Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 5

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 5


Это финальная статья из цикла ( первая , вторая , третья и четвертая части), в котором мы рассматриваем техники и тактики хакеров в соответствии с MITRE ATT&CK, а также показываем, как можно распознавать подозрительную активность в сетевом трафике. В заключительном материале мы рассмотрим техники управления и контроля (command and control), эксфильтрации данных (exfiltration) и воздействия (impact).

Управление и контроль (command and control)


Техники command and control (C2 или C&C) используются для связи злоумышленников с подконтрольными системами в сети жертвы. Как правило, атакующие имитируют обычное поведение трафика, чтобы избежать обнаружения.

Анализ трафика с помощью PT Network Attack Discovery (PT NAD) м позволяет обнаружить 18 распространенных техник C&C.

1. T1043 : commonly used port


Злоумышленники поддерживают связь с командным сервером через порты, на которые обычно разрешено установление исходящего соединения. Примеры таких портов: TCP:80 (HTTP), TCP:443 (HTTPS), TCP:25 (SMTP), TCP/UDP:53 (DNS). Это помогает обходить обнаружение межсетевыми экранами и выдать свою деятельность за стандартную сетевую активность. Причем нарушители могут использовать как соответствующий прикладной протокол, закрепленный за конкретным номером порта, так и любой другой протокол прикладного уровня, вплоть до передачи данных по сырым сокетам.

Что делает PT NAD: автоматически выявляет несовпадение распространенного прикладного протокола и его стандартного порта, например при отправке HTTP-запросов на порт 53. Для более сложных случаев специалист по ИБ может изучить карточки подозрительных сессий в PT NAD, в которых сохраняется информация о портах и протоколах сетевых соединений. Это позволяет выявить использование стандартных портов для связи с командным центром.

2. T1090 : connection proxy


Злоумышленники могут использовать прокси-сервер в качестве посредника для обмена данными с C&C-сервером. Так они избегают прямого подключения к их инфраструктуре и усложняют свое обнаружение.

Что делает PT NAD: для проксирования трафика злоумышленники могут использовать пиринговые сети (peer-to-peer, P2P). Популярные P2P-протоколы PT NAD детектирует автоматически. Также PT NAD выделяет в трафике сессии с протоколами SOCKS5, HTTP и SSH, через которые злоумышленники чаще всего строят проксирующие каналы вывода информации. Если соединения по таким протоколам связаны с подозрительными событиями, то они могут свидетельствовать о компрометации.

3. T1094 : custom command and control protocol


Применение протоколов управления и контроля собственной разработки вместо инкапсуляции команд в существующий стандартный протокол прикладного уровня.

Что делает PT NAD: автоматически выявляет популярные типы туннелей через протоколы прикладного и сетевого уровней, например ICMP-, DNS-, POP3-, SCTP-, WebSocket-туннели, а также SSH over HTTP, SOCKS5 и пиринговую активность.

4. T1024 : custom cryptographic protocol


Техника, при которой атакующие используют протокол или алгоритм шифрования для сокрытия C&C-трафика.

Что делает PT NAD: выявляет в зашифрованном трафике признаки сетевой активности ВПО. Это реализовано методом криптоанализа побочных каналов информации . Такой подход позволяет выявлять вредоносный трафик даже при использовании самописных криптографических протоколов.

5. T1132 : data encoding


Злоумышленники используют стандартные алгоритмы кодирования данных при передаче информации по C&C-каналу.

Что делает PT NAD: детектирует вредоносные скрипты, когда его текст закодирован в виде строки, состоящей из кодов символов, и декодирует данные, зашифрованные алгоритмом Base64. Например, так он обнаруживает ответы агента Cobalt Strike, закодированные в Base64.

6. T1001 : data obfuscation


Усложнение детектирования C&C-коммуникаций. Методы обфускации данных включают в себя добавление лишних данных в трафик протокола, применение стеганографии, смешение C&C-трафика с легитимным, использование нестандартной системы кодирования.

Что делает PT NAD: может выявлять факты передачи данных, закодированных при помощи алгоритма Base64 с использованием нестандартного алфавита, передачу обфусцированных скриптов, шелл-кодов и инструкций командного интерпретатора.

7. T1483 : domain generation algorithms


Техника, при которой вместо списка статичных IP-адресов или доменов атакующие используют алгоритм автоматической генерации доменов (DGA), чтобы направить туда C&C-трафик. Это усложняет работу защитников: потенциально могут быть тысячи доменов, к которым вредоносное ПО может подключаться.

