Get best of the week

流量分析系统如何通过MITER ATT&CK检测黑客策略



在之前的帖子(第一部分第二部分)中,我们研究了MITER ATT&CK的五种战术的技巧:

  • 初始访问
  • 执行
  • 合并(持久性);
  • 特权升级
  • 预防检测(逃避防御)。

此外,我们展示了如何借助我们的NTA解决方案来识别网络流量中的可疑活动。现在,我们将向您展示我们的技术如何与凭证访问和发现技术一起使用。

获取凭据访问


该策略涉及旨在窃取可用于身份验证的数据(例如,用户名和密码)的技术。合法帐户的使用有助于网络罪犯获得系统访问权限,创建更多记录以保护它们的安全,并使得检测网络上网络罪犯的存在更加困难。

以下是四种可通过流量中的可疑活动识别的技术。

1. T1110:蛮力


当凭证未知或部分已知时,使用蛮力方法获得对服务的访问的技术。通常,他们选择用户名,密码或密码的哈希值。

PT网络攻击发现(PT NAD)的作用:在自动模式下,它检测通过LDAP,Kerberos,SMB,SSH,SMTP,POP3,POP3S,IMAP,IMAPS,FTP进行身份验证的密码选择标志。此外,它还可识别为流行的Web服务(例如phpMyAdmin,Joomla,WordPress,Drupal,Confluence,MySQL,Tomcat)选择凭据的尝试。此类攻击会生成大量失败的身份验证尝试,这可以在流量中看到。

2. T1003:凭证转储


从操作系统或软件获取凭据(通常是哈希或开放密码)。我们将更详细地考虑此技术,以演示其在流量中的检测。

PT NAD的功能:
PT NAD 检测的示例记录了基于Impacket库模块的黑客实用程序secretsdump对域控制器注册表的访问。该实用程序的主要任务是获取用户密码哈希。在其帮助下,攻击者通过SMB协议向域控制器进行身份验证,连接到服务控制管理器(SCM),然后使用WINREG协议连接到远程注册表,并将必需的数据复制到本地文件。之后,文件通过SMB下载到您的网络节点。



标识对包含域密码哈希的LSA注册表项的查询

在同一会话中,PT NAD记录了对域控制器注册表的调用,将相同的文件传输到该文件中,secretsdump实用程序从域控制器注册表中保存了重要信息。通过PT NAD界面中触发规则的名称,很明显,攻击者从LSA获得了域用户的密码哈希,并从SAM获得了本地用户的哈希:



攻击者设法下载的文件反映在会话卡中。

3. T1212:凭证访问的利用


通过利用软件漏洞,攻击者可以获取凭据的技术。

PT NAD的作用:看到流量利用了许多漏洞。例如,MS14-068可用于伪造Kerberos票证。攻击者请求特殊类型的票证(TGT,已授予票证的票证),将自己添加到特权组并修改该票证,以便易受攻击的域控制器将其识别为有效。PT NAD标识了此类票证的请求。

4. T1208:非洲菊


一种以常规用户身份从Active Directory检索服务帐户的方法。任何域用户都可以请求Kerberos票证以访问Active Directory中的服务(票证授予服务)。 TGS使用运行目标服务的帐户的密码哈希进行加密。这样获得了TGS的攻击者现在可以解密它,获取密码并且不必担心被阻止,因为它是脱机的。如果成功,他将从与该服务关联的帐户接收密码,该密码通常具有特权。

PT NAD是做什么的?:修复对Active Directory中可能会成为攻击目标的列表服务的请求。对于攻击者而言,此阶段对于选择要攻击的服务是必要的,并且在请求TGS票证和脱机选择之前。PT NAD还会自动检测对使用RC4算法加密的TGS票证的请求,这是人为砍人攻击的标志之一。

发现


攻击者已经站稳了脚跟并获得了对系统的访问权限,因此他们需要了解他们在基础架构中的位置,周围的内容以及可以控制的内容。在侦察期间,攻击者收集有关系统和内部网络的数据,这有助于导航基础结构并决定如何进行。为此,通常使用操作系统的内置工具。
流量分析揭示了十种情报技术的使用。

1. T1087:帐户发现


尝试获取本地系统或域帐户的列表。

PT NAD的功能:检测示例
攻击者试图通过轻量级目录访问协议LDAP从域控制器获取有关域帐户的信息。PT NAD检测到LDAP请求。这种获取域帐户的方法既可以应用于T1087(帐户发现)技术,也可以应用于T1069(权限组发现)。



智能尝试通过LDAP获取域帐户信息

2. T1482:域信任发现


搜索域信任信息。攻击者将这种关系用于多域基础架构中的水平移动。

PT NAD的作用:可以使用RPC和LDAP查询获得域之间的信任关系列表。PT NAD使用LDAP协议和EnumTrustDom RPC调用自动检测试图枚举域之间的信任的尝试。

3. T1046:网络服务扫描


试图获取在远程网络节点上运行的服务的列表。借助已安装的端口扫描工具和漏洞,这是可能的。

PT NAD的作用:检测端口扫描工具和漏洞(例如Nmap实用程序)以及对已知端口的非标准请求的迹象。

4. T1135:网络共享发现


搜索允许访问各种网络系统上的文件目录的共享网络驱动器和文件夹。

PT NAD的作用:检测对远程计算机上共享网络驱动器和文件夹列表的请求。

5. T1201:密码策略发现


攻击者用来在公司的基础结构中查找有关密码策略的信息的技术。例如,策略可以设置最小密码长度和允许的失败身份验证尝试次数。知道字符数将帮助攻击者列出适当的常用密码,使用字典或通过穷举搜索开始字典猜测(T1110:蛮力)。

PT NAD的作用:通过SAMR自动检测密码策略请求。

6. T1069:权限组发现


使用此技术,攻击者试图找到本地或域组及其访问设置。攻击者在选择攻击目标时可以使用此类信息。

PT NAD的作用:自动检测通过LDAP和SAMR获取有关域组信息的尝试。上面的屏幕快照中显示了识别此技术的示例。

7. T1018:远程系统发现


攻击者尝试使用远程访问系统或内置系统实用程序来获取受攻击网络中系统列表的技术。这可以通过IP地址,主机名或其他标识符来实现,这些标识符以后可用于在网络上从当前系统水平移动。

PT NAD的作用:查看对域控制器,工作站和服务器,SPN(服务主体名称)列表的请求。

8. T1063:安全软件发现


攻击者尝试获取有关已安装的安全系统,其配置和传感器的信息的一种技术。获取此列表的一种方法是通过DCE / RPC请求。

PT NAD的作用:查看DCE / RPC请求。系统用户可以找到带有这些请求的所有会话,并检测尝试远程接收有关安全功能的信息的尝试。

9. T1033:系统所有者/用户发现


实施此技术时,攻击者可以识别系统的主要用户,当前登录的用户,通常使用该系统的用户组,并确定如何积极地使用该系统。

PT NAD的作用:网络犯罪分子可以使用SRVSVC协议查询来获取远程主机上的活动用户会话列表。PT NAD自动检测到此类请求。

10. T1007:系统服务发现


攻击者搜索有关注册服务的信息。

PT NAD的作用:攻击者可以使用DCE / RPC网络请求来获取此类信息。PT NAD使用DCE / RPC协议自动检测对服务控制管理器(SCM)的调用,包括用于获取远程网络节点上的服务列表及其活动状态的命令。

而不是结论


我们提醒您,PT NAD到MITER ATT&CK矩阵的完整映射已  发布在Habré上

在以下文章中,我们将讨论黑客的其他策略和技术,以及PT网络攻击发现NTA系统如何帮助识别它们。和我们在一起!



作者

  • PT专家安全中心Positive Technologies专家Anton Kutepov
  • , Positive Technologies

, , . - YouTube. « » 18:00 , .

Positive Technologies , , . YouTube, (1, 2, 3, 4, 5).

More articles:


All Articles