Get best of the week

Como os sistemas de análise de tráfego detectam táticas de hackers por MITRE ATT & CK, parte 5



Este é o artigo final do ciclo ( primeira , segunda , terceira e quarta partes), no qual consideramos técnicas e táticas de hackers de acordo com o MITRE ATT & CK, além de mostrar como você pode reconhecer atividades suspeitas no tráfego de rede. No artigo final, consideraremos as técnicas de comando e controle, exfiltração e impacto.

Gerenciamento e controle


As técnicas de comando e controle (C2 ou C&C) são usadas para conectar atacantes a sistemas controlados na rede da vítima. Os invasores normalmente imitam o comportamento normal do tráfego para evitar a detecção.

A análise de tráfego usando o PT Network Attack Discovery (PT NAD) detecta 18 técnicas comuns de C&C.

1. T1043 : porta comumente usada


Os invasores se comunicam com o servidor de comando através de portas, que geralmente têm permissão para estabelecer uma conexão de saída. Exemplos dessas portas são: TCP: 80 (HTTP), TCP: 443 (HTTPS), TCP: 25 (SMTP), TCP / UDP: 53 (DNS). Isso ajuda a ignorar a detecção de firewall e fingir ser uma atividade de rede padrão. Além disso, os infratores podem usar o protocolo de aplicativo correspondente atribuído a um número de porta específico e qualquer outro protocolo em nível de aplicativo, até a transferência de dados por soquetes brutos.

O que o PT NAD faz?: Detecta automaticamente uma incompatibilidade entre um protocolo de aplicativo comum e sua porta padrão, por exemplo, ao enviar solicitações HTTP para a porta 53. Para casos mais complexos, um especialista em segurança da informação pode examinar placas de sessão suspeitas no PT NAD, que armazena informações sobre portas e protocolos de conexão de rede. Isso revela o uso de portas padrão para comunicação com o centro de comando.

2. T1090 : proxy de conexão


Os invasores podem usar um servidor proxy como intermediário para trocar dados com um servidor C&C. Portanto, eles evitam conexões diretas com sua infraestrutura e complicam sua descoberta.

O que o PT NAD faz : para proxy de tráfego, os invasores podem usar redes P2P ponto a ponto. Protocolos P2P populares O PT NAD detecta automaticamente. O PT NAD também detecta sessões com os protocolos SOCKS5, HTTP e SSH no tráfego através do qual os atacantes costumam criar canais proxy para a saída de informações. Se as conexões que usam esses protocolos estiverem associadas a eventos suspeitos, elas podem indicar um comprometimento.

3. T1094 : protocolo de comando e controle personalizado


Usando protocolos proprietários de controle e monitoramento em vez de encapsular comandos em um protocolo existente no nível de aplicativo padrão.

O que o PT NAD faz : Detecta automaticamente tipos populares de túneis por meio de protocolos de aplicativos e da camada de rede, como ICMP, DNS, POP3, SCTP, WebSocket, bem como SSH sobre HTTP, SOCKS5 e atividades ponto a ponto.

4. T1024 : protocolo criptográfico personalizado


Uma técnica na qual os invasores usam um protocolo ou algoritmo de criptografia para ocultar o tráfego de C&C.

O que o PT NAD faz : detecta sinais de atividade de malware no tráfego criptografado. Isso é implementado pelo método de criptoanálise de canais laterais de informação . Essa abordagem permite detectar tráfego malicioso, mesmo ao usar protocolos criptográficos auto-escritos.

5. T1132 : codificação de dados


Os invasores usam algoritmos de criptografia de dados padrão ao transmitir informações por um canal C&C.

O que o PT NAD faz : detecta scripts mal-intencionados quando seu texto é codificado como uma sequência que consiste em códigos de caracteres e decodifica dados criptografados com o algoritmo Base64. Por exemplo, ele detecta respostas do agente Cobalt Strike codificadas em Base64.

6. T1001 : ofuscação de dados


Detecção complicada de comunicações C&C. Os métodos de ofuscação de dados incluem adicionar dados extras ao tráfego de protocolo, aplicar esteganografia, misturar tráfego de C&C com legítimos e usar um sistema de codificação não padrão.

O que o PT NAD faz : ele pode detectar os fatos da transmissão de dados codificados usando o algoritmo Base64 usando um alfabeto não padrão, a transmissão de scripts ofuscados, códigos de shell e instruções de shell.

7. T1483 : algoritmos de geração de domínio


Uma técnica na qual, em vez de listar endereços IP estáticos ou domínios, os atacantes usam o algoritmo de geração automática de domínio (DGA) para direcionar o tráfego de C&C para lá. Isso complica o trabalho dos defensores: pode haver milhares de domínios aos quais o malware pode se conectar.

O que o PT NAD faz : Usando um algoritmo especial, o PT NAD detecta nomes de domínio gerados automaticamente em sessões de rede.



Exemplos de domínios DGA descobertos usando o PT NAD

8. T1008 : canais de fallback


Os invasores usam um canal de comunicação alternativo ou de backup para aumentar a confiabilidade da comunicação com o servidor C&C e evitar exceder o limite da quantidade de dados transmitidos. Esses canais são necessários quando o canal principal de C&C está comprometido ou inacessível.

O que o PT NAD faz : Um especialista em segurança da informação pode detectar o uso dessa técnica analisando os dados de conexão de malware armazenados nos cartões de sessão no PT NAD. Se um malware se conectar a diferentes endereços IP (servidores C&C) de um nó da rede, isso pode indicar que os invasores estão usando um canal de comunicação de backup.

9. T1188 : proxy multi-hop


Os invasores criam cadeias de vários servidores proxy para mascarar a origem do tráfego malicioso. Essa multiproxificação complica a identificação da fonte de origem, exigindo que a parte defensora monitore o tráfego malicioso através de vários servidores proxy.

O que o PT NAD faz : se os atacantes criarem uma cadeia de proxies dentro da rede da vítima, ele poderá ser rastreado no PT NAD analisando os dados da sessão. As conexões entre os nós são exibidas visualmente no gráfico de link de rede. Isso ajuda a rastrear a sequência de proxies.

10. T1104 : canais em vários estágios


Os invasores usam canais C&C de vários estágios, o que os torna difíceis de detectar. Eles percebem isso dividindo o ataque em estágios (ou estágios). Cada estágio usa seus próprios servidores de gerenciamento e suas próprias ferramentas (cavalos de Tróia, RATs). Essa separação da funcionalidade em estágios com diferentes servidores de gerenciamento dificulta a detecção de invasores.

O que o PT NAD faz : o uso de canais C&C de vários estágios O PT NAD detecta automaticamente por sinais de atividade o malware correspondente. Por exemplo, ele descobre a operação dos módulos de agrupamento MuddyWater. Dados detalhados de cada canal C&C identificado são armazenados em cartões de sessão - esses dados são úteis durante investigações e pesquisas de ameaças proativas.

11. T1026: multiband communication


Os invasores compartilham um canal de comunicação entre diferentes protocolos. Por exemplo, os comandos podem ser transmitidos usando um protocolo e os resultados de sua execução podem ser diferentes. Isso ajuda a contornar as limitações dos firewalls e a evitar notificações sobre como exceder os valores limite dos dados transmitidos.

O que o PT NAD faz : detecta automaticamente o uso da separação do canal de comunicação de acordo com os sinais do malware correspondente. Por exemplo, dessa maneira, ele detecta a atividade dos agentes do Cobalt Strike, que podem compartilhar o canal de saída nos servidores C&C entre os protocolos HTTP, HTTPS e DNS. Ao mesmo tempo, o PT NAD armazena dados em cada conexão C&C com informações sobre o protocolo usado, o que ajuda a detectar o uso da técnica T1026 durante investigações ou busca de ameaças.

12. T1079 : criptografia multicamada


O uso de vários níveis de criptografia C & C-comunicações. Um exemplo típico é a transferência de dados criptografados por protocolos seguros, como HTTPS ou SMTPS.

O que o PT NAD faz : apesar de várias camadas de criptografia, analisando os canais criptográficos laterais, o PT NAD detecta várias famílias de malware usando regras. Exemplos de ameaças detectadas: malware das famílias RTM e Ursnif (Gozi-ISFB) que transmitem dados já criptografados usando o protocolo HTTPS.

13. T1219 : ferramentas de acesso remoto


Um invasor usa software legítimo para acessar remotamente sistemas controlados. Essas ferramentas são comumente usadas pelos serviços de suporte técnico e podem ser incluídas na lista de permissões. Assim, suas ações serão executadas em nome do agente fiduciário e por meio do canal de comunicação autorizado. Entre os utilitários populares estão o TeamViewer, VNC, Go2Assist, LogMeIn, Ammyy Admin.

O que o PT NAD faz: Um exemplo de

detecção de PT NAD determina a operação de rede de todos os utilitários comuns de acesso remoto - dessa forma, você pode analisar todas as sessões de acesso remoto estabelecidas usando o RAT e verificar sua legitimidade.

Por exemplo, o PT NAD detectou atividade de malware que usa o sistema de acesso remoto da área de trabalho do VNC para conectar-se a um endereço IP externo. O VNC junto com os atacantes Ammyy e TeamViewer usam com mais frequência do que outros RATs.



Detectando ferramentas de acesso remoto

14. T1105 : cópia remota de arquivo


Os invasores copiam arquivos de um sistema para outro para implantar suas ferramentas ou roubar informações. Os arquivos podem ser copiados de um sistema externo controlado por um invasor, através de um canal de comunicação com um centro de comando ou usando outras ferramentas usando protocolos alternativos, como FTP.

O que o PT NAD faz : detecta transferências de arquivos usando os principais protocolos de aplicativos e pode extraí-los para análises adicionais, por exemplo, na sandbox.

15. T1071 : protocolo de camada de aplicação padrão


Os invasores usam protocolos de aplicativos comuns, como HTTP, HTTPS, SMTP, DNS. Assim, sua atividade é misturada ao tráfego legítimo padrão, o que complica a detecção.

O que o PT NAD faz : vê todas as sessões usando protocolos de aplicativos populares. Para cada sessão, um cartão detalhado é armazenado, disponível para os usuários para análise manual.

16. T1032 : protocolo criptográfico padrão


O uso de algoritmos de criptografia conhecidos para ocultar o tráfego de C&C.

O que o PT NAD faz : Usando indicadores ou regras de comprometimento, o PT NAD detecta automaticamente conexões com os servidores de criminosos cibernéticos. Se as conexões a eles estiverem protegidas pelo protocolo TLS, o especialista em segurança da informação verá isso na interface PT NAD (o sistema determina o protocolo TLS) e, assim, descobrirá o uso da técnica de protocolo criptográfico padrão.

17. T1095 : protocolo de camada sem aplicação padrão


Os invasores usam protocolos que não são de aplicativos para comunicação entre um nó de rede e um servidor C&C ou entre nós de rede comprometidos.

O que o PT NAD faz : como o PT NAD analisa o tráfego bruto, ele detecta automaticamente a atividade de famílias de malware comuns que transmitem dados por soquetes brutos, ou seja, via protocolos TCP ou UDP sem usar protocolos da camada de aplicativo. Os shells TCP do Metasploit também são detectados.

18. T1065 : porta pouco usada


Comunicação C&C através de uma porta não padrão para ignorar servidores proxy e firewalls que não foram configurados corretamente.

O que o PT NAD faz : determina os protocolos de aplicativos pelo conteúdo dos pacotes e não pelos números das portas; portanto, detecta automaticamente o uso de portas não padrão para protocolos padrão.

Exfiltração


As táticas de exfiltração reúnem técnicas que os cibercriminosos usam para roubar dados de uma rede comprometida. Para evitar a detecção, os dados geralmente são compactados combinando-os com compactação e criptografia. Como regra, os atacantes usam C&C ou um canal alternativo para a exfiltração.

O PT NAD detecta duas técnicas de exfiltração de dados.

1. T1048 : exfiltração sobre protocolo alternativo


Os invasores usam protocolos para roubar dados que não sejam aqueles que fornecem comunicação com os centros de comando. Entre os protocolos alternativos: FTP, SMTP, HTTP / S, DNS. Serviços da web externos, como armazenamento em nuvem, também podem ser usados ​​para a exfiltração.

O que o PT NAD faz: um exemplo de detecção \

A ferramenta DNSCAT2 é usada pelos invasores para controlar remotamente um nó da rede e filtrar dados para um servidor de comando usando a interface de linha de comando T1059: e interface de linha de comando T1059 e exfiltração T1048: utilizando técnicas de protocolo alternativas, respectivamente.

O PT NAD detectou a atividade de tráfego DNSTCAT2. A ferramenta permite encapsular o tráfego da rede através do protocolo DNS para um servidor C&C. No tráfego, parece um grande fluxo de consultas e respostas de DNS.



Detecção de aplicação da técnica T1048: a exfiltração através de

consultas DNS de protocolo alternativo é visível no cartão de sessão. Houve uma solicitação para um registro TXT para um domínio de terceiro nível ilegível e muito longo, um conjunto de caracteres ilegível semelhante veio em resposta. Ao mesmo tempo, a vida útil do pacote (TTL) é curta. Todos esses são indicadores de um túnel DNS.



Solicitações de DNS para resolver nomes DNS longos e ilegíveis são visíveis no cartão de sessão

2. T1041 : exfiltração pelo canal de comando e controle


Os invasores usam o canal C&C para roubar dados.

O PT NAD vê 18 técnicas comuns para comunicar malware com um centro de comando do invasor. Sinais de uso de cada um desses métodos na rede indicam a presença de um canal C&C na rede através do qual os dados roubados podem ser transmitidos.

Impacto


Na última etapa, os atacantes tentam controlar sistemas e dados, interferir em seu trabalho ou destruí-los. Para fazer isso, eles usam técnicas que permitem interromper a disponibilidade ou a integridade dos sistemas, gerenciando processos operacionais e de negócios.

3. T1498 : negação de serviço da rede


Ataque de negação de serviço para reduzir ou bloquear a disponibilidade de recursos direcionados para os usuários.

O que o PT NAD faz : detecta a amplificação (amplificação) de um ataque e o uso de explorações que levam a uma negação de serviço.

Durante a amplificação (do inglês. Amplification - amplification), o atacante envia solicitações em nome do servidor da vítima para o servidor DNS público. O objetivo dos invasores é preencher o canal do servidor da vítima com respostas volumétricas dos servidores DNS públicos.

4. T1496 : seqüestro de recursos


Uso não autorizado de recursos do sistema para resolver problemas com muitos recursos. Isso pode afetar a disponibilidade do sistema ou serviço hospedado.

O que o PT NAD faz?

: vê a atividade de protocolos de mineração de criptografia e torrents na rede, o que indica uma carga inadequada adicional na rede e no equipamento.

5. T1489 : parada de serviço


Os invasores podem parar ou desativar serviços no sistema para torná-los inacessíveis a usuários legítimos.

O que o PT NAD faz é um exemplo de detecção : os cibercriminosos interromperam o serviço do servidor Web IIS para bloquear o acesso ao portal de atendimento ao cliente. O PT NAD detectou uma chamada ao Service Control Manager (SCM) para interromper o serviço. Isso é possível graças à inspeção do tráfego SMB.



Detecção de um ataque no qual os invasores enviaram uma solicitação para desconectar os serviços do servidor web O

PT NAD detecta automaticamente as chamadas ao SCM para criar, modificar, iniciar e interromper serviços.

Lembramos que o mapeamento completo do PT NAD para a matriz MITRE ATT & CK é  publicado em Habré .

Em vez de uma conclusão: por que mais precisamos de um sistema NTA


O tráfego é uma fonte de dados útil para detectar ataques. Nele, você pode ver os sinais de todas as 12 táticas que usam grupos APT. Ao analisar o tráfego usando os sistemas NTA, as empresas reduzem as chances de invasores desenvolverem um ataque com sucesso e comprometerem completamente a rede. Existem outros cenários para o uso de sistemas de classe NTA.

  • Controle de conformidade de rede

O sucesso de um ataque cibernético a uma empresa depende do nível de segurança de sua infraestrutura corporativa. A análise do tráfego de grandes empresas russas mostrou que em 94% dos casos, os funcionários não cumprem as políticas de segurança da informação . As políticas de segurança de muitas organizações proíbem os funcionários de visitar recursos questionáveis, baixar torrents, instalar mensagens instantâneas ou usar vários utilitários para acesso remoto.

Ao analisar os protocolos de rede, o sistema NTA vê a transmissão de senhas de forma clara, mensagens de correio não criptografadas, o uso de software para acesso remoto. Isso ajuda a controlar a implementação de políticas de senha, o uso de RAT e protocolos de transferência de dados inseguros.

Para descobrir quais violações dos regulamentos de segurança da informação são as mais comuns, pois são detectadas pelo PT NAD e solucionam esse problema, consulte o webinar ou leia um artigo do PT Expert Security Center, especialista em segurança do Centro de Segurança .

  • Investigação de Ataques

Os sistemas NTA que armazenam metadados de sessão e tráfego bruto ajudam a investigar incidentes: localize a ameaça, restaure o histórico de ataques, identifique vulnerabilidades na infraestrutura e elabore medidas compensatórias.

Veja um exemplo de investigação sobre um ataque de caso a uma empresa controladora de uma grande empresa.

  • Caça ao Theat

As ferramentas NTA também podem ser usadas para caça de ameaças. Caça a ameaças - o processo de busca de ameaças que não são detectadas pelas ferramentas de segurança tradicionais. O especialista propõe uma hipótese, por exemplo, sobre a presença de um grupo de hackers na rede, sobre a presença de um intruso interno ou vazamento de dados e a verifica. Esse método permite identificar comprometimentos e vulnerabilidades na infraestrutura, mesmo quando os sistemas de segurança não emitem sinais.

Assista a um webinar com três estudos de caso de busca de ameaças usando o PT NAD.

Como eles estão atacando sua empresa? Na rede, 97% das empresas têm atividades suspeitas de tráfego. Verifique o que está acontecendo na sua rede - preencha um aplicativo para um “piloto” gratuito do sistema de análise de tráfego PT NAD .

Autores :

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles