В предыдущих постах (первая, вторая и третья части) мы рассмотрели техники семи тактик MITRE ATT&CK:

  • первоначальный доступ (initial access);
  • выполнение (execution);
  • закрепление (persistence);
  • повышение привилегий (privilege escalation);
  • предотвращение обнаружения (defense evasion);
  • получение учетных данных (credential access);
  • разведка (discovery).

Мы также показали, как с помощью нашего NTA-решения можно распознавать подозрительную активность в сетевом трафике. Теперь мы расскажем, как наши технологии работают с техниками перемещения внутри периметра (lateral movement) и сбора данных (collection).

Перемещение внутри периметра (lateral movement)


Злоумышленники используют техники перемещения внутри периметра для получения доступа и управления удаленными системами в сети, для установки вредоносных программ и постепенного расширения присутствия в инфраструктуре. Основная цель атакующих — определение администраторов в сети, их компьютеров, ключевых активов и данных, чтобы в конечном счете получить полный контроль над инфраструктурой. 
Ниже приведены описания техник перемещения внутри периметра, которые можно обнаружить, анализируя трафик. Всего их девять.

1. T1175: Component Object Model and Distributed COM


Использование технологий COM или DCOM для выполнения кода на локальной или удаленных системах при продвижении по сети.

Что делает PT Network Attack Discovery (PT NAD): когда эта технология используется для доступа к удаленным системам, ее можно обнаружить, анализируя трафик. PT NAD детектирует подозрительные DCOM-вызовы, которые злоумышленники обычно используют для продвижения по сети.

2. T1210: exploitation of remote services


Эксплуатация уязвимости в сетевых сервисах для перемещения по сети.

Что делает PT NAD: обнаруживает эксплуатацию распространенных уязвимостей. Среди них — уязвимости в протоколах SMB (MS17-010) и Print System Remote Protocol (MS-RPRN), в СУБД Redis, в системе конфигурации сетевых устройств rConfig.

3. T1075: pass the hash


Метод аутентификации пользователя без доступа к его паролю в открытом виде. Атакующие обходят стандартные этапы аутентификации, на которых требуется ввод пароля, и переходят непосредственно к той части аутентификации, которая использует хеш пароля. Хеши злоумышленники заполучают заранее с помощью техник получения учетных данных.

Что делает PT NAD: детектирует разные признаки сетевой активности хакерской утилиты Mimikatz, которую злоумышленники используют для атаки overpass the hash (развитие атаки pass the hash).

4. T1097: pass the ticket


Метод аутентификации в системе с использованием билетов Kerberos без доступа к паролю учетной записи. Он может использоваться атакующими как первый шаг перемещения по периметру в удаленную систему.

Что делает PT NAD: детектирует подготовительный этап техники pass the ticket, выявляет передачу по сети файлов с экспортированными билетами Kerberos.

5. T1076: remote desktop protocol


Техника, благодаря которой злоумышленники заходят на удаленную систему по протоколу удаленного рабочего стола RDP, если он разрешен для использования в сети и позволяет подключаться к пользователям, зная их учетные данные.

Что делает PT NAD: в программе можно отфильтровать все сохраненные сессии по протоколам (например, RDP) и анализировать каждую подозрительную. Функция полезна при проведении расследований и проактивного поиска угроз (threat hunting).

6. T1021: remote services


Использование действующих учетных записей для входа в службу, предназначенную для приема удаленных подключений, например Telnet, SSH или VNC. После этого атакующие смогут выполнять действия от имени вошедшего в систему пользователя.

Что делает PT NAD: автоматически детектирует подключения по протоколу VNC и активность трояна EvilVNC. Данный троян скрытно устанавливает VNC-сервер на хост жертвы и автоматически его запускает. Для проверки легитимности удаленных подключений по протоколам SSH и TELNET, пользователи PT NAD могут отфильтровать все сессии с такими подключениями и проанализировать каждую подозрительную.

