Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralParte 9. Coleta de Dados (Coleção)Parte 10 ExfiltraçãoParte 11. Comando e ControleAs técnicas para coletar dados em um ambiente comprometido incluem métodos para identificar, localizar e coletar diretamente informações direcionadas (por exemplo, arquivos confidenciais), a fim de prepará-las para posterior exfiltração. A descrição dos métodos de coleta de informações também abrange a descrição dos locais de armazenamento de informações em sistemas ou redes nas quais os oponentes podem pesquisá-las e coletá-las.
Os indicadores da implementação da maioria das técnicas de coleta de dados apresentadas no ATT & CK são processos que usam APIs, WMI, PowerShell, Cmd ou Bash para capturar informações de destino de dispositivos de entrada / saída ou abrir arquivos para leitura várias vezes e depois copiar os dados recebidos para um local específico no sistema ou na rede de arquivos . As informações durante a coleta de dados podem ser criptografadas e combinadas em arquivos compactados.
Identificação e bloqueio de software potencialmente perigoso e mal-intencionado usando ferramentas para organizar listas brancas de aplicativos como as Políticas de Restrição do AppLocker e Sofware no Windows, criptografia e armazenamento de informações confidenciais fora dos sistemas locais, restrição de direitos são oferecidas como recomendações gerais sobre proteção contra a coleta de dados. acesso do usuário a diretórios de rede e armazenamento de informações corporativas; aplicação de uma diretiva de senha e autenticação de dois fatores em um ambiente protegido.
O autor não é responsável pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por possíveis imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo do MITRE ATT & CK .Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: um adversário pode usar periféricos de computador (por exemplo, microfone ou webcam) ou aplicativos (por exemplo, serviços de chamadas de voz e vídeo) para capturar gravações de áudio e ouvir conversas confidenciais. Software ou scripts maliciosos podem ser usados para interagir com dispositivos periféricos por meio das funções da API fornecidas pelo sistema operacional ou aplicativo. Os arquivos de áudio coletados podem ser gravados em um disco local com subsequente exfiltração.
Dicas de segurança: A oposição direta à técnica acima pode ser difícil, pois requer controle detalhado sobre o uso da API. A detecção de atividades maliciosas também pode ser difícil devido à variedade de funções da API.
Dependendo da finalidade do ataque do sistema, os dados sobre o uso da API podem ser completamente inúteis ou, pelo contrário, fornecer conteúdo para detectar outras atividades maliciosas que ocorrem no sistema. Um indicador de atividade inimiga pode ser um processo desconhecido ou incomum de acessar a API associada a dispositivos ou software que interagem com um microfone, dispositivos de gravação, programas de gravação ou um processo que grava periodicamente arquivos que contêm dados de áudio no disco.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: um invasor pode usar ferramentas de automação para coletar dados internos, como scripts, para localizar e copiar informações que atendem a determinados critérios - tipo de arquivo, local, nome, intervalos de tempo. Essa funcionalidade também pode ser integrada aos utilitários de acesso remoto. No processo de automatizar a coleta de dados com o objetivo de identificar e mover arquivos, também podem ser aplicadas técnicas para detectar arquivos e diretórios (
Descoberta de Arquivos e Diretórios ) e cópia remota de arquivos (Cópia
Remota de Arquivos ).
Recomendações de proteção: a criptografia e o armazenamento de informações confidenciais fora do sistema são uma maneira de neutralizar a coleta de arquivos; no entanto, se a invasão durar muito tempo, o adversário poderá detectar e obter acesso aos dados de outras maneiras. Por exemplo, um keylogger instalado no sistema, interceptando a entrada, pode coletar senhas para descriptografar documentos protegidos. Para impedir o hacking de documentos criptografados offline por força bruta, você deve usar senhas fortes.
Sistema: Windows, Linux, macOS
Descrição: os oponentes podem coletar dados da área de transferência do Windows armazenados durante a cópia de informações por usuários dentro ou entre aplicativos.
WindowsOs aplicativos podem acessar os dados da área de transferência usando a API do Windows.
MacOSO OSX possui um comando
pbpast interno para capturar o conteúdo da área de transferência.
