Get best of the week

Como os sistemas de análise de tráfego detectam táticas de hackers por MITRE ATT & CK, parte 3



Em posts anteriores ( primeira e segunda partes), examinamos as técnicas das cinco táticas do MITRE ATT & CK:

  • acesso inicial
  • execução
  • consolidação (persistência);
  • escalação de privilégios
  • detecção de prevenção (evasão de defesa).

Além disso, mostramos como, com a ajuda da nossa solução NTA, é possível reconhecer atividades suspeitas no tráfego da rede. Agora, mostraremos como nossas tecnologias funcionam com acesso a credenciais e técnicas de descoberta.

Obtendo acesso credencial


Essa tática envolve técnicas destinadas a roubar dados que podem ser usados ​​para autenticação (por exemplo, nomes de usuário e senhas). O uso de contas legítimas ajuda os invasores a obter acesso aos sistemas, a criar mais registros para proteger e dificulta a detecção da presença de invasores na rede.

Abaixo estão quatro técnicas que podem ser identificadas por atividades suspeitas no tráfego.

1. T1110 : força bruta


A técnica de obter acesso a serviços usando métodos de força bruta quando credenciais são desconhecidas ou parcialmente conhecidas. Geralmente eles selecionam nomes de usuário, senhas ou somas hash de senhas.

O que o PT Network Attack Discovery (PT NAD) : no modo automático, detecta sinais de seleção de senha para autenticação via LDAP, Kerberos, SMB, SSH, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. Além disso, identifica tentativas de selecionar credenciais para serviços populares da Web, como phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. Esses ataques geram um grande número de tentativas de autenticação malsucedidas, que podem ser vistas no tráfego.

2. T1003 : dumping de credenciais


Obter credenciais (geralmente um hash ou uma senha aberta) de sistemas operacionais ou software. Vamos considerar essa técnica em mais detalhes para demonstrar sua detecção no tráfego.

O que o PT NAD faz: Um exemplo de detecção do
PT NAD registrou o acesso ao registro do controlador de domínio usando o utilitário hacker secretsdump, com base nos módulos da biblioteca Impacket. A principal tarefa do utilitário é obter hashes de senha do usuário. Com sua ajuda, os atacantes se autenticam com o controlador de domínio por meio do protocolo SMB, conectam-se ao Service Control Manager (SCM), depois usam o protocolo WINREG para conectar-se ao registro remoto e copiar os dados necessários para o arquivo local. Depois disso, o arquivo é baixado para o nó da sua rede via SMB.



Identificando uma consulta para a chave de registro LSA que contém os hashes das senhas de usuário do domínio

Na mesma sessão em que a PT NAD registrou o acesso ao registro do controlador de domínio, os mesmos arquivos foram transferidos para os quais o utilitário secretsdump salvou informações importantes do registro do controlador de domínio. Pelos nomes das regras acionadas na interface PT NAD, é evidente que os invasores obtiveram hashes de senha de usuários de domínio da LSA e locais do SAM:



Os arquivos que os invasores conseguiram baixar são refletidos no cartão de sessão

3. T1212 : exploração para acesso credencial


Uma técnica para um invasor obter acesso a credenciais como resultado da exploração de vulnerabilidades no software.

O que o PT NAD faz : vê o tráfego explorando muitas vulnerabilidades. Por exemplo, o MS14-068 pode ser usado para falsificar tíquetes Kerberos. Um invasor solicita um ticket de um tipo especial (TGT, Ticket Granted Ticket), se adiciona a um grupo privilegiado e modifica esse ticket para que o controlador de domínio vulnerável o reconheça como válido. O PT NAD identifica solicitações para esses tickets.

4. T1208 : kerberoasting


Um método para recuperar contas de serviço do Active Directory como um usuário comum. Qualquer usuário do domínio pode solicitar um tíquete Kerberos para acessar o serviço no Active Directory (Serviço de concessão de tíquetes). O TGS é criptografado com o hash da senha da conta na qual o serviço de destino está sendo executado. Um invasor que obteve o TGS agora pode descriptografá-lo, escolhendo uma senha e sem medo de bloquear, pois o faz offline. Se for bem-sucedido, ele recebe uma senha de uma conta associada ao serviço, que geralmente é privilegiada.

O que o PT NAD faz?: Corrige solicitações de listagem de serviços no Active Directory que podem se tornar alvos de um ataque. Esse estágio é necessário para os atacantes selecionarem um serviço para atacar e precede a solicitação de um ticket e seleção de TGS offline. O PT NAD também detecta automaticamente solicitações de tickets TGS criptografadas com o algoritmo RC4, que é um dos sinais de um ataque de Kerberoasting.

Descoberta


Tendo conquistado um ponto de apoio e acesso ao sistema, os atacantes precisam entender onde estão na infraestrutura, o que os rodeia, o que podem controlar. Durante o reconhecimento, os atacantes coletam dados sobre o sistema e a rede interna, o que ajuda a navegar na infraestrutura e decidir como proceder. Para isso, ferramentas internas de sistemas operacionais são frequentemente usadas.
A análise de tráfego revela o uso de dez técnicas de inteligência.

