Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 3

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 3


В предыдущих постах ( первая и вторая части) мы рассмотрели техники пяти тактик MITRE ATT&CK:

  • первоначальный доступ (initial access);
  • выполнение (execution);
  • закрепление (persistence);
  • повышение привилегий (privilege escalation);
  • предотвращение обнаружения (defense evasion).

Кроме того, мы показали, как с помощью нашего NTA-решения можно распознавать подозрительную активность в сетевом трафике. Теперь мы расскажем, как наши технологии работают с техниками получения учетных данных (credential access) и разведки (discovery).

Получение учетных данных (credential access)


Эта тактика включает в себя техники, нацеленные на кражу данных, которые можно использовать для аутентификации (например, имена пользователей и пароли). Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать больше записей с целью закрепления и усложняет обнаружение присутствия злоумышленников в сети.

Ниже четыре техники, которые можно выявить по подозрительной активности в трафике.

1. T1110 : brute force


Техника получения доступа к сервисам при помощи методов перебора, когда неизвестны или частично известны учетные данные. Обычно подбирают логины, пароли или хеш-суммы паролей.

Что делает PT Network Attack Discovery (PT NAD): в автоматическом режиме обнаруживает признаки подбора паролей при аутентификации по протоколам LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. Кроме того, выявляет попытки подбора учетных данных к популярным веб-сервисам, таким как phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. Такие атаки порождают большое количество неуспешных попыток аутентификации, что видно в трафике.

2. T1003 : credential dumping


Получение учетных данных (обычно хеша или открытого пароля) из операционных систем или ПО. Эту технику мы рассмотрим подробнее для демонстрации ее выявления в трафике.

Что делает PT NAD: пример обнаружения
PT NAD зафиксировал обращения к реестру контроллера домена с помощью хакерской утилиты secretsdump, основанной на модулях библиотеки Impacket. Основная задача утилиты — получение хешей паролей пользователей. С ее помощью злоумышленники аутентифицируются на контроллере домена через протокол SMB, подключаются к диспетчеру управления службами (Service Control Manager, SCM), далее по протоколу WINREG подключаются к удаленному реестру и копируют необходимые данные в локальный файл. После чего файл скачивают на свой сетевой узел через SMB.



Выявление запроса к ключу реестра LSA, в котором находятся хеши паролей доменных пользователей

В этой же сессии, где PT NAD зафиксировал обращение к реестру контроллера домена, передавались те самые файлы, в которые утилита secretsdump сохранила важную информацию из реестра контроллера домена. По названиям сработавших правил в интерфейсе PT NAD видно, что злоумышленники заполучили хеши паролей доменных пользователей из LSA и локальных — из SAM:



В карточке сессии отражаются файлы, которые злоумышленникам удалось скачать

3. T1212 : exploitation for credential access


Техника получения атакующим доступа к учетным данным в результате эксплуатации уязвимостей в ПО.

Что делает PT NAD: видит в трафике эксплуатацию многих уязвимостей. Например, уязвимость MS14-068 может использоваться для подделки билетов Kerberos. Злоумышленник запрашивает билет специального вида (TGT, Ticket Granted Ticket), добавляет себя в привилегированную группу и модифицирует этот билет так, чтобы уязвимый контроллер домена признал его валидным. PT NAD выявляет запросы таких билетов.

4. T1208 : kerberoasting


Метод извлечения служебных учетных записей из Active Directory от имени обычного пользователя. Любой пользователь домена может запросить билет Kerberos для доступа к сервису в Active Directory (Ticket Granting Service). TGS зашифрован хешем пароля учетной записи, от которой запущен целевой сервис. Злоумышленник, получив таким образом TGS, теперь может расшифровать его, подбирая пароль и не боясь блокировки, поскольку делает это офлайн. В случае успеха он получает пароль от связанной с сервисом учетной записи, которая зачастую бывает привилегированной.

Что делает PT NAD: фиксирует запросы на перечисление сервисов в Active Directory, которые могут стать целями для атаки. Данный этап необходим злоумышленникам, чтобы выбрать сервис для атаки, и предшествует запросу TGS-билета и подбору офлайн. Также PT NAD автоматически выявляет запросы TGS-билетов, зашифрованных алгоритмом RC4, — это один из признаков проведения атаки Kerberoasting.

Разведка (discovery)


Закрепившись и получив доступ к системе, злоумышленникам нужно понять, где в инфраструктуре они находятся, что их окружает, что они могут контролировать. Во время разведки атакующие собирают данные о системе и внутренней сети, что помогает сориентироваться в инфраструктуре и решить, как действовать дальше. Для этого зачастую используются встроенные инструменты операционных систем.
Анализ трафика позволяет выявить применение десяти техник разведки.

1. T1087 : account discovery


Попытка получить список учетных записей локальной системы или домена.

Что делает PT NAD: пример обнаружения
Атакующие попытались получить информацию от контроллера домена о доменных учетных записях по LDAP — облегченному протоколу доступа к каталогам. PT NAD обнаружил LDAP-запрос. Такой способ получения доменных учетных записей может относиться как к технике T1087 (account discovery), так и к T1069 (permission groups discovery).



