Get best of the week

流量分析系统如何通过MITER ATT&CK来检测黑客策略,第5部分



这是该周期的最后一篇文章(第一第二第三第四部分),在该文章中,我们根据MITER ATT&CK考虑了黑客的技术和策略,还展示了如何识别网络流量中的可疑活动。在最后一篇文章中,我们将考虑命令和控制,渗透和影响的技术。

管理与控制


命令和控制技术(C2或C&C)用于将攻击者与受害者网络中的受控系统连接起来。攻击者通常会模仿正常的流量行为,以避免被检测到。

使用PT网络攻击发现(PT NAD)进行的流量分析可检测18种常见的C&C技术。

1. T1043:常用端口


攻击者通过端口与命令服务器进行通信,通常允许这些端口建立传出连接。这样的端口的示例是:TCP:80(HTTP),TCP:443(HTTPS),TCP:25(SMTP),TCP / UDP:53(DNS)。这有助于绕过防火墙检测,并假装为标准网络活动。此外,违反者可以使用分配给特定端口号的相应应用程序协议,也可以使用任何其他应用程序级协议,直到通过原始套接字传输数据为止。

PT NAD是做什么的?:例如,在将HTTP请求发送到端口53时,自动检测通用应用协议与其标准端口之间的不匹配。对于更复杂的情况,信息安全专家可以检查PT NAD中的可疑会话卡,该卡存储有关端口和网络连接协议的信息。这揭示了使用标准端口与命令中心进行通信。

2. T1090:连接代理


攻击者可以使用代理服务器作为中介,与C&C服务器交换数据。因此,他们避免直接连接到其基础架构,并使发现变得复杂。

PT NAD的作用:为了代理流量,攻击者可以使用对等P2P网络。流行的P2P协议PT NAD自动检测。PT NAD还可以检测流量中使用SOCKS5,HTTP和SSH协议的会话,攻击者通常通过该会话来构建用于输出信息的代理通道。如果使用此类协议的连接与可疑事件相关联,则它们可能表示妥协。

3. T1094:自定义命令和控制协议


使用专有的控制和监视协议,而不是将命令封装在现有的标准应用程序级协议中。

PT NAD的作用:通过应用程序和网络层协议自动检测流行的隧道类型,例如ICMP,DNS,POP3,SCTP,WebSocket隧道,以及基于HTTP的SSH,SOCKS5和对等活动。

4. T1024:自定义加密协议


攻击者使用协议或加密算法隐藏C&C流量的技术。

PT NAD的作用:检测加密流量中恶意软件活动的迹象。这是通过信息副信道的密码分析方法来实现即使使用自写加密协议,此方法也可以检测恶意流量。

5. T1132:数据编码


通过C&C通道传输信息时,攻击者使用标准的数据加密算法。

PT NAD的作用:当其文本编码为包含字符代码的字符串时,检测恶意脚本,并解码使用Base64算法加密的数据。例如,它检测以Base64编码的Cobalt Strike代理响应。

6. T1001:数据混淆


C&C通信的复杂检测。数据混淆方法包括将更多数据添加到协议流量,应用隐写术,将C&C流量与合法流量混合以及使用非标准编码系统。

PT NAD的作用:可以检测使用非标准字母,使用Base64算法编码的数据传输,混淆脚本,shell代码和shell指令的传输。

7. T1483:域生成算法


攻击者不用列出静态IP地址或域,而是使用自动域生成(DGA)算法将C&C通信定向到那里的技术。这使防御者的工作变得复杂:恶意软件可以连接到数千个域。

PT NAD的作用PT NAD使用一种特殊算法来检测网络会话中自动生成的域名。



使用PT NAD发现的DGA域的示例

8. T1008:后备渠道


攻击者使用备用或备用通信通道来提高与C&C服务器通信的可靠性,并避免超过已传输数据量的阈值。当主要C&C通道受损或无法访问时,需要使用这些通道。

PT NAD的作用:信息安全专家可以通过分析PT NAD的会话卡中存储的恶意软件连接数据来检测这种技术的使用。如果恶意软件从一个网络节点连接到不同的IP地址(C&C服务器),则可能表明攻击者正在使用备用通信通道。

9. T1188:多跳代理


攻击者从数台代理服务器创建链,以掩盖恶意流量的来源。这种多进程使源源的识别复杂化,要求防御方通过多个代理服务器监视恶意流量。

PT NAD的作用:如果攻击者在受害者的网络内建立了代理链,则可以通过分析会话数据在PT NAD中进行跟踪。节点之间的连接在网络链接图中直观显示。这有助于跟踪代理的顺序。

