Get best of the week

Como os sistemas de análise de tráfego detectam as táticas MITRE ATT e CK Hacker usando a descoberta de ataques de rede da PT



De acordo com a Verizon , a maioria (87%) dos incidentes de segurança da informação ocorre em minutos e leva meses para 68% das empresas detectá-los. Isso é confirmado pelo estudo do Ponemon Institute , segundo o qual a maioria das organizações leva em média 206 dias para detectar um incidente. De acordo com a experiência de nossas investigações, os hackers podem controlar a infraestrutura da empresa por anos e não ser detectados. Portanto, em uma das organizações em que nossos especialistas investigaram o incidente de IS, foi revelado que os hackers controlavam completamente toda a infraestrutura da organização e roubavam regularmente informações importantes por oito anos .

Suponha que você já possua o SIEM em execução, que coleta logs e analisa eventos, e antivírus estão instalados nos nós finais. Não obstante,nem tudo pode ser detectado usando o SIEM , assim como é impossível implementar sistemas EDR em toda a rede, o que significa que pontos cegos não podem ser evitados. Os sistemas de análise de tráfego de rede (NTA) ajudam a lidar com eles. Essas decisões revelam a atividade dos invasores nos estágios iniciais de penetração na rede, bem como durante as tentativas de ganhar uma posição e desenvolver um ataque dentro da rede.

Existem dois tipos de NTAs: alguns funcionam com o NetFlow, o segundo analisa o tráfego bruto. A vantagem dos segundos sistemas é que eles podem armazenar registros de tráfego brutos. Graças a isso, o especialista em segurança da informação pode verificar o sucesso do ataque, localizar a ameaça, entender como o ataque ocorreu e como impedir um ataque semelhante no futuro.

Mostraremos como, usando o NTA, é possível identificar direta ou indiretamente todas as táticas de ataque conhecidas descritas na base de conhecimento do MITRE ATT & CK . Falaremos sobre cada uma das 12 táticas, analisaremos as técnicas detectadas pelo tráfego e demonstraremos sua detecção usando nosso sistema NTA.

Sobre a Base de Conhecimento ATT & CK


O MITRE ATT & CK é uma base de conhecimento pública desenvolvida e mantida pela MITRE Corporation com base na análise de APTs reais. É um conjunto estruturado de táticas e técnicas usadas pelos atacantes. Isso permite que profissionais de segurança da informação de todo o mundo falem o mesmo idioma. A base está em constante expansão e atualização com novos conhecimentos.

No banco de dados, são distinguidas 12 táticas, divididas pelos estágios de um ataque cibernético:

  • acesso inicial
  • execução
  • consolidação (persistência);
  • escalação de privilégios
  • prevenção de detecção (evasão de defesa);
  • obtendo acesso credencial;
  • inteligência (descoberta);
  • movimento dentro do perímetro (movimento lateral);
  • coleta de dados (coleta);
  • gerenciamento e controle (comando e controle);
  • exfiltração;
  • impacto

Para cada tática, a base de conhecimentos da ATT & CK lista uma lista de técnicas que ajudam os atacantes a atingir seus objetivos no estágio atual do ataque. Como a mesma técnica pode ser usada em diferentes estágios, ela pode estar relacionada a várias táticas.

A descrição de cada técnica inclui:

  • identificador;
  • lista de táticas em que é aplicada;
  • exemplos de uso por grupos APT;
  • medidas para reduzir os danos causados ​​pelo seu uso;
  • recomendações de detecção.

Os especialistas em segurança da informação podem usar o conhecimento do banco de dados para estruturar informações sobre os métodos de ataque atuais e, com isso em mente, criar um sistema de segurança eficaz. Entender como grupos APT reais operar, inclusive pode ser uma fonte de hipóteses para uma busca proativa de ameaças no âmbito da caça ameaça .

Sobre a descoberta de ataques de rede PT


Identificaremos o uso de técnicas da matriz ATT & CK usando o sistema PT Network Attack Discovery - sistema Positive Technologies NTA, projetado para detectar ataques no perímetro e dentro da rede. PT NAD em graus variados abrange todas as 12 táticas da matriz MITRE ATT & CK. Ele é mais poderoso na identificação de técnicas para acesso inicial, movimento lateral e comando e controle. Neles, o PT NAD cobre mais da metade das técnicas conhecidas, revelando seu uso por sinais diretos ou indiretos.

O sistema detecta ataques usando as técnicas ATT e CK usando as regras de detecção criadas pela equipe do PT Expert Security Center(PT ESC), aprendizado de máquina, indicadores de comprometimento, análise aprofundada e análise retrospectiva. A análise de tráfego em tempo real, combinada com uma retrospectiva, permite identificar as atividades maliciosas ocultas atuais e rastrear os vetores de desenvolvimento e o histórico de ataques.

Aqui está o mapeamento completo do PT NAD para a matriz MITRE ATT & CK. Como a imagem é grande, sugerimos que você a considere em uma janela separada.

Acesso inicial



As táticas de obter acesso inicial incluem técnicas para penetrar na rede da empresa. O objetivo dos invasores nesse estágio é fornecer código malicioso ao sistema atacado e garantir a possibilidade de sua execução posterior.

A análise de tráfego com o PT NAD revela sete técnicas para obter acesso inicial:

1. T1189 : compromisso de condução


Uma técnica na qual uma vítima abre um site usado por criminosos cibernéticos para operar um navegador da Web e obter tokens de acesso para um aplicativo.

O que o PT NAD faz : Se o tráfego da Web não estiver criptografado, o PT NAD inspecionará o conteúdo das respostas do servidor HTTP. É nessas respostas que existem explorações que permitem que os invasores executem códigos arbitrários dentro do navegador. O PT NAD detecta automaticamente essas explorações usando regras de detecção.

Além disso, o PT NAD detecta uma ameaça na etapa anterior. As regras e indicadores de comprometimento são acionados se um usuário visitar um site que o redirecione para um site com várias explorações.

2. T1190 : explorar aplicativo voltado para o público


Explorar vulnerabilidades em serviços acessíveis pela Internet.

O que o PT NAD faz : realiza uma inspeção profunda do conteúdo dos pacotes de rede, revelando sinais de atividade anormal. Em particular, existem regras que permitem detectar ataques ao sistema de gerenciamento de conteúdo principal (CMS), interfaces da web de equipamentos de rede, ataques a servidores de correio e FTP.

3. T1133 : serviços remotos externos


O uso de serviços de acesso remoto por atacantes para conectar-se a recursos de rede internos de fora.

O que o PT NAD faz : como o sistema reconhece protocolos não pelo número da porta, mas pelo conteúdo dos pacotes, os usuários do sistema podem filtrar o tráfego para encontrar todas as sessões dos protocolos de acesso remoto e verificar sua legitimidade.

4. T1193 : acessório de caça submarina


Estamos falando dos notórios anexos de phishing.

O que o PT NAD faz : Extrai automaticamente os arquivos do tráfego e os compara com os indicadores de comprometimento. Arquivos executáveis ​​em anexos são detectados por regras que analisam o conteúdo do tráfego de mensagens. Em um ambiente corporativo, esse investimento é considerado anormal.

5. T1192 : elo de caça submarina


Usando links de phishing. A técnica envolve enviar emails de phishing por um usuário mal-intencionado com um link que, quando clicado, baixa um programa mal-intencionado. Normalmente, o link é acompanhado por texto compilado de acordo com todas as regras da engenharia social.

O que o PT NAD faz : detecta links de phishing usando indicadores de comprometimento. Por exemplo, na interface do PT NAD, vemos uma sessão na qual havia uma conexão HTTP usando um link listado na lista de URLs de phishing.



Vinculação a partir da lista de indicadores de URLs de phishing comprometidos

6. T1199 : relacionamento confiável


Acesso à rede da vítima através de terceiros com quem a vítima tem um relacionamento confiável. Os invasores podem invadir uma organização confiável e conectar-se à rede de destino. Para fazer isso, eles usam conexões VPN ou relações de confiança de domínio, que podem ser detectadas usando a análise de tráfego.

O que o PT NAD faz : analisa os protocolos de aplicativos e salva os campos analisados ​​no banco de dados, para que o analista de IB possa usar os filtros para encontrar todas as conexões VPN suspeitas ou conexões entre domínios no banco de dados.

7. T1078 : contas válidas


Uso de credenciais padrão, locais ou de domínio para autorização em serviços externos e internos.

