Get best of the week

Como os sistemas de análise de tráfego detectam as táticas MITRE ATT e CK Hacker usando a descoberta de ataques de rede da PT



Em um artigo anterior , examinamos as técnicas de duas táticas do MITRE ATT e CK - acesso e execução inicial, bem como detectar atividades suspeitas no tráfego de rede usando nossa solução NTA . Agora, mostraremos como nossas tecnologias funcionam com técnicas de persistência, escalada de privilégios e evasão de defesa.

Fixação (persistência)


Os atacantes usam táticas de fixação para garantir sua presença contínua no sistema atacado. Eles precisam ter certeza de que, mesmo após reiniciar o sistema ou alterar as credenciais, o acesso ao sistema permanecerá. Assim, eles poderão, a qualquer momento, controlar um sistema comprometido, percorrer a infraestrutura e atingir seus objetivos.

Usando a análise de tráfego, você pode descobrir cinco técnicas de fixação.

1. T1133 : serviços remotos externos


A técnica de usar serviços remotos externos para consolidar externamente os recursos internos da empresa. Exemplos de tais serviços: VPN e Citrix.

O que o PT Network Attack Discovery (PT NAD) faz : ele vê sessões de rede estabelecidas via VPN ou Citrix na rede interna da empresa. O analista pode estudar essas sessões em detalhes e concluir sua legitimidade.

2. T1053 : tarefa agendada


Usando o Agendador de Tarefas do Windows e outros utilitários para programar o lançamento de programas ou scripts em um horário específico. Os invasores criam essas tarefas, em regra, remotamente, o que significa que essas sessões com o lançamento dos agendadores de tarefas são visíveis no tráfego.

O que o PT NAD faz : se um controlador de domínio envia arquivos XML que descrevem tarefas criadas por meio de políticas de grupo, nossa solução NTA extrai esses arquivos automaticamente. Eles contêm informações sobre a frequência de inicialização da tarefa, o que pode indicar o uso do agendador de tarefas para consolidação na rede.

3. T1078 : contas válidas


Uso de credenciais: padrão, local ou domínio para autorização em serviços externos e internos.

O que o PT NAD faz : extrai automaticamente credenciais de HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE / RPC, SOCKS5, LDAP, Kerberos. Em geral, este é um nome de usuário, senha e um sinal de êxito na autenticação. Se eles foram usados, eles são exibidos no cartão de sessão correspondente.

4. T1100 : shell da web


Um script hospedado em um servidor web e permite que um invasor obtenha controle desse servidor. Como esses scripts funcionam no modo automático e continuam a funcionar mesmo após a reinicialização do servidor, essa técnica pode ser usada por criminosos cibernéticos durante a fase de correção do sistema.

O que o PT NAD faz : detecta automaticamente o carregamento de shells comuns da Web, acessando-os por meio de solicitações HTTP e enviando comandos.

5. T1084 : Assinatura de Eventos da Instrumentação de Gerenciamento do Windows


Assinando eventos em WMI - tecnologias para gerenciar componentes de sistemas operacionais locais e remotos. Os invasores podem usar o WMI para se inscrever em determinados eventos e acionar a execução de código malicioso quando esse evento ocorrer. Assim, os atacantes garantem uma presença constante no sistema. Exemplos de eventos nos quais você pode se inscrever: o início de um determinado horário no relógio do sistema ou a expiração de um determinado número de segundos a partir do momento em que o sistema operacional é iniciado.

O que o PT NAD faz?: Detecta o uso da técnica de Inscrição de Eventos da Instrumentação de Gerenciamento do Windows usando regras. Um deles funciona quando a rede usa a classe de assinante padrão ActiveScriptEventConsumer, que permite que o código seja executado quando um evento ocorre e, assim, anexa o invasor a um nó da rede.

Por exemplo, após analisar o cartão de sessão com o acionamento da regra, vemos que essa atividade foi causada pela ferramenta hacker Impacket: na mesma sessão, o detector para usar essa ferramenta para execução remota de código funcionou.



O cartão da sessão em que o uso da ferramenta Impacket foi revelado. Com sua ajuda, os atacantes usam um assinante padrão para executar comandos remotamente

Escalonamento de privilégios


As técnicas de escalonamento de privilégios têm como objetivo obter permissões de nível superior no sistema atacado. Para fazer isso, os atacantes exploram os pontos fracos dos sistemas, exploram erros de configuração e vulnerabilidades.

1. T1078 : contas válidas


Isso é roubo de identidade: padrão, local ou domínio.

O que o PT NAD faz : vê qual usuário efetuou login, pelo qual é possível identificar entradas ilegítimas. Uma das maneiras mais comuns de aumentar os privilégios em um host remoto ou local executando o Windows é criar uma tarefa do agendador de tarefas do Windows que será executada em nome do NT AUTHORITY \ SYSTEM, o que possibilita a execução de comandos com o máximo de privilégios no sistema.

Considere o caso de criar uma tarefa na rede usando a ferramenta ATExec. Ele é baseado nos componentes da biblioteca Impacket e foi criado para demonstrar a capacidade da biblioteca de trabalhar com o protocolo remoto para o planejador de tarefas. Seu trabalho é visível no tráfego de rede e ilustra bem a técnica de elevar privilégios do nível de administrador de um nó de rede para o nível NT AUTHORITY \ SYSTEM.

O PT NAD detectou automaticamente a criação de tarefas do planejador no host remoto. O cartão de ataque abaixo mostra que a conexão foi feita em nome do usuário contoso \ user02. Uma conexão SMB bem-sucedida ao recurso ADMIN $ do host de destino indica que esse usuário é membro do grupo de administradores locais no host de destino. No entanto, a descrição XML da tarefa indica que ela será executada no contexto do NT AUTHORITY \ SYSTEM (SID S-1-5-18):



Detectando a criação remota de tarefas usando o utilitário ATExec

Evasão de Defesa


Essa tática reúne técnicas pelas quais um invasor pode ocultar atividades maliciosas e evitar a detecção por meio de proteção. Nove dessas técnicas podem ser detectadas usando sistemas de análise de tráfego.

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)


Os invasores estão preparando um arquivo .inf de instalação maliciosa especial para o utilitário Instalador de Perfis do Windows Connectivity Manager (CMSTP.exe). O CMSTP.exe usa o arquivo como parâmetro e define o perfil de serviço para uma conexão remota. Como resultado, o CMSTP.exe pode ser usado para baixar e executar bibliotecas conectadas dinamicamente (* .dll) ou scriptlets (* .sct) de servidores remotos. Dessa maneira, os invasores podem ignorar a política de lista de permissões para a execução de programas.

O que o PT NAD faz : detecta automaticamente a transmissão de arquivos .inf especiais no tráfego HTTP. Além disso, ele vê a transmissão do protocolo HTTP de scripts maliciosos e bibliotecas conectadas dinamicamente a partir de um servidor remoto.

2. T1090 : proxy de conexão


Os invasores podem usar um servidor proxy como intermediário para trocar dados com um servidor C2. Portanto, eles evitam conexões diretas com sua infraestrutura e complicam a capacidade de detectá-las.

O que o PT NAD faz : determina o uso do protocolo SOCKS5 (ele envia dados do cliente para o servidor de destino através de um servidor proxy invisivelmente para eles) e um proxy HTTP. Se as conexões via protocolo SOCKS 5 ou por meio de um servidor proxy HTTP estiverem associadas a eventos suspeitos, essas conexões poderão indicar um comprometimento.

3. T1207 : DCShadow


Criando um controlador de domínio falso para ignorar a detecção pelos sistemas SIEM, que permite modificações maliciosas no esquema do AD por meio do mecanismo de replicação.

