Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery



    В предыдущей статье мы рассмотрели техники двух тактик MITRE ATT&CK — первоначальный доступ (initial access) и выполнение (execution), а также как с помощью нашего NTA-решения можно распознавать подозрительную активность в сетевом трафике. Теперь мы расскажем, как наши технологии работают с техниками закрепления (persistence), повышения привилегий (privilege escalation) и предотвращения обнаружения (defense evasion).

    Закрепление (persistence)


    Злоумышленники используют тактику закрепления для обеспечения своего постоянного присутствия в атакуемой системе. Им нужно быть уверенными, что даже после перезапуска системы или смены учетных данных их доступ к системе сохранится. Так они смогут в любое время контролировать скомпрометированную систему, продвигаться по инфраструктуре и достигать своих целей.

    С помощью анализа трафика можно обнаружить пять техник закрепления.

    1. T1133: external remote services


    Техника использования внешних удаленных сервисов для закрепления извне на внутренних ресурсах компании. Примеры таких сервисов: VPN и Citrix.

    Что делает PT Network Attack Discovery (PT NAD): видит сетевые сессии, установленные с помощью VPN или Citrix во внутреннюю сеть компании. Аналитик может детально изучить такие сессии и сделать вывод об их легитимности.

    2. T1053: scheduled task


    Применение планировщика задач Windows и других утилит для программирования запуска программ или скриптов в определенное время. Атакующие создают такие задачи, как правило, удаленно, а значит такие сессии с запуском планировщиков задач видны в трафике.

    Что делает PT NAD: в случае если контроллер домена рассылает XML-файлы с описанием задач, созданных через групповые политики, наше NTA-решение автоматически извлекает такие файлы. В них есть информация о периодичности запуска задачи, что может свидетельствовать об использовании планировщика задач для закрепления в сети.

    3. T1078: valid accounts


    Использование учетных данных: стандартных, локальных или доменных для авторизации на внешних и внутренних сервисах.

    Что делает PT NAD: в автоматическом режиме извлекает учетные данные из протоколов HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. В общем случае это логин, пароль и признак успешности аутентификации. Если они были использованы, они отображаются в соответствующей карточке сессии.

    4. T1100: web shell


    Скрипт, который размещается на веб-сервере и позволяет атакующему получить контроль над этим сервером. Поскольку такие скрипты работают в автоматическом режиме и продолжают функционировать даже после перезагрузки сервера, данная техника может использоваться злоумышленниками и на этапе закрепления в системе.

    Что делает PT NAD: автоматически обнаруживает загрузку распространенных веб-шеллов, обращения к ним через HTTP-запросы и передачу команд.

    5. T1084: Windows Management Instrumentation Event Subscription


    Подписка на события в WMI — технологии для управления компонентами локальной и удаленной операционных систем. Атакующие могут использовать WMI для подписки на определенные события и запускать выполнение вредоносного кода, когда это событие происходит. Таким образом злоумышленники обеспечивают себе постоянное присутствие в системе. Примеры событий, на которые можно подписаться: наступление определенного времени на системных часах или истечение определенного количества секунд с момента запуска операционной системы.

    Что делает PT NAD: выявляет использование техники Windows Management Instrumentation Event Subscription с помощью правил. Одно из них срабатывает, когда в сети используется класс стандартных подписчиков ActiveScriptEventConsumer, который позволяет выполнять код при наступлении какого-либо события и тем самым закреплять злоумышленника на сетевому узле.

    К примеру, проанализировав карточку сессии со сработкой правила, мы видим, что эта активность вызвана хакерским инструментом Impacket: в этой же сессии сработал детект на использование этого инструмента для удаленного выполнения кода.



    Карточка сессии, в которой было выявлено применение инструмента Impacket. С его помощью злоумышленники используют стандартный подписчик для удаленного выполнения команд

    Повышение привилегий (privilege escalation)


    Техники повышения привилегий нацелены на получение в атакуемой системе разрешений более высокого уровня. Для этого злоумышленники используют слабые стороны систем, эксплуатируют ошибки конфигурации и уязвимости.

    1. T1078: valid accounts


    Это кража учетных данных: стандартных, локальных или доменных.

    Что делает PT NAD: видит, какой пользователь где авторизовался, благодаря чему можно выявить нелегитимные входы. Один из самых распространенных способов повысить привилегии на удаленном или локальном хосте, которые работают под управлением ОС Windows, — создание задачи планировщика задач Windows, которая будет запускаться от имени NT AUTHORITY\SYSTEM, что дает возможность выполнять команды с максимальными привилегиями в системе.

    Рассмотрим случай создания такой задачи по сети с помощью инструмента ATExec. Он основан на компонентах библиотеки Impacket и создан для демонстрации возможностей библиотеки по работе с протоколом удаленного управления планировщиком заданий. Его работа видна в сетевом трафике, и он хорошо иллюстрирует технику повышения прав с уровня администратора сетевого узла до уровня NT AUTHORITY\SYSTEM.

    PT NAD автоматически выявил создание задач планировщика на удаленном хосте. В карточке атаки ниже показано, что подключение осуществлялось от имени пользователя contoso\user02. Успешное подключение по SMB к ресурсу ADMIN$ целевого узла свидетельствует о том, что этот пользователь входит в группу локальных администраторов на узле назначения. Однако в XML-описании задачи указано, что выполняться она будет в контексте NT AUTHORITY\SYSTEM (SID S-1-5-18):



    Обнаружение удаленного создания задачи с помощью утилиты ATExec

    Предотвращение обнаружения (defense evasion)


    Эта тактика объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты. Девять таких техник можно обнаружить с помощью систем анализа трафика.

    1. T1191: CMSTP (Microsoft Connection Manager Profile Installer)


    Злоумышленники готовят специальный вредоносный установочный INF-файл для встроенной в Windows утилиты «Установщик профилей диспетчера подключений» (CMSTP.exe). CMSTP.exe принимает файл в качестве параметра и устанавливает профиль службы для удаленного подключения. В результате CMSTP.exe может быть использован для загрузки и выполнения динамически подключаемых библиотек (*.dll) или скриптлетов (*.sct) с удаленных серверов. Таким образом злоумышленники могут обойти политику белых списков на запуск программ.

    Что делает PT NAD: автоматически обнаруживает в HTTP-трафике передачу INF-файлов специального вида. В дополнение к этому, он видит передачу по протоколу HTTP вредоносных скриптлетов и динамически подключаемых библиотек с удаленного сервера.

    2. T1090: connection proxy


    Злоумышленники могут использовать прокси-сервер в качестве посредника для обмена данными с C2-сервером. Так они избегают прямого подключения к их инфраструктуре и усложняют возможность их обнаружения.

    Что делает PT NAD: определяет использование протокола SOCKS5 (он пересылает данные от клиента на конечный сервер через прокси-сервер незаметно для них) и HTTP-прокси. Если соединения по протоколу SOCKS 5 или через HTTP-прокси-сервер связаны с подозрительными событиями, то такие соединения могут свидетельствовать о компрометации.

    3. T1207: DCShadow


    Создание поддельного контроллера домена для обхода детектирования SIEM-системами, что позволяет вносить вредоносные изменения в схему AD через механизм репликации.

    Что делает PT NAD: в случае применения техники DCShadow создается поддельный контроллер домена, который не отправляет события в SIEM. С помощью такого контроллера домена злоумышленник может изменить данные Active Directory — например, информацию о любом объекте домена, учетные данные пользователей и ключи.

    Использование такой техники можно выявить по трафику. В нем отчетливо видно добавление нового объекта в схему конфигурации типа контроллер домена. NTA-система детектирует попытку атаки DCShadow, выявляя специфичный для контроллера домена трафик с сетевого узла, который не является контроллером домена.



    PT NAD зафиксировал попытку атаки DCShadow

    4. T1211: exploitation for defense evasion


    Эксплуатация уязвимостей целевой системы для обхода средств защиты.

    Что делает PT NAD: автоматически детектирует несколько популярных техник эксплуатации уязвимостей. Например, он выявляет технику обхода средств защиты веб-приложений, основанную на дублировании HTTP-заголовков.

    5. T1170: mshta


    Применение утилиты mshta.exe, которая выполняет приложения Microsoft HTML (HTA) с расширением .hta. Так как mshta обрабатывает файлы в обход настроек безопасности браузера, атакующие могут использовать mshta.exe для выполнения вредоносных файлов HTA, JavaScript или VBScript. Технику mshta злоумышленники используют чаще всего для обхода политик белых списков на запуск программ и срабатываний правил обнаружения SIEM-систем.

    Что делает PT NAD: выявляет передачу вредоносных HTA-файлов автоматически. Он захватывает файлы и информацию о них можно посмотреть в карточке сессии.

    6. T1027: obfuscated files or information


    Попытка сделать исполняемый файл или сетевой трафик трудным для обнаружения и анализа средствами безопасности путем шифрования, кодирования или обфускации (запутывания) его содержимого.

    Что делает PT NAD: обнаруживает передачу исполняемых файлов, закодированных с помощью алгоритмов Base64, ROT13 или зашифрованных методом гаммирования. Также автоматически выявляется обфусцированный трафик, который создают некоторые вредоносные программы.

    7. T1108: redundant access


    Техника, при которой злоумышленники используют больше одной утилиты удаленного доступа. Если один из инструментов будет обнаружен и заблокирован, у атакующих все равно останется доступ к сети.

    Что делает PT NAD: разбирает популярные протоколы, поэтому видит активность каждого сетевого узла. С помощью фильтров аналитик может найти все сессии средств удаленного доступа, установленных с одного узла.

    8. T1064: scripting


    Исполнение скриптов для автоматизации различных действий атакующих, в том числе обхода политик белых списков на запуск программ.

    Что делает PT NAD: выявляет факты передачи скриптов по сети, то есть еще до их запуска. Он обнаруживает контент скриптов в сыром трафике и детектирует передачу по сети файлов с расширениями, соответствующими популярным скриптовым языкам.

    9. T1045: software packing


    Техника, при которой атакующие используют специальные утилиты для сжатия или шифрования исполняемого файла, чтобы избежать обнаружения сигнатурными системами защиты. Такие утилиты называются упаковщиками.

    Что делает PT NAD: автоматически обнаруживает признаки того, что передаваемый исполняемый файл модифицирован с помощью популярного упаковщика.

    Вместо заключения


    Напоминаем, что полный маппинг PT NAD на матрицу MITRE ATT&CK опубликован на Хабре.

    В следующих материалах мы расскажем про остальные тактики и техники хакеров и о том, как их помогает выявлять NTA-система PT Network Attack Discovery. Оставайтесь с нами!

    Авторы:

    • Антон Кутепов, специалист экспертного центра безопасности (PT Expert Security Center) Positive Technologies
    • Наталия Казанькова, продуктовый маркетолог Positive Technologies
    Positive Technologies
    Компания

    Комментарии 1

      0
      Злоумышленники используют тактику закрепления для обеспечения своего постоянного присутствия в атакуемой системе.

      Т.е. захватывают плацдарм (своего рода "Малая земля"), с которой пойдут в генеральное наступление.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое