MTP:用于發現和停止橫向移動的攻擊模型
成功的網絡攻擊(以國家級的攻擊和人為操作的勒索軟件為例)的關鍵在于,它們有能力找到最快的攻擊途徑,并在受感染的網絡中橫向移動。所以,發現并確定這些攻擊的全部范圍和影響是安全操作中最關鍵、但通常也是最具挑戰性的部分。
為了向安全團隊提供對抗網絡攻擊的可見性和解決方案,Microsoft威脅保護(Microsoft Threat Protection ,MTP)將跨多個域和點的威脅信號關聯起來,包括端點、身份、數據和應用程序。這種全面的可見性允許MTP跨Microsoft 365數據協調預防、檢測和響應。
MTP實現這一承諾的許多方法之一是通過事件的概念提供高質量的攻擊證據整合,事件結合了企業內部的相關警報和攻擊行為。一個事件的例子是所有行為的合并,表明勒索軟件存在于多臺計算機上,并且通過暴力將橫向移動行為與初始訪問聯系起來。在最新的MITER ATT&CK評估中可以找到另一個示例,其中Microsoft Threat Protection將80個不同的警報自動關聯為兩個事件,這些事件反映了兩個攻擊模擬。
事件視圖有助于使防御者快速了解并響應實際攻擊的端到端范圍。在此文中,我們將分享有關數據驅動方法的詳細信息,該方法用于通過統計建模檢測到的橫向移動的行為證據來識別和增加事件。這種新穎的方法是數據科學與安全專業知識的結合,已得到Microsoft威脅專家的驗證和利用,可以識別和理解攻擊范圍。
識別橫向運動
攻擊者橫向移動以提升特權或從受到威脅的網絡中的特定計算機竊取信息,橫向移動通常涉及攻擊者試圖采用合法的管理和業務運營功能,包括服務器消息塊(SMB),Windows管理規范(WMI),Windows遠程管理(WinRM)和遠程桌面協議(RDP)之類的應用程序。攻擊者將這些合法使用于維護網絡功能的技術作為攻擊目標,因為它們提供了充分的機會來融入大量預期的監控技術,并提供通往目標的路徑。最近,我們觀察到攻擊者進行橫向移動,然后使用上述WMI或SMB將勒索軟件或數據清除惡意軟件部署到網絡中的多個目標計算機。PARINACOTA組織最近的一次攻擊以部署Wadhrama勒索軟件的人為攻擊而聞名,該攻擊以使用多種方法進行橫向移動而著稱。通過RDP暴力獲得對面向互聯網的服務器的初始訪問權限后,攻擊者通過掃描端口3389(RDP),445(SMB)和22(SSH)來搜索網絡中其他易受攻擊的計算機。在新一代勒索軟件中,比較流行的一類趨勢是“Smash-and-Grab”技術。攻擊者暴力入侵系統,在不到一個小時的時間內部署勒索軟件、盜竊憑證或進行其他惡意活動,時間短減少了受害者進行干預的機會。
今年3月,微軟的研究人員對一個利用此方法的惡意組織進行了18個月的跟蹤調查,該組織被稱為Parinacota,主要部署Wadhrama勒索軟件。隨著時間的推移,現在Parinacota平均每周攻擊3~4個企業或機構,將受感染的機器用于各種目的,包括加密貨幣挖掘、發送垃圾郵件或代理其他攻擊。
攻擊者下載并使用Hydra通過SMB和SSH對目標進行暴力破解,此外,他們還使用通過Mimikatz的憑據轉儲竊取的憑證,通過遠程桌面登錄到其他多臺服務器上。在他們能夠訪問的所有其他計算機上,攻擊者主要執行相同的活動,轉儲憑證和搜索有價值的信息。
值得注意的是,攻擊者對未啟用遠程桌面的服務器特別感興趣。他們將WMI與PsExec結合使用以允許服務器上的遠程桌面連接,然后使用netsh禁用防火墻中端口3389的阻止,這使攻擊者可以通過RDP連接到服務器。
他們最終使用該服務器將勒索軟件部署到組織的服務器計算機基礎結構的很大一部分中,這次攻擊是人為操作勒索軟件的一個例子,破壞了該組織的大部分功能,表明檢測和緩解橫向移動是至關重要的。
使用多種橫向移動方法的PARINACOTA攻擊
橫向運動攻擊的查找
如果將警報和橫向移動的證據自動關聯到不同的事件中,則就可以需要了解攻擊的全部范圍,并建立攻擊的活動鏈接,以顯示整個網絡的活動。在復雜的網絡中,在合法登錄的噪音中區分惡意攻擊者的活動是很有挑戰性和費時的。無法獲得所有相關警報、目標、調查和證據的聚合視圖可能會限制防御者為緩解和完全解決攻擊所采取的行動。
Microsoft Threat Protection利用其獨特的跨域的可見性和內置驅動的自動化檢測橫向運動數據驅動的方法來檢測橫向運動包括理解和統計量化行為觀察到一個攻擊鏈的一部分,例如,憑據盜竊之后,遠程連接到其他計算機和進一步意外或惡意的活動。
