Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Polowanie na APT

Data publikacji: 26-08-2021 Autor: Ireneusz Tarnowski
Rys.1. Piramida bólu (rysunek...

Polowanie na zagrożenia (ang. Threat Hunting) to sztuka wyszukiwania śladów i aktywności przeciwnika w środowisku informatycznym, wykraczająca poza tradycyjne technologie wykrywania.

 

Analitycy zagrożeń poszukujący śladów ataku we własnej infrastrukturze muszą znać kontekst tego, czego szukają, i rozumieć znaczenie znalezionych artefaktów. Muszą również mieć świadomość, że grupy APT są bardzo zaawansowane i w trakcie swoich operacji analizują to, co robią zespoły bezpieczeństwa swoich ofiar, po czym bardzo szybko adaptują swoje ataki, tak by nadal pozostać w ukryciu. By opisać znaczenie artefaktów, David Bianco stworzył tzw. piramidę bólu (rys. 1).

 

> Nieco teorii

Piramida opisuje rodzaje wskaźników kompromitacji (IoC) lub wskaźników ataku (IoA) oraz trudność, jaką stanowią one dla atakującego, aby uniknąć wykrycia. Ten prosty diagram pokazuje zależność między rodzajami wskaźników, których używa się do wykrywania działań przeciwnika, a spowodowanym poziomem „bólu” w przypadku wykrycia wskaźnika i jego blokady. Przeanalizujmy dokładniej każdy z poziomów tego diagramu.

Wartości skrótów – SHA256, SHA1, MD5 lub inne podobne skróty, które odpowiadają określonym podejrzanym lub złośliwym plikom. Skróty plików używane są w celu potwierdzenia wystąpienia określonych próbek złośliwego oprogramowania lub plików zaangażowanych we włamanie. Jednak skróty plików należą do artefaktów, które zaawansowanym grupom hakerskim bardzo łatwo ominąć. Grupy APT używają infrastruktury oraz narzędzi, które są przygotowane na pojedynczy atak.

Adresy IP – są dosłownie najbardziej podstawowym wskaźnikiem. Przestępcy bardzo często korzystają z anonimowej usługi proxy, takiej jak m.in. Tor, VP, Fast flux, dzięki czemu mogą często zmieniać adresy IP i w istocie nie śledzą tego ani nie przejmują się tym, że ich adres może zostać wykryty.

Nazwy domen – znajdują się o poziom wyżej w piramidzie, jednak wciąż w obszarze zielonym (łatwym). Hakerom trochę trudniej je zmienić, ponieważ do działania należy je zarejestrować, opłacić (nawet ze skradzionych środków) i gdzieś utrzymywać. Istnieje duża liczba dostawców DNS z luźnymi standardami rejestracji (wiele z nich jest bezpłatnych), więc w praktyce zmiana domeny nie jest zbyt trudna, jednak jest to czasochłonne i zostawia wiele śladów. A dodatkowo nowe domeny w internecie mogą pojawić się po dniu lub dwóch, więc są one nieco trudniejsze do zmiany niż same adresy IP.

Artefakty sieciowe – ślady wynikające z obserwacji działań przeciwnika w sieci ofiary. Technicznie rzecz biorąc, każdy bajt, który przepływa przez Twoją sieć w wyniku interakcji adwersarza, może być artefaktem, ale w praktyce oznacza to tylko te fragmenty aktywności, które mogą odróżniać złośliwą aktywność od działań legalnych użytkowników. Typowymi przykładami mogą być wzorce URL, informacje komunikatów do serwerów przestępców (Command and Control, C2) osadzone w protokołach sieciowych, charakterystyczne wartości HTTP User-Agent czy SMTP Mailer lub podobne.

Artefakty hosta – różne zaobserwowane obiekty spowodowane przez działania przeciwnika na co najmniej jednym z hostów. Tu, podobnie jak w artefaktach sieciowych, trzeba umieć skupić się na informacjach, które pozwalają na odróżnienie złośliwych działań od legalnych. Artefaktami hosta mogą być klucze lub wartości rejestru, o których wiadomo, że są tworzone przez określone fragmenty złośliwego oprogramowania, pliki lub katalogi utworzone w określonych miejscach lub przy użyciu określonych nazw.

Narzędzia – oprogramowanie używane przez przeciwnika do realizacji jego misji daje się zidentyfikować lub pozostawia charakterystyczne ślady. Są to narzędzia przeznaczone do tworzenia złośliwych dokumentów w celu spearphishingu, backdoory używane do tworzenia zwrotnych kanałów komunikacyjnych C2 czy też narzędzia do łamania haseł.

