Проследете тази симулация на реална мрежова атака, която обхваща 6 стъпки от първоначален достъп до ексфилтрация на данни. Вижте как нападателите остават неразкрити с най-простите инструменти и защо се нуждаете от многобройни точки на прекъсване в стратегията си за защита.
Изненадващо, повечето мрежови атаки не са изключително сложни, технологично напреднали или разчитащи на инструменти от типа „нулев ден“, които използват крайни уязвимости. Вместо това те често използват общодостъпни инструменти и експлоатират множество точки на уязвимост. Чрез симулиране на реална мрежова атака екипите по сигурността могат да тестват своите системи за откриване, да се уверят, че разполагат с многобройни точки за блокиране, и да демонстрират на ръководството стойността на мрежовата сигурност.
В тази статия демонстрираме реална атака, която лесно може да се случи в много системи. Симулацията на атаката е разработена въз основа на рамката MITRE ATT&CK, Atomic Red Team, опита на Cato Networks в тази област и публичната информация за заплахите. Накрая обясняваме защо цялостният подход към сигурността е ключов за мрежовата сигурност.
Симулирането на реална атака на вашата мрежа има три предимства:
Демонстрираният по-долу поток от атаки се основава на шест стъпки:
Тези стъпки са избрани, тъй като са пример за общи техники, които са повсеместно разпространени при атаките.
Сега нека да се запознаем с всяка стъпка.
Атаката започва със spear-phishing, който установява първоначално влизане в мрежата. Например с имейл, изпратен до служител с изгодно предложение за работа. Към имейла има прикачен файл. В задната част злонамереният прикачен файл в имейла стартира макрос и експлоатира уязвимост за отдалечено изпълнение на код в Microsoft Office с Hoaxshell, който е обратна обвивка с отворен код.
Според Долев Атия, щатен инженер по сигурността за заплахите в Cato Networks, „една стратегия за защита в дълбочина би могла да бъде полезна още при този първоначален вектор на достъп. Фишинг имейлът и Hoaxsheel можеха да бъдат уловени чрез антивирусна машина, сканираща имейл шлюза, антивирусна програма на крайната точка или чрез видимост в мрежата и улавяне на командването и контрола на мрежовия артефакт, генериран от зловредния документ. Многобройните контроли увеличават шанса за улавяне на атаката.“
След като получи достъп, нападателят прехвърля различни инструменти в системата, за да подпомогне по-нататъшните етапи на атаката. Това включва Powershell, Mimikatz, PSX, WMI и допълнителни инструменти, които живеят извън земята.
Атия добавя: „Много от тези инструменти вече се намират в рамката на Microsoft Windows. Обикновено те се използват от администраторите за контрол на системата, но нападателите също могат да ги използват за подобни, макар и злонамерени цели.“
Сега нападателят изследва мрежата, за да идентифицира ценни ресурси, като услуги, системи, работни станции, контролери на домейни, портове, допълнителни пълномощия, активни IP адреси и др.
Според Атия: „Мислете за тази стъпка така, сякаш атакуващият е турист, който за първи път посещава голям град. Той пита хората как да стигне до определени места, разглежда сградите, проверява уличните табели и се учи да се ориентира. Това е, което прави нападателят.“
След като бъдат идентифицирани ценните ресурси, добавените преди това инструменти се използват за извличане на идентификационни данни за множество потребители на компрометирани системи. Това помага на нападателя да се подготви за странично движение.
Разполагайки с пълномощията, нападателят се придвижва странично в мрежата, като получава достъп до други системи. Целта на нападателя е да разшири позициите си, като стигне до възможно най-много потребители и устройства и с възможно най-високи привилегии. Това му позволява да търси чувствителни файлове, които може да екфилтрира. Ако например нападателят получи пълномощията на администратора, той може да получи достъп до големи части от мрежата. В много случаи атакуващият може да действа бавно и да планира задачите за по-късен период от време, за да избегне откриването им. Това позволява на нападателите да напредват в мрежата в продължение на месеци, без да предизвикват подозрения и да бъдат идентифицирани.
Етай Маор, старши директор на отдел „Стратегия за сигурност“, казва: „Не мога да подчертая достатъчно колко разпространен е Mimikatz. Той е изключително ефективен за извличане на пароли, а разбиването им е лесно и може да отнеме само секунди. Всеки използва Mimikatz, дори и държавни банди.“
Накрая се идентифицират ценни данни. Те могат да бъдат извлечени от мрежата към система за споделяне на файлове в облака, да бъдат криптирани за целите на откупа и др.
Ефективната защита срещу нападатели изисква множество нива на откриване. Всяко ниво на сигурност във веригата на поразяване трябва да бъде стратегически управлявано и холистично оркестрирано, за да се попречи на нападателите да изпълнят успешно плановете си. Този подход помага да се предвиди всеки възможен ход на нападателя за по-силна позиция по отношение на сигурността.
За да гледате цялата атака и да научите повече за стратегията „защита в дълбочина“, гледайте целия майсторски клас тук.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.