Hacking for all!

https://chacker.pl/

Jak pamiętasz, na szczycie piramidy bólu znajduje się TTP przeciwnika. Zachowanie przeciwnika jest najtrudniejszą rzeczą do odkrycia. Dobra wiadomość jest taka, że ​​przeciwnicy często powtarzają to, co działa, i to właśnie powtarzanie daje nam wskazówkę, czego szukać w przypadku danej grupy przeciwników. Struktura MITRE ATT&CK to zbiór wielu znanych (publicznych) TTP i została nawet wykorzystana do wskazania działań niektórych grup zaawansowanych trwałych zagrożeń (APT). Wykorzystując ten framework jako źródło, możemy użyć naszej wyobraźni i zbudować hipotezę dotyczącą działań przeciwnika w sieci. Następnie można przetestować wszelkie hipotezy; najpierw upewniając się, że mamy odpowiednie źródła danych, aby zobaczyć docelowe zachowanie, a następnie budując analitykę w celu wyszukania tego zachowania w danym środowisku sieciowym. Wreszcie możemy zbudować alerty, które poinformują nas, kiedy takie zachowanie wystąpi w przyszłości. W ten sposób możemy metodycznie poruszać się po frameworku MITRE ATT&CK, budując mapę zasięgu w miarę upływu czasu. Jedną z kluczowych koncepcji w tym momencie jest uznanie, że często będziemy zaczynać od środka frameworku, ponieważ na początku zakładamy kompromis. Następnie, jeśli odkryjemy oznaki prawdziwości hipotezy, możemy pracować w obu kierunkach w całym modelu: (1) iść do przodu i znaleźć ostateczną głębokość penetracji i ryzyka dla środowiska oraz (2) cofnąć się do znaleźć źródło naruszenia i zamknąć tę dziurę w przyszłości.

https://chacker.pl/

Polowania oparte na danych polegają na poszukiwaniu anomalii w stosach danych w organizacji. Najlepszym sposobem na tego typu polowania jest wykorzystanie platformy analitycznej, takiej jak Splunk lub Elasticsearch, do przedzierania się przez stogi danych w poszukiwaniu igieł. Co więcej, tradycyjne urządzenie do zarządzania zdarzeniami związanymi z informacjami o zabezpieczeniach (SIEM) jest cennym punktem wyjścia do poszukiwań opartych na danych. Jednak łowca zagrożeń prawdopodobnie przerośnie możliwości nawet najlepszych dostępnych SIEM, szczególnie gdy zacznie wykonywać łączenia wewnętrzne i zewnętrzne na różnych źródłach danych, w tym na źródłach danych nieustrukturyzowanych, co jest trudne, jeśli nie niemożliwe w przypadku większości SIEM.

https://chacker.pl/

Polowania oparte na technologiach Intel opierają się na danych wywiadowczych dotyczących cyberzagrożeń oraz wskaźnikach kompromisu uzyskanych z wywiadu o otwartych i zamkniętych źródłach. Na przykład skrót pliku może wskazywać na kompromis i warto sprawdzić, czy ten plik istnieje w całym środowisku. Co więcej, taktyki, techniki i procedury (TTP) poszczególnych aktorów zagrażających są interesujące dla każdego łowcy zagrożeń i często można je znaleźć w raportach wywiadowczych oraz w informacjach udostępnianych przez innych. Nie będziemy jednak skupiać się na tego typu polowaniach, ponieważ stosowane techniki są wykorzystywane w innych, trudniejszych scenariuszach.

https://chacker.pl/

Istnieje kilka rodzajów polowań na zagrożenia, m.in.:

• Polowania oparte na technologii Intel
• Polowania oparte na danych
• Polowania oparte na hipotezach

https://chacker.pl/

Polowanie na zagrożenia to systematyczny proces polowania na przeciwnika, który już znajduje się w sieci. Mówimy o włamaniu, które już się rozpoczęło, a celem jest skrócenie czasu, jaki osoba atakująca może przebywać w sieci. Po wykryciu atakującego można zastosować odpowiednią reakcję na incydent, aby usunąć go z sieci i przywrócić normalne działanie. Dlatego też polowanie na zagrożenia nie jest reakcją na incydenty, chociaż pod wieloma względami oba te podmioty współpracują ze sobą i często w ich skład wchodzą osoby o tych samych umiejętnościach. Jednak w idealnym przypadku istnieje oddzielny zespół poszukujący zagrożeń, który cały czas poluje na wszelkich przeciwników w sieci. W organizacji o ograniczonych budżetach myśliwy może zmienić kapelusz po wykryciu przeciwnika i pełnić funkcje reagowania na incydenty. Podobnie łowca zagrożeń nie jest testerem penetracji. Ponownie, obaj mogą mieć podobne doświadczenie i umiejętności, ale sposób myślenia jest inny. Tester penetracji szuka sposobów na wejście do sieci i przez nią, aby odkryć luki w zabezpieczeniach i je naprawić, zanim znajdzie je przeciwnik. Łowca zagrożeń zakłada, że ​​naruszenie już miało miejsce i jest bardziej skupiony na znalezieniu tropu przeciwnika i wykryciu go po wejściu do sieci, niż (początkowo) na tym, jak przeciwnik się tam dostał.

https://chacker.pl/

Co to jest polowanie na zagrożenia? Polowanie na zagrożenia opiera się na założeniu, że przeciwnik jest już w sieci i należy go wyśledzić. Jest to temat wymagający sporej wiedzy na temat (1) sposobu działania przeciwników i (2) normalnego działania systemów oraz ataków. Dlatego też jest to temat, którego nie da się w pełni omówić w tym rozdziale. Naszym celem jest jednak przedstawienie przeglądu podstaw, które z czasem będziesz mógł rozszerzać.

https://chacker.pl/

Mordor został stworzony przez… zgadliście, Roberto i Jose Rodriguez. Po raz kolejny mamy wobec tych chłopaków dług wdzięczności. Mordor to zbiór zbiorów danych dotyczących aktywności APT. Tak, możesz pobrać zestawy danych i poćwiczyć znajdowanie prawdziwych APT w swoim laboratorium. Zainstalujemy go tutaj, a następnie będziemy się nim bawić w następnej części. Postępuj zgodnie z instrukcjami na GitHub, aby pobrać i zainstalować zestawy danych Mordoru (https://github.com/OTRF/mordor), zaczynając od zależności kafkacat:

Przejdź z powrotem do katalogu domowego w Loggerze:

Teraz pobierz i zainstaluj zestawy danych Mordoru ze swojego środowiska laboratoryjnego (host Logger):

Zainstaluj unzip, a następnie rozpakuj zestaw danych:

Teraz uruchom kafkacat, aby pozyskać zestaw danych Mordoru:

Po zakończeniu działania narzędzia kafkacat (około 20 minut) otwórz Kibanę i dostosuj stronę Discover, ustawiając przedział czasowy na 1 stycznia 2020 r. do chwili obecnej. Powinniście zobaczyć wydarzenia z połowy 2020 roku. W kolejnej części znów podejmiemy polowanie.

https://chacker.pl/

Aby pomóc Ci nauczyć się wysyłać zapytania do Kibany (interfejs użytkownika Elasticsearch), dajmy mu coś ciekawego do znalezienia. Otwórz hosta Win10 z poziomu interfejsu internetowego Guacamole, bezpośrednio na maszynie wirtualnej (w przypadku laboratoriów opartych na hoście) lub za pośrednictwem protokołu RDP (jeśli korzystasz z laboratorium w chmurze). Na hoście Win10 otwórz Eksploratora i przejdź do folderu c:\users\vagrant\tools, jak pokazano poniżej:

Kliknij dwukrotnie plik mimikatz.exe. Program ten umożliwia wyświetlanie haseł użytkowników systemu w postaci zwykłego tekstu. Wpisz następujące polecenia w konsoli Mimikatz:

Teraz, wracając na stronę internetową Kibana, powinieneś móc zobaczyć wydarzenie, wpisując mimikatz.exe w górnym panelu wyszukiwania strony Odkryj, z wybranymi ramami czasowymi Ostatnie 15 minut po prawej stronie:

Teraz możemy zrobić coś więcej; możemy użyć pól w dzienniku, aby znaleźć to w ten sposób. W górnym polu wyszukiwania wpisz nazwa procesu:”mimikatz.exe” i identyfikator zdarzenia:1 i naciśnij ENTER. Powinieneś zobaczyć takie same wyniki. Po lewej stronie ekranu wybierz strzałkę w dół obok etykiety dzienników* i wybierz nasz indeks, dzienniki* Gray Hat. Powinieneś nadal zobaczyć ten sam wynik. Teraz jest dużo więcej do nauczenia się o Kibanie i Elasticsearch, ale to są podstawy, które musisz znać na razie.

https://chacker.pl/

Wzorce indeksów są używane przez Kibanę do uzyskiwania dostępu do danych w Elasticsearch. Określa grupowanie danych (do przeszukiwania) i sposób definiowania pól (poprzez właściwości). Pokażemy, jak tworzyć wzorce indeksów, a następnie jak używać Kibany do podstawowych zapytań.

Wzory indeksów

Często przydatne jest tworzenie własnych wzorców indeksowania w Elasticsearch. Zacznij od wybrania logo Kibana w lewym górnym rogu, aby przejść do strony głównej. Następnie przewiń w dół i wybierz opcję Index Patterns:

Następnie wybierz przycisk Utwórz wzór indeksu po prawej stronie:

Następnie wykonaj krok 1 z 2, filtrując dostępne źródła dzienników. W naszym przykładzie utworzymy po prostu główny indeks wszystkich logów zaczynający się od „log”. Wpisz log* w polu wzorca indeksu, a następnie kliknij Następny krok:

Następnie wykonaj krok 2 z 2, wskazując, na którym polu przeprowadzić filtry czasowe. Wybierz @timestamp, aby było to proste. Wybierz listę rozwijaną Opcje zaawansowane i nadaj nazwę nowemu indeksowi. W tym przypadku nazwaliśmy to dziennikami* Szary Kapelusz. Następnie kliknij opcję Utwórz wzorzec indeksu.

W ten sposób mamy własny indeks. To mogło nie wydawać się imponujące, szczególnie biorąc pod uwagę, że Elasticsearch stworzył już dla nas indeks o nazwie logs-*. Jednak w przyszłości możesz chcieć utworzyć własne indeksy (na przykład dla mniejszego zestawu źródeł logów lub dla logów z konkretnego dnia lub tygodnia), aby przyspieszyć wyszukiwanie, ponieważ masz już podzbiór indeksowane dane.

[wp_ad_camp_1}

https://chacker.pl/

Aby uzyskać logi do Logstash, a ostatecznie do dashboardu Kibana pokazanego na poprzedniej ilustracji, musisz zainstalować beaty (czyli filebeat, packagebeat, winlogbeat i inne). Dla naszych celów interesują nas logi plików systemu Windows, dlatego skorzystamy z winlogbeat. Używając terminala Guacamole (http://192.268.38.105:8080/guacamole) w przypadku laboratorium opartego na hoście lub protokołu RDP w przypadku laboratorium w chmurze, połącz się z serwerem WEF, a następnie pobierz i zainstaluj winlogbeat z https://www.elastic .co/downloads/beats/winlogbeat. Rozpakuj plik winlogbeat.x.zip do c:\program files\ i zmień nazwę rozpakowanego folderu na c:\programfiles\winlogbeat.Następnie na tym serwerze WEF otwórz w przeglądarce następujący plik i zapisz go zamiast domyślnego pliku winlogbeat.yml w folderze c:\programfiles\winlogbeat\:

Następnie zainstaluj i uruchom usługę z poziomu PowerShell, korzystając z uprawnień administratora:

Teraz sprawdź panel Usługi i upewnij się, że usługa działa, jak pokazano poniżej.

Jeśli wrócisz do pulpitu nawigacyjnego Kibana, jeśli klikniesz ikonę Odkryj znajdującą się po lewej stronie (druga ikona od dołu), powinieneś zobaczyć nowe dane z winlogbeat, jak pokazano poniżej.