Recomendações de proteção: Não bloqueie o software com base na identificação do comportamento associado à captura do conteúdo da área de transferência, pois o acesso à área de transferência é um recurso padrão de muitos aplicativos do Windows. Se a organização decidir rastrear esse comportamento dos aplicativos, os dados de monitoramento deverão ser comparados com outras ações suspeitas ou não relacionadas ao usuário.
Sistema: Windows, Linux, macOS
Descrição: antes da exfiltração, os dados coletados são geralmente colocados em um diretório específico. Os dados podem ser armazenados em arquivos separados ou combinados em um único arquivo usando compactação ou criptografia. Os shells de comando interativos podem ser usados como ferramentas, a funcionalidade cmd e bash pode ser usada para copiar dados para um local intermediário.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: os oponentes podem extrair informações valiosas dos repositórios de informações - ferramentas que permitem armazenar informações, como regra, para otimizar a colaboração ou a troca de dados entre usuários. O armazenamento de informações pode conter uma enorme variedade de dados que podem ajudar os invasores a atingir outros objetivos ou fornecer acesso a informações direcionadas.
A seguir, é apresentada uma pequena lista de informações que podem ser encontradas em repositórios de informações e de valor potencial para um invasor:
- Políticas, Procedimentos e Padrões;
- Esquemas de redes físicas / lógicas;
- Esquemas de arquitetura de sistemas;
- Documentação técnica do sistema;
- Credenciais para teste / desenvolvimento;
- Planos de trabalho / projeto;
- Trechos de código fonte;
- Links para diretórios de rede e outros recursos internos.
Repositórios comuns de informações:
Microsoft SharePointEle está localizado em muitas redes corporativas e é frequentemente usado para armazenar e trocar uma quantidade significativa de documentação.
Confluência atlassianaFrequentemente encontrado em ambientes de desenvolvimento junto com o Atlassian JIRA. Confluence é normalmente usado para armazenar documentação relacionada ao desenvolvimento.
Recomendações de proteção: medidas
recomendadas para impedir a coleta de dados de repositórios de informações:
- Desenvolvimento e publicação de políticas que definem informações aceitáveis a serem registradas no armazenamento de informações;
- Implementação de mecanismos de controle de acesso, que incluem autenticação e autorização correspondente;
- Garantir o princípio do menor privilégio;
- Revisão periódica dos privilégios da conta;
- Impedir o acesso a contas válidas válidas que podem ser usadas para acessar repositórios de informações.
Como os repositórios de informações geralmente têm uma base de usuários bastante grande, detectar seu uso mal-intencionado pode ser uma tarefa não trivial. No mínimo, o acesso aos armazenamentos de informações executados por usuários privilegiados (por exemplo, Domínio, Empresa ou Shema Admin) deve ser cuidadosamente monitorado e evitado, pois esses tipos de contas não devem ser usados para acessar dados nos armazenamentos. Se for possível monitorar e alertar, você precisará rastrear usuários que recuperam e visualizam um grande número de documentos e páginas. Esse comportamento pode indicar a operação do software que recupera dados do armazenamento. Em ambientes de alta maturidade, os sistemas User-Behavioraln Analytics (UBA) podem ser usados para detectar anormalidades no comportamento do usuário.
O Microsoft SharePoint pode ser configurado para registrar o acesso do usuário a páginas e documentos específicos. No Confluence Atlassian, o registro semelhante pode ser configurado através do AccessLogFilter. Uma detecção mais eficiente provavelmente exigirá infraestrutura adicional para armazenar e analisar logs.
Sistema: Windows, Linux, macOS
Descrição: Dados confidenciais podem ser obtidos de fontes locais do sistema, como um sistema de arquivos ou banco de dados, com a finalidade de posterior exfiltração.
Os invasores geralmente procuram arquivos nos computadores que invadiram. Eles podem fazer isso usando a interface da linha de comandos (cmd). Métodos para automatizar o processo de coleta de dados também podem ser usados.
Sistema: Windows, Linux, macOS
Descrição: dados confidenciais podem ser coletados de sistemas remotos que possuem unidades de rede acessíveis ao público (pasta de rede local ou servidor de arquivos) disponíveis para o adversário.
Para detectar arquivos de destino, um invasor pode procurar recursos de rede em computadores que foram comprometidos. Para coletar informações, os shells de comando interativos e as funções comuns da linha de comando podem ser usadas.
