Get best of the week

流量分析系统如何使用PT网络攻击发现来检测MITER ATT和CK黑客策略



根据Verizon的说法,大多数(87%)信息安全事件是在几分钟内发生的,而68%的公司需要几个月的时间才能检测到它们。Ponemon Institute研究证实了这一点,根据该研究,大多数组织平均需要206天才能发现事件。根据我们调查的经验,黑客可以控制公司的基础架构多年,并且不会被发现。因此,在我们的专家调查了IS事件的组织之一中,发现黑客完全控制了组织的整个基础结构,并定期窃取重要信息长达八年之久

假设您已经在运行SIEM,它可以收集日志并分析事件,并且在终端节点上安装了防病毒软件。尽管如此,不能使用SIEM来检测所有内容,就像无法在整个网络上实施EDR系统一样,这意味着无法避免盲点。网络流量分析(NTA)系统有助于应对这些问题。这些决定揭示了攻击者在渗透网络的最早阶段以及试图在网络中立足并发展攻击的活动。

NTA有两种类型:一种是与NetFlow一起使用的,另一种是分析原始流量的。第二个系统的优点是它们可以存储原始流量记录。因此,信息安全专家可以验证攻击是否成功,对威胁进行定位,了解攻击是如何发生的以及将来如何防止类似的攻击。

我们将展示如何在NTA的帮助下,通过直接或间接的标志来识别MITER ATT&CK知识库中描述的所有已知攻击策略我们将讨论12种策略中的每一种,分析流量检测到的技术,并演示使用我们的NTA系统进行检测的技术。

关于ATT&CK知识库


MITER ATT&CK是MITER Corporation根据对实际APT的分析开发和维护的公共知识库。它是攻击者使用的一组结构化的策略和技术。这使来自世界各地的信息安全专业人员可以说相同的语言。该基地不断扩展和更新新知识。

在数据库中,区分了12种战术,分别按网络攻击的阶段划分:

  • 初始访问
  • 执行
  • 合并(持久性);
  • 特权升级
  • 防止发现(逃避防御);
  • 获得凭证访问权限;
  • 情报(发现);
  • 周边运动(横向运动);
  • 数据收集(collection);
  • 管理和控制(命令和控制);
  • 渗出
  • 影响

对于每种策略,ATT&CK知识库都会列出一系列技术,可帮助攻击者在攻击的当前阶段实现其目标。由于可以在不同阶段使用相同的技术,因此它可以涉及多种策略。

每种技术的描述包括:

  • 标识符
  • 应用它的策略列表;
  • APT小组使用的例子;
  • 减少使用中的损害的措施;
  • 检测建议。

信息安全专家可以使用数据库中的知识来构造有关当前攻击方法的信息,并牢记这一点,以构建有效的安全系统。了解真正的APT集团是如何运作的,包括可以假设为在框架威胁主动搜索源威胁狩猎

关于PT网络攻击发现


我们将使用PT网络攻击发现系统-旨在检测外围和内部网络攻击的Positive Technologies NTA系统,从ATT&CK矩阵中确定技术使用。 PT NAD涵盖了MITER ATT&CK矩阵的所有12种策略。他在识别初始访问,横向移动以及命令和控制技术方面最有力。在其中,PT NAD涵盖了超过一半的已知技术,并通过直接或间接的符号显示了它们的使用。

系统使用PT专家安全中心团队创建的检测规则,使用ATT&CK技术检测攻击(PT ESC),机器学习,危害指标,深入分析和回顾性分析。实时流量分析与回顾相结合,使您可以识别当前隐藏的恶意活动并跟踪开发媒介和攻击历史。

这是 PT NAD到MITER ATT&CK矩阵完整映射。图片很大,因此我们建议您在单独的窗口中考虑它。

初始访问



获得初始访问权的策略包括渗透公司网络的技术。攻击者在此阶段的目标是将恶意代码传递到受攻击的系统,并确保进一步执行该代码的可能性。

PT NAD的流量分析揭示了获得初始访问权限的七种技术:

1. T1189偷渡妥协


受害者打开一种网站的技术,网络罪犯使用该网站来操作网络浏览器并获取应用程序的访问令牌。

PT NAD的作用:如果未对Web通信进行加密,则PT NAD会检查HTTP服务器响应的内容。正是在这些答案中,存在一些使攻击者能够在浏览器内执行任意代码的漏洞。PT NAD使用检测规则自动检测此类攻击。

此外,PT NAD在上一步中检测到威胁。如果用户访问将其重定向到具有大量攻击的站点的站点,则会触发危害的规则和指标。

2. T1190:利用面向公众的应用程序


利用可从Internet访问的服务中的漏洞。

PT NAD的作用:对网络数据包的内容进行深入检查,以发现其中异常活动的迹象。特别是,有些规则允许您检测对主要内容管理系统(CMS)的攻击,网络设备的Web界面,对邮件和FTP服务器的攻击。

3. T1133:外部远程服务


攻击者使用远程访问服务从外部连接到内部网络资源。

PT NAD的作用:由于系统不是通过端口号而是通过数据包的内容来识别协议,因此系统用户可以过滤流量,以便他们可以找到远程访问协议的所有会话并检查其合法性。

4. T1193鱼叉式附件


我们正在谈论臭名昭著的网络钓鱼附件。

PT NAD的作用:自动从流量中提取文件,并根据危害指标对其进行检查。附件中的可执行文件由分析邮件流量内容的规则检测到。在公司环境中,这种投资被认为是不正常的。

5. T1192鱼叉式链接


使用网络钓鱼链接。该技术涉及由恶意用户发送带有链接的网络钓鱼电子邮件,单击该链接可下载恶意程序。通常,该链接随附根据社会工程的所有规则编译的文本。

PT NAD的作用:使用危害指示器检测网络钓鱼链接。例如,在PT NAD界面中,我们看到一个会话,该会话使用网络钓鱼URL列表中列出的链接建立了HTTP连接。



从危害网络钓鱼URL的指标列表链接

6. T1199:信任关系


通过与受害人具有可信任关系的第三方访问受害人的网络。攻击者可以入侵受信任的组织,并通过该组织连接到目标网络。为此,他们使用VPN连接或域信任,可以使用流量分析来检测到它们。

PT NAD的作用:它解析应用程序协议并将解析的字段保存到数据库,因此IB分析人员可以使用过滤器在数据库中查找所有可疑的VPN连接或跨域连接。

7. T1078:有效帐户


使用标准,本地或域凭据对外部和内部服务进行授权。

PT NAD的作用:自动从HTTP,FTP,SMTP,POP3,IMAP,SMB,DCE / RPC,SOCKS5,LDAP,Kerberos中提取凭证。通常,这是用户名,密码和身份验证成功的标志。如果已使用它们,它们将显示在相应的会话卡中。

执行


执行策略包括网络犯罪分子用来在受感染系统上执行代码的技术。运行恶意代码可帮助攻击者巩固其存在(持久性策略),并通过在外围范围内移动来扩展对网络上远程系统的访问。

PT NAD可以检测攻击者使用的14种用于执行恶意代码的技术。

1. T1191:CMSTP(Microsoft连接管理器配置文件安装程序)


攻击者采用一种策略,为Windows内置的CMSTP.exe实用工具(连接管理器配置文件安装程序)准备一个特殊的恶意安装INF文件。CMSTP.exe将文件作为参数,并设置远程连接的服务配置文件。因此,CMSTP.exe可用于从远程服务器下载并执行动态连接的库(* .dll)或脚本(* .sct)。

PT NAD的作用:它会自动检测HTTP流量中特殊.inf文件的传输。除此之外,它还通过HTTP协议从远程服务器检测恶意脚本和动态连接库的传输。

2. T1059:命令行界面


与命令行界面的交互。您可以在本地或远程与命令行界面进行交互,例如使用远程访问实用程序。

PT NAD的作用:它通过响应命令以启动各种命令行实用程序(例如ping,ifconfig)来自动检测shell的存在。

3. T1175:组件对象模型和分布式COM


通过网络移动时,使用COM或DCOM技术在本地或远程系统上执行代码。

PT NAD的作用:检测攻击者通常用来运行程序的可疑DCOM调用。

4. T1203:利用客户端执行


利用漏洞在工作站上执行任意代码。对于攻击者来说,最有用的攻击是允许代码在远程系统上执行的攻击,因为攻击者可以在他们的帮助下获得对此类系统的访问权限。可以使用以下方法来实现该技术:恶意邮件列表,具有浏览器漏洞的网站以及对应用程序漏洞的远程利用。

PT NAD的作用:解析邮件流量时,PT NAD会检查附件中的可执行文件。自动从可能存在漏洞的信件中提取办公文件。在PT NAD自动检测到的流量中可以看到利用漏洞的尝试。

5. T1170:mshta


使用mshta.exe实用程序,该实用程序运行带有.hta扩展名的Microsoft HTML应用程序(HTA)。由于mshta绕过浏览器安全设置处理文件,因此攻击者可以使用mshta.exe执行恶意的HTA,JavaScript或VBScript文件。

PT NAD的作用:.hta文件通过mshta执行,包括通过网络传输-在流量中可见。PT NAD自动检测此类恶意文件的传输。它捕获文件,并且可以在会话卡中查看有关文件的信息。

6. T1086:PowerShell


使用PowerShell搜索信息并执行恶意代码。

PT NAD的作用:攻击者远程使用PowerShell时,PT NAD使用规则检测到此情况。它会发现恶意脚本中最常用的PowerShell关键字,并使用SMB协议传输PowerShell脚本。

7. T1053:计划任务
使用Windows 任务计划程序和其他实用程序在特定时间自动启动程序或脚本。

PT NAD是做什么的?:攻击者通常在远程创建此类任务,这意味着此类会话在流量中可见。PT NAD使用ATSVC和ITaskSchedulerService RPC接口自动检测可疑的任务创建和修改操作。

8. T1064:脚本


执行脚本以自动执行各种攻击动作。

PT NAD的作用:它揭示了脚本通过网络传输的事实,也就是说,甚至在启动脚本之前。它检测原始流量中脚本的内容,并检测网络扩展名与流行脚本语言相对应的文件传输。

9. T1035:服务执行


通过与Windows服务(例如服务控制管理器(SCM))进行交互来运行可执行文件,命令行界面说明或脚本。

PT NAD的作用:检查SMB流量并检测SCM对创建,修改和启动服务规则的访问。

可以使用用于远程执行PSExec命令的实用工具来实现启动服务的技术。当PT NAD使用PSEXESVC.exe文件或标准PSEXECSVC服务名称在远程计算机上执行代码时,它将解析SMB协议并检测PSExec的使用。用户需要检查已执行命令的列表以及从节点远程执行命令的合法性。

PT NAD ATT&CK, , , .



PSExec,

10. T1072: third-party software


攻击者可以使用此技术访问远程管理软件或公司软件部署系统,并使用它们启动恶意代码。此类软件的示例:SCCM,VNC,TeamViewer,HBSS,Altiris。
顺便说一句,该技术与大规模过渡到远程工作特别相关,因此,通过可疑的远程访问通道连接了许多家庭不安全的设备

,PT NAD做什么?:自动检测网络上此类软件的运行。例如,规则是由VNC连接的事实和EvilVNC木马的活动触发的,EvilVNC木马在受害者的主机上秘密安装了VNC服务器并自动启动它。PT NAD还会自动检测TeamViewer协议,这有助于分析人员使用过滤器查找所有此类会话并验证其合法性。

11. T1204:用户执行


用户运行可导致代码执行的文件的技术。例如,如果他打开一个可执行文件或运行带有宏的Office文档,则可能是这种情况。

PT NAD的作用:在传输阶段(启动之前)查看此类文件。有关它们的信息可以在传输它们的卡会话中进行研究。

12. T1047:Windows管理规范


使用WMI工具,该工具提供对Windows系统组件的本地和远程访问。使用WMI,攻击者可以与本地和远程系统进行交互并执行许多任务,例如,为侦察目的收集信息并在水平移动期间远程启动过程。

PT NAD的作用:由于在流量中可见通过WMI与远程系统的交互,因此PT NAD自动检测网络请求以建立WMI会话,并检查流量以传输使用WMI的脚本。

13. T1028:Windows远程管理


使用Windows服务和协议,该服务和协议允许用户与远程系统进行交互。

PT NAD的作用:查看使用Windows远程管理建立的网络连接。规则会自动检测到此类会话。

14. T1220:XSL(可扩展样式表语言)脚本处理


XSL标记语言用于描述XML文件中数据的处理和可视化。为了支持复杂的操作,XSL标准包括对多种语言的嵌入式脚本的支持。这些语言允许执行任意代码,从而导致绕过基于白名单的安全策略。

PT NAD的作用:揭示了通过网络传输这些文件的事实,也就是说,甚至在它们启动之前。它会自动检测XSL文件是通过网络传输的,还是带有异常XSL标记的文件。

在下面的文章中,我们将研究PT网络攻击发现NTA系统如何根据MITER ATT&CK查找攻击者的其他战术和技术。敬请关注!

作者
  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles