Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleMit dieser Veröffentlichung beginne ich eine Reihe von Beiträgen, die sich mit der Beschreibung der wichtigsten Techniken befassen, die Angreifer in verschiedenen Phasen von Hackerangriffen verwenden.
Das vorgestellte Material ist eine kostenlose Nacherzählung des Inhalts der Matrizen Adversarial Tactics, Techniques & Common Knowledge (ATT @ CK ) von The Mitre :
Der Autor ist nicht verantwortlich für die möglichen Folgen der Anwendung der oben genannten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Dies ist übrigens mein erster Versuch, auf Habré zu veröffentlichen, daher hoffe ich auf faire Kritik in meiner Ansprache.Das Eintauchen in das Thema beginnt mit der umfangreichsten Matrix
ATT & CK Matrix for Enterprise , die die aktiven und gefährlichsten Phasen eines Angriffs auf ein Unternehmensnetzwerk beschreibt:
- Erhalten des Erstzugriffs (Erstzugriff);
- Ausführung des Codes (Ausführung);
- Befestigung im angegriffenen System (Persistenz);
- Erhöhung der Berechtigungen (Eskalation von Berechtigungen);
- Bypass-Schutz (Defense Evasion);
- Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen);
- Übersicht (Entdeckung);
- Horizontaler Vorschub (seitliche Bewegung);
- Datenerfassung (Sammlung);
- Leck (Exfiltration);
- Verwaltung und Kontrolle (Befehl und Kontrolle).
Das Ziel des Angreifers in der Phase des Erstzugriffs besteht darin, dem angegriffenen System bösartigen Code zu übermitteln und die Möglichkeit seiner weiteren Ausführung sicherzustellen.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Das Wesentliche der Technik ist die Entdeckung einer WEB-Ressource durch das Opfer im Browser, auf der der Angreifer im Voraus verschiedene Browser- und Plug-In-Exploits vorbereitet hat.
versteckte Frames oder schädliche Java-Dateien, die ohne Wissen des Benutzers in das angegriffene System geladen werden.
Schutzempfehlungen: Verwenden Sie die neuesten Browser und Plugins und
Anwendung von Antivirensoftware. Microsoft
empfiehlt die Verwendung des
Windows Defender Explloit Guard (WDEG) und des
Enhanced Mitigation Experience Toolkit (EMET) . Es ist auch sinnvoll, die Angemessenheit der Blockierung der Ausführung in einem JavaScript-Browser zu berücksichtigen.
System: Windows, Linux, MacOS
Beschreibung: Die Technik beinhaltet die Verwendung bekannter Fehler, Störungen und Schwachstellen in Software mit offenen Netzwerkports (Webserver, Netzwerkdienste SSH, SMB2, DBMS usw.). Von OWASP veröffentlichte
TOP 10-Schwachstellen in Webanwendungen .
Schutzempfehlungen: Verwenden von Firewalls, Segmentieren eines Netzwerks mithilfe von DMZ, Verwenden von Empfehlungen für eine sichere Softwareentwicklung und Vermeiden der von OWASP und CWE dokumentierten Probleme. Scannen Sie den externen Perimeter nach Schwachstellen. Überwachen von Anwendungsprotokollen und Datenverkehr auf abnormales Verhalten.
System: Windows, Linux, MacOS
Beschreibung: Hardware-Add-Ons können in zusätzliches Computerzubehör, Netzwerkgeräte und Computer integriert werden, um Angreifern den ersten Zugriff zu ermöglichen. Möglichkeiten für verdeckte Netzwerkverbindungen, die Implementierung von Man-in-the-Middle-Angriffen zum Unterbrechen von Verschlüsselungssystemen, die Durchführung von Tastenanschlägen, das Lesen des Kernelspeichers über DMA, das Hinzufügen eines neuen drahtlosen Netzwerks usw. können in kommerzielle und OpenSource-Produkte integriert werden.
Schutzempfehlungen
: Implementieren von Richtlinien zur Netzwerkzugriffskontrolle, z. B. Verwenden von Zertifikaten für Geräte und 802.1.x-Standard, Beschränken der Verwendung von DHCP auf registrierte Geräte, Verbieten der Netzwerkinteraktion mit nicht registrierten Geräten und Blockieren der Installation externer Geräte mithilfe von Hostschutz-Tools (Endpoint Security-Agenten) um den Anschluss von Geräten zu begrenzen).
System: Windows
Beschreibung: Die Technik beinhaltet die Ausführung eines Schadprogramms unter Verwendung der Autorun-Funktion in Windows. Um den Benutzer zu täuschen, kann eine „legitime“ Datei vorab geändert oder ersetzt und dann von einem Angreifer auf ein Wechselmedium kopiert werden. Die Nutzdaten können auch in die Firmware des Wechseldatenträgers oder über das anfängliche Medienformatierungsprogramm eingebettet werden.
Schutzempfehlungen: Deaktivieren der Autorun-Funktionen in Windows. Einschränkung der Verwendung von Wechselmedien auf der Ebene der Sicherheitsrichtlinien des Unternehmens. Anwendung von Antivirensoftware.
Beschreibung: Verwendung von Malware, die an Phishing-E-Mails angehängt ist. Der Text des Briefes enthält in der Regel einen plausiblen Grund, warum der Empfänger die Datei im Anhang öffnen sollte.
Schutzempfehlungen: Verwendung von IDS (Network Intrusion Prevention Systems) und Antivirenprogrammen zum Scannen und Entfernen bösartiger Anhänge in E-Mails. Konfigurieren Sie eine Richtlinie zum Blockieren nicht verwendeter Anhangsformate. Unterrichten der Benutzer über die Regeln des Antiphishing.
Beschreibung: Verwenden Sie Malware-Download-Links in E-Mails.
Sicherheitstipps: Durch Überprüfen Ihrer E-Mail-URLs können Sie Links zu bekannten schädlichen Websites finden. Verwendung von IDS (Network Intrusion Prevention Systems) und Antivirenprogrammen. Unterrichten der Benutzer über die Regeln des Antiphishing.
Beschreibung: In diesem Szenario senden Angreifer Nachrichten über verschiedene soziale Netzwerkdienste, persönliche E-Mails und andere Dienste, die nicht vom Unternehmen kontrolliert werden.
Angreifer können gefälschte Profile in sozialen Netzwerken verwenden. Netzwerke, um beispielsweise potenzielle Stellenangebote zu senden. Auf diese Weise können Sie den Mitarbeitern des Opfers Fragen zu den Richtlinien und der Software im Unternehmen stellen und das Opfer dazu zwingen, böswillige Links und Anhänge zu öffnen. In der Regel stellt ein Angreifer einen ersten Kontakt her und sendet dann schädliche Inhalte an die E-Mail, die der Mitarbeiter des angegriffenen Unternehmens am Arbeitsplatz verwendet. Wenn das Opfer die schädliche Datei nicht startet, kann es ihm Anweisungen zu weiteren Aktionen geben.
Schutzempfehlungen: Sperren des Zugriffs auf soziale Netzwerke, persönliche E-Mail-Dienste usw. Verwendung von White Lists von Anwendungen, Network Intrusion Prevention-Systemen (IDS) und Antivirenprogrammen. Unterrichten der Benutzer über die Regeln des Antiphishing.
Beschreibung: Das Szenario beinhaltet die Einführung verschiedener Exploits, Backdoors und anderer Hacker-Tools in Software und Computerausrüstung, während dem angegriffenen Unternehmen Software und Computerausrüstung zur Verfügung gestellt werden. Mögliche Angriffsmethoden:
- Manipulationen mit Tools und Softwareentwicklungsumgebungen;
- Arbeiten mit Quellcode-Repositorys;
- Manipulationen mit Software-Update- und Verteilungsmechanismen;
- Kompromittierung und Infektion von OS-Images;
- Änderung der Rechtssoftware;
- Verkauf von modifizierten / gefälschten Produkten durch einen legalen Händler;
- Abfangen in der Phase des Versands.
In der Regel konzentrieren sich Angreifer darauf, schädliche Komponenten in Vertriebskanäle und Softwareupdates einzuführen.
Schutzempfehlungen: Anwendung eines Risikomanagementsystems in der Lieferkette (SCRM) und eines Software Development Life Cycle Management Systems (SDLC). Verwenden von Verfahren zur Kontrolle der Integrität binärer Binärdateien, Antiviren-Scannen von Distributionen, Testen von Software und Updates vor der Bereitstellung, physische Untersuchung gekaufter Geräte, Medien mit Software-Distributionen und zugehöriger Dokumentation zur Aufdeckung von Betrug.
Beschreibung: Angreifer können Organisationen verwenden, die Zugriff auf die Infrastruktur des mutmaßlichen Opfers haben. Häufig verwenden Unternehmen eine weniger sichere Netzwerkverbindung, um mit einem vertrauenswürdigen Dritten zu kommunizieren, als der Standardzugriff auf das Unternehmen von außen. Beispiele für vertrauenswürdige Dritte: IT-Dienstleister, Sicherheitsdienstleister, Infrastrukturunternehmen. Außerdem können Konten, die von einer vertrauenswürdigen Partei für den Zugriff auf das Unternehmensnetzwerk verwendet werden, kompromittiert und für den Erstzugriff verwendet werden.
Schutzempfehlungen: Netzwerksegmentierung und Isolierung kritischer Infrastrukturkomponenten, für die kein breiter Zugriff von außen erforderlich ist. Kontoverwaltung
Aufzeichnungen und Berechtigungen, die von Parteien einer Vertrauensbeziehung verwendet werden. Überprüfen Sie die Sicherheitsrichtlinien und -verfahren von Vertragsorganisationen, die einen privilegierten Zugriff benötigen. Überwachungstätigkeiten von Drittanbietern und Vertretern.
Beschreibung: Angreifer können die Anmeldeinformationen eines bestimmten Benutzers oder Dienstkontos mithilfe von
Zugriffsanmeldeinformationen stehlen und mithilfe von Social Engineering Anmeldeinformationen im Intelligence-Prozess erfassen. Kompromittierte Anmeldeinformationen können verwendet werden, um Zugriffskontrollsysteme zu umgehen und Zugriff auf Remotesysteme und externe Dienste wie VPN, OWA, Remotedesktop zu erhalten oder um erhöhte Berechtigungen für bestimmte Systeme und Bereiche des Netzwerks zu erhalten. Wenn das Szenario erfolgreich ist, können Angreifer ablehnen
Malware, um die Erkennung zu erschweren. Außerdem können Angreifer Konten mit vordefinierten Namen und Kennwörtern erstellen, um den Sicherungszugriff aufrechtzuerhalten, falls erfolglos versucht wird, andere Mittel zu verwenden.
Schutzempfehlungen: Wenden Sie eine Kennwortrichtlinie an und befolgen Sie die Empfehlungen zum Entwerfen und Verwalten eines Unternehmensnetzwerks, um die Verwendung privilegierter Konten auf allen Verwaltungsebenen einzuschränken. Regelmäßige Überprüfungen von Domänen- und lokalen Konten und deren Rechten, um diejenigen zu identifizieren, die einem Angreifer einen umfassenden Zugriff ermöglichen könnten. Überwachung der Kontoaktivität mithilfe von SIEM-Systemen.
Im nächsten Teil werden die in der Ausführungsphase verwendeten Taktiken erläutert.