Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Практика обнаружения атак, использующих легальные инструменты

Sergey Soldatov
Sergey Soldatov

Выступление в секции "Конвергенция последней линии защиты или единственно нужная защита?" на BIS Summit 2018

1 of 17
Download to read offline
Сергей Солдатов Практика обнаружения атак, использующих легальные инструменты АО «Лаборатория Касперского»
О чем речь? • Уязвимость (возможность эксплуатации) – неизбежное следствие функционала (бизнес-логики) • Уязвимости бизнес-логики существуют на всех уровнях абстракции (модели OSI) • Для обнаружения таких атак требуется экспертиза в бизнес-процессе • Защита от эксплуатации бизнес-логики плохо аутсорсится
Инфраструктура – первый эшелон Бизнес-логика Приложение Обеспечение функционирования Инфраструктура Аутентификация Авторизация Атакующий
Анатомия современной таки Активность атакующих П о р о г с р а б а т ы в а н и я С З И Недели-Месяцы Минуты-Дни Недели-Годы «Классические» возможности по детекту Время Подготовка Взлом, закрепление Постэксплуатация, достижение целей Пассивно Возможно использование ВПО Инфраструктура Использование легальных инструментов Приложение Возрастание сложности чистки Если инструменты и нужны, то только здесь
Инфраструктура
Мотивация • Остаться незамеченным  Использовать каккогдакто используют • Не тащить инструменты  Использовать что используют легитимно https://www.youtube.com/watch?v=j-r6UonEkUw
Некоторые примеры нестандартного использования Проксирование запуска Скачивание из Интернет regsvr32 [T1117] mshta [T1170] Выход из песочницы rundll32 [T1085] certutil [T1105, T1140] Смена формата bits [T1197,T1048] Закрепление в системе Эксфильтрация данных nslookup [T1048]
Некоторые примеры стандартного использования Установка новых shim-ов sdbinst [T1138] certutil [T1130] Установка корневого сертификата netsh [T1040,T1089, T1090] Сбор сетевого трафика Изменение настроек прокси Проброс сетевых соединений Изменение правил брандмауэра Снимки экрана psr [T1113] Звук с микрофона soundrecorder [T1123] bits [T1105] Докачка модулей WMI [T1047] Удаленный запуск schtasks, at [T1053] Задачи по расписанию sc [T1031] Удаленное управление службами reg [T1214] Сохранение веток реестра
За что зацепиться  Детекты/Ханты, Алерты • Просто • Отношение родитель-потомок • Командная строка • События ОС, автозапуски • Требует оптимизации • Загрузки библиотек • Операции с реестром и файлами • Сложно • Инъекции кода*, посмотреть «внутрь» файлов, процессов, перехват недокументированных функций ОС • Содержимое билетов Kerberos, маркеров доступа** * Например, это https://www.endgame.com/blog/technical-blog/ten-process- injection-techniques-technical-survey-common-and-trending-process ** Access token Оптимизация собираемых данных Исследования Разработка Полнота покрытия Сенсор Инфраструктура
Конверсия детектов/хантов = NTP/(NTP + NFP)% • Приоритет взятия в работу • Порядок использования • Эффективность ханта А л е р т ы , Х а н т ы Конверсия На первую линию Алертами Отчетность для второй линии Обогащение (дополнительный контекст) >50% <10% где, NTP – количество корректных срабатываний для данного детекта NFP – количество ложных срабатываний для данного детекта
Приложения и Бизнес-процессы
Использование легальных возможностей приложений Single Sign-On Контроль доступа Хранение аутентификаци онных данных (в памяти) Повышение привилегий Управление правами доступа Полномочия на изменение прав доступа Неавторизованный доступ • Пароли • Хеши • Билеты Kerberos • Маркеры доступа • Админ приложения • Админ ОС • АдминСУБД • Агент регистрации УЦ Обработка обфусциро- ванных данных Анализ данных Деобфускация Например, это https://www.schneier.co m/blog/archives/2018/07 /identifying_peo_8.html Доступ к данным Масса способов их скопировать Компрометация данных • Переписать • Фото • Запомнить • Не считая технических атак на DLP Анонимный доступ к сайту Изменение параметров системы Накручивание • Онлайн- голосование • И т.п.
Атаки на бизнес-процессы («лайф-хаки» с оттенками грязи) Провоз ручной клади до 10 кг Для семьи из 6 человек… Провоз до 60кг ~ три чемодана Билет до 5-ой зоны и обратно Нет единой связи турникетов Использование одного билета на две поездки • Путешествие налегке • Из Фрязино до Раменского и обратно Работник тоже может быть клиентом Распродажи, программы лояльности Мошенничество • Кассир со своей бонусной картой или с картами всех своих друзей Компенсация расходов на топливо Нет лимитов Или решение принимается самостоятельно • Оплата по чекам всех друзей и подруг
Что делать? Исследовать схемы атак Изучать свои бизнес-процессы и автоматизирующих их приложения Придумывать, как в (Приложении + Инфраструктуре) (Предотвратить  Обнаружить  Найти) следы атаки Разработанные подходы к (Предотвращению/Обнаружению/Поиску) – в Operations (SOC) Начать отсюда
Эпилог 1(2). Безопасность – это компромисс Высокие бизнес- требования Широкая функциональность приложений Выше вероятность ошибки Выше вероятность альтернативного использования Народный креатив Удобство
Эпилог 2(2). Комбинируй эшелоны • Атакующий может работать [практически] без аномалий • Инфраструктуру лучше сделаем мы*, бизнес-процессы – вы https://www.youtube.com/watch?v=5-CoJNjtAmY • Для обнаружения атак на бизнес-процессы надо ооочень хорошо понимать их  ИБ сервис Бизнеса  бегом в бизнес-подразделения! * https://media.kaspersky.com/ru/enterprise-security/Kaspersky_Managed_Protection_RU_WEB.pdf
Солдатов Сергей Владимирович www.linkedin.com/in/sergeysoldatov @SVSoldatov reply-to-all.blogspot.com/ АО «Лаборатория Касперского»

More Related Content

Практика обнаружения атак, использующих легальные инструменты

  • 1. Сергей Солдатов Практика обнаружения атак, использующих легальные инструменты АО «Лаборатория Касперского»
  • 2. О чем речь? • Уязвимость (возможность эксплуатации) – неизбежное следствие функционала (бизнес-логики) • Уязвимости бизнес-логики существуют на всех уровнях абстракции (модели OSI) • Для обнаружения таких атак требуется экспертиза в бизнес-процессе • Защита от эксплуатации бизнес-логики плохо аутсорсится
  • 3. Инфраструктура – первый эшелон Бизнес-логика Приложение Обеспечение функционирования Инфраструктура Аутентификация Авторизация Атакующий
  • 4. Анатомия современной таки Активность атакующих П о р о г с р а б а т ы в а н и я С З И Недели-Месяцы Минуты-Дни Недели-Годы «Классические» возможности по детекту Время Подготовка Взлом, закрепление Постэксплуатация, достижение целей Пассивно Возможно использование ВПО Инфраструктура Использование легальных инструментов Приложение Возрастание сложности чистки Если инструменты и нужны, то только здесь
  • 6. Мотивация • Остаться незамеченным  Использовать каккогдакто используют • Не тащить инструменты  Использовать что используют легитимно https://www.youtube.com/watch?v=j-r6UonEkUw
  • 7. Некоторые примеры нестандартного использования Проксирование запуска Скачивание из Интернет regsvr32 [T1117] mshta [T1170] Выход из песочницы rundll32 [T1085] certutil [T1105, T1140] Смена формата bits [T1197,T1048] Закрепление в системе Эксфильтрация данных nslookup [T1048]
  • 8. Некоторые примеры стандартного использования Установка новых shim-ов sdbinst [T1138] certutil [T1130] Установка корневого сертификата netsh [T1040,T1089, T1090] Сбор сетевого трафика Изменение настроек прокси Проброс сетевых соединений Изменение правил брандмауэра Снимки экрана psr [T1113] Звук с микрофона soundrecorder [T1123] bits [T1105] Докачка модулей WMI [T1047] Удаленный запуск schtasks, at [T1053] Задачи по расписанию sc [T1031] Удаленное управление службами reg [T1214] Сохранение веток реестра
  • 9. За что зацепиться  Детекты/Ханты, Алерты • Просто • Отношение родитель-потомок • Командная строка • События ОС, автозапуски • Требует оптимизации • Загрузки библиотек • Операции с реестром и файлами • Сложно • Инъекции кода*, посмотреть «внутрь» файлов, процессов, перехват недокументированных функций ОС • Содержимое билетов Kerberos, маркеров доступа** * Например, это https://www.endgame.com/blog/technical-blog/ten-process- injection-techniques-technical-survey-common-and-trending-process ** Access token Оптимизация собираемых данных Исследования Разработка Полнота покрытия Сенсор Инфраструктура
  • 10. Конверсия детектов/хантов = NTP/(NTP + NFP)% • Приоритет взятия в работу • Порядок использования • Эффективность ханта А л е р т ы , Х а н т ы Конверсия На первую линию Алертами Отчетность для второй линии Обогащение (дополнительный контекст) >50% <10% где, NTP – количество корректных срабатываний для данного детекта NFP – количество ложных срабатываний для данного детекта
  • 12. Использование легальных возможностей приложений Single Sign-On Контроль доступа Хранение аутентификаци онных данных (в памяти) Повышение привилегий Управление правами доступа Полномочия на изменение прав доступа Неавторизованный доступ • Пароли • Хеши • Билеты Kerberos • Маркеры доступа • Админ приложения • Админ ОС • АдминСУБД • Агент регистрации УЦ Обработка обфусциро- ванных данных Анализ данных Деобфускация Например, это https://www.schneier.co m/blog/archives/2018/07 /identifying_peo_8.html Доступ к данным Масса способов их скопировать Компрометация данных • Переписать • Фото • Запомнить • Не считая технических атак на DLP Анонимный доступ к сайту Изменение параметров системы Накручивание • Онлайн- голосование • И т.п.
  • 13. Атаки на бизнес-процессы («лайф-хаки» с оттенками грязи) Провоз ручной клади до 10 кг Для семьи из 6 человек… Провоз до 60кг ~ три чемодана Билет до 5-ой зоны и обратно Нет единой связи турникетов Использование одного билета на две поездки • Путешествие налегке • Из Фрязино до Раменского и обратно Работник тоже может быть клиентом Распродажи, программы лояльности Мошенничество • Кассир со своей бонусной картой или с картами всех своих друзей Компенсация расходов на топливо Нет лимитов Или решение принимается самостоятельно • Оплата по чекам всех друзей и подруг
  • 14. Что делать? Исследовать схемы атак Изучать свои бизнес-процессы и автоматизирующих их приложения Придумывать, как в (Приложении + Инфраструктуре) (Предотвратить  Обнаружить  Найти) следы атаки Разработанные подходы к (Предотвращению/Обнаружению/Поиску) – в Operations (SOC) Начать отсюда
  • 15. Эпилог 1(2). Безопасность – это компромисс Высокие бизнес- требования Широкая функциональность приложений Выше вероятность ошибки Выше вероятность альтернативного использования Народный креатив Удобство
  • 16. Эпилог 2(2). Комбинируй эшелоны • Атакующий может работать [практически] без аномалий • Инфраструктуру лучше сделаем мы*, бизнес-процессы – вы https://www.youtube.com/watch?v=5-CoJNjtAmY • Для обнаружения атак на бизнес-процессы надо ооочень хорошо понимать их  ИБ сервис Бизнеса  бегом в бизнес-подразделения! * https://media.kaspersky.com/ru/enterprise-security/Kaspersky_Managed_Protection_RU_WEB.pdf