1. T1087 : descoberta de conta


Tentando obter uma lista de contas de sistema ou domínio local.

O que o PT NAD faz: um exemplo de detecção Os
invasores tentaram obter informações de um controlador de domínio sobre contas de domínio via LDAP, um protocolo leve de acesso a diretórios. O PT NAD detectou uma solicitação LDAP. Esse método de obtenção de contas de domínio pode ser aplicado à técnica T1087 (descoberta de conta) e ao T1069 (descoberta de grupos de permissão).



Tentativa de inteligência para obter informações da conta de domínio via LDAP

2. T1482 : descoberta de confiança de domínio


Pesquise informações de confiança do domínio. Os invasores usam esses relacionamentos para o movimento horizontal em infraestruturas de vários domínios.

O que o PT NAD faz : Uma lista de relações de confiança entre domínios pode ser obtida usando consultas RPC e LDAP. O PT NAD detecta automaticamente tentativas de enumerar relações de confiança entre domínios usando o protocolo LDAP e a chamada RPC EnumTrustDom.

3. T1046 : verificação de serviço de rede


Tentando obter uma lista de serviços em execução nos nós da rede remota. Isso é possível com a ajuda de ferramentas e vulnerabilidades de verificação de portas instaladas.

O que o PT NAD faz : detecta sinais de vulnerabilidades e ferramentas de verificação de porta (por exemplo, utilitários Nmap), bem como solicitações não padrão para portas conhecidas.

4. T1135 : descoberta de compartilhamento de rede


Pesquise unidades e pastas de rede compartilhadas que permitam acesso a diretórios de arquivos em vários sistemas de rede.

O que o PT NAD faz : detecta uma solicitação de uma lista de unidades e pastas de rede compartilhadas na máquina remota.

5. T1201 : descoberta da política de senha


Uma técnica pela qual um invasor procura informações sobre uma política de senha na infraestrutura de uma empresa. Por exemplo, uma política pode definir um tamanho mínimo de senha e o número de tentativas de autenticação com falha permitidas. O conhecimento do número de caracteres ajudará os invasores a fazer uma lista de senhas comuns adequadas, iniciar a adivinhação de dicionário usando um dicionário ou usar uma pesquisa exaustiva (T1110: força bruta).

O que o PT NAD faz : Detecta automaticamente solicitações de política de senha via SAMR.

6. T1069 : descoberta de grupos de permissão


Usando essa técnica, os invasores tentam encontrar grupos locais ou de domínio e suas configurações de acesso. Essas informações podem ser usadas pelos atacantes ao escolher um alvo para um ataque.

O que o PT NAD faz : Detecta automaticamente tentativas de obter informações sobre grupos de domínio via LDAP e SAMR. Um exemplo de identificação dessa técnica é mostrado na captura de tela acima.

7. T1018 : descoberta remota do sistema


Uma técnica na qual os invasores tentam obter uma lista de sistemas em uma rede atacada usando sistemas de acesso remoto ou utilitários de sistema internos. Isso é possível pelo endereço IP, nome do host ou outro identificador, que pode ser usado posteriormente para mover horizontalmente a rede a partir do sistema atual.

O que o PT NAD faz : vê solicitações de listas de controladores de domínio, estações de trabalho e servidores, SPN (Nome do Princípio de Serviço).

8. T1063 : descoberta de software de segurança


Uma técnica na qual os invasores tentam obter informações sobre sistemas de segurança instalados, suas configurações e sensores. Uma maneira de obter essa lista é através de solicitações de DCE / RPC.

O que o PT NAD faz: vê solicitações de DCE / RPC. O usuário do sistema pode encontrar todas as sessões com essas solicitações e detectar tentativas de receber remotamente informações sobre recursos de segurança.

9. T1033 : descoberta do proprietário / usuário do sistema


Ao implementar essa técnica, os invasores podem identificar o usuário principal do sistema, o usuário conectado atual, o grupo de usuários que normalmente usa o sistema e determinar com que intensidade o sistema é usado.

O que o PT NAD faz : os cibercriminosos podem obter uma lista de sessões de usuário ativo em um host remoto usando consultas baseadas em SRVSVC. O PT NAD detecta automaticamente esses pedidos.

10. T1007 : descoberta de serviço do sistema


Os invasores buscam informações sobre os serviços registrados.

O que o PT NAD faz : os invasores podem obter esse tipo de informação usando solicitações de rede DCE / RPC. O PT NAD detecta automaticamente chamadas para o Service Control Manager (SCM) usando o protocolo DCE / RPC, incluindo comandos para recuperar uma lista de serviços em um nó de rede remoto e seu status de atividade.

Em vez de uma conclusão


Lembramos que o mapeamento completo do PT NAD para a matriz MITRE ATT & CK é  publicado em Habré .

Nos artigos a seguir, falaremos sobre outras táticas e técnicas de hackers e como o sistema NTA do PT Network Attack Discovery ajuda a identificá-las. Fique conosco!



Autores :

  • Anton Kutepov, Especialista, PT Expert Security Center Positive Technologies
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles