Quando un analista rileva un'intrusione, il fattore più critico è analizzare il contesto dell'intrusione. Lo facciamo identificando le tattiche, le tecniche e le procedure (TTP) dell'aggressore. I modelli di intelligence sulle minacce (kill chain e modello Diamond) accelerano l'analisi delle intrusioni determinando rapidamente:
- Come operano gli aggressori (multipli)
- In quale fase dell'intrusione si trova l'attacco
- Cosa aspettarsi ora dall'attacco
Grazie alle ulteriori informazioni fornite dalla piattaforma di rilevamento e risposta alle minacce Vectra AI, alimentata da Attack Signal Intelligence™, di seguito potrai vedere i rilevamenti contestualizzati durante un'intrusione.
Analisi delle intrusioni in tempo reale per un processo decisionale informato
Diamo un'occhiata più da vicino a come la piattaformaVectra AI Threat Detection and Response consente l'analisi delle intrusioni in tempo reale, in modo da poter prendere decisioni informate con risposte automatizzate contestualizzate.
I rilevamenti correlati assegnano all'intrusione un punteggio quadrante per il contesto
Diversi rilevamenti correlati hanno attivato un allarme e hanno inserito l'host vittima nel quadrante HIGH di Vectra.
Il punteggio quadrante di Vectra assegna priorità al livello di urgenza di un attacco in base al numero di tecniche utilizzate dall'autore dell'attacco e allo stato di avanzamento dell'attacco stesso. Gli host e gli account nel quadrante alto e critico sono considerati urgenti e richiedono un'attenzione immediata.
Questo punteggio elevato è stato confermato dagli endpoint provenienti dall'EDR del cliente. Forti di queste informazioni cruciali, gli analisti MDR di Vectra hanno proseguito le loro indagini.
Rilevamenti attivati e Match Vectra Threat Intelligence
Questo rilevamento ha dato il via a ulteriori analisi, che hanno rivelato che l'host stava generando attività DNS o effettuando connessioni dirette associate a IP o domini esterni dannosi. In questo caso, il dominio rotation.craigconnors[.]com (di seguito denominato "rotation") viene contattato direttamente sulla porta 8080 e considerato dannoso. I dati vengono scambiati (pochi KB inviati e ricevuti). La fase di attacco è correlata al C&C, indicando comunicazioni con infrastrutture avversarie esterne.
Cf:
Comprendendo e descrivendo in dettaglio l'attività del gruppo di minaccia, Vectra MDR è stata in grado di contestualizzare il comportamento, invece di chiedersi: si trattava di fingerprinting? È stato fatto tramite wscript? Qual era l'obiettivo dell'autore dell'attacco nella kill chain?
Vectra MDR ci offre chiarezza e contesto sul comportamento delle minacce.
Anomalia dei privilegi: servizio insolito – Insider
Un altro rilevamento è stato attivato quando un account con un punteggio di privilegio basso è stato utilizzato da un host che aveva anch'esso un punteggio di privilegio basso per accedere a un servizio con un punteggio di privilegio notevolmente più alto. Dietro le quinte, questo host infetto stava effettuando un Kerberoasting e, attivando il servizio HTTP richiedendo un ticket TGS, abbiamo rilevato l'anomalia di privilegio.
Che cos'è un punteggio di privilegio e qual è il rischio?
Il punteggio di minaccia di questo rilevamento è determinato dai punteggi di privilegio (vedere questo link per i dettagli su ciò che chiamiamo "privilegi" nella sezione "Caso di studio sul rilevamento AI: abuso delle credenziali di privilegio nella rete e Cloud ) delle tre entità Kerberos (account, host e servizio). Il punteggio di minaccia è determinato dal grado di discrepanza nei punteggi di privilegio, ad esempio quando si accede a un servizio con privilegi elevati da host e account con privilegi bassi o medi.
Questo rilevamento fa parte di un tentativo di movimento laterale da parte di un aggressore. I movimenti laterali all'interno di una rete che coinvolgono account, host o servizi privilegiati espongono un'organizzazione a un rischio sostanziale di acquisizione e sottrazione di dati.
Indagine – Metadati e pivot
L'archiviazione dei metadati è vantaggiosa perché consente di cercare in tempo reale e in modo retrospettivo comportamenti sospetti osservati nel proprio ambiente.
È sempre spiacevole ricevere da terzi la segnalazione di una potenziale intrusione. Tuttavia, è molto peggio quando l'intrusione è reale e ci si rende conto di avere una lacuna nelle proprie capacità di monitoraggio e raccolta dati.
Grazie alla nostra piattaforma di rilevamento e risposta alle minacce basata sull'intelligenza artificiale, con metadati arricchiti e archiviati, possiamo procedere con le indagini e la risposta agli incidenti, classificando le attività e i rilevamenti attivati per creare una cronologia degli eventi.
Di seguito sono riportati alcuni "bucket" che siamo riusciti a cercare per ricostruire l'attività dannosa e formulare commenti e ipotesi.
* Promemoria: un IOC è un indicatore con un contesto: un IP NON è un IOC. Un IP che indica un C2 o un'infrastruttura avversaria (ad esempio, un WordPress compromesso che serve il downloader dell'avversario è un IOC).
** Attacco di downgrade cipher osservato e investigato.
*** Esclusivo di Vectra, non presente nell'output standard di Bro.
Analisi delle intrusioni – Gruppi di attività
Valutiamo quindi e raggruppiamo alcune attività in base al loro funzionamento.
Di seguito descriviamo il "modus operandi" di diverse attività collegate tra loro. A tal fine utilizziamo il modello della catena di uccisione (kill chain) per descrivere le fasi delle intrusioni e mappare gli indicatori degli avversari al fine di identificare (e quindi prevenire) le attività di intrusione informatica.
Nella prossima parte di questo articolo, ci concentreremo maggiormente sulla catena di attacco verde sopra riportata. Come mostrato nell'immagine sopra, nelle intrusioni moderne è possibile identificare diversi gruppi di attività. Alcuni di essi non sono correlati all'intrusione effettiva che stiamo indagando (in questo caso il "Gruppo di attività 1" collegato ad altre funzionalità di cybercrimine). Alcuni dipendono da altri.
Cosa succede se l'attacco non viene fermato?
Cosa sarebbe potuto succedere se non avessimo bloccato il "Gruppo di attività 2" in verde? Il "Gruppo di attività 3" in rosso avrebbe potuto continuare le sue operazioni. Alcuni gruppi di minaccia dipendono da altri, come nel caso in cui il "Gruppo di attività 3" utilizza l'accesso precedente del "Gruppo di attività 2" per caricare i propri malware e payload (leggi Cobalt Strike, malware, quindi distribuzione di ransomware).
Questo potrebbe essere un potenziale fattore di dipendenza aziendale, indicante che il "Gruppo di attività 2" fornisce un servizio a pagamento per installazione o un servizio a pagamento di broker di accesso iniziale.
Modello Diamond
Proveniente dal mondo dell'intelligence, il modello Diamond può essere utilizzato per attività dannose "così come i concetti analitici fondamentali utilizzati per scoprire, sviluppare, tracciare, raggruppare e, infine, contrastare sia l'attività che l'avversario". Questo modello può essere applicato a ciascuno dei livelli di evento di intrusione descritti di seguito (ovvero le fasi KC a sinistra).
Descrive le quattro caratteristiche fondamentali presenti in ogni evento dannoso: per ogni evento di intrusione esiste: "Un avversario che compie un passo verso un obiettivo prefissato utilizzando una capacità sull'infrastruttura contro una vittima, producendo un risultato".
Perché non abbiamo utilizzato MITRE ATT&CK ? L'abbiamo fatto.
In qualità di analisti, abbiamo utilizzato un modello che comprendeva non solo le capacità/tecniche operative e le metodologie di attacco da cui MITRE ATT&CK i dati MITRE ATT&CK , ma anche i quattro vertici del modello Diamond (avversario, capacità, infrastruttura e vittima) per descrivere una "minaccia" che non può essere definita solo con TTP o Malware.
Infine, possiamo mappare il gruppo di attività stesso, osservato con questa rappresentazione del modello.
Gli elementi in rosso sono quelli che riteniamo essere le caratteristiche di "massima" affidabilità di questo gruppo di attività. Ciò significa che se uno di questi elementi cambia, il gruppo di attività è diverso.
Cerchiamo di definire qui gli elementi fondamentali di questo gruppo di attività, che possono essere: ad esempio, il modo in cui offuscano il JavaScript, le metodologie di attacco osservate o le preferenze di utilizzo dell'hosting russo possono essere tutti punti comuni per tracciarlo.
Conclusione
Il rilevamento e la prioritizzazione basati sull'intelligenza artificiale, combinati con l'analisi umana che utilizza metadati arricchiti per le indagini, possono aiutare a identificare e combattere le minacce nella vostra organizzazione. Questa combinazione di strumenti basati sull'intelligenza artificiale, intuizione umana e metadati fornisce le competenze, il contesto e la chiarezza necessari, in un processo coerente e ripetibile. Questo processo è fondamentale quando si applica l'intelligence sulle minacce all'analisi delle intrusioni. Consente agli analisti di comprendere e descrivere le minacce con lo stesso linguaggio nel tempo, semplificando e migliorando la nostra intelligence sulle minacce e apportando chiarezza a ciò che osserviamo. Le azioni di ricerca e difesa derivanti da queste minacce modellizzate potrebbero essere vantaggiose per tutti i clienti, consentendo loro di prendere decisioni informate più rapidamente nel ciclo di vita della minaccia.