satu sistem ke sistem lain untuk menggunakan alat mereka atau mencuri informasi. File dapat disalin dari sistem eksternal yang dikendalikan oleh penyerang, melalui saluran komunikasi dengan pusat komando, atau menggunakan alat lain menggunakan protokol alternatif, seperti FTP.

Apa yang dilakukan PT NAD : mendeteksi transfer file menggunakan protokol aplikasi utama dan dapat mengekstraknya untuk analisis lebih lanjut, misalnya, di kotak pasir.

15. T1071 : protokol lapisan aplikasi standar


Penyerang menggunakan protokol aplikasi umum seperti HTTP, HTTPS, SMTP, DNS. Dengan demikian, aktivitas mereka dicampur dengan lalu lintas yang sah standar, yang mempersulit deteksi.

Apa yang dilakukan PT NAD : melihat semua sesi menggunakan protokol aplikasi populer. Untuk setiap sesi, kartu terperinci disimpan, yang tersedia untuk pengguna untuk analisis manual.

16. T1032 : protokol kriptografi standar


Penggunaan algoritma enkripsi terkenal untuk menyembunyikan lalu lintas C & C.

Apa yang dilakukan PT NAD : Menggunakan indikator atau aturan kompromi, PT NAD secara otomatis mendeteksi koneksi ke server penjahat cyber. Jika koneksi ke mereka dilindungi oleh protokol TLS, maka spesialis keamanan informasi akan melihat ini di antarmuka PT NAD (sistem menentukan protokol TLS) dan dengan demikian akan mendeteksi penggunaan teknik protokol kriptografi standar.

17. T1095 : protokol lapisan non-aplikasi standar


Penyerang menggunakan protokol tingkat aplikasi untuk komunikasi antara node jaringan dan server C&C atau antara node jaringan yang dikompromikan.

Apa yang dilakukan PT NAD : karena PT NAD menganalisis lalu lintas mentah, secara otomatis mendeteksi aktivitas keluarga malware umum yang mengirimkan data melalui soket mentah, yaitu, melalui protokol TCP atau UDP tanpa menggunakan protokol lapisan aplikasi. Metasploit Kerang TCP juga terdeteksi.

18. T1065 : port yang tidak biasa digunakan


Komunikasi C&C melalui port non-standar untuk mem-bypass server proxy dan firewall yang tidak dikonfigurasi dengan benar.

Apa yang dilakukan PT NAD : menentukan protokol aplikasi berdasarkan isi paket, dan bukan dengan nomor port, oleh karena itu ia mendeteksi penggunaan port non-standar untuk protokol standar.

Pengelupasan


Taktik Exfiltration menyatukan teknik yang digunakan penjahat cyber untuk mencuri data dari jaringan yang dikompromikan. Untuk menghindari deteksi, data seringkali dikemas dengan menggabungkannya dengan kompresi dan enkripsi. Sebagai aturan, penyerang menggunakan C&C atau saluran alternatif untuk exfiltrasi.

PT NAD mendeteksi dua teknik exfiltrasi data.

1. T1048 : exfiltration melalui protokol alternatif


Penyerang menggunakan protokol untuk mencuri data selain dari yang menyediakan komunikasi dengan pusat komando. Di antara protokol alternatif: FTP, SMTP, HTTP / S, DNS. Layanan web eksternal seperti penyimpanan cloud juga dapat digunakan untuk exfiltrasi.

Apa yang dilakukan PT NAD: contoh deteksi \

Alat DNSCAT2 digunakan oleh penyerang untuk mengontrol dari jarak jauh sebuah node jaringan dan mengeksfiltrasi data ke server perintah menggunakan T1059: antarmuka baris perintah dan T1048: masing-masing exfiltrasi melalui teknik protokol alternatif.

PT NAD mendeteksi aktivitas lalu lintas DNSTCAT2. Alat ini memungkinkan Anda untuk menyalurkan lalu lintas jaringan melalui protokol DNS ke server C&C. Dalam lalu lintas, sepertinya aliran besar permintaan dan tanggapan DNS.



Deteksi penerapan teknik T1048: eksfiltrasi atas

permintaan DNS protokol alternatif terlihat di kartu sesi. Ada permintaan untuk catatan TXT untuk domain tingkat ketiga yang tidak dapat dibaca dan sangat panjang, serangkaian karakter serupa yang tidak dapat dibaca datang sebagai tanggapan. Pada saat yang sama, masa pakai paket (TTL) pendek. Ini semua adalah indikator terowongan DNS.



Permintaan DNS untuk menyelesaikan nama DNS yang panjang dan tidak dapat dibaca terlihat di kartu sesi

2. T1041 : pengelupasan saluran perintah dan kontrol


Penyerang menggunakan saluran C&C untuk mencuri data.

PT NAD melihat 18 teknik umum untuk mengkomunikasikan malware dengan pusat komando penyerang. Tanda-tanda menggunakan masing-masing metode ini di jaringan menunjukkan adanya saluran C&C di jaringan di mana data yang dicuri dapat dikirim.

Dampak


Pada langkah terakhir, penyerang mencoba mengendalikan sistem dan data, mengganggu pekerjaan mereka atau menghancurkannya. Untuk melakukan ini, mereka menggunakan teknik yang memungkinkan Anda untuk mengganggu ketersediaan atau integritas sistem dengan mengelola proses operasional dan bisnis.

3. T1498 : penolakan layanan jaringan


Serangan penolakan layanan untuk mengurangi atau memblokir ketersediaan sumber daya yang ditargetkan untuk pengguna.

Apa yang dilakukan PT NAD : mendeteksi amplifikasi (amplifikasi) serangan dan penggunaan eksploit yang mengarah pada penolakan layanan.

Selama amplifikasi (dari bahasa Inggris. Amplifikasi - amplifikasi), penyerang mengirimkan permintaan atas nama server korban ke server DNS publik. Tujuan penyerang adalah mengisi saluran server korban dengan respons volumetrik dari server DNS publik.

4. T1496 : pembajakan sumber daya


Penggunaan sumber daya sistem tanpa izin untuk memecahkan masalah intensif sumber daya. Ini dapat mempengaruhi ketersediaan sistem atau layanan yang dihosting.

Apa yang dilakukan PT NAD?

: melihat aktivitas protokol penambangan crypto dan torrent di jaringan, yang menunjukkan beban tambahan yang tidak pantas pada jaringan dan peralatan.

5. T1489 : berhenti layanan


Penyerang dapat menghentikan atau menonaktifkan layanan di sistem untuk membuatnya tidak dapat diakses oleh pengguna yang sah.

Apa yang dilakukan PT NAD adalah contoh deteksi : penjahat cyber menghentikan layanan server web IIS untuk memblokir akses ke portal layanan pelanggan. PT NAD mendeteksi panggilan ke Service Control Manager (SCM) untuk menghentikan layanan. Ini dimungkinkan berkat inspeksi lalu lintas SMB.



Deteksi serangan di mana penyerang mengirim permintaan untuk memutuskan layanan server web

PT NAD secara otomatis mendeteksi panggilan ke SCM untuk membuat, memodifikasi, memulai dan menghentikan layanan.

Kami mengingatkan Anda bahwa pemetaan penuh PT NAD ke matriks MITER ATT & CK  diterbitkan di HabrΓ© .

Alih-alih kesimpulan: mengapa lagi kita membutuhkan sistem NTA


Lalu lintas adalah sumber data yang berguna untuk mendeteksi serangan. Di dalamnya, Anda dapat melihat tanda-tanda semua 12 taktik yang menggunakan grup APT. Dengan menganalisis lalu lintas menggunakan sistem NTA, perusahaan mengurangi kemungkinan penyerang untuk berhasil mengembangkan serangan dan sepenuhnya membahayakan jaringan. Ada skenario lain untuk menggunakan sistem kelas NTA.

  • Kontrol Kepatuhan Jaringan

Keberhasilan serangan cyber pada perusahaan tergantung pada tingkat keamanan infrastruktur perusahaannya. Analisis lalu lintas perusahaan besar Rusia menunjukkan bahwa dalam 94% kasus, karyawan tidak mematuhi kebijakan keamanan informasi . Kebijakan keamanan banyak organisasi melarang karyawan mengunjungi sumber daya yang dipertanyakan, mengunduh torrent, memasang pesan instan, atau menggunakan berbagai utilitas untuk akses jarak jauh.

Saat menganalisis protokol jaringan, sistem NTA melihat pengiriman kata sandi dalam bentuk yang jelas, pesan email tidak terenkripsi, penggunaan perangkat lunak untuk akses jarak jauh. Ini membantu mengendalikan implementasi kebijakan kata sandi, penggunaan RAT dan protokol transfer data yang tidak aman.

Untuk mengetahui pelanggaran peraturan keamanan informasi apa yang paling umum, karena terdeteksi oleh PT NAD dan memperbaiki masalah ini, periksa webinar atau baca artikel pakar Pusat Keamanan PT Expert Security Center .

  • Investigasi Serangan

Sistem NTA yang menyimpan metadata sesi dan lalu lintas mentah membantu untuk menyelidiki insiden: melokalisasi ancaman, mengembalikan sejarah serangan, mengidentifikasi kerentanan dalam infrastruktur dan menyusun langkah-langkah kompensasi.

Lihat contoh investigasi terhadap serangan kasus terhadap perusahaan induk dari perusahaan besar.

  • Theat berburu

Alat NTA juga dapat digunakan untuk berburu ancaman. Ancaman perburuan - proses mencari ancaman yang tidak terdeteksi oleh alat keamanan tradisional. Spesialis mengajukan hipotesis, misalnya, tentang keberadaan kelompok hacker di jaringan, tentang keberadaan penyusup internal atau kebocoran data, dan memeriksanya. Metode ini memungkinkan Anda untuk mengidentifikasi kompromi dan kerentanan dalam infrastruktur, bahkan ketika sistem keamanan tidak memberikan sinyal apa pun.

Tonton webinar dengan tiga studi kasus perburuan ancaman menggunakan PT NAD.

Bagaimana mereka menyerang perusahaan Anda? Dalam jaringan, 97% perusahaan memiliki aktivitas lalu lintas yang mencurigakan . Periksa apa yang terjadi di jaringan Anda - isi aplikasi untuk "pilot" gratis dari sistem analisis lalu lintas PT NAD .

Penulis :

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles