Какие техники MITRE ATT&CK наиболее часто встречаются в реальных инцидентах и что сделать для их нейтрализации? Разбираемся на основе статистики сервисов Incident Response и MDR.
Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса (MDR) и сервиса (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях.
Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
Что это: массовая или таргетированная рассылка сообщений по e-mail, SMS и через мессенджеры, призванная выманить учетные данные у одного из сотрудников компании или побудить кого-то к загрузке вредоносного контента по ссылке.
Что это: одна из самых результативных техник атакующих. При начальном проникновении в сеть используются учетные данные сотрудников, полученные из купленных утечек или с помощью фишинга. В дальнейшем для развития атаки используются доменные и локальные учетные записи, обнаруженные на скомпрометированном компьютере.
Что это: атакующие могут находить пароли к интересующим их аккаунтам с помощью полного перебора (bruteforcing) или подбора пароля по известному хешу. Разновидностью атаки является password spraying, когда одни и те же популярные пароли применяются к различным учетным записям в надежде найти пользователя, который выбрал такой слабый пароль.
Что это: компрометация организации через ее партнеров и подрядчиков. Если взломать партнера, то дальше можно проникнуть в организацию, пользуясь обнаруженными доступами и инструментами. На практике часто взламывают субподрядчиков по IT (MSP, поставщиков аутентификации, специалистов техподдержки), которые имеют административный доступ к системам организации.
Что это: в подавляющем большинстве атак злоумышленникам необходимо выполнять собственный код на пораженных компьютерах. Чтобы не привлекать внимания и избежать применения специализированного вредоносного ПО, они часто используют легитимные инструменты выполнения сценариев, которые уже установлены на большинстве корпоративных систем. Среди них явным лидером является PowerShell от Microsoft, но встречаются атаки, использующие скрипты на Visual Basic, Python и AutoIT, а также базовые оболочки Windows и Unix (cmd и sh/bash/zsh).
Что это: широкий спектр изменений, которые атакующие вносят в доступные им учетные записи. Это могут быть: добавление аккаунта в привилегированные группы, включение деактивированных аккаунтов, смена пароля, изменение разрешений аккаунтам и группам.
Что это: скомпрометировав один из компьютеров в сети, атакующие сканируют ее в поисках уязвимых приложений, чтобы поразить дополнительные компьютеры или получить на них повышенные привилегии. В 2023 году были весьма популярны старые уязвимости в SMB v1 и Exchange Server, что подтверждает недостаточное внимание IT-служб к устранению уязвимостей.
Что это: наряду с использованием командных оболочек злоумышленники часто применяют запуск системных служб для выполнения вредоносных задач и закрепления в системе. Несомненным лидером здесь является PsExec, позволяющий запустить нужную задачу на удаленном Windows-компьютере.
Некоторые случаи уже описаны выше (PowerShell, PsExec), но в значительном числе атак злоумышленники также применяют AnyDesk для управления и контроля, Advanced IP Scanner и Softperfect Network Scanner для сканирования сети, а также пользуются инструментами для тестирования ИБ: Mimikatz для повышения привилегий, Cobalt Strike и Metasploit для перемещения по сети.
О защите от применения LOLBins хакерами можно почитать
Недавно вышедшие отчеты экспертов «Лаборатории Касперского», посвященные статистике сервиса (MDR) и сервиса (IR) за 2023 год, показывают, что в большинстве наблюдавшихся кибератак применяется всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях.
Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
Эксплуатация публично доступных приложений
Техника ATT&CK: T1190, тактика ТА0001 (первоначальный доступ)Что это: использование уязвимостей в одном из приложений организации, доступных через Интернет. Наиболее популярны атаки на веб-серверы, серверы Exchange и баз данных, а также на точки подключения VPN. Также злоумышленники активно ищут и эксплуатируют находящиеся в открытом доступе панели управления IT-инфраструктурой — от серверов SSH до SNMP.
Фишинг
Техника ATT&CK: T1566, тактика ТА0001 (первоначальный доступ)Что это: массовая или таргетированная рассылка сообщений по e-mail, SMS и через мессенджеры, призванная выманить учетные данные у одного из сотрудников компании или побудить кого-то к загрузке вредоносного контента по ссылке.
Действительные учетные записи, скомпрометированные атакующими
Техника ATT&CK: T1078, тактика ТА0001, TA0003, TA0004, TA0005 (первоначальный доступ, закрепление, повышение привилегий, обход защиты)Что это: одна из самых результативных техник атакующих. При начальном проникновении в сеть используются учетные данные сотрудников, полученные из купленных утечек или с помощью фишинга. В дальнейшем для развития атаки используются доменные и локальные учетные записи, обнаруженные на скомпрометированном компьютере.
Подбор пароля
Техника ATT&CK: T1110, тактика TA0006 (доступ к учетным данным)Что это: атакующие могут находить пароли к интересующим их аккаунтам с помощью полного перебора (bruteforcing) или подбора пароля по известному хешу. Разновидностью атаки является password spraying, когда одни и те же популярные пароли применяются к различным учетным записям в надежде найти пользователя, который выбрал такой слабый пароль.
Доверительные отношения
Техника ATT&CK: T1199, тактика ТА0001 (первоначальный доступ)Что это: компрометация организации через ее партнеров и подрядчиков. Если взломать партнера, то дальше можно проникнуть в организацию, пользуясь обнаруженными доступами и инструментами. На практике часто взламывают субподрядчиков по IT (MSP, поставщиков аутентификации, специалистов техподдержки), которые имеют административный доступ к системам организации.
Скриптовые языки и командные оболочки
Техника ATT&CK: T1059, тактика ТА0002 (выполнение)Что это: в подавляющем большинстве атак злоумышленникам необходимо выполнять собственный код на пораженных компьютерах. Чтобы не привлекать внимания и избежать применения специализированного вредоносного ПО, они часто используют легитимные инструменты выполнения сценариев, которые уже установлены на большинстве корпоративных систем. Среди них явным лидером является PowerShell от Microsoft, но встречаются атаки, использующие скрипты на Visual Basic, Python и AutoIT, а также базовые оболочки Windows и Unix (cmd и sh/bash/zsh).
Манипуляции с учетной записью
Техника ATT&CK: T1098, тактика ТА0003, ТА0004 (закрепление, повышение привилегий)Что это: широкий спектр изменений, которые атакующие вносят в доступные им учетные записи. Это могут быть: добавление аккаунта в привилегированные группы, включение деактивированных аккаунтов, смена пароля, изменение разрешений аккаунтам и группам.
Использование уязвимостей удаленных служб
Техника ATT&CK: T1210, тактика TA0008 (горизонтальное перемещение)Что это: скомпрометировав один из компьютеров в сети, атакующие сканируют ее в поисках уязвимых приложений, чтобы поразить дополнительные компьютеры или получить на них повышенные привилегии. В 2023 году были весьма популярны старые уязвимости в SMB v1 и Exchange Server, что подтверждает недостаточное внимание IT-служб к устранению уязвимостей.
Запуск системных служб
Техника ATT&CK: T1569, тактика ТА0002 (выполнение)Что это: наряду с использованием командных оболочек злоумышленники часто применяют запуск системных служб для выполнения вредоносных задач и закрепления в системе. Несомненным лидером здесь является PsExec, позволяющий запустить нужную задачу на удаленном Windows-компьютере.
Bonus track: LOLBins
При атаке на большинстве этапах атакующие стараются применять легитимные инструменты IT-администрирования, чтобы слиться с обычной активностью в сети и себя не выдать.Некоторые случаи уже описаны выше (PowerShell, PsExec), но в значительном числе атак злоумышленники также применяют AnyDesk для управления и контроля, Advanced IP Scanner и Softperfect Network Scanner для сканирования сети, а также пользуются инструментами для тестирования ИБ: Mimikatz для повышения привилегий, Cobalt Strike и Metasploit для перемещения по сети.
О защите от применения LOLBins хакерами можно почитать
