Quando un analista rileva un'intrusione, il fattore più critico è l'analisi del contesto dell'intrusione. A questo scopo, identifichiamo le tattiche, le tecniche e le procedure (TTP) dell'attaccante. I modelli di intelligence delle minacce (kill chain e modello Diamond) accelerano l'analisi delle intrusioni determinando rapidamente:
- Come operano gli attaccanti (multipli)
- In quale fase dell'intrusione si trova l'attacco
- Cosa aspettarsi dall'attacco
Con ulteriori approfondimenti presentati dalla piattaforma Vectra AI Threat Detection and Response, alimentata da Attack Signal Intelligence™, di seguito, si vedranno i rilevamenti contestualizzati durante un'intrusione.
Analisi delle intrusioni in tempo reale per prendere decisioni informate
Vediamo più da vicino come la piattaformaVectra AI Threat Detection and Response consente l'analisi delle intrusioni in tempo reale, in modo da poter prendere decisioni informate con risposte automatiche contestualizzate.
I rilevamenti correlati assegnano all'intrusione un punteggio di quadrante per il contesto
Diversi rilevamenti correlati hanno fatto scattare un allarme e hanno portato l'host vittima nel punteggio del quadrante ALTO di Vectra.
Il punteggio del quadrante di Vectra assegna una priorità al livello di urgenza di un attacco in base al numero di tecniche utilizzate dall'attaccante e all'avanzamento dell'attacco stesso. Gli host e gli account che si trovano nel quadrante alto e critico sono considerati urgenti e meritano un'attenzione immediata.
Questo punteggio elevato del quadrante è stato confermato da avvisi di endpoint provenienti dall'EDR del cliente. Armati di queste informazioni critiche, gli analisti di Vectra MDR hanno continuato la loro indagine.
Rilevamenti innescati e Match l'intelligence sulle minacce di Vectra
Questo rilevamento ha innescato ulteriori analisi, che hanno rivelato che l'host stava generando attività DNS o stava effettuando connessioni dirette associate a IP o domini esterni dannosi. In questo caso, il dominio rotation.craigconnors[.]com (chiamato "rotation" di seguito) viene contattato direttamente sulla porta 8080 e considerato dannoso. Vengono scambiati dati (pochi KB inviati e ricevuti). La fase di attacco è legata a C&C, che indica comunicazioni esterne all'infrastruttura avversaria.
Cfr:
Comprendendo e dettagliando l'attività del gruppo di minacce, Vectra MDR è stato in grado di contestualizzare il comportamento, invece di chiedersi se si trattava di un fingerprinting? È stato fatto tramite wscript? Qual era l'obiettivo dell'attaccante nella kill chain?
Vectra MDR ci fornisce chiarezza e contesto per il comportamento delle minacce.
Anomalia dei privilegi: servizio insolito - Insider
Un altro rilevamento è stato attivato quando un account con un punteggio di privilegio basso è stato utilizzato da un host che aveva anch'esso un punteggio di privilegio basso per accedere a un servizio con un punteggio di privilegio sostanzialmente più alto. Dall'altra parte del sipario, questo host infetto stava effettuando un attacco Kerberoasting e, attivando il servizio HTTP con la richiesta di un ticket TGS, abbiamo rilevato l'anomalia dei privilegi.
Che cos'è un punteggio di privilegio e qual è il rischio?
Il punteggio di minaccia di questo rilevamento è determinato dai punteggi di privilegio(vedere questo link per i dettagli su ciò che chiamiamo 'privilegi'nella sezione "Caso di studio di rilevamento AI: Privilege Credential Abuse in the Network and Cloud ") delle tre entità Kerberos (account, host e servizio). Il punteggio della minaccia è determinato dal grado di mancata corrispondenza dei punteggi dei privilegi, ad esempio quando si accede a un servizio con privilegi elevati da host e account con privilegi bassi o medi.
Questo rilevamento fa parte di una fase di movimento laterale dell'attaccante. I movimenti laterali all'interno di una rete che coinvolgono account, host o servizi privilegiati espongono un'organizzazione a un rischio sostanziale di acquisizione ed esfiltrazione dei dati.
Indagine - Metadati e punti cardine
La memorizzazione dei metadati è vantaggiosa, perché consente di ricercare in tempo reale e in modo retrospettivo i comportamenti sospetti osservati nell'ambiente.
È sempre negativo essere informati da terzi di una potenziale intrusione. Tuttavia, è molto peggio quando l'intrusione è reale e ci si rende conto di avere una lacuna nelle proprie capacità di monitoraggio e raccolta dati.
Grazie alla nostra piattaforma di rilevamento e risposta alle minacce guidata dall'intelligenza artificiale con metadati arricchiti e memorizzati, possiamo passare alle indagini e alla risposta agli incidenti, categorizzando le attività e i rilevamenti innescati per creare una cronologia degli eventi.