O que o PT NAD faz : extrai automaticamente credenciais de HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Em geral, este é um nome de usuário, senha e um sinal de êxito na autenticação. Se eles foram usados, eles são exibidos no cartão de sessão correspondente.

Execução


As táticas de execução incluem técnicas que os cibercriminosos usam para executar código em sistemas comprometidos. A execução de códigos maliciosos ajuda os invasores a consolidar sua presença (táticas de persistência) e expandir o acesso a sistemas remotos na rede, movendo-se dentro do perímetro.

O PT NAD pode detectar o uso por invasores de 14 técnicas usadas para executar código malicioso.

1. T1191 : CMSTP (Instalador de Perfil do Microsoft Connection Manager)


Uma tática na qual os invasores preparam um arquivo INF de instalação mal-intencionada especial para o utilitário CMSTP.exe (instalador de perfil do gerenciador de conexões) incorporado ao Windows. O CMSTP.exe usa o arquivo como parâmetro e define o perfil de serviço para uma conexão remota. Como resultado, o CMSTP.exe pode ser usado para baixar e executar bibliotecas conectadas dinamicamente (* .dll) ou scriptlets (* .sct) de servidores remotos.

O que o PT NAD faz : detecta automaticamente a transmissão de arquivos .inf especiais no tráfego HTTP. Além disso, ele detecta a transferência de scripts maliciosos e bibliotecas conectadas dinamicamente por meio do protocolo HTTP de um servidor remoto.

2. T1059 : interface da linha de comandos


Interação com a interface da linha de comandos. Você pode interagir com a interface da linha de comandos local ou remotamente, por exemplo, usando utilitários de acesso remoto.

O que o PT NAD faz : ele detecta automaticamente a presença de shells, respondendo aos comandos para iniciar vários utilitários de linha de comando, como ping, ifconfig.

3. T1175 : modelo de objeto componente e COM distribuído


Usando tecnologias COM ou DCOM para executar código em sistemas locais ou remotos ao se mover através de uma rede.

O que o PT NAD faz : detecta chamadas DCOM suspeitas que os atacantes geralmente usam para executar programas.

4. T1203 : exploração para execução do cliente


Explorando vulnerabilidades para executar código arbitrário em uma estação de trabalho. As explorações mais úteis para os invasores são aquelas que permitem que o código seja executado em um sistema remoto, uma vez que, com a ajuda deles, os invasores podem obter acesso a esse sistema. A técnica pode ser implementada usando os seguintes métodos: lista de email mal-intencionada, site com explorações de navegador e exploração remota de vulnerabilidades de aplicativos.

O que o PT NAD faz : ao analisar o tráfego de mensagens, o PT NAD verifica se há arquivos executáveis ​​no anexo. Extrai automaticamente documentos do escritório de cartas nas quais pode haver explorações. Tentativas de explorar vulnerabilidades são visíveis no tráfego que o PT NAD detecta automaticamente.

5. T1170 : mshta


Usando o utilitário mshta.exe, que executa aplicativos HTML da Microsoft (HTA) com a extensão .hta. Como o mshta processa arquivos ignorando as configurações de segurança do navegador, os atacantes podem usar o mshta.exe para executar arquivos HTA, JavaScript ou VBScript mal-intencionados.

O que o PT NAD faz : Os arquivos .hta para execução por mshta são transmitidos, inclusive pela rede - isso é visível no tráfego. O PT NAD detecta a transferência desses arquivos maliciosos automaticamente. Ele captura arquivos e as informações sobre eles podem ser visualizadas no cartão de sessão.

6. T1086 : PowerShell


Usando o PowerShell para procurar informações e executar código malicioso.

O que o PT NAD faz : Quando o PowerShell é usado remotamente pelos atacantes, o PT NAD detecta isso usando regras. Ele descobre as palavras-chave do PowerShell usadas com mais freqüência em scripts maliciosos e transfere os scripts do PowerShell usando o protocolo SMB.

7. T1053 : tarefa agendada
Use o agendador de tarefas do Windows e outros utilitários para iniciar automaticamente programas ou scripts em um horário específico.

O que o PT NAD faz?: os invasores criam essas tarefas, geralmente remotamente, o que significa que essas sessões são visíveis no tráfego. O PT NAD detecta automaticamente operações suspeitas de criação e modificação de tarefas usando as interfaces RPC ATSVC e ITaskSchedulerService.