Taktyki, techniki i procedury (TTP) – ten element piramidy opisuje sposób, w jaki przeciwnik wykonuje swoją misję – od rozpoznania po eksfiltrację danych i na każdym kroku pomiędzy nimi. Na przykład technika „Spearphishing za pomocą trojańskiego pliku PDF” lub „... z linkiem do złośliwego pliku SCR zamaskowanego jako ZIP” to typowe techniki ataku. Techniki takie w porównaniu z kolejnymi krokami są typowe dla wybranych grup przestępczych. Patrząc na samą technikę, nie definiujemy narzędzi, sum kontrolnych tych plików czy adresów IP, z jakich były wysyłane. Wszystkie inne artefakty nie mają znaczenia, jeżeli patrzymy na samą technikę.

W „Piramidzie bólu” każdy poziom jest okazją do wykrycia istnienia wskaźników ataku, a co za tym idzie obecności grupy APT w organizacji. Wartości skrótów, adresy IP i domeny są łatwo dostępne do pozyskania w ramach wymiany informacji o atakach (CTI). Źródłem tych danych mogą być organizacje zarządzające komercyjnie informacjami (ISAC) lub otwarte źródła informacji o atakach i systemy wymiany ostrzeżeń (np. MISP). Natomiast artefakty ze szczytu piramidy – narzędzia czy TTP – wymagają większej wiedzy i rozpoznania działania grup APT. Informacje te można pozyskać, śledząc na bieżąco krajobraz zagrożeń i monitorując pojawiające się ataki.

 

> Wyszukiwanie artefaktów

Do poszukiwania artefaktów ataku APT podchodzi się na dwa sposoby. Pierwszym z nich jest ustrukturyzowane polowanie (ang. structured hunting). Opiera się ono na znanych wskaźnikach ataku (ang. Indicator of Attack – IoA) oraz taktyce, technikach i procedurach (TTP) atakującego. Wszystkie poszukiwania oparte są na analizie TTP podmiotów atakujących. Dzięki temu analityk-myśliwy zazwyczaj jest w stanie zidentyfikować sprawcę zagrożenia, zanim napastnik spowoduje szkody w środowisku. W tego typu polowaniach intensywnie wykorzystuje się model i platformę MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK). Poszukując obecności grupy hakerskiej APT X, tworzy się model ataku, wykorzystując przypisane w MITRE ATT&CK informacje o technikach i taktykach stosowanych przez tę grupę. Dla zidentyfikowanej techniki tworzy się reguły detekcji jej wykorzystania. Mając grupę technik ataku i odpowiadającą im grupę detekcji, można zacząć poszukiwania.

Czego można szukać? Obecnie zidentyfikowanych jest 185 technik oraz 367 subtechnik, tak że jest w czym wybierać. Do tych popularniejszych i częściej stosowanych należą detekcje na:

 

  • uruchamianie zaciemnionych skryptów PowerShella;
  • wykrywanie tworzenia spakowanych paczek plików zabezpieczonych przez szyfrowanie;
  • manipulacje kluczami rejestrów;
  • używanie narzędzia CertUtil do komunikacji sieciowej;
  • analiza połączeń sieciowych pod kątem wykorzystywanych przez APT certyfikatów SSL;
  • tunelowanie ruchu poprzez liczne protokoły (np. DNS).

 

Drugim sposobem jest nieustrukturyzowane polowanie (ang. unstructured hunting) opierające się na detekcji konkretnego warunku. Może to być istnienie jakiegoś artefaktu, pliku, śladu w dziennikach zdarzeń, ruchu sieciowego lub procesu. Ten rodzaj poszukiwań opiera się na analizie zagrożeń i wiedzy wywiadowczej (ang. Cyber Threat Intelligence), gdzie pozyskuje się od innych podmiotów informacje o tym, jak przebiegał wykryty atak oraz jakie ślady pozostawił. Są to wskazówki dla analityka-myśliwego, aby zacząć szukać konkretnych wzorców działania grupy APT przed wykryciem i po nim. Analityk powinien prowadzić badania tak daleko wstecz, jak pozwalają na to przechowywane dane.

 

> Pierwsze kroki

Jak już zostało wspomniane, obecnie mamy zidentyfikowanych 185 technik oraz 367 subtechnik ataku. Do tego można jeszcze dodać kilka pomysłów na poszukiwanie artefaktów z dolnej części piramidy. To sprawia, że obszar działań dla aktywnych poszukiwań zagrożeń jest znaczny. Warto w jakiś sposób sobie uporządkować podejście do zadania. Jednym z lepszych początkowych podejść jest metoda szybkich zwycięstw (ang. quick wins) polegająca na stworzeniu reguły detekcji technik, które są najczęściej wykorzystywane, oraz tych, których wykrycie najmniej kosztuje (narzędzia, czas, analiza).

 

[...]

 

Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"