SOC First Defense – Compreendendo a cadeia de ataques cibernéticos – Uma defesa com/sem SOC

Este artigo irá ajudá-lo a entender as ameaças cibernéticas modernas do SOC e as ameaças mais comumente usadas. superfícies de ataque por trás de qualquer malware/ataques cibernéticos.

Na maioria das vezes, os ataques cibernéticos são executados em etapas. Portanto, a equipe SOC deve compreender os padrões e a cadeia de ataque.

Portanto, quebrar a cadeia de ataque e evitar a intenção do criminoso de impedir seu objetivo reduzirá o impacto comercial da perda de dados. Isso não fornecerá etapas de defesa 100% ou guias da equipe azul para sua organização.

Ele fornecerá uma breve informação sobre os vetores de ataque e cada equipe do SOC deverá criar um mecanismo de defesa para que tenha um estágio inicial de monitoramento de segurança.

Essas etapas podem ser seguidas por qualquer equipe de segurança de rede, indústrias de pequena escala ou empresas menores que não possam pagar pelo SOC, o que ajudará a criar um muro de defesa com isso.

Além disso, você pode encontrar Completo – Treinamento de intrusão de ataque cibernético para analista de SOC

3 Principais fatos que você precisa ter em mente.

Os cibercriminosos sempre planejam com antecedência os controles de segurança.

1.) Não dê tudo facilmente ao atacante; tornar mais difícil para ele conseguir. (Medidas de controle na rede)
2.) Não habilite aplicativos vulneráveis ​​legítimos se não estiverem em uso, os invasores sempre usam aplicativos legítimos na rede. (Abuso de LOLBins)
3.) Não pense que os invasores criam apenas um único trecho de código, eles sempre contam com estágios de ataque com mais comandos e funcionalidades. (Cadeias de mortes cibernéticas)

Portanto, os mecanismos de defesa que você precisa construir são baseados no seu ambiente.

1.) Defesa contra a entrega de malware – Entrando na rede da sua organização
2.) Se o malware for entregue com sucesso, como você defenderá seu movimento lateral e persistência? – Movendo-se dentro da rede da sua organização.
3.) Se o invasor realizou todas as suas atividades, seu estágio final será exfiltrado ou violado – Saindo da organização Rede.

Vamos analisar os estágios e ver seus mecanismos de defesa para garantir a segurança contra vetores de infecção comuns.

Estágio 1: Entrega de malware/MalSpam

Em todas as organizações, firewalls/IPS e gateways de e-mail desempenham um papel vital na defesa contra a entrega de malware à sua organização. Mas, nos últimos tempos, essas técnicas estão sendo facilmente derrotadas por invasores cibernéticos.

Os ataques cibernéticos modernos não são de estágio único; eles entregam malware a qualquer organização em estágios de infecções. Primeiro, o invasor atrai a vítima para clicar em qualquer URL não malicioso e redireciona para CnC e descarta as cargas úteis. Estas fases não podem ser bloqueadas pelos sistemas de defesa tradicionais.

Duas maneiras principais: 1.) Entrega de e-mail – MalSpam, Spear phishing, campanhas por e-mail 2.) Pontos de entrada RDP

A.) Anexos de e-mail comumente usados ​​na maioria das campanhas de e-mail.
1 .vbs (arquivo VBScript)
2 .js (arquivo JavaScript)
3 .exe (executável)
4 .jar (arquivo Java)
5 .docx, .doc, .dot (documentos do Office)
6 .html, .htm (arquivos de páginas da web)
7 .wsf (Windows Arquivo de script)
8 .pdf
9 .xml (arquivo Excel)
10.rtf (arquivo em formato rich text, usado pelo Office).

Bloqueie extensões de anexo de e-mail indesejadas e não autorizadas. O Gmail bloqueou essas extensões e também pode ser bloqueado em suas organizações. .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib , .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc , .wsf, .wsh

B.) Restringir os funcionários a executar os scripts no nível do endpoint.
C.) Conscientização do usuário sobre e-mails de spam e treinamento adequado.

RDP – Remote Desktop Protocol (Porta 3389) A identificação de servidores com conexões RDP vulneráveis ​​(a porta 3389 é o padrão) tornou-se incrivelmente fácil graças a ferramentas de verificação como Shodan e Masscan.

A partir daí, é simplesmente uma questão de aplicar ferramentas de força bruta como o NLBrute para quebrar as credenciais da conta RDP, e os invasores estão dentro. Alternativamente, se os invasores estiverem se sentindo especialmente preguiçosos, eles podem simplesmente ir para o DarkMarket xDedic subterrâneo, onde o acesso RDP para um servidor comprometido pode custar apenas US$6.

O RDP se tornou um vetor de infecção favorito para criminosos de ransomware, em particular, com os atores por trás de SamSam, CrySiS, LockCrypt, Shade, Apocalypse e outras variantes entrando em ação.

Mecanismo de defesa do abuso de RDP:
• Restringir o acesso através de firewalls
• Use senhas fortes e 2FA/MFA
• Limitar usuários que podem fazer login usando RDP
• Defina uma política de bloqueio de conta para enfrentar ataques de força bruta.

Estágio 1A: Recuperação de cargas de servidores de Comando e Controle.

Em variantes recentes, os e-mails são opções viáveis ​​para os ciberataques induzirem a vítima a clicar em qualquer link malicioso com palavras ou imagens atraentes. Em alguns cenários, o e-mail é o primeiro estágio para atrair a vítima a executar qualquer script do e-mail, o que abusará dos aplicativos do usuário e baixará quaisquer cargas úteis para o segundo estágio da infecção. Desabilitar ou restringir o download de arquivos da Internet por recursos legítimos pode ajudar a impedir a recuperação de carga útil.

Os ciberataques sempre adoram abusar de aplicativos legítimos do Microsoft Office para atingir seus objetivos. Porque
1.) Os aplicativos do Office são universalmente aceitos. A maioria dos nomes de anexos usados ​​por invasores em um e-mail (Fatura, Planilha, Relatórios, Balanços, Documentos, Propostas)
2.) Os aplicativos do Office são fáceis de transformar em armas. Os recursos integrados da Microsoft são atraídos pelos invasores e eles os utilizam de diversas maneiras.

Como os invasores abusam dos aplicativos da Microsoft para recuperar cargas úteis?

A.) Macros – Desativar ou restringir
B.) Vinculação e incorporação de objetos (OLE) – Desativar ou restringir
C.) Dynamic Data Exchange (DDE) – Funcionalidade removida do Word, ainda precisa ser desabilitada no Excel e Outlook
D.) Explorando o Editor de Equações – CVE-2017-11882 – Funcionalidade removida em janeiro de 2018 Windows Atualização de segurança

Não apenas os aplicativos do Microsoft Office, os invasores também usam aplicativos legítimos e Windows ferramentas integradas para recuperar cargas úteis.

A.) VBScript e JavaScript – Desativando se não for necessário
B.) Powershell – Desativando ou reduzindo os recursos usando Applocker ou Windows Política de restrição de software (SRP).
C.) Abusar de certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe e curl.exe – Bloqueio do aplicativo e impedimento de fazer solicitações de saída.

Aplicativos legítimos O seguinte pode ser usado para contornar a lista de permissões de aplicativos: Recomenda-se Bloqueio ou Sob Monitoramento.

Estágio 2: Certifique-se de que o malware não seja executado e se espalhe pela organização

Tradicionalmente, as organizações confiam em software antivírus (AV) para impedir a execução de malware.

Os ataques evoluíram para contornar/evitar AV. Para ser eficaz, o software de proteção de endpoint deve utilizar aprendizado de máquina para análise de arquivos mais inteligente e análise de atividades do sistema em tempo real, projetada para detectar e bloquear comportamentos maliciosos.

A lista de permissões de aplicativos é outra boa camada, mas pode ser difícil de manter. Os invasores também podem contornar a lista de permissões e o antivírus injetando código malicioso em processos aprovados.

