Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralParte 9. Coleta de Dados (Coleção)Parte 10 ExfiltraçãoParte 11. Comando e ControleCom esta publicação, inicio uma série de postagens dedicadas à descrição das principais técnicas usadas pelos atacantes em vários estágios dos ataques de hackers.
O material apresentado será uma recontagem livre do conteúdo das matrizes Táticas Adversariais, Técnicas e Conhecimento Comum (ATT @ CK ) do The Mitre :
O autor não é responsável pelas possíveis consequências da aplicação das informações acima e também se desculpa por possíveis imprecisões feitas em algumas formulações e termos. A propósito, esta é minha primeira tentativa de publicar no Habré, por isso espero críticas justas em meu discurso.A imersão no tópico começará com a matriz mais volumosa
ATT & CK Matrix for Enterprise , que descreve as fases ativas e mais perigosas de um ataque a uma rede corporativa:
- Obtenção de acesso inicial (Acesso Inicial);
- Execução do código (Execução);
- Fixação no sistema atacado (Persistência);
- Aumento de privilégios (escalonamento de privilégios);
- Proteção de derivação (evasão de defesa);
- Obtenção de credenciais (Credential Access);
- Visão Geral (Discovery);
- Avanço horizontal (movimento lateral);
- Coleta de dados (Coleta);
- Vazamento (Exfiltração);
- Gerenciamento e controle (Comando e Controle).
O objetivo do invasor no estágio de obtenção do acesso inicial é fornecer algum código malicioso ao sistema atacado e garantir a possibilidade de sua execução adicional.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: a essência da técnica é a descoberta da vítima no navegador de um recurso da WEB no qual o invasor preparou várias explorações de navegador e plug-in com antecedência,
quadros ocultos ou arquivos Java maliciosos que, sem o conhecimento do usuário, serão carregados no sistema atacado.
Recomendações de proteção: use os navegadores e plugins mais recentes e
aplicação de software antivírus. A Microsoft sugere o uso do
Windows Defender Explloit Guard (WDEG) e o
Enhanced Mitigation Experience Toolkit (EMET) . Também faz sentido considerar a conveniência de bloquear a execução em um navegador JavaScript.
Sistema: Windows, Linux, macOS
Descrição: a técnica envolve o uso de bugs, falhas e vulnerabilidades conhecidas em software que possui portas de rede abertas (servidores web, serviços de rede SSH, SMB2, DBMS, etc.).
As 10 principais vulnerabilidades de aplicativos da web publicadas pela OWASP.
Recomendações de segurança: usando firewalls, segmentando uma rede usando DMZ, usando recomendações para desenvolvimento seguro de software e evitando os problemas documentados pelo OWASP e CWE. Examine o perímetro externo em busca de vulnerabilidades. Monitorando logs e tráfego de aplicativos para comportamento anormal.
Sistema: Windows, Linux, macOS
Descrição: os complementos de hardware podem ser incorporados em acessórios de computador, equipamentos de rede e computadores adicionais para fornecer acesso inicial aos invasores. Oportunidades para conexões de rede secretas, a implementação de ataques intermediários para quebrar sistemas de criptografia, executar injeção de pressionamento de tecla, ler memória do kernel via DMA, adicionar uma nova rede sem fio etc., podem ser integrados a produtos comerciais e de código aberto.
Recomendações de proteção: Implementando políticas de controle de acesso à rede, como o uso de certificados para dispositivos e o padrão 802.1.x, restringindo o uso do DHCP apenas a dispositivos registrados, proibindo a interação de rede com dispositivos não registrados, bloqueando a instalação de dispositivos externos usando ferramentas de proteção de host (agentes do Endpoint Security para limitar a conexão dos dispositivos).
Sistema: Windows
Descrição: a técnica envolve a execução de um programa malicioso usando a função de execução automática no Windows. Para enganar o usuário, um arquivo "legítimo" pode ser pré-modificado ou substituído e, em seguida, copiado para um dispositivo removível por um invasor. Além disso, a carga útil pode ser incorporada no firmware do dispositivo removível ou através do programa inicial de formatação de mídia.
Recomendações de proteção: Desabilitando os recursos de execução automática no Windows. Limitando o uso de dispositivos removíveis no nível da política de segurança da organização. Aplicação de software antivírus.
Descrição: uso de malware anexado a emails de phishing. O texto da carta, via de regra, contém uma razão plausível pela qual o destinatário deve abrir o arquivo no anexo.
Recomendações de proteção: Uso de sistemas de prevenção de intrusões de rede (IDS) e antivírus projetados para verificar e remover anexos maliciosos em emails. Configure uma política para bloquear formatos de anexo não utilizados. Ensinar aos usuários as regras do antiphishing.
Descrição: use links de download de malware em emails.
Dicas de segurança: verificar os URLs do seu email pode ajudá-lo a encontrar links para sites maliciosos conhecidos. O uso de sistemas de prevenção de intrusões de rede (IDS) e antivírus. Ensinar aos usuários as regras do antiphishing.
Descrição: nesse cenário, os invasores enviam mensagens através de vários serviços de rede social, correio pessoal e outros serviços não controlados pela empresa.
Os invasores podem usar perfis falsos nas redes sociais. redes, por exemplo, para enviar possíveis ofertas de emprego. Isso permite que você faça perguntas ao funcionário da vítima sobre as políticas e o software da empresa, forçando a vítima a abrir links e anexos maliciosos. Normalmente, um invasor estabelece um contato inicial e envia conteúdo malicioso para o correio que o funcionário da empresa atacada usa no local de trabalho. Se a vítima não conseguir iniciar o arquivo malicioso, poderá fornecer instruções sobre outras ações.
Recomendações de proteção: Bloqueando o acesso a redes sociais, serviços de email pessoal, etc. Usando listas brancas de aplicativos, sistemas de prevenção de intrusões de rede (IDS) e antivírus. Ensinar aos usuários as regras do antiphishing.
Descrição: o cenário envolve a introdução de várias explorações, backdoors e outras ferramentas de hackers em equipamentos de software e computador no estágio de fornecimento de software e equipamentos de computador à empresa atacada. Possíveis vetores de ataque:
- Manipulações com ferramentas e ambientes de desenvolvimento de software;
- Trabalhar com repositórios de código fonte;
- Manipulações com atualização de software e mecanismos de distribuição;
- Comprometimento e infecção de imagens do SO;
- Modificação de software legal;
- Venda de produtos modificados / falsificados por um distribuidor legal;
- Interceptação na fase de embarque.
Normalmente, os invasores se concentram na introdução de componentes maliciosos nos canais de distribuição e nas atualizações de software.
Recomendações de proteção: Aplicação de um sistema de gerenciamento de riscos na cadeia de suprimentos (SCRM) e um sistema de gerenciamento de ciclo de vida de desenvolvimento de software (SDLC). Utilizando procedimentos binários de controle de integridade de arquivos binários, verificação antivírus de distribuições, teste de software e atualizações antes da implantação, exame físico do equipamento adquirido, mídia com distribuição de software e documentação que acompanha a fim de detectar fraudes.
Descrição: os invasores podem usar organizações que têm acesso à infraestrutura da suposta vítima. Muitas vezes, as empresas usam uma conexão de rede menos segura para se comunicar com terceiros confiáveis do que o acesso padrão à empresa de fora. Exemplos de terceiros confiáveis: prestadores de serviços de TI, provedores de serviços de segurança, contratados de infraestrutura. Além disso, as contas usadas por uma parte confiável para acessar a rede da empresa podem ser comprometidas e usadas para o acesso inicial.
Recomendações de proteção: segmentação de rede e isolamento de componentes críticos da infraestrutura que não exigem amplo acesso externo. Gerenciamento de conta
registros e permissões usados pelas partes em um relacionamento de confiança. Revise as políticas e os procedimentos de segurança das organizações contratadas que requerem acesso privilegiado. Monitoramento de atividades realizadas por terceiros e proxies.
Descrição: os invasores podem roubar as credenciais de uma conta de usuário ou serviço específica usando as
técnicas de acesso a
credenciais , capturar as credenciais durante o processo de inteligência usando engenharia social. As credenciais comprometidas podem ser usadas para ignorar os sistemas de controle de acesso e obter acesso a sistemas remotos e serviços externos, como VPN, OWA, Área de Trabalho Remota, ou para obter privilégios elevados em sistemas e áreas específicos da rede. Se o cenário for bem-sucedido, os invasores podem recusar
malware para dificultar a detecção. Além disso, os invasores podem criar contas usando nomes e senhas predefinidos para manter o acesso ao backup em caso de tentativas frustradas de usar outros meios.
Recomendações de proteção: aplique uma política de senha, siga as recomendações para projetar e administrar uma rede corporativa para limitar o uso de contas privilegiadas em todos os níveis administrativos. Verificações regulares de contas locais e de domínio e seus direitos, a fim de identificar aquelas que podem permitir que um invasor obtenha amplo acesso. Monitorando a atividade da conta usando sistemas SIEM.
A próxima parte discute as táticas usadas na fase de execução.