Get best of the week

流量分析系统如何通过MITER ATT&CK检测黑客策略



在以前的帖子(第一部分第二部分第三部分)中,我们研究了MITER ATT&CK七种策略的技巧:

  • 初始访问
  • 执行
  • 合并(持久性);
  • 特权升级
  • 防止发现(逃避防御);
  • 获得凭证访问权限;
  • 情报(发现)。

我们还展示了在我们的NTA解决方案的帮助下如何   识别网络流量中的可疑活动。现在,我们将向您展示我们的技术如何与横向移动和收集技术一起工作。

周边运动(横向运动)


攻击者使用外围移动技术来访问和控制网络上的远程系统,安装恶意软件并逐渐扩展其在基础架构中的存在。攻击者的主要目标是识别网络上的管理员,他们的计算机,关键资产和数据,以便最终获得对基础结构的完全控制。 
以下是可以通过分析流量来检测周边移动技术的说明。有九个。

1. T1175:组件对象模型和分布式COM


通过网络移动时,使用COM或DCOM技术在本地或远程系统上执行代码。

PT网络攻击发现(PT NAD)的作用:当使用此技术访问远程系统时,可以通过分析流量来检测到它。PT NAD检测到可疑的DCOM呼叫,网络罪犯通常使用这些呼叫来推进网络。

2. T1210:利用远程服务


利用网络服务中的漏洞在网络中移动。

PT NAD的作用:检测常见漏洞的利用。其中包括rConfig网络设备配置系统中SMB(MS17-010)和Redis DBMS中的打印系统远程协议(MS-RPRN)协议中的漏洞。

3. T1075:传递哈希


一种对用户进行身份验证而无需直接访问其密码的方法。攻击者绕过要求密码的标准身份验证步骤,而直接进入使用密码哈希的身份验证部分。攻击者将使用凭据获取技术提前获取哈希。

PT NAD的作用:它检测到黑客实用程序Mimikatz的各种网络活动迹象,攻击者利用这些活动来攻击哈希(通过哈希攻击)。

4. T1097:通过票


使用Kerberos票证的系统上的身份验证方法,无法访问帐户密码。攻击者可以将其用作在外围范围内移动到远程系统的第一步。

PT NAD的作用:检测通过票证技术的准备阶段,检测通过网络通过导出的Kerberos票证进行的文件传输。

5. T1076:远程桌面协议


一种技术,允许攻击者使用RDP远程桌面协议访问远程系统(如果允许在网络上使用该协议),并允许用户使用其凭据连接到其计算机。

PT NAD的作用:在程序中,您可以按协议(例如RDP)过滤所有保存的会话,并分析每个可疑会话。该功能可用于调查和主动搜索威胁(威胁搜寻)。

6. T1021:远程服务


使用有效帐户登录旨在接受远程连接的服务,例如Telnet,SSH或VNC。之后,攻击者将能够代表登录用户执行操作。

PT NAD的作用:自动检测VNC连接和EvilVNC木马的活动。该木马会在受害者的主机上秘密安装VNC服务器并自动启动它。为了检查使用SSH和TELNET协议进行的远程连接的合法性,PT NAD用户可以过滤掉具有此类连接的所有会话,并分析每个可疑会话。

7. T1072:第三方软件


攻击者通过这种技术可以访问网络管理软件(第三方软件和软件部署系统)并使用它来启动恶意代码。第三方软件的示例:SCCM,VNC,HBSS,Altiris。如果获得对此类系统的访问权限,则攻击者可以在连接到软件部署,监视或管理系统的所有节点上远程运行代码。

PT NAD的作用:它会自动检测网络上此类软件的运行。例如,规则是通过VNC协议的连接事实以及EvilVNC木马的活动触发的,该活动将VNC服务器秘密安装在受害者的主机上并自动启动该服务器。

8. T1077:Windows管理员共享


使用仅管理员可以访问的隐藏网络文件夹,例如C $,ADMIN $,IPC $。它们提供了远程复制文件和其他管理功能的能力。

PT NAD的功能:

PT NAD发现的示例已检测到通过服务控制管理器(SCM)执行的远程命令。只有访问Windows Admin Shares管理共享才有可能。



检测到T1077技术的应用程序:Windows管理员共享

如果打开会话,则可以看到Impacket工具的规则在其中起作用。它使用对C $的网络访问来获取命令执行结果。



会话卡显示从管理员的网络文件夹中下载的文件

9. T1028:Windows远程管理


使用Windows服务和协议,该服务和协议允许用户与远程系统进行交互。

PT NAD的作用:查看使用Windows远程管理建立的网络连接。规则会自动检测到此类会话。

数据采集


攻击者使用收集策略来收集信息,然后计划使用数据泄露技术来窃取信息。典型的数据源包括不同类型的驱动器,浏览器,音频,视频和电子邮件。

流量分析可能表明网络中使用了两种数据收集技术。

1. T1039:来自网络共享驱动器的数据


从具有公共网络驱动器的远程系统收集数据。

PT NAD的功能:检测示例

流量可见网络驱动器中的文件传输,可以在PT NAD中详细研究文件传输会话。

让我们检查一下攻击者使用T1039技术并能够访问公司财务部门的文件服务器的假设。为此,我们根据活动从文件存储的IP地址中筛选出所有会话,并在其中找到下载文件的连接。进入此类会话之一的卡后,我们看到TopSecretReport_2020文件已下载。



下载并查看文件后,我们了解了攻击者设法抓住了哪些特定信息。

2. T1185:浏览器中的人


攻击者利用此技术利用受害者的浏览器漏洞并更改Web内容并拦截信息。一个例子:攻击者将软件注入浏览器,使您可以拦截Cookie,HTTP会话,客户端SSL证书,并使用浏览器进行身份验证并转到Intranet。

PT NAD的作用:基于可下载网页中引入的恶意脚本,自动检测到浏览器攻击中的人。PT NAD以两种方式检测这种攻击:通过以前在此类攻击中使用的受感染证书,以及旨在向浏览器(例如Zeus)注入代码的恶意程序的典型网络活动。

而不是结论


我们提醒您,PT NAD到MITER ATT&CK矩阵的完整映射已发布在Habré上

在以下文章中,我们将讨论黑客的其他策略和技术,以及PT网络攻击发现NTA系统如何帮助识别它们。和我们在一起!

作者

  • PT专家安全中心Positive Technologies专家Anton Kutepov
  • 积极技术产品销售商Natalia Kazankova

More articles:


All Articles