Get best of the week

Como os sistemas de análise de tráfego detectam táticas de hackers por MITRE ATT & CK, parte 4



Em posts anteriores ( primeira , segunda e terceira partes), examinamos as técnicas das sete táticas do MITRE ATT & CK:

  • acesso inicial
  • execução
  • consolidação (persistência);
  • escalação de privilégios
  • prevenção de detecção (evasão de defesa);
  • obtendo acesso credencial;
  • inteligência (descoberta).

Também mostramos como, com a ajuda da nossa  solução NTA  , é possível reconhecer atividades suspeitas no tráfego da rede. Agora, mostraremos como nossas tecnologias funcionam com técnicas de movimentação lateral e de coleta.

Movimento dentro do perímetro (movimento lateral)


Os invasores usam técnicas de movimentação de perímetro para obter acesso e controlar sistemas remotos na rede, instalar malware e gradualmente expandir sua presença na infraestrutura. O principal objetivo dos invasores é identificar os administradores da rede, seus computadores, principais ativos e dados, a fim de obter o controle total da infraestrutura. 
A seguir, são apresentadas descrições de técnicas de movimento de perímetro que podem ser detectadas pela análise de tráfego. Existem nove deles.

1. T1175 : Modelo de Objeto Componente e COM Distribuído


Usando tecnologias COM ou DCOM para executar código em sistemas locais ou remotos ao se mover através de uma rede.

O que a descoberta de ataques de rede PT (PT NAD) faz: Quando essa tecnologia é usada para acessar sistemas remotos, ela pode ser detectada analisando o tráfego. O PT NAD detecta chamadas suspeitas do DCOM que os cibercriminosos geralmente usam para avançar pela rede.

2. T1210 : exploração de serviços remotos


Explorar vulnerabilidades nos serviços de rede para se mover pela rede.

O que o PT NAD faz : detecta a exploração de vulnerabilidades comuns. Entre elas estão as vulnerabilidades nos protocolos SMB (MS17-010) e Print System Remote Protocol (MS-RPRN), no Redis DBMS, no sistema de configuração de dispositivos de rede rConfig.

3. T1075 : passe o hash


Um método para autenticar um usuário sem acessar sua senha de forma clara. Os invasores ignoram as etapas de autenticação padrão que exigem uma senha e vão diretamente para a parte da autenticação que usa o hash da senha. Os invasores obterão hashes antecipadamente usando técnicas de aquisição de credenciais.

O que o PT NAD faz : detecta vários sinais de atividade de rede do utilitário hacker Mimikatz, que os invasores usam para atacar ultrapassam o hash (desenvolvendo o passe o ataque de hash).

4. T1097 : passe o bilhete


Método de autenticação em um sistema usando tíquetes Kerberos sem acesso a uma senha de conta. Ele pode ser usado pelos atacantes como o primeiro passo na movimentação do perímetro para um sistema remoto.

O que o PT NAD faz : detecta a fase preparatória da técnica de passar o ticket, detecta a transferência de arquivos com tickets Kerberos exportados pela rede.

5. T1076 : protocolo de área de trabalho remota


A técnica pela qual os invasores fazem logon em um sistema remoto usando o protocolo de área de trabalho remota RDP, se for permitido o uso em uma rede e permite que os usuários se conectem ao computador usando suas credenciais.

O que o PT NAD faz : no programa, você pode filtrar todas as sessões salvas por protocolos (por exemplo, RDP) e analisar cada uma delas suspeita. A função é útil na investigação e na busca proativa de ameaças (busca de ameaças).

6. T1021 : serviços remotos


Use contas válidas para efetuar login em um serviço projetado para aceitar conexões remotas, como Telnet, SSH ou VNC. Depois disso, os invasores poderão executar ações em nome do usuário conectado.

O que o PT NAD faz : detecta automaticamente as conexões VNC e a atividade do Trojan EvilVNC. Este Trojan instala secretamente um servidor VNC no host da vítima e o inicia automaticamente. Para verificar a legitimidade das conexões remotas usando os protocolos SSH e TELNET, os usuários do PT NAD podem filtrar todas as sessões com essas conexões e analisar cada uma delas.

7. T1072 : software de terceiros


A técnica pela qual os invasores obtêm acesso ao software de administração de rede (software de terceiros e sistemas de implantação de software) e a usam para iniciar códigos maliciosos. Exemplos de software de terceiros: SCCM, VNC, HBSS, Altiris. No caso de obter acesso a esses sistemas, o adversário pode executar remotamente o código em todos os nós conectados ao sistema de implantação, monitoramento ou administração de software.

O que o PT NAD faz : ele detecta automaticamente a operação desse software na rede. Por exemplo, as regras funcionam sobre os fatos da conexão por meio do protocolo VNC e a atividade do trojan EvilVNC, que instala secretamente o servidor VNC no host da vítima e inicia automaticamente esse servidor.

8. T1077 : compartilhamentos de administração do Windows


Usando pastas de rede ocultas acessíveis apenas por administradores, por exemplo C $, ADMIN $, IPC $. Eles fornecem a capacidade de copiar remotamente arquivos e outras funções administrativas.

O que o PT NAD faz: Um exemplo de

descoberta do PT NAD detectou a execução de comandos remotos por meio do Service Control Manager (SCM). Isso só é possível com o acesso aos compartilhamentos administrativos dos compartilhamentos de administrador do Windows.



Detecção de aplicação da técnica T1077: Compartilhamentos do administrador do Windows

Se você abrir uma sessão, poderá ver que a regra da ferramenta Impacket funcionou nela. Ele usa acesso de rede ao C $ para obter resultados de execução de comandos.



Cartão de sessão mostrando os arquivos baixados da pasta de rede do administrador

9. T1028 : Gerenciamento Remoto do Windows


Usando o serviço e protocolo do Windows, que permite ao usuário interagir com sistemas remotos.

O que o PT NAD faz : vê as conexões de rede estabelecidas usando o Gerenciamento Remoto do Windows. Tais sessões são detectadas automaticamente pelas regras.

Coleção de dados


Os invasores usam táticas de coleta para coletar informações que planejam roubar usando técnicas de exfiltração de dados. As fontes de dados típicas incluem diferentes tipos de unidades, navegadores, áudio, vídeo e email.

A análise de tráfego pode indicar o uso de duas técnicas de coleta de dados na rede.

1. T1039 : dados da unidade compartilhada em rede


Colete dados de sistemas remotos que possuem unidades de rede pública.

O que o PT NAD faz: um exemplo de detecção A

transferência de arquivos de unidades de rede é visível pelo tráfego, as sessões de transferência de arquivos podem ser estudadas em detalhes no PT NAD.

Vamos verificar a hipótese de que os invasores usaram a técnica T1039 e conseguiram acessar o servidor de arquivos do departamento financeiro da empresa. Para fazer isso, filtramos todas as sessões com base na atividade do endereço IP do armazenamento de arquivos e encontramos entre elas as conexões nas quais os arquivos foram baixados. Depois de inserir o cartão de uma dessas sessões, vemos que o arquivo TopSecretReport_2020 foi baixado.



Depois de baixar e examinar o arquivo, entendemos quais informações específicas os invasores conseguiram capturar.

2. T1185 : homem no navegador


Uma técnica pela qual um invasor explora a vulnerabilidade do navegador da vítima e altera o conteúdo da Web e intercepta informações. Um exemplo: um invasor injeta software no navegador que permite interceptar cookies, sessões HTTP, certificados SSL de cliente e usar o navegador para autenticar e acessar a intranet.

O que o PT NAD faz : Detecta automaticamente um homem no ataque do navegador com base na introdução de scripts maliciosos em páginas da Web para download. O PT NAD detecta esses ataques de duas maneiras: pelos certificados comprometidos que foram usados ​​anteriormente nesses ataques e pela atividade característica da rede de programas mal-intencionados destinados a injetar código no navegador (por exemplo, Zeus).

Em vez de uma conclusão


Lembramos que o mapeamento completo do PT NAD para a matriz MITRE ATT & CK é publicado em Habré .

Nos artigos a seguir, falaremos sobre outras táticas e técnicas de hackers e como o sistema NTA do PT Network Attack Discovery ajuda a identificá-las. Fique conosco!

Autores :

  • Anton Kutepov, Especialista, PT Expert Security Center Positive Technologies
  • Natalia Kazankova, vendedora de produtos Positive Technologies

More articles:


All Articles