Aprenda tácticas adversas, técnicas y conocimientos comunes (ATT @ CK). Tácticas empresariales. Parte 9

Recogida de datos


Enlaces a todas las partes:
Parte 1. Obtención del acceso inicial (acceso inicial)
Parte 2. Ejecución
Parte 3. Fijación (persistencia)
Parte 4. Escalada de privilegios
Parte 5. Evasión de defensa
Parte 6. Obtención de credenciales (acceso de credenciales)
Parte 7. Descubrimiento
Parte 8. Movimiento lateral
Parte 9. Recolección de datos (Colección)
Parte 10 Exfiltración
Parte 11. Comando y Control

Las técnicas para recopilar datos en un entorno comprometido incluyen métodos para identificar, localizar y recopilar directamente información específica (por ejemplo, archivos confidenciales) para prepararla para una mayor exfiltración. La descripción de los métodos de recopilación de información también cubre la descripción de los lugares de almacenamiento de información en sistemas o redes en los que los oponentes pueden buscarla y recopilarla.

Los indicadores de la implementación de la mayoría de las técnicas de recopilación de datos presentadas en ATT & CK son procesos que utilizan API, WMI, PowerShell, Cmd o Bash para capturar información objetivo de dispositivos de entrada / salida o abrir archivos para leer varias veces y luego copiar los datos recibidos en un lugar específico en el sistema de archivos o red . La información durante la recopilación de datos se puede cifrar y combinar en archivos de almacenamiento.

La identificaci√≥n y el bloqueo de software potencialmente peligroso y malicioso mediante el uso de herramientas para organizar listas blancas de aplicaciones, como las Pol√≠ticas de restricci√≥n de AppLocker y Sofware en Windows, el cifrado y el almacenamiento de informaci√≥n confidencial fuera de los sistemas locales, se ofrecen restricciones de derechos como recomendaciones generales sobre protecci√≥n contra la recopilaci√≥n de datos. acceso de usuarios a directorios de red y almacenes de informaci√≥n corporativa; aplicaci√≥n de una pol√≠tica de contrase√Īa y autenticaci√≥n de dos factores en un entorno protegido.

El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .

Captura de audio


Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: Un adversario puede usar los dispositivos periféricos de una computadora (por ejemplo, un micrófono o una cámara web) o aplicaciones (por ejemplo, servicios de llamadas de voz y video) para capturar grabaciones de audio y escuchar más conversaciones confidenciales. Se pueden utilizar software o scripts maliciosos para interactuar con dispositivos periféricos a través de las funciones API proporcionadas por el sistema operativo o la aplicación. Los archivos de audio recopilados se pueden grabar en un disco local con posterior exfiltración.

Consejos de seguridad: La oposición directa a la técnica anterior puede ser difícil porque requiere un control detallado sobre el uso de la API. La detección de actividad maliciosa también puede ser difícil debido a la variedad de funciones API.

Dependiendo del prop√≥sito del sistema atacado, los datos sobre el uso de la API pueden ser completamente in√ļtiles o, por el contrario, proporcionar contenido para detectar otras actividades maliciosas que ocurren en el sistema. Un indicador de actividad enemiga puede ser un proceso desconocido o inusual de acceder a la API asociada con dispositivos o software que interact√ļan con un micr√≥fono, dispositivos de grabaci√≥n, programas de grabaci√≥n o un proceso que escribe peri√≥dicamente archivos que contienen datos de audio en el disco.

Colección automatizada


Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: Un atacante puede usar herramientas de automatización para recopilar datos internos, como scripts, para buscar y copiar información que cumpla con ciertos criterios: tipo de archivo, ubicación, nombre, intervalos de tiempo. Esta funcionalidad también se puede integrar en las utilidades de acceso remoto. En el proceso de automatización de la recopilación de datos con el fin de identificar y mover archivos, también se pueden aplicar técnicas para detectar archivos y directorios ( Descubrimiento de archivos y directorios ) y la copia remota de archivos (Copia remota de archivos ).

Recomendaciones de protecci√≥n: el cifrado y el almacenamiento de informaci√≥n confidencial fuera del sistema es una forma de contrarrestar la recopilaci√≥n de archivos, sin embargo, si la intrusi√≥n dura mucho tiempo, el adversario puede detectar y obtener acceso a los datos de otras maneras. Por ejemplo, un keylogger instalado en el sistema, al interceptar la entrada, puede recopilar contrase√Īas para descifrar documentos protegidos. Para evitar la pirater√≠a de documentos encriptados fuera de l√≠nea por la fuerza bruta, debe usar contrase√Īas seguras.

Datos del portapapeles


Sistema: Windows, Linux, macOS
Descripción: los opositores pueden recopilar datos del portapapeles de Windows, almacenados en él durante la copia de información por parte de los usuarios dentro o entre las aplicaciones.

Ventanas
Las aplicaciones pueden acceder a los datos del portapapeles utilizando la API de Windows.

MacOS
OSX tiene un comando pbpast incorporado para capturar el contenido del portapapeles.

Recomendaciones de protección: no bloquee el software basándose en la identificación del comportamiento asociado con la captura de los contenidos del portapapeles, como El acceso al portapapeles es una característica estándar de muchas aplicaciones de Windows. Si la organización decide rastrear este comportamiento de las aplicaciones, entonces los datos de monitoreo deben compararse con otras acciones sospechosas o no relacionadas con el usuario.

Datos organizados


Sistema: Windows, Linux, macOS
Descripción: antes de la exfiltración, los datos recopilados generalmente se colocan en un directorio específico. Los datos pueden almacenarse en archivos separados o combinarse en un solo archivo mediante compresión o encriptación. Los shells de comandos interactivos se pueden usar como herramientas, la funcionalidad cmd y bash se pueden usar para copiar datos en una ubicación intermedia.

Datos de repositorios de información


Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: los opositores pueden extraer información valiosa de los repositorios de información, herramientas que le permiten almacenar información, por regla general, para optimizar la colaboración o el intercambio de datos entre los usuarios. El almacenamiento de información puede contener una gran variedad de datos que pueden ayudar a los atacantes a alcanzar otros objetivos o proporcionar acceso a información específica.

La siguiente es una breve lista de información que se puede encontrar en repositorios de información y de valor potencial para un atacante:

  • Pol√≠ticas, procedimientos y est√°ndares;
  • Esquemas de redes f√≠sicas / l√≥gicas;
  • Esquemas de arquitectura del sistema;
  • Documentaci√≥n t√©cnica del sistema;
  • Credenciales para pruebas / desarrollo;
  • Planes de trabajo / proyecto;
  • Fragmentos de c√≥digo fuente;
  • Enlaces a directorios de red y otros recursos internos.

Repositorios comunes de información:

Microsoft SharePoint
Se encuentra en muchas redes corporativas y a menudo se usa para almacenar e intercambiar una cantidad significativa de documentación.

Confluencia atlassiana
A menudo se encuentra en entornos de desarrollo junto con Atlassian JIRA. La confluencia se usa generalmente para almacenar documentación relacionada con el desarrollo.

Recomendaciones de protección: medidas recomendadas para evitar la recopilación de datos de los repositorios de información:

  • Desarrollo y publicaci√≥n de pol√≠ticas que definen informaci√≥n aceptable para ser registrada en el almac√©n de informaci√≥n;
  • Implementaci√≥n de mecanismos de control de acceso, que incluyen tanto la autenticaci√≥n como la autorizaci√≥n correspondiente;
  • Asegurar el principio del menor privilegio;
  • Revisi√≥n peri√≥dica de los privilegios de la cuenta;
  • Evite el acceso a cuentas v√°lidas v√°lidas que se pueden utilizar para acceder a repositorios de informaci√≥n.

Dado que los repositorios de información generalmente tienen una base de usuarios bastante grande, detectar su uso malicioso puede ser una tarea no trivial. Como mínimo, el acceso a los almacenamientos de información realizados por usuarios privilegiados (por ejemplo, Dominio, Enterprise o Shema Admin) debe ser cuidadosamente monitoreado y evitado, ya que este tipo de cuentas no deben usarse para acceder a los datos almacenados. Si es posible monitorear y alertar, entonces necesita rastrear a los usuarios que recuperan y ven una gran cantidad de documentos y páginas. Este comportamiento puede indicar el funcionamiento del software que recupera datos del almacenamiento. En entornos de alta madurez, los sistemas de análisis de comportamiento del usuario (UBA) se pueden utilizar para detectar anomalías en el comportamiento del usuario.

Microsoft SharePoint se puede configurar para registrar el acceso de los usuarios a páginas y documentos específicos. En Confluence Atlassian, se puede configurar un registro similar a través de AccessLogFilter. Una detección más eficiente probablemente requerirá infraestructura adicional para almacenar y analizar registros.

Datos del sistema local


Sistema: Windows, Linux, macOS
Descripción: Se pueden obtener datos confidenciales de fuentes del sistema local, como un sistema de archivos o una base de datos, con el fin de obtener una mayor exfiltración.

Los atacantes a menudo buscan archivos en las computadoras que piratearon. Pueden hacer esto usando la interfaz de línea de comando (cmd). También se pueden usar métodos para automatizar el proceso de recopilación de datos.

Datos de la unidad compartida de red


Sistema: Windows, Linux, macOS
Descripci√≥n: Se pueden recopilar datos confidenciales de sistemas remotos que tienen unidades de red de acceso p√ļblico (carpeta de red local o servidor de archivos) disponibles para el adversario.

Para detectar archivos de destino, un atacante puede buscar recursos de red en computadoras que han sido comprometidas. Para recopilar información, se pueden utilizar tanto los comandos interactivos como las funciones comunes de la línea de comandos.

Datos de medios extraíbles (datos de medios extraíbles)


Sistema: Windows, Linux, macOS
Descripción: Se pueden recopilar datos confidenciales de cualquier medio extraíble (unidad óptica, unidad USB, etc.) conectado a un sistema comprometido.

Para detectar archivos de destino, un atacante puede buscar medios extraíbles en computadoras comprometidas. Para recopilar información, se pueden utilizar tanto los comandos interactivos como las funciones comunes de la línea de comandos, así como las herramientas de automatización para la recopilación de datos.

Recolección de correo electrónico


Sistema: Windows
Descripción: para recopilar información confidencial, los atacantes pueden utilizar buzones electrónicos personalizados. Los datos contenidos en el correo electrónico se pueden obtener de archivos de datos de Outlook (.pst) o archivos de caché (.ost). Con credenciales de usuario, un adversario puede interactuar directamente con el servidor Exhange y obtener acceso a una interfaz web de correo electrónico externa, como Outlook Web Access.

Recomendaciones de seguridad: el uso del cifrado proporciona una capa adicional de protecci√≥n para la informaci√≥n confidencial transmitida por correo electr√≥nico. El uso de cifrado asim√©trico requerir√° que el adversario obtenga un certificado privado con una clave de cifrado. El uso de la autenticaci√≥n de dos factores en los sistemas de correo web p√ļblico es la mejor pr√°ctica para minimizar la posibilidad de que un atacante use las credenciales de otra persona.