Sistema: Windows, Linux, macOS
Descrição: dados confidenciais podem ser coletados de qualquer mídia removível (unidade óptica, unidade USB, etc.) conectada a um sistema comprometido.
Para detectar arquivos de destino, um invasor pode procurar por mídia removível em computadores comprometidos. Para coletar informações, é possível usar tanto os shells de comando interativos quanto as funções comuns da linha de comando, além de ferramentas de automação para coleta de dados.
Sistema: Windows
Descrição: para coletar informações confidenciais, os atacantes podem usar caixas de correio eletrônicas personalizadas. Os dados contidos no email podem ser obtidos nos arquivos de dados do Outlook (.pst) ou nos arquivos de cache (.ost). Com credenciais de usuário, um adversário pode interagir diretamente com o servidor do Exchange e obter acesso a uma interface da Web de email externa, como o Outlook Web Access.
Recomendações de segurança: o uso da criptografia fornece uma camada adicional de proteção para informações confidenciais transmitidas por email. O uso de criptografia assimétrica exigirá que o adversário obtenha um certificado privado com uma chave de criptografia. O uso da autenticação de dois fatores em sistemas públicos de correio da web é a melhor prática para minimizar a possibilidade de um invasor usar as credenciais de outra pessoa.
Existem várias maneiras de um invasor obter um email direcionado, cada um com seu próprio mecanismo de detecção. Os indicadores de atividade maliciosa podem ser: acesso aos arquivos de dados de email do sistema local para exfiltração subsequente, processos incomuns que se conectam ao servidor de email na rede, bem como padrões de acesso atípicos e tentativas de autenticação em servidores Web de email públicos. Acompanhe processos e argumentos de linha de comando que podem ser usados para coletar arquivos de dados de email. As ferramentas de acesso remoto podem interagir diretamente com a API do Windows. Os dados também podem ser recuperados usando várias ferramentas de gerenciamento do Windows, como WMI ou PowerShell.
Sistema: Windows, Linux, macOS
Direitos: Administrador, Sistema
Descrição: os invasores podem usar os meios de capturar as entradas do usuário para obter as credenciais das contas existentes. O registro de chaves é o tipo mais comum de captura de entrada do usuário, incluindo muitos métodos diferentes de interceptar pressionamentos de tecla, mas existem outros métodos para obter informações de destino, como chamar uma solicitação de UAC ou gravar um shell para o provedor de credenciais padrão (Windows Credential Providers). O registro de chaves é a maneira mais comum de roubar credenciais quando o uso de técnicas de descarte de credenciais é ineficiente e o invasor é forçado a permanecer passivo por um determinado período de tempo.
Para coletar credenciais do usuário, um invasor também pode instalar um keylogger de software em portais corporativos externos, por exemplo, na página de login da VPN. Isso é possível depois que um portal ou serviço é comprometido pela obtenção de acesso administrativo legítimo, que por sua vez pode ser organizado para fornecer acesso de backup nos estágios de obtenção do acesso inicial e proteção no sistema.
Recomendações de proteção: garanta a detecção e o bloqueio de software potencialmente perigoso e mal-intencionado usando ferramentas como AppLocker ou políticas de restrição de software. Tome medidas para reduzir os danos se um invasor obtiver credenciais. Siga
as práticas recomendadas da Microsoft para desenvolver e administrar sua rede corporativa .
Os keyloggers podem modificar o registro e instalar drivers. As funções da API comumente usadas são SetWindowsHook, GetKeyState, GetAsyncKeyState. As chamadas para funções da API por si só não podem ser indicativas de registro de chaves, mas em conjunto com uma análise das alterações no registro, a detecção de instalações de drivers e a aparência de novos arquivos no disco podem indicar atividade maliciosa. Acompanhe a aparência dos Provedores de credenciais personalizadas no registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProvidersSistema: Windows
Direitos: Administrador, Sistema
Descrição: durante vários métodos de ataque do MitB, um adversário, aproveitando a vulnerabilidade do navegador da vítima, pode modificar o conteúdo da Web usando um programa malicioso, por exemplo, adicionar campos de entrada a uma página, modificar a entrada do usuário, interceptar informações. Um exemplo específico é o caso em que um invasor injeta software no navegador que permite que cookies, sessões HTTP, certificados SSL de cliente sejam herdados e use o navegador como uma maneira de autenticar e acessar a intranet.
Um ataque requer privilégios SeDebugPrivilege e processos de alta integridade (Entendendo o Modo Protegido). Ao definir o proxy HTTP, HTTP e HTTPS, o tráfego é redirecionado do navegador do atacante através de um navegador do usuário. Ao mesmo tempo, o tráfego do usuário não muda e a conexão proxy é desconectada assim que o navegador é fechado. Isso permite ao adversário, incluindo a visualização de páginas da web como um usuário atacado.
Normalmente, para cada nova guia, o navegador cria um novo processo com permissões e certificados separados. Usando essas permissões, um adversário pode acessar qualquer recurso na intranet que seja acessível por meio de um navegador com direitos existentes, como o Sharepoint ou o Webmail. A rotação do navegador também elimina a proteção de autenticação de dois fatores.
Recomendações de proteção
: Recomenda
-se que o vetor de
proteção tenha como objetivo restringir as permissões do usuário, evitando a escalada de privilégios e ignorando o UAC. Feche todas as sessões do navegador regularmente e quando não forem mais necessárias. A detecção MitB é extremamente difícil, pois o tráfego inimigo é disfarçado como tráfego normal do usuário, nenhum novo processo é criado, nenhum software adicional é usado e a unidade local do host atacado não é afetada. Os logs de autenticação podem ser usados para auditar logins de usuários em aplicativos Web específicos, no entanto, pode ser difícil identificar atividades maliciosas entre eles, porque atividade corresponderá ao comportamento normal do usuário.
Sistema: Windows, Linux, macOS
Descrição: durante a coleta de informações, os oponentes podem tentar capturar imagens da área de trabalho. A funcionalidade correspondente pode ser incluída nas ferramentas de acesso remoto usadas após o comprometimento.
Mac
O OSX usa o comando screencapture interno para capturar capturas de tela.
Linux
No Linux, há um comando xwd.
Recomendações de proteção: Como método de detecção, é recomendável monitorar processos que usam a API para capturar capturas de tela e gravar arquivos no disco. No entanto, dependendo da legitimidade de tal comportamento em um sistema específico, uma correlação adicional dos dados que estão sendo coletados com outros eventos no sistema provavelmente será necessária para detectar atividades maliciosas.
Sistema: Windows, macOS
Descrição: um adversário pode usar periféricos de computador (por exemplo, câmeras e webcams integradas) ou aplicativos (por exemplo, serviços de chamada de vídeo) para capturar vídeo ou imagem. A captura de vídeo, diferentemente dos métodos de captura de tela, envolve o uso de dispositivos e aplicativos para gravar vídeo, em vez de capturar imagens da tela da vítima. Em vez de arquivos de vídeo, as imagens podem ser capturadas em determinados intervalos.
Software ou scripts maliciosos podem ser usados para interagir com dispositivos por meio da API fornecida pelo sistema operacional ou aplicativo para capturar vídeo ou imagens. Os arquivos coletados podem ser gravados no disco e posteriormente filtrados.
Vários programas maliciosos diferentes são conhecidos pelo macOS, por exemplo, Proton e FriutFly, que podem gravar vídeos da webcam do usuário.
Dicas de segurança: A oposição direta à técnica acima pode ser difícil porque requer controle detalhado da API. Os esforços de proteção devem ter como objetivo evitar códigos indesejados ou desconhecidos no sistema.
Identifique e bloqueie softwares potencialmente perigosos e mal-intencionados que podem ser usados para gravar sons usando o AppLocker e as Políticas de restrição de software.
A detecção de atividades maliciosas também pode ser difícil devido a várias APIs. Dependendo de como o sistema sendo atacado, os dados de telemetria relacionados à API podem ser inúteis ou, pelo contrário, fornecer conteúdo para outras atividades maliciosas que ocorrem no sistema. Um indicador de atividade inimiga pode ser um processo desconhecido ou incomum de acessar a API associada a dispositivos ou software que interagem com um microfone, dispositivos de gravação, programas de gravação ou um processo que grava periodicamente arquivos no disco que contêm dados de áudio.