Emulacja zagrożenia cybernetycznego

https://chacker.pl/

Kiedy już wiesz, jak działa przeciwnik, możesz emulować jego TTP i określić, czy (1) Twoje czujniki są prawidłowo ustawione i wykrywają to, co powinny wykryć oraz (2) czy Twoje możliwości monitorowania incydentów są „aktywne” i czy procedury reagowania są odpowiednie . Na przykład, jeśli stwierdzisz, że APT28 stanowi zagrożenie dla Twojej organizacji ze względu na jej zainteresowanie Twoją branżą, możesz zastosować procedury określone dla tego APT i przeprowadzić kontrolowane ćwiczenie, aby ocenić zdolność Twojej organizacji do zapobiegania, wykrywania i przeciwstawiania się atak tego APT. W ten sposób emulacja zagrożeń cybernetycznych (CTE) skutecznie mierzy skuteczność i utrzymuje czujność funkcji bezpieczeństwa obronnego. Jednym ze skutecznych narzędzi w tym zakresie jest narzędzie Atomic Red Team firmy Red Canary.

PRZESTROGA: Przed ich wykonaniem należy skoordynować ćwiczenia dotyczące zagrożeń cybernetycznych ze swoim szefem. Zostałeś ostrzeżony! Jeśli masz centrum operacji bezpieczeństwa (SOC), możesz także chcieć skoordynować działania z liderem tej organizacji, ale zaleca się, aby analitycy nie wiedzieli, że ćwiczenie ma miejsce, ponieważ ich reakcja jest częścią testu.

Struktura MITRE ATT&CK

https://chacker.pl/

Teraz, gdy masz już podstawową wiedzę na temat ataków APT i łańcucha cyberzabójstw, czas omówić strukturę MITRE ATT&CK. Struktura MITRE ATT&CK sięga głębiej niż Cyber Kill Chain i pozwala nam dotrzeć do podstawowych taktyk, technik i procedur (TTP) atakującego, a tym samym uzyskać bardziej szczegółowe podejście do udaremnienia atakującego na poziomie TTP. Jak stwierdziła Katie Nickels, kierownik ds. analizy zagrożeń w MITRE32, ramy te stanowią „bazę wiedzy na temat zachowań przeciwnika”. Struktura jest zorganizowana z taktyką u góry, która, jak możesz zauważyć, zawiera niektóre etapy łańcucha Cyber Kill Chain, ale wiele innych. Następnie techniki są przedstawione w ramach każdej taktyki i zostały skrócone dla zwięzłości na pokazanej tutaj ilustracji.

UWAGA : Chociaż przykładowe procedury są powiązane z podtechnikami, ramy ATT&CK nie zawierają wyczerpującej listy procedur i nie są takie zamierzone. Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące witryny. Procedury przedstawiają odmiany technik znanych ze stosowania APT i są powiązane ze stronami poświęconymi technikom. Na przykład w przypadku techniki Spear Phishing załączników (T1566.001) grupa APT19 wysyła formaty RTF i XLSM w celu dostarczenia początkowych exploitów. Framework jest często aktualizowany i udostępniane są nowe wersje. Aktualną listę znajdziesz na stronie internetowej.

Kierunki działań w przypadku łańcucha cyberzabójstw

https://chacker.pl/

W każdej fazie łańcucha cyberzabijania istnieją metody radzenia sobie z aktywnym atakiem i przerywania łańcucha cyberzabijania przeciwnika, co omówiono poniżej.

Wykrycie

W każdej fazie możesz wykryć atakującego, ale często łatwiej jest wykryć atak w jego początkowej fazie. Im dalej atakujący wnika w sieć, tym bardziej zaczyna wyglądać jak zwykły użytkownik i tym trudniej go wykryć. Jest tu jeden znaczący wyjątek – metoda „oszukiwania”, którą omówimy za chwilę.

Zaprzeczenie

Skuteczną metodą rozprawienia się z atakującym jest „odmowa” mu dostępu do wrażliwych zasobów. Okazuje się to jednak trudniejsze, niż się wydaje. Ponownie, jeśli osoba atakująca po prostu wykorzystuje odkrytą lukę, która na przykład omija wbudowane mechanizmy kontroli dostępu, odmowa dostępu do tego systemu może nie być możliwa, szczególnie jeśli jest on podłączony do Internetu. Jednak w przypadku systemów wtórnych dalsza segmentacja sieci i dostęp należy zastosować mechanizmy kontrolne, aby odeprzeć atakującego. Na skrajnym krańcu tej obrony znajduje się rozwiązanie Zero Trust, które staje się popularne i, jeśli zostanie właściwie wdrożone, znacznie ulepszy tę metodę.

Zakłócanie

Zakłócenie działania atakującego wiąże się ze zwiększeniem jego kosztów poprzez nowe formy programów antywirusowych lub aktualizacje systemu operacyjnego, które wprowadzają nowe formy ochrony pamięci, takie jak zapobieganie wykonywaniu danych (DEP), randomizacja układu przestrzeni adresowej (ASLR) i Stack Canaries. Wraz z ewolucją atakującego powinniśmy ewoluować także my, obrońcy. Jest to szczególnie ważne w przypadku systemów zewnętrznych, ale nie możemy na tym poprzestać: wszystkie systemy i wewnętrzne segmenty sieci należy uznać za podatne na ataki i zastosować metody zakłócające działanie atakującego, spowalniając go i kupując cenny czas na ich wykrycie.

Degradowanie

Zdegradowanie atakującego oznacza ograniczenie jego możliwości odniesienia sukcesu. Na przykład możesz ograniczyć dane wychodzące powyżej pewnego progu, aby ograniczyć eksfiltrację. Co więcej, możesz blokować cały ruch wychodzący, z wyjątkiem zatwierdzonych i uwierzytelnionych serwerów proxy, co może dać ci czas na wykrycie takich prób, zanim osoba atakująca to wykryje i użyje tych serwerów proxy.

Zwodzenie

Oszukiwanie wroga jest znowu tak stare jak sama wojna. Jest to podstawowy element operacji cybernetycznych i jest najskuteczniejszy dla atakującego, który przedarł się przez wszystkie inne zabezpieczenia, ale czai się i węszy w sieci wewnętrznej. Istnieje nadzieja, że osoba atakująca nadepnie na jedną z cyfrowych pułapek na myszy (tj. Honeypotów), które uruchomiłeś w celu wykrycia tego właśnie działania.

Zniszczenie

Jeśli nie pracujesz dla sił cybernetycznych na poziomie państwa, prawdopodobnie nie będziesz w stanie „włamać się”. Możesz jednak zniszczyć przyczółek atakującego we własnej sieci, gdy zostanie on wykryty. W tym miejscu mała uwaga: będziesz musiał dokładnie zaplanować i upewnić się, że wyciągniesz atakującego z korzeniami; w przeciwnym razie możesz rozpocząć niebezpieczną grę w chowanego, co rozgniewa atakującego, który może znajdować się w Twojej sieci głębiej, niż początkowo sądziłeś.

Działania na cele

https://chacker.pl/

Wreszcie, po całym tym wysiłku, który może zająć tylko sekundy, przeciwnik wykona działania na celach, co jest również wyrażeniem ilitarycznym, co oznacza: ukończ misję, ukończ zadanie, które miałeś do wykonania. Często wiąże się to z poruszaniem się po całej organizacji, odkrywaniem poufnych informacji, zdobywaniem przywilejów administracyjnych przedsiębiorstwa, ustanawianiem większej liczby form trwałości i dostępu, a ostatecznie eksfiltracją wrażliwych danych, wymuszeniami za pomocą oprogramowania ransomware, wydobywaniem bitcoinów lub innym motywem zysku

Dowodzenie i kontrola (C2)

https://chacker.pl/

Po wykonaniu dodatkowego ładunku osoba atakująca zwykle będzie dysponować jakąś formą dowodzenia i kontroli (C2), co jest wojskowym zwrotem, dzięki któremu atakujący może kierować działaniami narzędzia zdalnego dostępu (RAT) lub struktury ataku. Może to być prosta forma komunikacji, która może spać przez jeden dzień (lub dłużej), a następnie budzi się i dzwoni do domu, sprawdzając polecenia do wykonania. Co więcej, ten C2 może wykorzystywać bardziej wyrafinowany schemat tunelowania przez typowy ruch, niestandardowe szyfrowanie lub protokoły komunikacyjne.

Eksploatacja

https://chacker.pl/

Podczas tej fazy cyberbroń zostaje zdetonowana i w jakiś sposób wykonywana przez „pomocnego” użytkownika lub automatycznie przez aplikację, taką jak klient poczty e-mail lub wtyczka do przeglądarki internetowej. W tym momencie kod atakującego jest wykonywany na hoście docelowym. W przypadku bezpośredniego ataku na port lub usługę faza dostawy i eksploatacji jest taka sama. Instalacja Podczas tej fazy osoba atakująca zwykle wykonuje dwie akcje (1) zyskuje trwałość oraz (2) pobiera i wykonuje dodatkowy ładunek. Jeśli chodzi o trwałość, najgorszą rzeczą, jaka może przytrafić się atakującemu na tym etapie, jest zamknięcie przez użytkownika aplikacji, w której działa złośliwy kod, lub w najgorszym przypadku ponowne uruchomienie komputera, zrywając wszystkie połączenia. Dlatego pierwszą intencją przeciwnika jest szybkie zdobycie jakiejś formy wytrwałości. Ten dodatkowy ładunek jest zwykle wymagany, ponieważ główny ładunek musi być mały, unikać działania programów antywirusowych i często musi mieścić się w dokumencie przewoźnika lub pliku. Jednakże ten dodatkowy ładunek może mieć znacznie większy rozmiar i może być wykonywany w całości w pamięci, co dodatkowo omija wiele technologii antywirusowych. Dodatkowy ładunek może zawierać standardową i łatwo dostępną platformę ataku, taką jak trojan dostępu zdalnego (RAT). Niektórzy napastnicy zaczęli nawet wykorzystywać przeciwko nam nasze własne narzędzia, takie jak Metasploit.

Dostawa

https://chacker.pl/

Na tej fazie ataku osoba atakująca wysyła exploit i ładunek do celu, aby wykorzystać wykrytą lukę. Może to obejmować wykorzystanie wykrytej luki w zabezpieczeniach sieci lub poczty e-mail lub być może otwartego interfejsu API. Niestety często istnieją prostsze sposoby na dostanie się do przedsiębiorstwa, takie jak prosty atak phishingowy, który mimo miliardów dolarów na szkolenia i podnoszenie świadomości nadal jest skuteczny. Można tu również zastosować inne formy ataków socjotechnicznych.

Uzbrojenie

https://chacker.pl/

Uzbrojenie polega na tworzeniu lub selekcji istniejących exploitów w celu wykorzystania luk w zabezpieczeniach wykrytych podczas fazy rozpoznania. Zwykle APT nie musi robić nic nadzwyczajnego ani używać wartości 0-day na tym etapie ataku. Zwykle istnieją niezałatane, publicznie znane luki, które można wykorzystać. Jednak w rzadkich przypadkach przeciwnik może stworzyć specjalny exploit dla niestandardowego ładunku zawierającego trojana lub inne tylne drzwi, który zapewnia polecenie i kontrolę oraz dalsze funkcjonalności, zgodnie z potrzebami.

Rekonesans

https://chacker.pl/

Rekonesans to kroki podejmowane przez przeciwnika przed atakiem. Często obejmują techniki zarówno pasywne, jak i aktywne. Techniki pasywne są stosowane bez wysyłania pakietu do celu ataku, zamiast tego metadane są gromadzone pośrednio, za pośrednictwem dokumentów publicznych, źródeł publicznych, wyszukiwarek i buforowanych archiwów internetowych. Z drugiej strony aktywny rekonesans obejmuje interakcję ze stroną internetową celu, otwartymi interfejsami i może nawet obejmować skanowanie (wyliczanie) portów i usług oraz interfejsów API oraz skanowanie podatności na zagrożenia.