Hay varias formas en que un atacante puede obtener correo electr√≥nico dirigido, cada uno de los cuales tiene su propio mecanismo de detecci√≥n. Los indicadores de actividad maliciosa pueden ser: acceso a archivos de datos de correo electr√≥nico del sistema local para su posterior filtraci√≥n, procesos inusuales que se conectan al servidor de correo electr√≥nico en la red, as√≠ como patrones de acceso at√≠picos e intentos de autenticaci√≥n en servidores web p√ļblicos de correo electr√≥nico. Realice un seguimiento de los procesos y los argumentos de la l√≠nea de comandos que se pueden utilizar para recopilar archivos de datos de correo electr√≥nico. Las herramientas de acceso remoto pueden interactuar directamente con la API de Windows. Los datos tambi√©n se pueden recuperar utilizando varias herramientas de administraci√≥n de Windows, como WMI o PowerShell.

Captura de entrada


Sistema: Windows, Linux, macOS
Derechos: Administrador, Sistema
Descripci√≥n: los atacantes pueden utilizar los medios de capturar la entrada del usuario para obtener las credenciales de las cuentas existentes. El registro de teclas es el tipo m√°s com√ļn de captura de entrada del usuario, incluidos muchos m√©todos diferentes de interceptar las pulsaciones de teclas, pero existen otros m√©todos para obtener informaci√≥n de destino, como llamar a una solicitud de UAC o escribir un shell para el proveedor de credenciales predeterminado (Proveedores de credenciales de Windows). El registro de teclas es la forma m√°s com√ļn de robar credenciales cuando el uso de t√©cnicas de descarga de credenciales es ineficiente y el atacante se ve obligado a permanecer pasivo durante un cierto per√≠odo de tiempo.

Para recopilar credenciales de usuario, un atacante también puede instalar un keylogger de software en portales corporativos externos, por ejemplo, en la página de inicio de sesión de VPN. Esto es posible después de comprometer el portal o servicio al obtener acceso administrativo legítimo, que a su vez podría organizarse para proporcionar acceso de respaldo en las etapas de obtener acceso inicial y asegurarlo en el sistema.

Recomendaciones de protecci√≥n: garantice la detecci√≥n y el bloqueo de software potencialmente peligroso y malicioso utilizando herramientas como AppLocker o pol√≠ticas de restricci√≥n de software. Tome medidas para reducir el da√Īo si un atacante obtiene credenciales. Siga las mejores pr√°cticas de Microsoft para desarrollar y administrar su red corporativa .

Los keyloggers pueden modificar el registro e instalar controladores. Las funciones API más utilizadas son SetWindowsHook, GetKeyState, GetAsyncKeyState. Las llamadas a las funciones API por sí solas no pueden ser indicativas de registro de teclas, pero junto con un análisis de los cambios en el registro, la detección de instalaciones de controladores y la aparición de nuevos archivos en el disco pueden indicar actividad maliciosa. Rastree la aparición de Proveedores de credenciales personalizadas en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

Man in the Browser (Hombre en el navegador (MitB), Pivoting del navegador)


Sistema: Windows
Derechos: Administrador, Sistema
Descripción: durante varios métodos de ataque MitB, un adversario, aprovechando la vulnerabilidad del navegador de la víctima, puede modificar el contenido web utilizando un programa malicioso, por ejemplo, agregar campos de entrada a una página, modificar la entrada del usuario, interceptar información. Un ejemplo específico es el caso cuando un atacante inyecta software en el navegador que permite que se hereden cookies, sesiones HTTP, certificados de cliente SSL del cliente y usar el navegador como una forma de autenticar e ir a la intranet.

Un ataque requiere privilegios SeDebugPrivilege y procesos de alta integridad (Comprensión del modo protegido). Al configurar el proxy HTTP, HTTP y HTTPS, el tráfico se redirige desde el navegador del atacante a través de un navegador de usuario. Al mismo tiempo, el tráfico de usuarios no cambia y la conexión de proxy se desconecta tan pronto como se cierra el navegador. Esto permite al adversario, incluida la visualización de páginas web como usuario atacado.