7. T1072: third-party software


Техника, благодаря которой злоумышленники получают доступ к ПО для администрирования сети (стороннее ПО и системы развертывания ПО) и с его помощью запускают зловредный код. Примеры стороннего ПО: SCCM, VNC, HBSS, Altiris. В случае получения доступа к таким системам противник может удаленно запустить код на всех узлах, подключенных к системе развертывания ПО, мониторинга или администрирования.

Что делает PT NAD: автоматически выявляет в сети работу такого ПО. Например, правила срабатывают на факты подключения по протоколу VNC и активность трояна EvilVNC, который скрытно устанавливает VNC-сервер на хост жертвы и автоматически запускает этот сервер.

8. T1077: Windows Admin Shares


Использование скрытых сетевых папок, доступных только администраторам, например C$, ADMIN$, IPC$. Они дают возможность удаленного копирования файлов и другие административные функции.

Что делает PT NAD: пример обнаружения

PT NAD обнаружил удаленное выполнение команд через диспетчера управления службами SCM (Service Control Manager). Это возможно только имея доступ к административным общим ресурсам Windows Admin Shares.



Обнаружение применения техники T1077: Windows Admin Shares

Если открыть сессию, видно, что в ней же сработало правило на инструмент Impacket. Он использует сетевой доступ к C$ для получения результатов выполнения команд.



Карточка сессии с отображением скачанных файлов из сетевой папки администратора

9. T1028: Windows Remote Management


Использование службы и протокола Windows, который позволяет пользователю взаимодействовать с удаленными системами.

Что делает PT NAD: видит сетевые соединения, установленные с помощью Windows Remote Management. Такие сессии детектируются правилами в автоматическом режиме.

Сбор данных (collection)


Тактику collection злоумышленники используют для сбора информации, которую они планируют затем украсть с помощью техник эксфильтрации данных. Типичные источники данных: разные виды дисков, браузеры, аудио, видео и электронная почта.

Анализ трафика может указать на применение в сети двух техник сбора данных.

1. T1039: data from network shared drive


Сбор данных с удаленных систем, на которых есть общедоступные сетевые диски.

Что делает PT NAD: пример обнаружения

Передача файлов с сетевых дисков видна по трафику, сессии с передачей файлов можно подробно изучить в PT NAD.

Проверим гипотезу, что злоумышленники воспользовались техникой T1039 и смогли получить доступ к файловому серверу финансового департамента компании. Для этого отфильтруем все сессии по признаку активности с IP-адреса файлового хранилища и найдем среди них подключения, в которых были скачаны файлы. Зайдя в карточку одной из таких сессий, видим, что был скачан файл TopSecretReport_2020.



Скачав и посмотрев файл, мы понимаем, какой конкретно информацией удалось завладеть злоумышленникам.

2. T1185: man in the browser


Техника, благодаря которой атакующий, проэксплуатировав уязвимость браузера жертвы, меняет веб-контент и перехватывает информацию. Один из примеров: атакующий внедряет в браузер ПО, которое позволяет перехватывать cookie, HTTP-сессии, клиентские SSL-сертификаты и использовать браузер для аутентификации и перехода в интрасеть.

Что делает PT NAD: автоматически обнаруживает атаку man in the browser, основанную на внедрении в загружаемые веб-страницы вредоносных скриптов. PT NAD детектирует такие атаки двумя способами: по скомпрометированным сертификатам, которые ранее использовались в подобных атаках, и по характерной сетевой активности вредоносных программ, нацеленных на внедрение кода в браузер (например, Zeus).

Вместо заключения


Напоминаем, что полный маппинг PT NAD на матрицу MITRE ATT&CK опубликован на Хабре.

В следующих материалах мы расскажем про остальные тактики и техники хакеров и о том, как их помогает выявлять NTA-система PT Network Attack Discovery. Оставайтесь с нами!

Авторы:

  • Антон Кутепов, специалист экспертного центра безопасности (PT Expert Security Center) Positive Technologies
  • Наталия Казанькова, продуктовый маркетолог Positive Technologies