Что делает PT NAD: с помощью специального алгоритма PT NAD выявляет автоматически сгенерированные доменные имена в сетевых сессиях.



Примеры DGA-доменов, обнаруженных с помощью PT NAD

8. T1008 : fallback channels


Атакующие применяют резервный или альтернативный канал связи, чтобы повысить надежность связи с C&C-сервером и избежать превышения порога объема передаваемых данных. Такие каналы нужны, когда основной C&C-канал скомпрометирован или недоступен.

Что делает PT NAD: специалист по ИБ может обнаружить применение такой техники, анализируя данные о подключениях вредоносного ПО, которые хранятся в карточках сессий в PT NAD. Если вредоносное ПО подключается на разные IP-адреса (C&C-серверы) с одного сетевого узла, это может свидетельствовать о том, что атакующие используют резервный канал связи.

9. T1188 : multi-hop proxy


Создание атакующими цепочки из нескольких прокси-серверов, чтобы замаскировать источник вредоносного трафика. Такое мультипроксирование усложняет идентификацию исходного источника, требуя от защищающейся стороны отслеживания зловредного трафика через несколько прокси-серверов.

Что делает PT NAD: если злоумышленники выстроили цепочку из прокси-серверов внутри сети жертвы, ее возможно проследить в PT NAD, анализируя данные сессий. Соединения между узлами визуально отображаются в графе сетевых связей. Это помогает проследить последовательность прокси-серверов.

10. T1104 : multi-stage channels


Злоумышленники используют многоступенчатые C&C-каналы, что затрудняет их обнаружение. Реализуют они это через разделение атаки на стадии (или ступени). На каждой стадии используются свои управляющие серверы и свои инструменты (трояны, RAT). Такое разделение функционала по стадиям с различными управляющими серверами затрудняет обнаружение злоумышленников.

Что делает PT NAD: использование многоступенчатых C&C-каналов PT NAD выявляет автоматически по признакам активности соответствующего вредоносного ПО. Например, он обнаруживает работу модулей инструментария группировки MuddyWater. Подробные данные о каждом выявленном C&C-канале хранятся в карточках сессий — эти данные полезны во время проведения расследований и проактивного поиска угроз (threat hunting).

11. T1026 : multiband communication


Атакующие разделяют канал связи между различными протоколами. Например, команды могут передаваться по одному протоколу, а результаты их выполнения — по-другому. Это помогает обойти ограничения межсетевых экранов и избежать уведомлений о превышении пороговых значений передаваемых данных.

Что делает PT NAD: выявляет автоматически применение техники разделения канала связи по признакам работы соответствующего вредоносного ПО. Например, таким способом он выявляет активность агентов Cobalt Strike, которые могут разделять канал выхода на C&C-серверы между протоколами HTTP, HTTPS и DNS. При этом PT NAD хранит данные о каждом C&C-соединении с информацией об использованном протоколе, что помогает обнаружить применение техники T1026 при проведении расследований или threat hunting.

12. T1079 : multilayer encryption


Применение нескольких уровней шифрования C&C-коммуникаций. Типичный пример: передача уже зашифрованных данных по защищенным протоколам, таким как HTTPS или SMTPS.

Что делает PT NAD: несмотря на несколько слоев шифрования, с помощью анализа побочных криптографических каналов PT NAD обнаруживает ряд семейств вредоносного ПО с помощью правил. Примеры детектируемых угроз: вредоносные программы из семейств RTM и Ursnif (Gozi-ISFB), которые передают уже зашифрованные данные по протоколу HTTPS.

13. T1219 : remote access tools


Атакующий использует легитимное ПО для удаленного доступа к подконтрольным системам. Такие инструменты обычно используются службами технической поддержки и могут быть внесены в белый список. Таким образом его действия будут выполняться от имени доверенного лица и по санкционированному каналу связи. Среди популярных утилит — TeamViewer, VNC, Go2Assist, LogMeIn, Ammyy Admin.

Что делает PT NAD: пример обнаружения

PT NAD определяет работу в сети всех распространенных утилит удаленного доступа — таким образом можно проанализировать все сессии удаленного доступа, установленных с помощью RAT, и проверить их легитимность.

Например, PT NAD обнаружил активность вредоносного ПО, которое для подключения ко внешнему IP-адресу использует систему удаленного доступа к рабочему столу VNC. VNC вместе с Ammyy и TeamViewer злоумышленники используют чаще других RAT.