Por lo general, para cada nueva pesta√Īa, el navegador crea un nuevo proceso con permisos y certificados separados. Con estos permisos, un adversario puede acceder a cualquier recurso en la intranet al que se pueda acceder a trav√©s de un navegador con derechos existentes, como Sharepoint o Webmail. La rotaci√≥n del navegador tambi√©n elimina la protecci√≥n de autenticaci√≥n de dos factores.

Recomendaciones de protecci√≥n : se recomienda que el vector de protecci√≥n tenga como objetivo restringir los permisos de los usuarios, evitar la escalada de privilegios y evitar UAC. Cierre todas las sesiones del navegador regularmente y cuando ya no sean necesarias. La detecci√≥n de MitB es extremadamente dif√≠cil ya que El tr√°fico enemigo se disfraza de tr√°fico de usuario normal, no se crean nuevos procesos, no se utiliza ning√ļn software adicional y la unidad local del host atacado no se ve afectada. Los registros de autenticaci√≥n se pueden usar para auditar los inicios de sesi√≥n de los usuarios en aplicaciones web espec√≠ficas, sin embargo, identificar la actividad maliciosa entre ellos puede ser dif√≠cil, porque la actividad corresponder√° al comportamiento normal del usuario.

Captura de pantalla


Sistema: Windows, Linux, macOS
Descripción: durante la recopilación de información, los oponentes pueden intentar tomar capturas de pantalla del escritorio. La funcionalidad correspondiente se puede incluir en las herramientas de acceso remoto utilizadas después del compromiso.

Mac
OSX utiliza el comando de captura de pantalla incorporado para capturar capturas de pantalla.
Linux
En Linux, hay un comando xwd.

Recomendaciones de protección: como método de detección, se recomienda monitorear los procesos que usan la API para tomar capturas de pantalla y luego escribir archivos en el disco. Sin embargo, dependiendo de la legitimidad de tal comportamiento en un sistema en particular, es probable que se requiera una correlación adicional de los datos que se recopilan con otros eventos en el sistema para detectar actividad maliciosa.

Captura de video


Sistema: Windows, macOS
Descripción: Un adversario puede usar periféricos de computadora (por ejemplo, cámaras y cámaras web integradas) o aplicaciones (por ejemplo, servicios de video llamada) para capturar video o imagen. La captura de video, a diferencia de los métodos de captura de pantalla, implica el uso de dispositivos y aplicaciones para grabar video, en lugar de capturar imágenes desde la pantalla de la víctima. En lugar de archivos de video, las imágenes pueden capturarse a ciertos intervalos.
Se pueden usar software o scripts maliciosos para interactuar con los dispositivos a través de la API proporcionada por el sistema operativo o la aplicación para capturar videos o imágenes. Los archivos recopilados pueden escribirse en el disco y luego filtrarse.

Se conocen varios programas maliciosos diferentes para macOS, por ejemplo Proton y FriutFly, que pueden grabar video desde la c√°mara web de un usuario.

Consejos de seguridad: La oposición directa a la técnica anterior puede ser difícil porque requiere un control API detallado. Los esfuerzos de protección deben estar dirigidos a prevenir códigos no deseados o desconocidos en el sistema.

Identifique y bloquee software potencialmente peligroso y malicioso que se puede usar para grabar sonido usando AppLocker y las Políticas de restricción de software.

La detecci√≥n de actividad maliciosa tambi√©n puede ser dif√≠cil debido a varias API. Dependiendo de c√≥mo se use el sistema que se est√° atacando, los datos de telemetr√≠a relacionados con la API pueden ser in√ļtiles o, por el contrario, proporcionar contenido para otras actividades maliciosas que ocurren en el sistema. Un indicador de actividad enemiga puede ser un proceso desconocido o inusual de acceder a la API asociada con dispositivos o software que interact√ļan con un micr√≥fono, dispositivos de grabaci√≥n, programas de grabaci√≥n o un proceso que peri√≥dicamente escribe archivos en el disco que contienen datos de audio.

Source: https://habr.com/ru/post/441896/


All Articles