Nedavno istraživanje razvrstava omiljene tehnike koje napadači koriste da bi dobili pristup Windows mrežama. Koristite ove informacije i pazite na te metode u svojim evidencijama. Red Canary je nedavno predstavio svoj Izveštaj o otkrivanju pretnji za 2021. godinu. U izveštaj je uključeno mapiranje mnogih vrhunskih tehnika kibernetičkog napada na radni okvir MITER ATT&CK. Nalazi koje su istraživači Red Canary-ja predstavili naglašavaju potrebu za potpunim razumevanjem vaše mreže. Odvojite vreme da nadgledate šta je u vašoj firmi normalno. Pregledajte i dokumentujte koji se skriptovi redovno koriste i koji ID događaja se odbacuju u evidencijama događaja, posebno oni koji su relevantni za najčešće korišćene tehnike napada. Postavite Sysmon i sačuvajte fajlove dnevnika na eksternu lokaciju. Obavezno evidentirajte događaje koji će otkriti šta napadači mogu da rade u vašoj mreži. Australijski centar za sajber bezbednost (Australian Cyber Security Centre) ima dokumentaciju i smernice za podešavanje evidentiranja Windows događaja.
Evo glavnih tehnika napada koje je Red Canary otkrio 2020:
1. Interpreteri naredbi i skripti, poznatiji kao PowerShell (24%)
Kupce Red Canary-ja najviše su pogađali napadi pomoću PowerShell-a i Windows Command Shell-a. Budući da su ovi alati izvorni za Windows, firmama je mnogo teže da primete da su napadnuti. To se naziva „korišćenje terena“, gde napadač ne mora da donosi alate za napad na vašu mrežu. Umesto toga koristi postojeći PowerShell koji je već instaliran. Da biste nadgledali PowerShell i napade zasnovane na komandnoj liniji, koristite alate kao što je Sysmon kako biste bili sigurni da hvatate evidenciju.
Obratite pažnju na sumnjive cmdlete ili sve druge maskirane komande koje treba dekodirati da bi se istražile. Poređenje normalnih PowerShell obrazaca sa zlonamernim može da potraje. Pripazite na Event 4688 – Kreiranje procesa – da vas upozori na novo i zlonamerno korišćenje. Postavite osnovni opis skripti i PowerShell procesa koje redovno koristite da biste mogli da ih filtrirate kao normalne. Tražite komande za koje se čini da su cmd.exe u kombinaciji sa maskiranjem.
2. Izvršavanje potpisanog binarnog procesa (19%)
Sledeći niz napada koristi dve tehnike: Rundll32 i Mshta. Oboje omogućava napadaču da stvori zlonamerni kôd preko potpisanih binarnih fajlova od poverenja. Opet, napadači koriste za napad postojeći teren sekvenci i ne unose u vašu mrežu alate koji bi mogli biti otkriveni. Možete da podesite upozorenja za zlonamernu upotrebu Rundll32-a, ali može biti teško fino podesiti upozorenja s obzirom na njegovu uobičajenu upotrebu u vašoj organizaciji. Zapamtite, uspostavite osnovni opis u svojoj organizaciji.
3. Stvaranje i izmena sistemskog procesa (16%)
Sledeću Windows uslugu koristi samo jedna pretnja: Blue Mockingbird, koja postavlja korisni teret za prekopavanje kriptovaluta. Pregledajte evidencije za događaje 4697, 7045 i 4688 kada se kreiraju nove usluge i novi procesi. I opet, morate dobro da poznajete svoju organizaciju i njen uobičajen otisak.
4. Planirani zadaci / poslovi (16%)
Napadači koriste planirane zadatke kako bi uveli postojanost. Izveštaj Red Canariy-ja ukazuje da treba da pregledate kada je planirani zadatak postavljen da se izvršava kao sistemski, jer je ovo najtipičnija konfiguracija napada koju su uočili. ID događaja 106 i 140 beleže kada se novi zadatak kreira ili ažurira.
5. Kopiranje akreditiva (7%)
Local Security Authority Subsystem Service (LSASS) se često koristi za kopiranje lozinki uz malu pomoć alata kao što su ProcDump i Mimikatz. I opet, pravila pristupa sistemu Sysmon su vaš najbolji alat. Potražite u Sysmon događajima ID događaja 10. Pošto uspostavite osnovni opis u svojoj organizaciji koristite još i postavke Windows 10 Attack Surface Reduction da traži sumnjivo pristupanje LSASS-u da bi se tražile neobične sekvence napada.
6. Injektovanje procesa (7%)
Napadači koriste razne metode injektovanja da bi dobili veći pristup vašim sistemima. Zbog bezbrojnih metodologija, i tu ćete želeti da u svom alatu za upozorenja koristite Sysmon.
7. Maskirani fajlovi ili informacije (6%)
Napadači očigledno žele da sakriju svoje postupanje i koriste alate kao što je Base64 kodiranje da sakriju svoje napadačke procese. Nadgledajte da li se PowerShell.exe ili Cmd.exe koriste na neobične načine. Ovaj put napada može biti teško nadgledati, jer pokazatelji zlonamernih aktivnosti mogu da izgledaju kao uobičajeni administrativni zadaci. Postavili ste smernice za upotrebu PowerShell-a i nemojte dozvoliti izvršavanje skripti koji nisu potpisani.
8. Prenos alata na ulazu (5%)
Dok većina sekvenci napada živi od tehnika koje već postoje, ponekad napadači unose alate u platformu. Često koriste bitsadmin.exe za prenos zlonamernih alata koje posle koriste u sekvencama napada. Pregled ključnih reči i obrazaca u komandnim linijama PowerShell-a je bitan način za pronalaženje niza.
9. Sistemske usluge (4%)
Napadači koriste Windows Service Manager za pokretanje komandi ili instaliranje usluga. Nadgledajte u Sysmon-u sekvence napada kao ID događaja 7.
10. Maskiranje (4%)
Napadači pokušavaju da zaobiđu otkrivanje prevare tako da preimenuju sistemske uslužne programe kako bi zaobišli kontrole i otkrivanje. U ovom slučaju ne tražite imena fajlova već procese, poznate putanje da biste utvrdili da li napadači pokušavaju da koriste ovu tehniku da vas napadnu. Ako možete, koristite sisteme koji upoređuju heš vrednosti fajlova jer se one ne menjajui čak i ako se ime fajla promeni.
Izvor: CSO