Обнаружение применения техники remote access tools

14. T1105 : remote file copy


Атакующие копируют файлы из одной системы в другую для развертывания своих инструментов или кражи информации. Файлы могут быть скопированы с внешней системы, контролируемой злоумышленником, через канал связи с командным центром или с помощью других инструментов по альтернативным протоколам, например FTP.

Что делает PT NAD: детектирует передачу файлов по основным прикладным протоколам и умеет их извлекать для дальнейшего анализа, например в песочнице.

15. T1071 : standard application layer protocol


Злоумышленники используют распространенные прикладные протоколы, такие как HTTP, HTTPS, SMTP, DNS. Таким образом их активность смешивается со стандартным легитимным трафиком, что усложняет обнаружение.

Что делает PT NAD: видит все сессии с использованием популярных прикладных протоколов. По каждой сессии хранится подробная карточка, которая доступна пользователям для ручного анализа.

16. T1032 : standard cryptographic protocol


Применение известных алгоритмов шифрования для сокрытия C&C-трафика.

Что делает PT NAD: с помощью индикаторов компрометации или правил PT NAD автоматически детектирует подключения к серверам злоумышленников. Если подключения к ним защищены протоколом TLS, то специалист по ИБ увидит это в интерфейсе PT NAD (система определяет протокол TLS) и таким образом обнаружит применение техники standard cryptographic protocol.

17. T1095 : standard non-application layer protocol


Атакующие используют протоколы не прикладного уровня для коммуникации между сетевым узлом и C&C-сервером или между скомпрометированными сетевыми узлами.

Что делает PT NAD: поскольку PT NAD анализирует сырой трафик, он автоматически детектирует активность распространенных семейств вредоносного ПО, которые передают данные через сырые сокеты, то есть по протоколам TCP или UDP без использования протоколов прикладного уровня. Также выявляются TCP-шеллы фреймворка Metasploit.

18. T1065 : uncommonly used port


Связь по C&C через нестандартный порт для обхода прокси-серверов и межсетевых экранов, которые были неправильно сконфигурированы.

Что делает PT NAD: определяет прикладные протоколы по содержимому пакетов, а не по номерам портов, поэтому он автоматически выявляет использование нестандартных портов для стандартных протоколов.

Эксфильтрация данных (exfiltration)


Тактика эксфильтрации объединяет техники, которые злоумышленники применяют для кражи данных из скомпрометированной сети. Чтобы избежать обнаружения, данные часто упаковывают, комбинируя это со сжатием и шифрованием. Как правило, для эксфильтрации атакующие используют C&C или альтернативный канал.

PT NAD детектирует две техники эксфильтрации данных.

1. T1048 : exfiltration over alternative protocol


Атакующие используют для кражи данных протоколы, отличные от тех, которые обеспечивают связь с командными центрами. Среди альтернативных протоколов: FTP, SMTP, HTTP/S, DNS. Также для эксфильтрации могут использоваться внешние веб-сервисы, например облачные хранилища.

Что делает PT NAD: пример обнаружения

Инструмент DNSCAT2 применяется злоумышленниками для удаленного управления сетевым узлом и эксфильтрации данных на командный сервер, используя техники T1059: command-line interface и T1048: exfiltration over alternative protocol, соответственно.

PT NAD обнаружил активность инструмента DNSTCAT2 по трафику. Инструмент позволяет туннелировать сетевой трафик по протоколу DNS на C&C-сервер. В трафике это выглядит как большой поток DNS-запросов и ответов.



Обнаружение применения техники T1048: exfiltration over alternative protocol

В карточке сессии видны DNS-запросы. Был запрос TXT-записи для нечитаемого и очень длинного домена третьего уровня, в ответ пришел аналогичный нечитаемый набор символов. При этом время жизни пакетов (TTL) — короткое. Все это индикаторы DNS-туннеля.



В карточке сессии видны DNS-запросы на разрешение длинных и нечитаемых DNS-имен

2. T1041 : exfiltration over command and control channel


Атакующие используют для кражи данных C&C-канал.

PT NAD видит 18 распространенных техник связи вредоносного ПО с командным центром злоумышленников. Признаки применения в сети каждого из этих способов свидетельствует о наличии в сети C&C-канала, по которому могут передаваться украденные данные.

Воздействие (impact)


На последнем шаге злоумышленники пытаются управлять системами и данными, вмешиваться в их работу или уничтожать их. Для этого они использую техники, которые позволяют нарушать доступность или целостность систем, управляя операционными и бизнес-процессами.

3. T1498 : network denial of service


Атака типа «отказ в обслуживании», чтобы снизить или заблокировать доступность целевых ресурсов для пользователей.

Что делает PT NAD: обнаруживает амплификацию (усиление) атаки и применение эксплойтов, которые приводят к отказу в обслуживании.

При амплификации (от англ. amplification — усиление) злоумышленник отправляет запросы от имени сервера жертвы публичному DNS-сервера. Цель атакующих — заполнить канал сервера жертвы объемными ответами от публичных DNS-серверов.

4. T1496 : resource hijacking


Несанкционированное использование ресурсов системы, чтобы решить ресурсоемкие проблемы. Это может повлиять на доступность системы или размещенного сервиса.

Что делает PT NAD

: видит активность криптомайнинговых протоколов и торрентов в сети, что говорит о дополнительной нецелевой нагрузке на сеть и оборудование.

5. T1489 : service stop


Атакующие могут останавливать или отключать службы в системе, чтобы сделать их недоступными для легитимных пользователей.

Что делает PT NAD, пример обнаружения: злоумышленники остановили работу службы веб-сервера IIS, чтобы заблокировать доступ к порталу обслуживания клиентов. PT NAD обнаружил обращение к диспетчеру управления службами (Service Control Manager, SCM) на остановку сервиса. Это возможно благодаря инспекции SMB-трафика.



Детект атаки, в которой злоумышленники отправили запрос на отключение служб веб-сервера

PT NAD автоматически выявляет обращения к SCM на создание, изменение, запуск и остановку сервисов.

Напоминаем, что полный маппинг PT NAD на матрицу MITRE ATT&CK  опубликован на Хабре .

Вместо заключения: зачем еще нужна NTA-система


Трафик — полезный источник данных для выявления атак. В нем можно увидеть признаки всех 12 тактик, которые используют APT-группировки. Анализируя трафик с помощью NTA-систем, компании снижают шансы злоумышленников на успешное развитие атаки и полную компрометацию сети. Есть и другие сценарии применения систем класса NTA.

  • Контроль сетевого комплаенса

Успех кибератаки на компанию напрямую зависит от уровня безопасности ее корпоративной инфраструктуры. Анализ трафика крупных российских компаний показал, что в 94% случаев сотрудники не соблюдают политики ИБ . Политики безопасности многих организаций запрещают сотрудникам посещать сомнительные ресурсы, скачивать торренты, устанавливать мессенджеры, использовать разнообразные утилиты для удаленного доступа.

Разбирая сетевые протоколы, NTA-система видит передачу паролей в открытом виде, нешифрованные почтовые сообщения, применение ПО для удаленного доступа. Это помогает контролировать исполнение парольной политики, использование RAT и незащищенных протоколов передачи данных.

Чтобы узнать, какие нарушения регламентов ИБ наиболее распространены, как их обнаружить с помощью PT NAD и как устранить нарушения, посмотрите вебинар или прочитайте статью эксперта центра безопасности PT Expert Security Center .

  • Расследование атак

NTA-системы, которые хранят метаданные сессий и сырой трафик, помогают проводить расследования инцидентов: локализовать угрозу, восстановить хронологию атаки, выявить уязвимые места в инфраструктуре и выработать компенсирующие меры.

Посмотрите пример расследования кейса атаки на головную организацию крупной компании.

  • Theat hunting

NTA-инструменты могут применяться и для threat hunting. Threat hunting — процесс поиска угроз, которые не обнаруживаются традиционными средствами безопасности. Специалист выдвигает гипотезу, например о присутствии хакерской группировки в сети, о наличии внутреннего нарушителя или утечке данных, и проверяет ее. Такой метод позволяет выявить компрометацию и уязвимые места в инфраструктуре, даже когда системы безопасности не подают никаких сигналов.

Посмотрите вебинар с тремя кейсами применения threat hunting с помощью PT NAD.

Как атакуют вашу компанию? В сети 97% компаний есть подозрительная активность в трафике. Проверьте, что происходит в вашей сети — заполните заявку на бесплатный «пилот» системы анализа трафика PT NAD .

Авторы:

  • Антон Кутепов, специалист экспертного центра безопасности (PT Expert Security Center) Positive Technologies
  • Наталия Казанькова, продуктовый маркетолог Positive Technologies
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.