O que o PT NAD faz : ao usar a técnica DCShadow, é criado um controlador de domínio falso que não envia eventos para o SIEM. Usando esse controlador de domínio, um invasor pode modificar os dados do Active Directory - por exemplo, informações sobre qualquer objeto de domínio, credenciais de usuário e chaves.

O uso dessa técnica pode ser identificado pelo tráfego. Mostra claramente a adição de um novo objeto ao esquema de configuração do tipo de controlador de domínio. O sistema NTA detecta uma tentativa de atacar o DCShadow detectando tráfego específico para um controlador de domínio de um nó de rede que não é um controlador de domínio.



O PT NAD registrou uma tentativa de atacar o DCShadow

4. T1211 : exploração para evasão à defesa


Explorar vulnerabilidades do sistema de destino para ignorar os recursos de segurança.

O que o PT NAD faz : Detecta automaticamente várias técnicas populares de exploração de vulnerabilidades. Por exemplo, ele identifica uma técnica para burlar a segurança de aplicativos da Web com base em cabeçalhos HTTP duplicados.

5. T1170 : mshta


Usando o utilitário mshta.exe, que executa aplicativos HTML da Microsoft (HTA) com a extensão .hta. Como o mshta processa arquivos ignorando as configurações de segurança do navegador, os atacantes podem usar o mshta.exe para executar arquivos HTA, JavaScript ou VBScript mal-intencionados. Os invasores usam a técnica mshta com mais freqüência para ignorar políticas de lista de permissões para executar programas e acionar regras de detecção de SIEM.

O que o PT NAD faz : detecta a transferência de arquivos HTA maliciosos automaticamente. Ele captura arquivos e informações sobre eles podem ser visualizadas no cartão de sessão.

6. T1027 : arquivos ou informações ofuscados


Uma tentativa de dificultar o tráfego do arquivo executável ou da rede para que as ferramentas de segurança detectem e analisem criptografando, codificando ou ofuscando (ofuscando) seu conteúdo.

O que o PT NAD faz : detecta a transferência de arquivos executáveis ​​codificados usando os algoritmos Base64, ROT13 ou criptografados usando gama. O tráfego ofuscado criado por alguns malwares também é detectado automaticamente.

7. T1108 : acesso redundante


Uma técnica na qual os invasores usam mais de um utilitário de acesso remoto. Se uma das ferramentas for detectada e bloqueada, os invasores ainda terão acesso à rede.

O que o PT NAD faz : analisa protocolos populares, para ver a atividade de cada nó da rede. Usando filtros, o analista pode encontrar todas as sessões de ferramentas de acesso remoto instaladas em um nó.

8. T1064 : script


Execução de scripts para automatizar várias ações dos atacantes, incluindo o desvio de políticas da lista de permissões para o lançamento de programas.

O que o PT NAD faz : revela os fatos da transmissão de scripts pela rede, isto é, antes mesmo de serem lançados. Ele detecta o conteúdo dos scripts no tráfego bruto e a transferência de arquivos pela rede com extensões correspondentes às linguagens de script populares.

9. T1045 : embalagem do software


Uma técnica na qual os atacantes usam utilitários especiais para compactar ou criptografar um arquivo executável, a fim de evitar a detecção por sistemas de proteção de assinaturas. Esses utilitários são chamados de empacotadores.

O que o PT NAD faz : detecta automaticamente sinais de que o arquivo executável transmitido foi modificado usando o empacotador popular.

Em vez de uma conclusão


Lembramos que o mapeamento completo do PT NAD para a matriz MITRE ATT & CK é publicado em Habré .

Nos artigos a seguir, falaremos sobre as outras táticas e técnicas dos hackers e como o sistema NTA do PT Network Attack Discovery ajuda a identificá-las. Fique conosco!

Autores:

  • Anton Kutepov, Especialista, PT Expert Security Center Positive Technologies
  • Natalia Kazankova, vendedora de produtos Positive Technologies

More articles:


All Articles