Omrezno izogibanje: Skrivanje na oceh

Spremljanje omrezne varnosti ostaja kljucna plast obrambe, vendar so sofisticirani napadalci razvili stevilne tehnike za zlivanje svojega zlonamernega prometa z legitimno omrezno aktivnostjo. Kot preizkusevalec vdorov redno testiram zmoznosti omrezne zaznave s simulacijo komunikacij ukazovanja in nadzora, ki posnemajo normalne vzorce prometa. Razumevanje teh tehnik izogibanja je bistveno za branilce, ki zelijo izboljsati svoje omrezno spremljanje in zagotoviti, da njihove resitve IDS, IPS in NDR zagotavljajo smiselno pokritost. Ta objava pokriva vec MITRE ATT&CK tehnik, vkljucno s T1071 (protokol aplikacijske plasti), T1572 (tuneliranje protokolov) in T1573 (sifriran kanal).

Zloraba protokolov za prikrite kanale

Napadalci zlorabljajo legitimne protokole za ustvarjanje prikritih komunikacijskih kanalov, ki se zlivajo s pricakovanim omreznim prometom. Vsak protokol predstavlja edinstvene priloznosti za zaznavo za branilce.

• Tuneliranje DNS (T1071.004) - DNS je eden najpogosteje zlorabljenih protokolov, ker je skoraj univerzalno dovoljen skozi pozarne pregrade. Napadalci kodirajo podatke v poizvedbe in odgovore DNS, pri cemer uporabljajo polje imena poizvedbe za eksfiltriranje podatkov in zapise TXT ali CNAME za prejemanje ukazov. Branilci bi morali spremljati neobicajno dolga imena poizvedb DNS, velike obsege poizvedb DNS na posamezno domeno, poizvedbe za neobicajne tipe zapisov in promet DNS do nestandardnih razresevalcev. Orodja kot pasivno spremljanje DNS in platforme za analitiko DNS lahko identificirajo vzorce tuneliranja, ki bi jih rocni pregled zgresal.
• HTTP in HTTPS kot kanali C2 (T1071.001) - Spletni promet je najnaravnejse kritje za komunikacije ukazovanja in nadzora, ker organizacije dnevno ustvarjajo ogromne kolicine prometa HTTP in HTTPS. Napadalci strukturirajo svoje komunikacije C2, da izgledajo kot normalno brskanje po spletu, klici API ali zahteve za dostavo vsebine. Branilci bi morali iskati povezave, ki kazejo redne casovne intervale, znane kot vedenje svetilnikov, tudi ce vsebina prometa izgleda legitimna. Statisticna analiza casovnega poteka povezav lahko razkrije avtomatizirane komunikacije C2, ki jih vzorci clovesko generiranega prometa ne bi nikoli proizvedli.
• Tuneliranje ICMP - Zahteve in odgovori ICMP echo lahko v svojem delu koristne vsebine prenesejo poljubne podatke. Ceprav je pasovna sirina omejena, je tuneliranje ICMP lahko ucinkovito za pocasno eksfiltriranje podatkov ali signalizacijo ukazovanja in nadzora. Branilci bi morali spremljati pakete ICMP z neobicajnimi velikostmi koristne vsebine, saj normalen promet ping uporablja majhne, dosledne koristne vsebine. Vsak promet ICMP s koristnimi vsebinami, vecjimi od standardnih ali z neponavljivimi podatkovnimi vzorci, zahteva preiskavo.
• Zloraba WebSocket - Povezave WebSocket vzpostavijo trajne, polno dupleksne komunikacijske kanale prek HTTP. Ko se zacetno rokovanje zaklujuci, podatki prosto tecejo v obe smeri brez obremenitve ponovljenih zahtev HTTP. Napadalci uporabljajo WebSockets za komunikacije C2 v realnem casu, ki jih je tezko pregledati, ker je podatkovni tok neprekinjen. Branilci bi morali spremljati povezave WebSocket na neobicajne destinacije in analizirati podatkovne vzorce znotraj vzpostavljenih sej WebSocket.

Strategije zlivanja prometa

Poleg izbire pogostih protokolov sofisticirani napadalci sprejmejo dodatne korake, da je njihov promet nerazlocljiv od legitimne omrezne aktivnosti.

• Posnemanje legitimnega prometa aplikacij - Napredni okviri C2 so lahko konfigurirani za ujemanje natancnih glav HTTP, uporabniskih agentov, vzorcev URI in struktur odgovorov legitimnih aplikacij, kot so Slack, Microsoft Teams ali Googlove storitve. Branilci morajo preveriti, da se promet, ki trdi, da je iz specificnih aplikacij, dejansko povezuje s pravilno infrastrukturo in se ujema s pricakovanimi vedenjskimi vzorci.
• Rotacija pogostih uporabniskih agentov - Napadalci kruzijo skozi priljubljene nize uporabniskih agentov brskalnikov, da ne izstopajo. Branilci bi morali korelirati uporabniske agente z dejanskimi namestitvami brskalnikov na koncni tocki. Proces, ki trdi, da je Chrome, vendar ne tece iz namestitvenega imenika Chrome, je sumljiv.
• Frontiranje domen (T1090.004) - Ta tehnika usmerja promet skozi legitimne domene CDN ali oblacnih ponudnikov, s cimer se destinacija zdi zaupanja vredna storitev. Polje TLS SNI kaze legitimno domeno, vendar glava HTTP Host usmerja promet na napadalcev streznik. Ceprav so mnogi oblacni ponudniki omejili to tehniko, bi morali branilci se vedno spremljati neskladja med vrednostmi SNI in glave Host, ko je na voljo pregled TLS.
• Zloraba legitimnih oblacnih storitev - Napadalci uporabljajo storitve kot Google Drive, OneDrive, Dropbox ali Pastebin kot komunikacijske kanale za odlaganje. Podatke nalozi ena komponenta in prenese druga. Branilci bi morali dolociti izhodiscno linijo normalne uporabe oblacnih storitev in opozoriti na neobicajne vzorce, kot sta avtomatiziran dostop API iz nepricakovanih procesov ali veliki prenosi podatkov v oblacno shrambo iz streznikov, ki teh storitev obicajno ne uporabljajo.

Sifriranje in izzivi zaznave

Sifriranje je hkrati branilcev prijatelj in izziv. Medtem ko sciti legitimne komunikacije, zagotavlja tudi kritje za zlonamerni promet.

• TLS za promet C2 (T1573.002) - Vecina sodobnih okvirov C2 uporablja sifriranje TLS, kar naredi pregled vsebine nemogoc brez prestrezanja TLS. Branilci bi morali razmisliti o razmestitvi pregleda TLS na omreznem obodu za neobcutljiv promet ob vzdrževanju jasne politike o tem, kateri promet je pregledan in kateri ne. Tudi brez pregleda vsebine lahko metapodatki, kot so informacije o certifikatu, casovni potek povezav in obsegi podatkov, razkrijejo aktivnost C2.
• Analiza certifikatov - Napadalci pogosto uporabljajo samopodpisane certifikate ali certifikate brezplacnih ponudnikov. Branilci bi morali spremljati povezave TLS, ki uporabljajo certifikate s kratkimi obdobji veljavnosti, manjkajocimi organizacijskimi informacijami, nedavnimi datumi izdaje ali certifikacijskimi organi, ki se v okolju ne uporabljajo pogosto. Prstni odtisi JA3 in JA3S lahko identificirajo specificne okvire C2 na podlagi njihovih edinstvenih znacilnosti rokovanja TLS.
• Plasti sifriranja po meri - Nekateri napadalci dodajajo lastno sifriranje na vrh TLS, s cimer je tudi s TLS pregledan promet neprosojen. Ceprav to premaga analizo vsebine, je ze sama prisotnost dvojnega sifriranja ali neprepoznavnih podatkovnih vzorcev znotraj desifriranih tokov TLS sumljiva in vredna preiskave.

Strategije zaznave in obrambe

Ucinkovita zaznava omreznega izogibanja zahteva kombinacijo vec analiticnih metod. Tu je pristop, ki ga priporocam na podlagi mojih izkusenj s testiranjem v mnogih organizacijah.

• Analiza obsega in casovnega poteka - Komunikacije C2 pogosto kazejo redne casovne vzorce, ki se razlikujejo od clovesko generiranega prometa. Implementirajte algoritme za zaznavo svetilnikov, ki identificirajo povezave, ki se pojavljajo v rednih intervalih, tudi s tresenjem. Analizirajte obsege prenosa podatkov za identifikacijo neobicajnih vzorcev nalaganja, ki lahko kazejo na eksfiltriranje podatkov.
• Prstni odtisi JA3 in JA3S - Te metode prstnih odtisov ustvarjajo zgoscene vrednosti parametrov TLS client in server hello, kar branilcem omogoca identifikacijo specificnih aplikacij in okvirov ne glede na ciljni IP ali domeno. Vzdrzujte izhodiscno linijo pricakovanih prstnih odtisov JA3 v vasem okolju in opozorite na neznane ali znano zlonamerne prstne odtise.
• Analitika DNS - Razmestite specializirano spremljanje DNS, ki analizira vzorce poizvedb, starost domen, registracijske informacije in obseg poizvedb. Nove domene, imena domen z visoko entropijo in domene z neobicajno velikimi obsegi poizvedb so vsi indikatorji potencialnega tuneliranja DNS ali aktivnosti C2.
• Omrezna segmentacija in spremljanje - Omejite, kateri sistemi lahko neposredno komunicirajo z internetom, in prisilite promet skozi nadzorovane ozke tocke. Notranje omrezno spremljanje lahko zazna stransko premikanje in notranje komunikacije releja C2, ki bi jih spremljanje oboda zgresilo.
• Analiza NetFlow in metapodatkov povezav - Tudi ko je vsebina prometa sifrirana, metapodatki povezav zagotavljajo dragocene obveščevalne podatke. Analizirajte podatke o tokovih za neobicajna trajanja povezav, razmerja podatkov in vzorce povezav, ki odstopajo od uveljavljenih izhodiscnih linij.
• Razmestite resitve NDR - Platforme za zaznavo in odzivanje v omrezju uporabljajo strojno ucenje za dolocanje izhodiscne linije normalnih vzorcev prometa in identifikacijo anomalij. Te resitve dopolnjujejo IDS na osnovi podpisov z zaznavo novih grozhenj, ki se ne ujemajo z znanimi vzorci.

Gradnja celovitega programa spremljanja omrezja

Najucinkovitejsa omrezna obramba zdruzuje vec metod zaznave v plastno arhitekturo spremljanja. Med preizkusi vdorov ovrednotim vsako plast neodvisno in skupaj, pri cemer identificiram tako posamezne vrzeli v zaznavi kot sistemske slepe tocke. Organizacije, ki implementirajo celovito analitiko DNS, analizo metapodatkov TLS, vedenjsko modeliranje prometa in ustrezno omrezno segmentacijo, dosledno izkazujejo najmocnejso odpornost na tehnike omreznega izogibanja. Redno testiranje teh zmoznosti prek vaj vijolicne ekipe zagotavlja, da zaznava ostaja ucinkovita, ko se tako okolje grozhenj kot omrezno okolje scasoma razvijata.