動態概率模型,有能力在一段時間內使用新信息進行自我學習,量化觀察到相關信號的橫向運動的可能性。這些信號可以包括某些端口上的端點之間的網絡連接頻率、可疑已刪除文件以及在端點上執行的進程類型。多個行為模型通過將與攻擊相關的特定行為關聯起來,對攻擊鏈的不同方面進行編碼。這些模型與異常檢測相結合,驅動已知和未知攻擊的發現。
可以使用基于圖形的方法對橫向運動的證據進行建模,該方法涉及在正確的時間軸中構造適當的節點和邊緣。圖2描繪了攻擊者可能如何通過網絡橫向移動的圖形表示,繪制攻擊圖的目的是發現具有足夠置信度的相關子圖,以便立即進行進一步調查。建立可以準確計算出攻擊概率的行為模型,對于確保正確地測量置信度并結合所有相關事件至關重要。
攻擊者橫向移動時的網絡可視化(結合事件1、2、4、5)
圖3概述了對橫向運動和編碼行為進行建模的步驟,這些行為稍后將用于擴展事件。通過跟蹤分析,終于發現了橫向運動的示例,并分析了真實的攻擊行為。然后通過聚合監控技術形成信號,并定義和計算行為模型。
指定統計模型以檢測橫向運動編碼行為
行為模型由統計學家和威脅專家共同精心設計,結合概率推理和安全方面的最佳實踐,精確地反映攻擊者的情況。
指定了行為模型后,通過將模糊映射應用到各自的行為,然后估計攻擊的可能性,事件增加的過程繼續進行。例如,如果有足夠的把握相信攻擊的相對可能性較高,包括橫向移動行為,則將事件關聯起來。圖4顯示了此邏輯的流程,我們已經證明了將該模型與基于專家知識和實際例子的反饋循環相結合,可以準確地發現攻擊鏈。
基于圖推理的事件流增強算法
將此邏輯流鏈接在一個圖中,可以發現攻擊遍歷網絡時的攻擊。例如,圖5顯示了如何將警報用作節點,將DCOM流量(TCP端口135)用作邊緣,以識別跨計算機的橫向移動。然后,可以將這些計算機上的警報合并在一起,形成單個事件。在圖中可視化這些邊緣和節點,可以顯示一臺受損的計算機如何使攻擊者橫向移動到另外三臺計算機的,然后攻擊將其中一臺計算機用于進一步的橫向移動。
攻擊遍歷計算機時的相關性
搜集橫向移動情報
我們之前描述的PARINACOTA攻擊是一場由人操作的勒索活動,涉及6臺新登錄的服務器。Microsoft威脅防護將以下事件自動關聯到一個顯示端到端攻擊鏈的事件中:
一個行為模型識別了在勒索軟件部署前幾天啟動的RDP入站暴力嘗試,如圖6所示。當檢測到最初的攻擊時,暴力破解嘗試會被自動識別為攻擊的原因。
在被攻擊之后,攻擊者在要攻擊的服務器上刪除了多個可疑文件,并開始橫向移動到多個其他服務器,并部署勒索軟件的有效載荷。這個攻擊鏈引發了16個不同的警告,表明Microsoft Threat Protection(采用概率推理方法)與同一事件相關,表明勒索軟件的傳播,如圖7所示。
基于每日入站公共IP時間序列計數的暴力攻擊指標
發現的受感染服務器傳播的攻擊和勒索軟件
構造圖特別有用的另一個領域是當攻擊來自未知計算機時,這些未知計算機可能是配置錯誤的計算機、惡意計算機,甚至是網絡中的物聯網計算機。即使沒有可靠的設備監控,它們仍可以用作鏈接點,以關聯多個受監控設備之間的活動。
在一個示例中,如圖8所示,我們看到了通過SMB從一個未監控計算機橫向移動到一個監控計算機。然后,該計算機建立了命令和控制(C2)的連接,建立持久性,并從該計算機收集各種信息。隨后,相同的未監控計算機建立了到第二個被監控計算機的SMB連接。此時,攻擊者所采取的唯一行動就是從該計算機收集信息。
可以看出,這兩個計算機共享一組共同的事件,這些事件與同一事件相關:
1. 通過SMB從未知計算機登錄;
2. 收集計算機信息。
關聯來自未知設備的攻擊
總結
橫向移動是攻擊檢測中最具挑戰性的領域之一,因為在大型環境的正常嗡嗡聲中,橫向移動可能是非常微妙的信號。在本文中,我們描述了一種數據驅動的方法來識別企業網絡中的橫向移動,目的是發現攻擊趨勢。Microsoft威脅保護(MTP)對的工作原理是:
1.整合來自Microsoft Threat Protection對端點、身份、數據和應用程序無與倫比的可見性的監控信號;
2.形成數據的自動化復合問題,以識別整個數據生態系統遭受攻擊的證據;
3.通過對攻擊行為進行概率建模來構建橫向運動的攻擊試圖。
這種方法結合了業界領先的光學、專業知識和數據科學,從而能夠自動發現當今環境中的一些最嚴重的威脅。