Os invasores também podem contornar a lista de permissões e muitas soluções AV/NGAV injetando código malicioso no espaço de memória de um processo legítimo, sequestrando assim seus privilégios e executando sob seu disfarce.

Há uma variedade de técnicas de injeção maliciosa que os invasores podem utilizar; Injeção de DLL, injeção reflexiva de DLL, esvaziamento de processo, doppelgänging de processo, bombardeio atômico, etc.

A defesa contra a execução de malware em seu ambiente é,

1.) Proteção de endpoint.
2.) Lista de permissões de aplicativos
3.) Se possível, desative ou restrinja a execução de scripts pelos usuários
4.) Windows Controle sobre pastas
5.) Para evitar técnicas de injeção, processos de monitoramento e chamadas de API.

Estágio 3: Garanta que seus dados não sejam exfiltrados ou violados durante/após o estágio final da cadeia de ataque

Depois que os invasores têm acesso inicial, sua atenção se volta para as atividades pós-exploração. Para continuar operando sob o radar, os invasores preferem “vivendo da terra”, usando ferramentas e processos legítimos já presentes no sistema. Um dos primeiros objetivos da pós-exploração é normalmente o escalonamento de privilégios, o processo de obtenção de direitos e acesso adicionais para alcançar persistência.

Os invasores podem abusar das ferramentas e funcionalidades do sistema para criar vários pontos de carga, incluindo o armazenamento de scripts no registro.

Um número crescente de variantes de malware é projetado para se propagar automaticamente, muitas vezes através do abuso de ferramentas de administração remota.

A estratégia de abusar de programas legítimos e funcionalidades integradas para realizar atividades maliciosas sem levantar sinais de alerta. Alguns
as ferramentas mais comumente abusadas são PowerShell, Windows Instrumentação de Gerenciamento (WMI) e ferramentas de administração remota como PsExec.

Técnicas de ataque e mecanismos de defesa:

1.) Abusar de programas projetados para elevar automaticamente
a.) Use o nível mais alto de aplicação do UAC sempre que possível.
b.) Ative o modo de aprovação de administrador.
c.) Remova usuários do grupo de administração local.
2.) Sequestro de DLL
a.) Software de proteção de endpoint.
b.) Proibir o carregamento de DLLs remotas.
c.) Ative o modo de pesquisa segura de DLL.

3.) Explorações de escalonamento de privilégios (roubo de token, exploração de vulnerabilidades de desreferência de ponteiro NULL, configuração de descritores de segurança como NULL, etc.)
a.) Software de proteção de endpoint com espaço de usuário, espaço de kernel e visibilidade em nível de CPU.
4.) Dumping de credenciais
a.) Desative o cache de credenciais.
b.) Desative ou restrinja o PowerShell com AppLocker.
c.) Pratique o mínimo de privilégios e evite a sobreposição de credenciais.
d.) Software de proteção de endpoint que protege LSASS e outros armazenamentos de credenciais
5.) Técnicas de movimento lateral (abusar de ferramentas de administração remota, etc.)
a.) Recomendações de configurações do UAC.
b.) Melhores práticas de segmentação de rede (ref: SANS)
c.) Autenticação de dois fatores (2FA).
6.) Escondendo scripts maliciosos no registro
a.) Monitore com Autoruns.
7.) Criação de tarefas agendadas maliciosas
a.) Monitore para Windows ID de evento do log de segurança 4698.
8.) Abusar do WMI para acionar a execução de scripts com base em eventos (na inicialização, etc.)
a.) Crie assinaturas defensivas de eventos WMI.
a.) Quando possível, defina uma porta fixa para WMI remoto e bloqueie-a.

Conclusão

Trata-se da compreensão básica de que tipo de vetores de ameaças e superfícies de ataque podemos encontrar em nossa organização e da construção de um muro de defesa em um nível básico.

Isso não fornecerá 100% de segurança contra todas as ameaças, há mais formas exclusivas surgindo e surgem mais correlações dos padrões de malware. Portanto, devemos garantir que já estamos seguros contra o padrão conhecido de ataques cibernéticos com base nas recomendações acima.