Проследете тази симулация на реална мрежова атака, която обхваща 6 стъпки от първоначален достъп до ексфилтрация на данни. Вижте как нападателите остават неразкрити с най-простите инструменти и защо се нуждаете от многобройни точки на прекъсване в стратегията си за защита.

Изненадващо, повечето мрежови атаки не са изключително сложни, технологично напреднали или разчитащи на инструменти от типа „нулев ден“, които използват крайни уязвимости. Вместо това те често използват общодостъпни инструменти и експлоатират множество точки на уязвимост. Чрез симулиране на реална мрежова атака екипите по сигурността могат да тестват своите системи за откриване, да се уверят, че разполагат с многобройни точки за блокиране, и да демонстрират на ръководството стойността на мрежовата сигурност.

В тази статия демонстрираме реална атака, която лесно може да се случи в много системи. Симулацията на атаката е разработена въз основа на рамката MITRE ATT&CK, Atomic Red Team, опита на Cato Networks в тази област и публичната информация за заплахите. Накрая обясняваме защо цялостният подход към сигурността е ключов за мрежовата сигурност.

Значението на симулирането на реална мрежова атака

Симулирането на реална атака на вашата мрежа има три предимства:

1. Можете да тествате своите открития и да се уверите, че те идентифицират и осуетяват атаките. Това е важно за справяне с обикновени атаки, които са най-често срещаните видове атаки.
2. Реалните атаки ви помагат да демонстрирате, че защитата разчита на множество точки на прекъсване. Една атака почти никога не е резултат от една-единствена точка на срив и затова един механизъм за откриване не е достатъчен.
3. Реалните атаки ви помагат да демонстрирате на ръководството важността на мониторинга на мрежата. Те показват как реалната видимост в мрежата осигурява прозрение за нарушенията, което позволява ефективно смекчаване, отстраняване и реагиране на инциденти.

Протичането на атаката

Демонстрираният по-долу поток от атаки се основава на шест стъпки:

• Първоначален достъп
• Прехвърляне на входни инструменти
• Откриване
• Извличане на удостоверения
• Странично придвижване и устойчивост
• Ексфилтрация на данни

Тези стъпки са избрани, тъй като са пример за общи техники, които са повсеместно разпространени при атаките.

Сега нека да се запознаем с всяка стъпка.

1. Първоначален достъп

Атаката започва със spear-phishing, който установява първоначално влизане в мрежата. Например с имейл, изпратен до служител с изгодно предложение за работа. Към имейла има прикачен файл. В задната част злонамереният прикачен файл в имейла стартира макрос и експлоатира уязвимост за отдалечено изпълнение на код в Microsoft Office с Hoaxshell, който е обратна обвивка с отворен код.

Според Долев Атия, щатен инженер по сигурността за заплахите в Cato Networks, „една стратегия за защита в дълбочина би могла да бъде полезна още при този първоначален вектор на достъп. Фишинг имейлът и Hoaxsheel можеха да бъдат уловени чрез антивирусна машина, сканираща имейл шлюза, антивирусна програма на крайната точка или чрез видимост в мрежата и улавяне на командването и контрола на мрежовия артефакт, генериран от зловредния документ. Многобройните контроли увеличават шанса за улавяне на атаката.“

2. Прехвърляне на инструмента за влизане

След като получи достъп, нападателят прехвърля различни инструменти в системата, за да подпомогне по-нататъшните етапи на атаката. Това включва Powershell, Mimikatz, PSX, WMI и допълнителни инструменти, които живеят извън земята.

Атия добавя: „Много от тези инструменти вече се намират в рамката на Microsoft Windows. Обикновено те се използват от администраторите за контрол на системата, но нападателите също могат да ги използват за подобни, макар и злонамерени цели.“

3. Откриване

Сега нападателят изследва мрежата, за да идентифицира ценни ресурси, като услуги, системи, работни станции, контролери на домейни, портове, допълнителни пълномощия, активни IP адреси и др.

Според Атия: „Мислете за тази стъпка така, сякаш атакуващият е турист, който за първи път посещава голям град. Той пита хората как да стигне до определени места, разглежда сградите, проверява уличните табели и се учи да се ориентира. Това е, което прави нападателят.“

4. Извличане на удостоверения

След като бъдат идентифицирани ценните ресурси, добавените преди това инструменти се използват за извличане на идентификационни данни за множество потребители на компрометирани системи. Това помага на нападателя да се подготви за странично движение.

5. Странично движение и устойчивост

Разполагайки с пълномощията, нападателят се придвижва странично в мрежата, като получава достъп до други системи. Целта на нападателя е да разшири позициите си, като стигне до възможно най-много потребители и устройства и с възможно най-високи привилегии. Това му позволява да търси чувствителни файлове, които може да екфилтрира. Ако например нападателят получи пълномощията на администратора, той може да получи достъп до големи части от мрежата. В много случаи атакуващият може да действа бавно и да планира задачите за по-късен период от време, за да избегне откриването им. Това позволява на нападателите да напредват в мрежата в продължение на месеци, без да предизвикват подозрения и да бъдат идентифицирани.

Етай Маор, старши директор на отдел „Стратегия за сигурност“, казва: „Не мога да подчертая достатъчно колко разпространен е Mimikatz. Той е изключително ефективен за извличане на пароли, а разбиването им е лесно и може да отнеме само секунди. Всеки използва Mimikatz, дори и държавни банди.“

6. Ексфилтрация на данни

Накрая се идентифицират ценни данни. Те могат да бъдат извлечени от мрежата към система за споделяне на файлове в облака, да бъдат криптирани за целите на откупа и др.

Как да се защитим от мрежови атаки

Ефективната защита срещу нападатели изисква множество нива на откриване. Всяко ниво на сигурност във веригата на поразяване трябва да бъде стратегически управлявано и холистично оркестрирано, за да се попречи на нападателите да изпълнят успешно плановете си. Този подход помага да се предвиди всеки възможен ход на нападателя за по-силна позиция по отношение на сигурността.

За да гледате цялата атака и да научите повече за стратегията „защита в дълбочина“, гледайте целия майсторски клас тук.