8. T1064 : script


Executando scripts para automatizar várias ações de ataque.

O que o PT NAD faz : revela os fatos da transmissão de scripts pela rede, isto é, antes mesmo de serem lançados. Ele detecta o conteúdo dos scripts no tráfego bruto e a transferência de arquivos pela rede com extensões correspondentes às linguagens de script populares.

9. T1035 : execução de serviço


Execute um arquivo executável, instruções da interface da linha de comandos ou um script interagindo com os serviços do Windows, como um Service Control Manager (SCM).

O que o PT NAD faz : inspeciona o tráfego SMB e detecta o acesso do SCM às regras para criar, modificar e iniciar um serviço.

A técnica de iniciar serviços pode ser implementada usando o utilitário para execução remota de comandos PSExec. O PT NAD analisa o protocolo SMB e detecta o uso do PSExec quando ele usa o arquivo PSEXESVC.exe ou o nome do serviço PSEXECSVC padrão para executar o código em uma máquina remota. O usuário precisa verificar a lista de comandos executados e a legitimidade da execução remota de comandos a partir do nó.

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


Uma técnica na qual os invasores obtêm acesso ao software de administração remota ou a um sistema corporativo de implantação de software e os usam para iniciar códigos maliciosos. Exemplos de tais softwares: SCCM, VNC, TeamViewer, HBSS, Altiris.
A propósito, a técnica é especialmente relevante em conexão com a transição massiva para o trabalho remoto e, como resultado, a conexão de vários dispositivos domésticos inseguros por meio de canais de acesso remoto questionáveis.O

que o PT NAD faz?: Detecta automaticamente a operação desse software na rede. Por exemplo, as regras são acionadas pelos fatos da conexão VNC e pela atividade do trojan EvilVNC, que instala secretamente o servidor VNC no host da vítima e o inicia automaticamente. O PT NAD também detecta automaticamente o protocolo TeamViewer, ajudando o analista a usar o filtro para encontrar todas essas sessões e verificar sua legitimidade.

11. T1204 : execução do usuário


Uma técnica na qual um usuário executa arquivos que podem levar à execução do código. Pode ser, por exemplo, se ele abrir um arquivo executável ou executar um documento do office com uma macro.

O que o PT NAD faz : vê esses arquivos no estágio de transferência, antes de serem lançados. Informações sobre eles podem ser estudadas nas sessões de cartões em que foram transmitidas.

12. T1047 : Instrumentação de Gerenciamento do Windows


Usando a ferramenta WMI, que fornece acesso local e remoto aos componentes do sistema Windows. Usando o WMI, os atacantes podem interagir com sistemas locais e remotos e executar muitas tarefas, por exemplo, coletando informações para fins de reconhecimento e iniciando remotamente os processos durante o movimento horizontal.

O que o PT NAD faz : como as interações com sistemas remotos via WMI são visíveis no tráfego, o PT NAD detecta automaticamente solicitações de rede para estabelecer sessões WMI e verifica o tráfego quanto à transmissão de scripts que usam WMI.

13. T1028 : Gerenciamento Remoto do Windows


Usando o serviço e protocolo do Windows, que permite ao usuário interagir com sistemas remotos.

O que o PT NAD faz : vê as conexões de rede estabelecidas usando o Gerenciamento Remoto do Windows. Tais sessões são detectadas automaticamente pelas regras.

14. T1220 : Processamento de script XSL (Extensible Stylesheet Language)


A linguagem de marcação XSL é usada para descrever o processamento e a visualização de dados em arquivos XML. Para suportar operações complexas, o padrão XSL inclui suporte para scripts incorporados em vários idiomas. Esses idiomas permitem a execução de código arbitrário, o que leva a ignorar políticas de segurança baseadas em listas de permissões.

O que o PT NAD faz : revela os fatos da transferência desses arquivos pela rede, isto é, antes mesmo de serem lançados. Ele detecta automaticamente o fato de que arquivos XSL são transmitidos pela rede e arquivos com marcação XSL anômala.

Nos artigos a seguir, examinaremos como o sistema NTA do Network Attack Discovery encontra outras táticas e técnicas de invasores, de acordo com o MITRE ATT & CK. Fique ligado!

Autores :
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles