🕟 🚲 👩‍👩‍👦‍👦 流量分析系统如何使用PT网络攻击发现来检测MITER ATT和CK黑客策略 👩🏻‍⚕️ 👩‍👩‍👧‍👦 ⭕️

在上一篇文章中，我们研究了两种MITER ATT和CK战术的技术-初始访问和执行，以及如何使用我们的NTA解决方案检测网络流量中的可疑活动。现在，我们将向您展示我们的技术如何与持久性，特权升级和防御规避技术一起工作。

固定（持久性）

攻击者使用固定策略来确保其继续存在于被攻击系统中。他们需要确保即使重新启动系统或更改凭据后，他们对系统的访问权限仍将保留。因此，他们将能够随时控制受到入侵的系统，沿着基础架构前进并实现目标。

使用流量分析，您可以发现五种固定技术。

1. T1133：外部远程服务

使用外部远程服务在公司内部资源上进行外部整合的技术。此类服务的示例：VPN和Citrix。

PT网络攻击发现（PT NAD）的作用：它可以看到通过VPN或Citrix在公司内部网络中建立的网络会话。分析人员可以详细研究此类会议并得出其合法性的结论。

2. T1053：计划任务

使用Windows Task Scheduler和其他实用程序对在特定时间启动程序或脚本进行编程。攻击者通常会远程创建此类任务，这意味着在启动任务调度器时，此类会话在流量中可见。

PT NAD的作用：如果域控制器发送描述通过组策略创建的任务的XML文件，我们的NTA解决方案将自动提取此类文件。它们包含有关启动任务频率的信息，这可能表明使用任务计划程序进行网络整合。

3. T1078：有效帐户

凭证的使用：用于外部和内部服务授权的标准，本地或域。

PT NAD的作用：自动从HTTP，FTP，SMTP，POP3，IMAP，SMB，DCE / RPC，SOCKS5，LDAP，Kerberos中提取凭证。通常，这是用户名，密码和身份验证成功的标志。如果已使用它们，它们将显示在相应的会话卡中。

4. T1100：网壳

Web服务器上托管的脚本，攻击者可以利用该脚本来控制该服务器。由于此类脚本以自动模式工作，甚至在重新引导服务器后仍可继续运行，因此，网络犯罪分子可以在系统修复阶段使用此技术。

PT NAD的作用：它会自动检测常见Web Shell的加载，通过HTTP请求访问它们并发送命令。

5. T1084：Windows管理规范事件订阅

订阅WMI中的事件-用于管理本地和远程操作系统组件的技术。攻击者可以使用WMI订阅某些事件，并在此事件发生时触发恶意代码的执行。因此，攻击者确保了系统中的持续存在。您可以订阅的事件的示例：系统时钟上某个时间的开始或从操作系统启动那一刻起的特定秒数到期。

PT NAD是做什么的？：使用规则检测Windows管理规范事件订阅技术的使用。当网络使用ActiveScriptEventConsumer标准订户类时，其中之一便可以工作，该类允许在事件发生时执行代码，从而将攻击者附加到网络节点上。

例如，在使用规则触发分析会话卡之后，我们看到此活动是由黑客工具Impacket引起的：在同一会话中，使用该工具执行远程代码的检测器起作用。

揭示了使用Impacket工具的会话卡。借助其帮助，攻击者使用标准订户来远程执行命令

特权升级

特权升级技术旨在在受攻击的系统中获得更高级别的权限。为此，攻击者利用系统的弱点，利用配置错误和漏洞。

1. T1078：有效帐户

这是身份盗用：标准，本地或域。

PT NAD的作用：查看哪个用户已登录，从而可以识别非法输入。增加在运行Windows的远程或本地主机上的特权的最常见方法之一是创建一个Windows任务计划程序任务，该任务将代表NT AUTHORITY \ SYSTEM运行，从而可以在系统上以最大特权执行命令。

考虑使用ATExec工具通过网络创建此类任务的情况。它基于Impacket库的组件，并被创建来演示该库与任务计划程序的远程协议配合使用的能力。它的工作在网络流量中可见，并且很好地说明了将特权从网络节点的管理员级别提升到NT AUTHORITY \ SYSTEM级别的技术。

PT NAD自动检测到远程主机上调度程序任务的创建。下面的攻击卡显示该连接是代表用户contoso \ user02建立的。与目标主机的ADMIN $资源的SMB成功连接表示该用户是目标主机上的本地管理员组的成员。但是，任务的XML描述指示它将在NT AUTHORITY \ SYSTEM（SID S-1-5-18）的上下文中执行：

使用ATExec实用程序检测远程任务创建

防御规避

该策略汇集了各种技术，攻击者可以利用这些技术来隐藏恶意活动，并通过保护手段避免对其进行检测。使用流量分析系统可以检测到其中九种技术。

1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)

攻击者正在为Windows连接管理器配置文件安装程序实用程序（CMSTP.exe）准备一个特殊的恶意安装.inf文件。CMSTP.exe将文件作为参数，并设置远程连接的服务配置文件。因此，CMSTP.exe可用于从远程服务器下载并执行动态连接的库（* .dll）或脚本（* .sct）。这样，攻击者可以绕过白名单策略来运行程序。

PT NAD的作用：它会自动检测HTTP流量中特殊.inf文件的传输。除此之外，他还看到了恶意脚本和来自远程服务器的动态连接库的HTTP协议传输。

2. T1090：连接代理

攻击者可以使用代理服务器作为中介与C2服务器交换数据。因此，它们避免了与其基础结构的直接连接，并使检测它们的能力变得复杂。

PT NAD的作用：确定SOCKS5协议（它通过代理服务器不可见地从客户端将数据从客户端发送到目标服务器）和HTTP代理的使用。如果通过SOCKS 5协议或HTTP代理服务器的连接与可疑事件相关联，则此类连接可能表明存在妥协。

3. T1207：DCShadow

创建伪造的域控制器以绕过SIEM系统的检测，这允许通过复制机制对AD方案进行恶意修改。

PT NAD的作用：使用DCShadow技术时，将创建一个伪造的域控制器，该控制器不会将事件发送到SIEM。使用这种域控制器，攻击者可以修改Active Directory数据-例如，有关任何域对象，用户凭据和密钥的信息。

可以通过流量来识别这种技术的使用。它清楚地显示了在域控制器类型的配置方案中添加了新对象。 NTA系统通过检测来自非域控制器的网络节点中特定于域控制器的流量，来检测攻击DCShadow的企图。

PT NAD记录了一次攻击DCShadow的尝试

4. T1211：为逃避国防而开发

利用目标系统的漏洞绕过安全功能。

PT NAD的作用：自动检测几种流行的漏洞利用技术。例如，他基于重复的HTTP标头确定了一种规避Web应用程序安全性的技术。

5. T1170：mshta

使用mshta.exe实用程序，该实用程序运行带有.hta扩展名的Microsoft HTML应用程序（HTA）。由于mshta绕过浏览器安全设置处理文件，因此攻击者可以使用mshta.exe执行恶意的HTA，JavaScript或VBScript文件。攻击者最常使用mshta技术绕过白名单策略，以运行程序并触发SIEM检测规则。

PT NAD的作用：自动检测恶意HTA文件的传输。它捕获文件，有关这些文件的信息可以在会话卡中查看。

6. T1027：混淆的文件或信息

通过加密，编码或混淆（混淆）其内容，使安全工具难以检测和分析可执行文件或网络流量的尝试。

PT NAD的作用：它检测使用Base64，ROT13算法编码或使用gamma加密的可执行文件的传输。还会自动检测到某些恶意软件创建的混淆流量。

7. T1108：冗余访问

攻击者使用多个远程访问实用程序的一种技术。如果检测到并阻止了其中一种工具，则攻击者仍然可以访问网络。

PT NAD的作用：解析流行的协议，因此它可以看到每个网络节点的活动。使用过滤器，分析人员可以找到从一个节点安装的远程访问工具的所有会话。

8. T1064：脚本

执行脚本以自动执行攻击者的各种操作，包括绕过启动程序的白名单策略。

PT NAD的作用：它揭示了脚本通过网络传输的事实，也就是说，甚至在启动脚本之前。它检测原始流量中脚本的内容，并检测网络扩展名与流行脚本语言相对应的文件传输。

9. T1045：软件包装

攻击者使用特殊工具来压缩或加密可执行文件，以避免签名保护系统对其进行检测的技术。这种实用程序称为打包程序。

PT NAD的作用：它会自动检测到使用流行的打包程序已修改了传输的可执行文件的迹象。

而不是结论

我们提醒您，PT NAD到MITER ATT＆CK矩阵的完整映射已发布在Habré上。

在以下文章中，我们将讨论黑客的其他策略和技术，以及PT网络攻击发现NTA系统如何帮助识别它们。和我们在一起！

作者：

PT专家安全中心Positive Technologies专家Anton Kutepov
积极技术产品销售商Natalia Kazankova

流量分析系统如何使用PT网络攻击发现来检测MITER ATT和CK黑客策略