10. T1104:多级通道


攻击者使用多阶段C&C渠道,这使得它们很难被发现。他们通过将攻击划分为多个阶段来实现。每个阶段都使用自己的管理服务器和自己的工具(特洛伊木马,RAT)。通过使用不同的管理服务器将功能分成多个阶段,很难检测到攻击者。

PT NAD的作用:使用多阶段C&C渠道PT NAD通过相应恶意软件的活动迹象自动检测。例如,它发现了MuddyWater分组模块的操作。每个已识别C&C通道的详细数据都存储在会话卡中-此数据在调查和主动威胁搜索期间很有用。

11. T1026: multiband communication


攻击者共享不同协议之间的通信通道。例如,可以使用一种协议来发送命令,并且它们的执行结果可以不同。这有助于避免防火墙的局限性,并避免有关超过已传输数据阈值的通知。

PT NAD的作用:根据相应恶意软件的迹象,它会自动检测到通信通道分离的使用。例如,以这种方式,它检测到Cobalt Strike代理的活动,该代理可以在HTTP,HTTPS和DNS协议之间共享输出通道给C&C服务器。同时,PT NAD会在每个C&C连接上存储有关使用的协议的信息的数据,这有助于在调查或威胁搜寻期间检测到T1026技术的使用。

12. T1079:多层加密


使用几种级别的加密C&C通信。一个典型的示例是通过安全协议(例如HTTPS或SMTPS)传输加密数据。

PT NAD的作用:尽管进行了多层加密,但通过分析辅助加密通道, PT NAD使用规则检测了许多恶意软件家族。检测到的威胁示例:来自RTM和Ursnif(Gozi-ISFB)系列的恶意软件,这些恶意软件使用HTTPS协议传输已加密的数据。

13. T1219:远程访问工具


攻击者使用合法软件来远程访问受控系统。此类工具是技术支持服务通常使用的工具,可以列入白名单。因此,他的行为将代表受托人并通过授权的通信渠道执行。流行的实用程序包括TeamViewer,VNC,Go2Assist,LogMeIn,Ammyy Admin。

PT NAD的功能:

PT NAD检测的一个示例确定所有常见远程访问实用程序的网络操作-这样,您可以分析使用RAT建立的所有远程访问会话并验证其合法性。

例如,PT NAD检测到使用VNC桌面远程访问系统连接到外部IP地址的恶意软件活动。VNC以及Ammyy和TeamViewer攻击者其他RAT 使用频率更高



检测远程访问工具

14. T1105:远程文件复制


攻击者将文件从一个系统复制到另一个系统,以部署其工具或窃取信息。可以从受攻击者控制的外部系统中复制文件,也可以通过与命令中心的通信通道复制文件,也可以使用其他工具使用其他协议,例如FTP。

PT NAD的作用:它使用主要应用程序协议检测文件传输,并可以提取它们以进行进一步分析,例如,在沙箱中。

15. T1071:标准应用层协议


攻击者使用常见的应用程序协议,例如HTTP,HTTPS,SMTP,DNS。因此,它们的活动与标准合法流量混合在一起,这使检测变得复杂。

PT NAD的作用:使用流行的应用程序协议查看所有会话。对于每个会话,将存储一张详细的卡,用户可以使用它进行手动分析。

16. T1032:标准加密协议


使用众所周知的加密算法来隐藏C和C流量。

PT NAD的作用PT NAD使用折衷指标或规则,自动检测与网络罪犯服务器的连接。如果与它们的连接受TLS协议保护,则信息安全专家将在PT NAD界面(系统确定TLS协议)中看到此消息,从而发现使用标准密码协议技术。

17. T1095:标准非应用层协议


攻击者使用非应用程序级协议在网络节点和C&C服务器之间或受感染的网络节点之间进行通信。

PT NAD的作用:由于PT NAD分析原始流量,因此它会自动检测通过原始套接字(即通过TCP或UDP协议而不使用应用程序层协议)传输数据的常见恶意软件家族的活动。还可以检测到Metasploit TCP Shell。

18. T1065:不常用的端口


通过非标准端口进行C&C通信,以绕过未正确配置的代理服务器和防火墙。

PT NAD的作用:它通过数据包的内容而不是端口号来确定应用协议,因此它会自动检测标准协议是否使用了非标准端口。

渗出


渗透策略汇集了网络犯罪分子用来从受感染网络中窃取数据的技术。为了避免检测,通常将数据与压缩和加密结合在一起进行打包。通常,攻击者使用C&C或替代渠道进行渗透。

PT NAD检测到两种数据渗漏技术。

1. T1048:通过替代协议进行渗透


攻击者使用协议来窃取与命令中心进行通信的协议以外的数据。其中的替代协议包括:FTP,SMTP,HTTP / S,DNS。外部Web服务(例如云存储)也可以用于渗透。

