如何使用斜接丙氨酸&CK框架对抗勒索软件攻击

2021年11月22日 CyberArk博客团队

使用斜接丙氨酸&CK框架对抗勒索软件攻击

中国军事家孙子的著作 孙子兵法 多年来被数百万自助大师和企业战略顾问引用,却又被错误地引用了上百万张ppt幻灯片. 在这一点上,它超越了cliché, 但让正规博十大app排名放纵一下, 因为有些事情变得cliché,因为它们永远不会停止相关性. 孙子声称“一切战争都是基于欺骗”,这是一个不言自明的道理th 21世纪的战场也是如此st 世纪网络安全. 当正规博十大app排名想到恶意的特工在网络世界的阴影中伺机而动,等着漏洞一出现就发动攻击, 防御者必须在狡猾和欺骗方面得到同等的训练.

这种想法支撑着大众 “僧帽丙氨酸&CK™”框架. “对抗性战术”的缩写, 技术及常识,这个不可知论的数据库将已知的对抗策略和技术分类,以帮助网络安全团队, 威胁猎人和红队成员密切关注攻击者的想法和行动. 这些信息可以帮助各组织确定缓解战略和控制的优先次序, 从漏洞中恢复得更快,有时甚至会诱使敌人困住自己.

当正规博十大app排名的白帽黑客和CyberArk全球销售工程师 莱恩•诺伊 讨论这样的攻击场景, 他听起来有点像在和孙子沟通, 抛出诸如“网络攻击不是单一事件”之类的警句, 但是积累的步骤”或者“你无法破解不存在的东西”.”

诺伊偶尔提供指导,正规博十大app排名把 斜接丙氨酸&CK框架 来研究据报道在2021年美国最大的输油管道之一备受瞩目的勒索软件攻击中使用的一些具体战术和技术. 基于公开报道的攻击信息,Noe的完整分析可以在这里看到 随需应变的攻击 & 维护指导经验.

了解以前做过的事情可以帮助组织更好地为下一步做准备, 或者是最新的攻击手段. 因为,正如Noe所说,“你需要解决的是技术,而不是工具。.”

使用斜接丙氨酸&解析真实世界的勒索软件攻击的CK框架

攻击阶段1 -侦察

在这个初始阶段, 攻击者梳理有关其目标的正规博十大app排名,并启动一个Metasploit监听器来监听传入的连接. 攻击者使用了简单的网络钓鱼技术, 例如来自组织IT管理员的一封假电子邮件,要求用户升级他们的PuTTY版本. 此“升级”感染了恶意负载生成器, MSFvenom, 在目标机器和攻击者之间创建了一个“呼叫home”.

攻击阶段2 -初始访问

从那里,威胁参与者导航到用户的桌面,并上传了一个“广告侦察工具来了解活动目录的情况, 更好地了解公司的内部架构. 在运行了一些先进的数据侦察报告和过滤出必要的信息之后, 攻击者删除了他们活动的痕迹,以避免被发现.

在这个场景中, the attackers used several different MITRE-defined techniques to gain an initial foothold:  They abused access to valid accounts gained through social engineering and other techniques; they engaged in active phishing campaigns targeting credentials to compromise identities and gain more access; and they exploited public-facing applications.

攻击阶段3 -执行

一旦最初的据点建立起来, 攻击者通过输出目录来获取关于域控制器位置的信息, 以及IP地址和主机名.

域控制器是攻击者的至宝,如果没有得到适当的保护, 未经授权的访问对组织来说可能是毁灭性的. 攻击者可以利用Kerberos中的漏洞, Microsoft Windows的默认身份验证协议, 冒充合法用户, 穿越网络而不被发现, 从一个主机导航到另一个主机来窃取数据, 以任何方式传播勒索软件或造成严重破坏.

可以访问域控制器, 对于这些攻击者来说,运行一个内置的工具来设置双会话非常简单——本质上是将他们自己的计算机设置为与系统管理员并行.

正如Noe所指出的, 保护Kerberos实现程序 对于防止未经授权的用户获得访问权和执行破坏性攻击(如“黄金券”和“传递哈希”)来说,这很关键吗.“这要追溯到一个人的重要性 “assume-breach”的心态.

攻击阶段4 -持续性

耐心和坚持通常被视为美德,但它们也是勒索软件攻击的关键. 一旦攻击者建立了并行管理员, 他们使用恶意代理来创建一个计划任务,该任务在运行时自动返回到命令和控制服务器,并保持攻击者返回到该主机的门户打开.

从那里, 他们能够运行利用漏洞和hashdumps——本质上是一堆信息,可以通过类似的程序呈现出可读的内容 Hashcat. 一旦这些信息是可读的和可排序的——这需要时间和, 好吧, 持久性—攻击者能够找到对任务至关重要的管理员密码.

在这里,Noe建议使用某种自动重新生成的密码系统, 避免使用一组钥匙来解锁系统, 以及帮助防止跨系统重复使用或复制密码. 再次强调,这是关于尽可能地限制横向和向上移动.

攻击阶段5 -升级

这个游戏的名字几乎总是特权升级. 攻击者一直在破解hash转储并取出凭证,试图在系统中导航. 他们执行各种类型的面向证书的操作,并最终, 使用这种高架访问来导航到他们想要转储的地方——或者, 更准确地, 上传——他们的勒索软件有效载荷.

攻击阶段6 -闪避

正如Noe所说,“在最初的访问之后,攻击者的第二优先任务是逃避防御. 保持不被发现的能力至关重要.“这就是间谍大战的地方. 间谍——被破坏的系统(希望如此)有一些隐蔽的防御机制, 而对手们则试图偷偷摸摸. 例如, 保持东西“干净”,攻击者将删除输出目录, CSV文件(逗号分隔值)和powerscripts,以消除任何妥协迹象. 这些回避技巧强调了分层的必要性, 深度防护 诺伊指出,这是一种保护勒索软件的方法.

攻击阶段7 -凭据访问

这种ransomware攻击, 就像之前很多人一样, 远远超出了桌面镜像和密码的hashdump跳水. 它以特权凭证为目标,使对手能够对敏感数据和系统进行深远的管理访问.

这就是为什么,诺埃强调, 特权访问管理控制 授予用户最小的权限集是分层安全方法的重要组成部分——并有助于更广泛的“不信任任何东西”, 验证一切” 零信任哲学.

下一次大攻击可能不会像这样

斜接丙氨酸&CK框架 确实有用,它必须是一种流动的资源——一个起点. 攻击者不断创新,每次攻击都有自己的路径. 不断有新技术出现在野外,从 生物黑客 “勒索软件即服务”的创新,但也会偶尔故技重施. 作为一个解释, “正规博十大app排名看到了全新的压缩文件的方式,其中包括解压时执行的Javascript. 正规博十大app排名以前见过, 但是攻击者已经很久没有使用这种压缩方式了.”

用正规博十大app排名的网络安全哲学家莱恩•诺伊的话来说, 是积极的, 像攻击者一样有创造力和思维是实现网络安全的必要途径. 但是,这就是正规博十大app排名如何平衡处理 已知 准备 未知数 这不仅有助于赢得对抗攻击者的战斗,还有助于赢得战争.

前一篇文章
揭开零售业的云安全和电子商务风险在这个假期
揭开零售业的云安全和电子商务风险在这个假期

持续的供应链问题, 运输延误和当前的其他现实情况共同延长了硬脑膜...

下一篇文章
什么是SASE,它与零信任有什么关系?
什么是SASE,它与零信任有什么关系?

使用本地数据中心的日子, 好吧, 企业IT世界的中心, 是f...

Gartner将CyberArk列为PAM 2021年魔术象限的领导者

立即下载