Di seguito sono riportati alcuni "secchi" che siamo stati in grado di ricercare per ricostruire l'attività dannosa e formulare commenti e ipotesi.
* Promemoria: Un CIO è un indicatore con un contesto: Un IP NON è un CIO. Un IP che indica un'infrastruttura C2 o avversaria (ad esempio, un WordPress compromesso, che serve il downloader dell'avversario è un CIO).
** Attacco di downgrade del codice osservato e indagato.
*** Esclusivo di Vectra, non presente nell'output standard di Bro.
Analisi delle intrusioni - Gruppi di attività
Valutiamo e raggruppiamo alcune attività in base al loro funzionamento.
Qui di seguito descriviamo il "modus operandi" di diverse attività collegate. Utilizziamo il modello della kill chain per descrivere le fasi delle intrusioni e mappare gli indicatori dell'avversario per l'identificazione (e la prevenzione) delle attività di intrusione informatica.
Nella prossima parte di questo articolo, ci concentreremo maggiormente sulla catena verde di uccisioni di cui sopra. Come mostrato nell'immagine precedente, nelle intrusioni moderne è possibile identificare diversi gruppi di attività. Alcuni di essi non sono correlati all'intrusione vera e propria su cui indaghiamo (in questo caso il "Gruppo di attività 1" è collegato ad altre capacità di criminalità informatica). Alcuni dipendono da altri.
Cosa succede se l'attacco non viene fermato?
Cosa sarebbe successo se non avessimo fermato il "Gruppo di attività 2" in verde? Il "Gruppo di attività 3" in rosso avrebbe potuto continuare le sue operazioni. Alcuni gruppi di minacce dipendono da altri, come nel caso in cui il "Gruppo di attività 3" utilizzi l'accesso precedente del "Gruppo di attività 2" per caricare i propri malware e payload (leggi Cobalt Strike, malware, poi distribuzione di ransomware).
Potrebbe trattarsi di una potenziale dipendenza commerciale, che indica che il "Gruppo di attività 2" fornisce un servizio a pagamento Pay per Install o Initial Access Broker.
Modello Diamond
Proveniente dal mondo dell'intelligence, il modello Diamond può essere utilizzato per le attività dannose "nonché per i concetti analitici fondamentali utilizzati per scoprire, sviluppare, tracciare, raggruppare e infine contrastare sia l'attività che l'avversario". Questo modello può essere applicato a ciascuno dei livelli di evento dell'intrusione descritti di seguito (ossia le fasi KC a sinistra).
Descrive le quattro caratteristiche fondamentali presenti in ogni evento dannoso: per ogni evento di intrusione esiste: "Un avversario che compie un passo verso l'obiettivo prefissato utilizzando una capacità su un'infrastruttura contro una vittima che produce un risultato".
Perché non abbiamo utilizzato MITRE ATT&CK solo MITRE ATT&CK? L'abbiamo fatto.
In qualità di analisti, abbiamo utilizzato un modello che comprende non solo le capacità/tradecraft e le metodologie di attacco da cui provengono gli MITRE ATT&CK , ma anche i quattro vertici del modello a diamante (Avversario, Capacità, Infrastruttura e Vittima) per descrivere una "minaccia" che non può essere definita solo con le TTP o i Malware.
Infine, possiamo mappare il gruppo di attività stesso, osservato con questa rappresentazione del modello.
Le voci in rosso sono quelle che riteniamo le caratteristiche di fiducia più "alte" di questo gruppo di attività. Ciò significa che se uno di questi elementi cambia, il gruppo di attività è diverso.
Cerchiamo di definire qui i componenti principali di questo gruppo di attività, che possono essere: ad es: Il modo in cui offuscano il codice JavaScript, le metodologie di attacco osservate o le preferenze di utilizzo dell'hosting russo possono essere tutti punti comuni per tracciarli.
Conclusione
Il rilevamento e la prioritizzazione guidati dall'intelligenza artificiale, combinati con l'analisi umana che utilizza metadati arricchiti per le indagini, possono aiutare a identificare e combattere le minacce nella vostra organizzazione. Questa combinazione di strumenti guidati dall'intelligenza artificiale, analisi umana e metadati fornisce l'esperienza, il contesto e la chiarezza necessari, in un processo coerente e ripetibile. Questo processo è fondamentale quando si applica l'intelligence sulle minacce all'analisi delle intrusioni. Consente agli analisti di comprendere e descrivere le minacce con lo stesso linguaggio nel tempo, semplificando e migliorando le nostre informazioni sulle minacce grazie alla chiarezza di ciò che osserviamo. Le azioni di caccia e di difesa risultanti da queste minacce modellizzate potrebbero essere vantaggiose per tutti i clienti, consentendo loro di prendere decisioni informate più rapidamente nel ciclo di vita delle minacce.