PT NAD的功能:检测示例 \

攻击者使用DNSCAT2工具分别通过T1059:命令行界面和T1048:通过替代协议技术的渗透,来远程控制网络节点并将数据泄漏到命令服务器。

PT NAD检测到DNSTCAT2流量活动。该工具允许您通过DNS协议将网络流量隧道传输到C&C服务器。在流量中,它看起来像大量的DNS查询和响应。



检测到T1048技术的应用:通过替代协议进行

DNS 渗透在会话卡中可见。有人要求为不可读且非常长的第三级域提供TXT记录,作为响应,出现了类似的不可读字符集。同时,数据包寿命(TTL)很短。这些都是DNS隧道的指示器。



在会话卡中可以看到用于解析长且不可读的DNS名称的DNS请求

2. T1041:通过命令和控制通道渗透


攻击者使用C&C渠道窃取数据。

PT NAD发现了18种与攻击者指挥中心进行恶意软件通信的常用技术。在网络上使用每种方法的迹象表明,网络上存在C&C通道,可以通过该通道传输被盗数据。

影响力


在最后一步,攻击者试图控制系统和数据,干扰其工作或破坏它们。为此,他们使用允许您通过管理运营和业务流程破坏系统的可用性或完整性的技术。

3. T1498:网络拒绝服务


拒绝服务攻击,用于减少或阻止用户获得目标资源的可用性。

PT NAD的作用:检测攻击的放大(放大)以及使用导致拒绝服务的漏洞利用程序。

在放大过程中(英语,放大-放大),攻击者代表受害者服务器将请求发送到公共DNS服务器。攻击者的目标是用公共DNS服务器的大量响应填充受害者的服务器通道。

4. T1496:资源劫持


未经授权使用系统资源来解决资源密集型问题。这可能会影响系统或托管服务的可用性。

PT NAD是做什么的?

:查看网络中加密货币挖矿协议和torrent的活动,这表明网络和设备上存在额外的不适当负载。

5. T1489:服务停止


攻击者可以停止或禁用系统中的服务,以使合法用户无法访问它们。

PT NAD所做的就是一个检测示例:网络犯罪分子停止了IIS Web服务器服务以阻止对客户服务门户的访问。PT NAD检测到对服务控制管理器(SCM)的呼叫以停止服务。这要归功于SMB流量的检查。



检测到攻击者发送了断开Web服务器服务的请求的攻击

PT NAD自动检测对SCM的调用,以创建,修改,启动和停止服务。

我们提醒您,PT NAD到MITER ATT&CK矩阵的完整映射已  发布在Habré上

而不是结论:为什么我们还需要一个NTA系统


流量是检测攻击的有用数据源。在其中,您可以看到使用APT组的所有12种策略的迹象。通过使用NTA系统分析流量,公司可以减少攻击者成功进行攻击并完全破坏网络的机会。还有其他使用NTA类系统的方案。

  • 网络合规控制

对公司的网络攻击是否成功取决于其公司基础架构的安全级别。对大型俄罗斯公司流量的分析表明,在94%的情况下,员工不遵守信息安全政策。许多组织的安全策略禁止员工访问可疑资源,下载种子,安装即时通讯程序或使用各种实用程序进行远程访问。

在分析网络协议时,NTA系统会看到以清晰的形式传输密码,未加密的邮件消息以及使用软件进行远程访问。这有助于控制密码策略的实施,RAT的使用和不安全的数据传输协议。

要找出最常见的违反信息安全法规的问题(由PT NAD检测到)并解决此问题,请查看网络研讨会阅读文章 Security Center Expert PT Expert Security Center

  • 攻击调查

存储会话元数据和原始流量的NTA系统有助于调查事件:定位威胁,恢复攻击历史记录,确定基础结构中的漏洞并制定补偿措施。

查看有关针对大公司的母公司的案例攻击的调查示例

  • 狩猎剧院

NTA工具也可以用于威胁搜寻。威胁搜寻-搜索传统安全工具未检测到的威胁的过程。专家提出了一个假设,例如有关网络上是否存在黑客组,有关内部入侵者或数据泄漏的假设,并进行检查。使用此方法,即使安全系统未发出任何信号,您也可以识别基础结构中的危害和漏洞。

观看有关使用PT NAD 进行三个威胁搜寻案例研究的网络研讨会

他们如何攻击您的公司?在网络中,有97%的公司有可疑的流量活动检查网络中正在发生的事情-填写应用程序以获取PT NAD交通分析系统免费“试用版”

作者:

  • , (PT Expert Security Center) Positive Technologies
  • , Positive Technologies

More articles:


All Articles