[Из песочницы] Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Часть 1
Данной публикацией я хотел бы начать цикл постов, посвященных описанию основных техник, применяемых злоумышленниками на различных этапах осуществления хакерских атак.
Излагаемый материал будет является свободным пересказом содержания матриц Adversarial Tactics, Techniques & Common Knowledge (ATT@CK) от компании The Mitre:
Автор не несет ответственности за возможные последствия применения изложенной информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Кстати, это моя первая попытка публикации на Хабре, поэтому надеюсь на справедливую критику в свой адрес.
Погружение в тему начну с самой объемной матрицы ATT&CK Matrix for Enterprise, которая описывает наиболее активные и опасные фазы хакерских атак на корпоративный сегмент:
— Получение первоначального доступа (Initial Access);
— Выполнение кода (Execution);
— Закрепление в атакуемой системе (Persistence);
— Повышение привилегий (Privilege Escalation);
— Обход защиты (Defense Evasion);
— Получение учетных данных (Credential Access);
— Обзор (Discovery);
— Горизонтальное продвижение (Lateral Movement);
— Сбор данных (Collection);
— Утечка (Exfiltration);
— Управление и контроль (Command and Control).
Получение первоначального доступа (Initial Access)
Цель злоумышленника на данном этапе атаки – доставить в атакуемую систему некий зловредный код и обеспечить возможность его дальнейшего выполнения.
Теневая загрузка (Drive-by Compromise, Drive-by download)
Система: Windows, Linux, macOS
Права: Пользователь
Описание: Суть техники состоит в открытии жертвой в браузере WEB-ресурса, на котором злоумышленником заранее подготовлены различные эксплойты браузеров и плагинов,
скрытые фреймы или вредоносные файлы Java, которые без ведома пользователя будут загружены в атакуемую систему.
Microsoft предлагает использовать Windows Defender Explloit Guard (WDEG) и Enhanced Mitigation Experience Toolkit (EMET). Рекомендации по защите: Использование последних версий браузеров и плагинов и
применение антивирусного программного обеспечения. Имеет смысл так же рассмотреть целесообразность блокировки выполнения в браузере JavaScript.
ТОП 10 уязвимостей web-приложений публикуется OWASP. Использование эксплойтов публичных приложений (Exploit Public-Facing
Application)
Система: Windows, Linux, macOS
Описание: Техника предполагает использование известных багов, глюков и уязвимостей в программном обеспечении, имеющем открытые сетевые порты (web-серверы, сетевые службы SSH, SMB2, СУБД и т.п.).
Сканирование внешнего периметра на наличие уязвимостей. Рекомендации по защите: Использование брандмауэров, сегментирование сети с помощью DMZ, использование рекомендаций по безопасной разработке ПО, избежание проблем, задокументированных OWASP и CWE. Мониторинг журналов приложений и траффика на предмет аномального поведения.
В коммерческие и opensource-продукты могут быть встроены возможности скрытого сетевого подключения, реализации атак типа «человек по середине» для взлома систем шифрования, осуществления клавиатурных инъекций (keystroke injection), чтения памяти ядра через DMA, добавления новой беспроводной сети и т.п. Аппаратные закладки (Hardware Additions)
Система: Windows, Linux, macOS
Описание: В дополнительные компьютерные аксессуары, сетевое оборудование и компьютеры могут быть встроены аппаратные дополнения для предоставления злоумышленникам начального доступа.
1.x, ограничение использования DHCP только зарегистрированными устройствами, запрет сетевого взаимодействия с незарегистрированными устройствами, блокировка установки внешних устройств с помощью средств защиты хоста (Endpoint Security агенты для ограничения подключения устройств). Рекомендации по защите: Применение политик контроля доступа к сети, таких как использование сертификатов для устройств и стандарта 802.
Чтобы обмануть пользователя «законный» файл может быть предварительно модифицирован или заменён, а затем скопирован на съемное устройство злоумышленником. Распространение с помощью съемных медиа-устройств (Replication Through Removable Media)
Система: Windows
Описание: Техника предполагает исполнение вредоносной программы с помощью функции автозапуска в Windows. Так же полезная нагрузка может быть внедрена прошивку съемного устройства или через программу первоначального форматирования носителя.
Ограничение использования съемных устройств на уровне политики безопасности организации. Рекомендации по защите: Отключение функций автозапуска в Windows. Применение антивирусного программного обеспечения.
Текст письма, как правило, содержит правдоподобную причину почему получатель должен открыть файл во вложении. Целевые фишинговые вложения (Spearphishing Attachment)
Описание: Использование вредоносных программ, прикрепленных к фишинговым электронным письмам.
Настройка политики блокирования неиспользуемых форматов вложений. Рекомендации по защите: Использование систем предотвращения сетевых вторжений (IDS) и антивирусов, предназначенных для сканирования и удаления вредоносных вложений в электронных письмах. Обучение пользователей правилам антифишинга.
Целевые фишинговые ссылки (Spearphishing Link)
Описание: Использование ссылок на загрузку вредоносных программ в электронных письмах.
Использование систем предотвращения сетевых вторжений (IDS) и антивирусов. Рекомендации по защите: Проверка URL-адресов в электронной почте может помочь обнаружить ссылки на известные вредоносные сайты. Обучение пользователей правилам антифишинга.
сетях, например, для отправки потенциальных предложений о трудоустройстве. Целевые фишинговые сервисы (Spearphishing via Service)
Описание: В этом сценарии злоумышленники отправляют сообщения через различные службы социальных сетей, личную почту и другие службы, не контролируемые предприятием.
Злоумышленники могут использовать поддельные профили в соц. Как правило, злоумышленник устанавливает первоначальный контакт, а затем отправляет вредоносное содержимое на почту, которую сотрудник атакуемой компании использует на рабочем месте. Это позволяет задавать сотруднику-жертве вопросы о политиках и программном обеспечении в компании, заставлять жертву открывать вредоносные ссылки и вложения. Если у жертвы не получается запустить вредоносный файл, то ему могут дать инструкцию по дальнейшим действиям.
Использование белых списков приложений, систем предотвращения сетевых вторжений (IDS) и антивирусов. Рекомендации по защите: Блокирование доступа к социальным сетям, сервисам личной электронной почты и т.п. Обучение пользователей правилам антифишинга.
Возможные векторы атак:
— Манипуляции с инструментами и средами разработки ПО;
— Работа с репозиториями исходного кода;
— Манипуляции с механизмами обновления и распространения ПО;
— Компрометация и заражение образов ОС;
— Модификация легального ПО;
— Продажа модифицированной/контрафактной продукции законным дистрибьютером;
— Перехват на этапе отгрузки.
Как правило, злоумышленники сосредотачиваются на внедрении вредоносных компонентов в каналах распространения и обновления программного обеспечения. Компрометация цепи поставок (Supply Chain Compromise)
Описание: Сценарий предполагает внедрение в программное обеспечение и компьютерное оборудование всевозможных эксплойтов, бэкдоров и других хакерских инструментов на этапе поставок в атакуемую компанию программного обеспечения и компьютерного оборудования.
Использование процедур контроля целостности двоичных файлов ПО, антивирусное сканирование дистрибутивов, тестирование ПО и обновлений перед развертыванием, физический осмотр закупаемого оборудования, носителей с дистрибутивами ПО и сопроводительной документации с целью обнаружения фальсификаций. Рекомендации по защите: Применение системы управления рисками в цепях поставок (SCRM) и системы управления жизненным циклом разработки ПО (SDLC).
Зачастую, для связи с доверенной третьей стороной компании используют менее защищенное сетевое соединение, чем стандартный доступ в компанию из вне. Доверительные отношения (Trusted Relationship)
Описание: Злоумышленники могут использовать организации, которые имеют доступ к инфраструктуре предполагаемой жертвы. Так же учетные записи, используемые доверенной стороной для доступа в сеть компании, могут быть скомпрометированы и использоваться для первоначального доступа. Примеры доверенных третьих сторон: подрядчики ИТ-услуг, поставщики услуг безопасности, инфраструктурные подрядчики.
Управление учетными
записями и разрешениями, используемыми сторонами доверительных отношений. Рекомендации по защите: Сегментация сети и изоляция критичных компонентов инфраструктуры, не требующих широкого доступа из вне. Мониторинг деятельности, осуществляемой сторонними поставщиками и доверенными лицами. Проверка политик безопасности и процедур организаций, работающих по контракту и требующих привилегированного доступа.
Скомпрометированные учетные данные могут использоваться для обхода систем управления доступом и получения доступа к удаленным системам и внешним службам, таким как VPN, OWA, удаленный рабочий стол или получения повышенных привилегий в определенных системах и областях сети. Валидные учетные записи (Valid Accounts)
Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетную запись службы с помощью техник доступа к учетным данным, захватить учетные данные в процессе разведки с помощью социальной инженерии. Так же злоумышленники могут создавать учетные записи используя заранее определенные имена и пароли для сохранения резервного доступа в случае неудачных попыток использования других средств.
Рекомендации по защите: Применение парольной политики, следование рекомендациям по проектированию и администрированию корпоративной сети для ограничения использования привилегированных учетных записей на всех административных уровнях. В случае успешной реализации сценария злоумышленники могут отказаться от
вредоносных программ, чтобы затруднить своё обнаружение. Мониторинг активности учетных записей с помощью SIEM-систем. Регулярные проверки доменных, локальных учетных записей и их прав с целью выявления тех, которые могут позволить злоумышленнику получить широкий доступ.
В следующей публикации будут рассмотрены тактики, применяемые на стадии Выполнение кода (Execution).