Попытка разведки с целью получить информацию о доменных аккаунтах через протокол LDAP

2. T1482 : domain trust discovery


Поиск информации о доверительных отношениях домена. Такие отношения злоумышленники используют для горизонтального перемещения в мультидоменных инфраструктурах.

Что делает PT NAD: список доверительных отношений между доменами можно получить с помощью RPC- и LDAP-запросов. PT NAD автоматически детектирует попытки перечисления отношений доверия между доменами с помощью протокола LDAP и RPC-вызова EnumTrustDom.

3. T1046 : network service scanning


Попытка получить список служб, запущенных на удаленных сетевых узлах. Это возможно с помощью установленных инструментов сканирования портов и уязвимостей.

Что делает PT NAD: обнаруживает признаки работы инструментов сканирования портов и уязвимостей (например, утилиты Nmap), а также нестандартные запросы к известным портам.

4. T1135 : network share discovery


Поиск общих сетевых дисков и папок, которые позволяют получить доступ к файловым каталогам в различных системах сети.

Что делает PT NAD: выявляет запрос списка общих сетевых дисков и папок на удаленной машине.

5. T1201 : password policy discovery


Техника, с помощью которой злоумышленник ищет информацию о парольной политике в инфраструктуре компании. Например, политикой может быть установлена минимальная длина пароля и количество разрешенных неудачных попыток аутентификации. Знание количества символов поможет атакующим составить список подходящих распространенных паролей, запустить подбор пароля по словарю или с помощью полного перебора (T1110: brute force).

Что делает PT NAD: автоматически обнаруживает запросы о парольной политике по протоколу SAMR.

6. T1069 : permission groups discovery


С помощью этой техники атакующие пытаются найти локальные или доменные группы и настройки их доступа. Такая информация может использоваться злоумышленниками при выборе цели для атаки.

Что делает PT NAD: автоматически выявляет попытки получения информации о доменных группах по протоколам LDAP и SAMR. Пример выявления этой техники представлен на скриншоте выше.

7. T1018 : remote system discovery


Техника, при которой атакующие пытаются получить список систем в атакуемой сети с помощью систем удаленного доступа или встроенных системных утилит. Это возможно по IP-адресу, имени хоста или другому идентификатору, который в дальнейшем может использоваться для горизонтального перемещения по сети из текущей системы.

Что делает PT NAD: видит запросы списков контроллеров домена, рабочих станций и серверов, SPN (Service Principle Name).

8. T1063 : security software discovery


Техника, при которой злоумышленники пытаются получить информацию об установленных системах защиты, их конфигурации и сенсорах. Один из способов получения такого списка — через DCE/RPC-запросы.

Что делает PT NAD: видит DCE/RPC-запросы. Пользователь системы может найти все сессии с этими запросами и обнаружить попытки удаленного получения информации о средствах защиты.

9. T1033 : system owner/user discovery


При реализации этой техники атакующие могут идентифицировать основного пользователя системы, текущего залогиненного пользователя, группу пользователей, которые обычно используют систему, и определить насколько активно система используется.

Что делает PT NAD: злоумышленники могут получить список активных сессий пользователей на удаленном узле с помощью запросов по протоколу SRVSVC. PT NAD автоматически обнаруживает такие запросы.

10. T1007 : system service discovery


Поиск злоумышленниками информации о зарегистрированных службах.

Что делает PT NAD: такую информацию атакующие могут получить с помощью сетевых запросов DCE/RPC. PT NAD в автоматическом режиме выявляет обращения к Service Control Manager (SCM) по протоколу DCE/RPC, в том числе команды по получению списка служб на удаленном сетевом узле и статус их активности.

Вместо заключения


Напоминаем, что полный маппинг PT NAD на матрицу MITRE ATT&CK  опубликован на Хабре .

В следующих материалах мы расскажем про остальные тактики и техники хакеров и о том, как их помогает выявлять NTA-система PT Network Attack Discovery. Оставайтесь с нами!

Авторы:
  • Антон Кутепов, специалист экспертного центра безопасности (PT Expert Security Center) Positive Technologies
  • Наталия Казанькова, продуктовый маркетолог Positive Technologies

В период дистанционной работы мы хотим оставаться рядом с коллегами, партнерами, заказчиками и просто друзьями. Поэтому мы стираем расстояния и запускаем наше онлайн-ТВ на YouTube. Канал «ИБшник на удаленке» выходит в эфир в 18:00 каждый понедельник, среду и пятницу.

Специалисты Positive Technologies и приглашенные эксперты обсуждают вопросы ИБ, будущее технологий и образование, здоровый образа жизни и многое другое. Подписывайтесь на наш канал на YouTube , чтобы не пропустить новые выпуски и посмотреть записи прошедших эфиров ( 1 , 2 , 3 , 4 , 5 ).
Alt text
Комментарии для сайта Cackle