на какие этапы можно поделить атаку по матрице mitre
Mitre Att&ck
Mitre Att&ck (Adversarial Tactics, Techniques & Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках») — основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками.
Базу Mitre Att&ck компания Mitre создала в 2013 году. Цель проекта — составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
Матрицы Mitre Att&ck
Информация в базе знаний Mitre Att&ck представлена в виде матриц. Каждая матрица представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам киберпреступников, то есть основным этапам кибератаки или подготовки к ней, а содержимое ячеек — методикам реализации этих тактик, или техникам. Так, если сбор данных согласно Mitre Att&ck — это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей, — это техники.
Матрицы Mitre Att&ck объединены в четыре группы:
Помимо матриц, в базе знаний Mitre Att&ck доступны перечни техник, которыми пользуются известные APT-группировки, а также списки вредоносного инструментария этих группировок. Кроме того, на сайте Mitre Att&ck представлены основные методы укрепления защиты организации.
Применение Mitre Att&ck
Специалисты по информационной безопасности используют матрицы Mitre Att&ck для решения следующих задач:
Публикации на схожие темы
Предприятие с изолированной подсетью: что может пойти не так?
Киберпанк 2021: CD Projekt атаковали вымогатели
Насколько неуязвим Linux?
Эксплуатация уязвимости CVE-2021-40444 в MSHTML
Развитие информационных угроз во втором квартале 2021 года
Играют ли киберпреступники в киберигры на карантине? Год спустя
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1
Первоначальный доступ к мобильному устройству (Initial Access)
Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые злоумышленниками на каждом этапе цепочки атаки на мобильные устройства.
Под катом — основные векторы компрометации мобильных устройств, направленные на получение злоумышленником «присутствия» в атакуемой системе.
Автор не несет ответственности за возможные последствия применения изложенной в статье информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Публикуемая информация является свободным пересказом содержания ATT@CK Mobile Matrices: Device Access.
Доставка вредоносного приложения через авторизованный магазин приложений (Deliver Malicious App via Authorized App Store)
Платформа: Android, iOS
Описание: Вредоносные приложения являются самым распространенным способом «присутствия» злоумышленника на мобильных устройствах. Мобильные ОС часто настроены на установку приложений только из авторизованных магазинов (Google Play Store или Apple App Store), поэтому противник может пытаться разместить своё вредоносное приложение в авторизованном магазине приложений.
Магазины приложений обычно требуют регистрации разработчика и имеют средства для выявления вредоносных приложений, однако противники могут использовать некоторые способы обхода защиты магазинов:
Кроме того, противники могут также использователь скомпрометированные учетные записи пользователей Google для использования возможностей удаленной установки приложений на android-устройства, связанные с контролируемой учетной записью Google (с помощью данной техники можно удаленно установить только приложения из Google Play Store).
Рекомендации по защите: В корпоративной среде рекомендуется организация проверок приложений на наличие уязвимостей и нежелательных действий (злонамеренных или нарушающих конфиденциальность), внедрение политик ограничения установки приложений или политик «Bring Your Own Device (BYOD)» (принеси свое собственное устройство), которые накладывают ограничения только на контролируемую предприятием часть устройства. Обучение, тренинги и руководства для пользователей, помогут поддержать определенную конфигурацию корпоративных устройств, а иногда даже предотвратить конкретные рискованные действия пользователя.
Системы EMM/MDM или иные решения для защиты мобильных устройств могут определять наличие нежелательных или вредоносных приложений на корпоративных устройствах в автоматическом режиме. Разработчики ПО обычно имеют возможность сканирования магазинов приложений на наличие неавторизованных приложений, которые были отправлены с использованием их идентификатора разработчика.
Доставка вредоносного приложения с помощью иных средств (Deliver Malicious App via Other Means)
Платформа: Android, iOS
Описание: Несмотря на возможный запрет установки приложений из сторонних источников на целевом устройстве противник может целенаправленно избегать размещения вредоносного приложения в авторизованных магазинах приложений, чтобы снизить риск потенциального обнаружения.
Альтернативные способы доставки приложений:
Рекомендации по защите: В iOS активация параметров allowEnterpriseAppTrust и allowEnterpriseAppTrustModification запретит пользователям установку приложений, подписанных Enterprise distribution key.
iOS версии 9 и выше требует явного согласия пользователя на установку подписанного Enterprise distribution key приложения не из AppStore, поэтому пользователей следует обучить не соглашаться на установку приложения, если они не уверены в источнике распространения приложения.
На Android, для установки приложений из сторонних источников должен быть включен параметр «Unknown Sources» (неизвестные источники), поэтому пользователей следует обучить активации и контролю данного параметра.
EMM/MDM или иные решения для защиты мобильных устройств могут идентифицировать наличие приложений, установленных из сторонних источников, выявлять устройства Android, на которых разрешена установка приложений из сторонних источников, определять наличие пакетов приложений Android или iOS в сообщениях электронной почты.
Теневая загрузка вредоносного контента (Drive-by Compromise)
Платформа: Android, iOS
Описание: Противник может получить доступ к мобильной системе посредством скрытой загрузки кода, которая выполняется во время посещения пользователем веб-сайта, контролируемого злоумышленником. Реализация этой техники требует наличие в веб-браузере пользователя соответствующей уязвимости. Например, веб-сайт может содержать вредоносный медиа-контент, предназначенный для эксплуатации уязвимости Stagefright в Android.
Рекомендации по защите: Приобретение устройств у поставщиков или операторов мобильной связи, гарантирующих оперативное предоставление обновлений безопасности. Следует прекратить использование уязвимых устройств, которые не получают обновления безопасности по причине окончания срока поддержки.
В корпоративной среде рекомендуется ограничение и блокирование доступа к корпоративным ресурсам с мобильных устройств на которых не установлены последние обновления безопасности. Доступ с устройств Android может контролироваться на основе наличия исправлений. Доступ с устройств iOS можно контролировать на основе версии ОС.
Рекомендуется использование только последних версий мобильных ОС, которые, как правило, содержат не только исправления, но и имеют улучшенную архитектуру безопасности, обеспечивающую устойчивость к ранее необнаруженным уязвимостям.
Эксплуатация уязвимости через зарядную станцию или ПК (Exploit via Charging Station or PC)
Платформа: Android, iOS
Описание: Мобильное устройство может быть подключено (обычно через USB) к скомпрометированным зарядной станции или ПК, с помощью которых противник может попытаться получить доступ к устройству.
Известные демонстрации успешных атак:
Рекомендации по защите: Корпоративные политики безопасности должны препятствовать включению отладки USB на устройствах Android (если это не требуется, например, когда устройство используется для разработки приложений). На устройствах, которые предоставляют возможность разблокировать загрузчик, позволяя модифицировать прошивку, необходимы периодические проверки фактической блокировки загрузчика.
Не рекомендуется использовать общественные зарядные станции или компьютеры для зарядки своих устройств. Выдавайте пользователям зарядные устройства, приобретенные у надежного поставщика. Пользователям не рекомендуется добавлять доверенные устройства, если на это нет необходимости.
Эксплуатация уязвимостей через радио-интерфейсы (Exploit via Radio Interfaces)
Описание: Эксплуатация уязвимостей может происходить через интерфейс сотовой связи или другие радиоинтерфейсы.
Эксплойты базовой полосы
Сообщение, отправленное на мобильное устройство через радиоинтерфейс (обычно сотовый, но может быть и bluetooth, GPS, NFC, Wi-Fi и т.п.) может использовать уязвимости в коде, обрабатывающем полученное сообщение (например, уязвимость в Samsung S6).
SMS может содержать контент, предназначенный для эксплуатации уязвимостей анализатора SMS на принимающем устройстве. SMS также может содержать ссылку на веб-сайт, содержащий вредоносное содержимое. Уязвимые SIM-карты могут удаленно эксплуатироваться и перепрограммироваться с помощью SMS-сообщений.
Рекомендации по защите: Приобретение устройств у поставщиков или операторов мобильной связи, гарантирующих оперативное предоставление обновлений безопасности. Следует прекратить использование уязвимых устройств, которые не получают обновления безопасности по причине окончания срока поддержки.
В корпоративной среде рекомендуется ограничение и блокирование доступа к корпоративным ресурсам с мобильных устройств на которых не установлены последние обновления безопасности. Доступ с устройств Android может контролироваться на основе наличия исправлений. Доступ с устройств iOS можно контролировать на основе версии ОС.
Рекомендуется использование только последних версий мобильных ОС, которые, как правило, содержат не только исправления, но и имеют улучшенную архитектуру безопасности, обеспечивающую устойчивость к ранее необнаруженным уязвимостям.
Установка небезопасной или вредоносной конфигурации (Install Insecure or Malicious Configuration)
Платформа: Android, iOS
Описание: Противник может попытаться установить на мобильное устройство небезопасную или вредоносную конфигурацию с помощью фишингового письма или текстового сообщения, содержащего файл конфигурации в виде вложения или веб-ссылку на параметры конфигурации. В ходе установки параметров конфигурации пользователь может быть обманут с помощью методов социальной инженерии. Например, нежелательный сертификат центра сертификации (CA) может быть помещен в хранилище доверенных сертификатов устройства, что повышает восприимчивость устройства к атакам типа «человек по середине».
В iOS вредоносные профили конфигурации могут содержать нежелательные сертификаты Центра сертификации (CA) или другие небезопасные параметры, такие как адрес нежелательного прокси или VPN-сервера для маршрутизации трафика устройства через систему злоумышленника. Устройство также может быть зарегистрировано во вражеской системе управления мобильными устройствами (MDM).
Рекомендации по защите: В iOS 10.3 и выше добавлен дополнительный шаг, требующий действия пользователя для установки новых доверенных сертификатов CA. На Android, приложения, совместимые с Android 7 и выше (уровень API 24), по умолчанию доверяют только сертификатам CA, поставляемым с ОС, а не добавленным пользователем или администратором, что в целом снижает восприимчивость ОС к атакам типа «человек по середине».
Как правило, небезопасные или вредоносные параметры конфигурации не устанавливаются без согласия пользователя, поэтому пользователи должны знать, что не следует устанавливать непредвиденные параметры конфигурации (сертификаты CA, профили конфигурации iOS, установка подключения к MDM).
На Android, пользователь может просматривать доверенные сертификаты CA через настройки устройства с целью выявления подозрительных сертификатов. Корпоративные системы защиты мобильных устройств могут аналогичным образом проверять хранилище сертификатов на наличие аномалий в автоматическом режиме.
На iOS, пользователь может просматривать установленные профили конфигурации через настройки устройства и выявлять подозрительные профили. Аналогично и MDM-системы могут использовать API iOS MDM для проверки списков установленных профилей на наличие аномалий.
Обход блокировки экрана (Lockscreen Bypass)
Платформа: Android, iOS
Описание: Имея физический доступ к мобильному устройству противник может попытаться обойти экран блокировки устройства.
Противник может попытаться обмануть механизм биометрической аутентификации. iOS частично смягчает эту атаку, требуя пароль устройства, а не отпечаток пальца, после каждой перезагрузки и через 48 часов после последней разблокировки. Android имеет аналогичные механизмы защиты.
Угадывание кода разблокировки или простой перебор
Противник может пытаться перебором или каким-либо иным способом угадать код доступа, включая физическое наблюдение (sohulder surfing) во время использования пользователем устройства.
Иные эксплойты экрана блокировки
На Android 5 и iOS 6 и других мобильных устройствах периодически демонстрируются способы использования уязвимостей, позволяющих обойти экран блокировки. Уязвимости обычно исправляются компанией-разработчиком устройства или ОС, как только они узнают об их существовании.
Рекомендации по защите: Корпоративные политики безопасности мобильных устройств должны предъявлять требования к сложности пароля на устройстве. Корпоративная политика может включать автоматическое уничтожение всех данных на устройстве при многократном вводе неверного пароля. Обе эти политики направлены на предотвращение брутфорс-атак, угадывания или «подсматривания» кода доступа.
При необходимости, корпоративная политика так же может запрещать биометрическую аутентификацию. Однако, биометрическая аутентификация более удобна, чем использование длинного, сложного кода доступа, потому что его не придется вводить каждый раз.
Рекомендуется обязательная установка обновлений безопасности и использование последних версий мобильных ОС.
Переупакованные приложения (Repackaged Application)
Платформа: Android, iOS
Описание: Противник может загрузить приложение, дизассемблировать его, добавить вредоносный код, а затем снова повторно собрать (пример). Пересобранное приложение будет выглядеть как оригинальное, но содержать дополнительные вредоносные функции. Затем такое приложение может быть опубликовано в магазинах приложений или доставлено на устройство с помощью других техник.
Рекомендации по защите: Установка приложений только из авторизованных магазинов, которые с меньшей вероятностью содержат вредоносные переупакованные приложения.
Системы EMM/MDM и другие средства защиты мобильных приложений корпоративного уровня могут определять наличие нежелательных, неизвестных, небезопасных или вредоносных приложений на устройствах в автоматическом режиме.
Компрометация цепочки поставок (Supply Chain Compromise)
Платформа: Android, iOS
Описание: Компрометация цепочки поставок — это модификация программного продукта и механизмов доставки продукта до их получения потребителем с целью компрометации данных или системы. Противники могут использовать непреднамеренные уязвимости, поэтому во многих случаях трудно определить является уязвимая функциональность следствием злонамеренной или непреднамеренной ошибки.
Выявление уязвимостей в сторонних библиотеках ПО
Сторонние библиотеки, включенные в мобильные приложения, могут содержать вредоносный код, нарушающий конфиденциальность или создающий уязвимости. Известны примеры выявления уязвимостей и проблем безопасности в библиотеках мобильной рекламы.
Распространение вредоносных инструментов разработки ПО
Как продемонстрировала атака XcodeGhost, разработчики приложений могут использовать модифицированные версии инструментов разработки ПО (например, компиляторы), которые автоматически внедряют в приложение вредоносный код или уязвимость.
Рекомендации по защите: Небезопасные сторонние библиотеки могут быть обнаружены различными методами проверки приложений. Например, программа улучшения безопасности приложений Google обнаруживает использование сторонних библиотек с известными уязвимостями в приложениях Android, представленных в магазине Google Play. Средства разработки вредоносного ПО и модифицированные инструменты разработчиков ПО могут быть обнаружены с помощью систем контроля целостности файлов на компьютерах разработчиков.
Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK, часть 3
В предыдущих постах (первая и вторая части) мы рассмотрели техники пяти тактик MITRE ATT&CK:
Получение учетных данных (credential access)
Эта тактика включает в себя техники, нацеленные на кражу данных, которые можно использовать для аутентификации (например, имена пользователей и пароли). Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать больше записей с целью закрепления и усложняет обнаружение присутствия злоумышленников в сети.
Ниже четыре техники, которые можно выявить по подозрительной активности в трафике.
1. T1110: brute force
Техника получения доступа к сервисам при помощи методов перебора, когда неизвестны или частично известны учетные данные. Обычно подбирают логины, пароли или хеш-суммы паролей.
Что делает PT Network Attack Discovery (PT NAD): в автоматическом режиме обнаруживает признаки подбора паролей при аутентификации по протоколам LDAP, Kerberos, SMB, SSH, SMTP, POP3, POP3S, IMAP, IMAPS, FTP. Кроме того, выявляет попытки подбора учетных данных к популярным веб-сервисам, таким как phpMyAdmin, Joomla, WordPress, Drupal, Confluence, MySQL, Tomcat. Такие атаки порождают большое количество неуспешных попыток аутентификации, что видно в трафике.
2. T1003: credential dumping
Получение учетных данных (обычно хеша или открытого пароля) из операционных систем или ПО. Эту технику мы рассмотрим подробнее для демонстрации ее выявления в трафике.
Что делает PT NAD: пример обнаружения
PT NAD зафиксировал обращения к реестру контроллера домена с помощью хакерской утилиты secretsdump, основанной на модулях библиотеки Impacket. Основная задача утилиты — получение хешей паролей пользователей. С ее помощью злоумышленники аутентифицируются на контроллере домена через протокол SMB, подключаются к диспетчеру управления службами (Service Control Manager, SCM), далее по протоколу WINREG подключаются к удаленному реестру и копируют необходимые данные в локальный файл. После чего файл скачивают на свой сетевой узел через SMB.
Выявление запроса к ключу реестра LSA, в котором находятся хеши паролей доменных пользователей
В этой же сессии, где PT NAD зафиксировал обращение к реестру контроллера домена, передавались те самые файлы, в которые утилита secretsdump сохранила важную информацию из реестра контроллера домена. По названиям сработавших правил в интерфейсе PT NAD видно, что злоумышленники заполучили хеши паролей доменных пользователей из LSA и локальных — из SAM:
В карточке сессии отражаются файлы, которые злоумышленникам удалось скачать
3. T1212: exploitation for credential access
Техника получения атакующим доступа к учетным данным в результате эксплуатации уязвимостей в ПО.
Что делает PT NAD: видит в трафике эксплуатацию многих уязвимостей. Например, уязвимость MS14-068 может использоваться для подделки билетов Kerberos. Злоумышленник запрашивает билет специального вида (TGT, Ticket Granted Ticket), добавляет себя в привилегированную группу и модифицирует этот билет так, чтобы уязвимый контроллер домена признал его валидным. PT NAD выявляет запросы таких билетов.
4. T1208: kerberoasting
Метод извлечения служебных учетных записей из Active Directory от имени обычного пользователя. Любой пользователь домена может запросить билет Kerberos для доступа к сервису в Active Directory (Ticket Granting Service). TGS зашифрован хешем пароля учетной записи, от которой запущен целевой сервис. Злоумышленник, получив таким образом TGS, теперь может расшифровать его, подбирая пароль и не боясь блокировки, поскольку делает это офлайн. В случае успеха он получает пароль от связанной с сервисом учетной записи, которая зачастую бывает привилегированной.
Что делает PT NAD: фиксирует запросы на перечисление сервисов в Active Directory, которые могут стать целями для атаки. Данный этап необходим злоумышленникам, чтобы выбрать сервис для атаки, и предшествует запросу TGS-билета и подбору офлайн. Также PT NAD автоматически выявляет запросы TGS-билетов, зашифрованных алгоритмом RC4, — это один из признаков проведения атаки Kerberoasting.
Разведка (discovery)
Закрепившись и получив доступ к системе, злоумышленникам нужно понять, где в инфраструктуре они находятся, что их окружает, что они могут контролировать. Во время разведки атакующие собирают данные о системе и внутренней сети, что помогает сориентироваться в инфраструктуре и решить, как действовать дальше. Для этого зачастую используются встроенные инструменты операционных систем.
Анализ трафика позволяет выявить применение десяти техник разведки.
1. T1087: account discovery
Попытка получить список учетных записей локальной системы или домена.
Что делает PT NAD: пример обнаружения
Атакующие попытались получить информацию от контроллера домена о доменных учетных записях по LDAP — облегченному протоколу доступа к каталогам. PT NAD обнаружил LDAP-запрос. Такой способ получения доменных учетных записей может относиться как к технике T1087 (account discovery), так и к T1069 (permission groups discovery).
Попытка разведки с целью получить информацию о доменных аккаунтах через протокол LDAP
2. T1482: domain trust discovery
Поиск информации о доверительных отношениях домена. Такие отношения злоумышленники используют для горизонтального перемещения в мультидоменных инфраструктурах.
Что делает PT NAD: список доверительных отношений между доменами можно получить с помощью RPC- и LDAP-запросов. PT NAD автоматически детектирует попытки перечисления отношений доверия между доменами с помощью протокола LDAP и RPC-вызова EnumTrustDom.
3. T1046: network service scanning
Попытка получить список служб, запущенных на удаленных сетевых узлах. Это возможно с помощью установленных инструментов сканирования портов и уязвимостей.
Что делает PT NAD: обнаруживает признаки работы инструментов сканирования портов и уязвимостей (например, утилиты Nmap), а также нестандартные запросы к известным портам.
4. T1135: network share discovery
Поиск общих сетевых дисков и папок, которые позволяют получить доступ к файловым каталогам в различных системах сети.
Что делает PT NAD: выявляет запрос списка общих сетевых дисков и папок на удаленной машине.
5. T1201: password policy discovery
Техника, с помощью которой злоумышленник ищет информацию о парольной политике в инфраструктуре компании. Например, политикой может быть установлена минимальная длина пароля и количество разрешенных неудачных попыток аутентификации. Знание количества символов поможет атакующим составить список подходящих распространенных паролей, запустить подбор пароля по словарю или с помощью полного перебора (T1110: brute force).
Что делает PT NAD: автоматически обнаруживает запросы о парольной политике по протоколу SAMR.
6. T1069: permission groups discovery
С помощью этой техники атакующие пытаются найти локальные или доменные группы и настройки их доступа. Такая информация может использоваться злоумышленниками при выборе цели для атаки.
Что делает PT NAD: автоматически выявляет попытки получения информации о доменных группах по протоколам LDAP и SAMR. Пример выявления этой техники представлен на скриншоте выше.
7. T1018: remote system discovery
Техника, при которой атакующие пытаются получить список систем в атакуемой сети с помощью систем удаленного доступа или встроенных системных утилит. Это возможно по IP-адресу, имени хоста или другому идентификатору, который в дальнейшем может использоваться для горизонтального перемещения по сети из текущей системы.
Что делает PT NAD: видит запросы списков контроллеров домена, рабочих станций и серверов, SPN (Service Principle Name).
8. T1063: security software discovery
Техника, при которой злоумышленники пытаются получить информацию об установленных системах защиты, их конфигурации и сенсорах. Один из способов получения такого списка — через DCE/RPC-запросы.
Что делает PT NAD: видит DCE/RPC-запросы. Пользователь системы может найти все сессии с этими запросами и обнаружить попытки удаленного получения информации о средствах защиты.
9. T1033: system owner/user discovery
При реализации этой техники атакующие могут идентифицировать основного пользователя системы, текущего залогиненного пользователя, группу пользователей, которые обычно используют систему, и определить насколько активно система используется.
Что делает PT NAD: злоумышленники могут получить список активных сессий пользователей на удаленном узле с помощью запросов по протоколу SRVSVC. PT NAD автоматически обнаруживает такие запросы.
10. T1007: system service discovery
Поиск злоумышленниками информации о зарегистрированных службах.
Что делает PT NAD: такую информацию атакующие могут получить с помощью сетевых запросов DCE/RPC. PT NAD в автоматическом режиме выявляет обращения к Service Control Manager (SCM) по протоколу DCE/RPC, в том числе команды по получению списка служб на удаленном сетевом узле и статус их активности.
Вместо заключения
Напоминаем, что полный маппинг PT NAD на матрицу MITRE ATT&CK опубликован на Хабре.
В следующих материалах мы расскажем про остальные тактики и техники хакеров и о том, как их помогает выявлять NTA-система PT Network Attack Discovery. Оставайтесь с нами!
В период дистанционной работы мы хотим оставаться рядом с коллегами, партнерами, заказчиками и просто друзьями. Поэтому мы стираем расстояния и запускаем наше онлайн-ТВ на YouTube. Канал «ИБшник на удаленке» выходит в эфир в 18:00 каждый понедельник, среду и пятницу.
Специалисты Positive Technologies и приглашенные эксперты обсуждают вопросы ИБ, будущее технологий и образование, здоровый образ жизни и многое другое. Подписывайтесь на наш канал на YouTube, чтобы не пропустить новые выпуски и посмотреть записи прошедших эфиров (1, 2, 3, 4, 5).