1. 极安网首页
  2. 网络安全技术

Inside Microsoft Threat Protection:用于发现和停止横向移动的攻击模型

成功的网络攻击(以国家级的攻击和人为操作的勒索软件为例)的关键在于,它们有能力找到最快的攻击途径,并在受感染的网络中横向移动。所以,发现并确定这些攻击的全部范围和影响是安全操作中最关键、但通常也是最具挑战性的部分。

为了向安全团队提供对抗网络攻击的可见性和解决方案,Microsoft威胁保护(Microsoft Threat Protection ,MTP)将跨多个域和点的威胁信号关联起来,包括端点、身份、数据和应用程序。这种全面的可见性允许MTP跨Microsoft 365数据协调预防、检测和响应。

MTP实现这一承诺的许多方法之一是通过事件的概念提供高质量的攻击证据整合,事件结合了企业内部的相关警报和攻击行为。一个事件的例子是所有行为的合并,表明勒索软件存在于多台计算机上,并且通过暴力将横向移动行为与初始访问联系起来。在最新的MITER ATT&CK评估中可以找到另一个示例,其中Microsoft Threat Protection将80个不同的警报自动关联为两个事件,这些事件反映了两个攻击模拟。

事件视图有助于使防御者快速了解并响应实际攻击的端到端范围。在此文中,我们将分享有关数据驱动方法的详细信息,该方法用于通过统计建模检测到的横向移动的行为证据来识别和增加事件。这种新颖的方法是数据科学与安全专业知识的结合,已得到Microsoft威胁专家的验证和利用,可以识别和理解攻击范围。

识别横向运动

攻击者横向移动以提升特权或从受到威胁的网络中的特定计算机窃取信息,横向移动通常涉及攻击者试图采用合法的管理和业务运营功能,包括服务器消息块(SMB),Windows管理规范(WMI),Windows远程管理(WinRM)和远程桌面协议(RDP)之类的应用程序。攻击者将这些合法使用于维护网络功能的技术作为攻击目标,因为它们提供了充分的机会来融入大量预期的监控技术,并提供通往目标的路径。最近,我们观察到攻击者进行横向移动,然后使用上述WMI或SMB将勒索软件或数据清除恶意软件部署到网络中的多个目标计算机。PARINACOTA组织最近的一次攻击以部署Wadhrama勒索软件的人为攻击而闻名,该攻击以使用多种方法进行横向移动而著称。通过RDP暴力获得对面向互联网的服务器的初始访问权限后,攻击者通过扫描端口3389(RDP),445(SMB)和22(SSH)来搜索网络中其他易受攻击的计算机。在新一代勒索软件中,比较流行的一类趋势是“Smash-and-Grab”技术。攻击者暴力入侵系统,在不到一个小时的时间内部署勒索软件、盗窃凭证或进行其他恶意活动,时间短减少了受害者进行干预的机会。

今年3月,微软的研究人员对一个利用此方法的恶意组织进行了18个月的跟踪调查,该组织被称为Parinacota,主要部署Wadhrama勒索软件。随着时间的推移,现在Parinacota平均每周攻击3~4个企业或机构,将受感染的机器用于各种目的,包括加密货币挖掘、发送垃圾邮件或代理其他攻击。

攻击者下载并使用Hydra通过SMB和SSH对目标进行暴力破解,此外,他们还使用通过Mimikatz的凭据转储窃取的凭证,通过远程桌面登录到其他多台服务器上。在他们能够访问的所有其他计算机上,攻击者主要执行相同的活动,转储凭证和搜索有价值的信息。

值得注意的是,攻击者对未启用远程桌面的服务器特别感兴趣。他们将WMI与PsExec结合使用以允许服务器上的远程桌面连接,然后使用netsh禁用防火墙中端口3389的阻止,这使攻击者可以通过RDP连接到服务器。

他们最终使用该服务器将勒索软件部署到组织的服务器计算机基础结构的很大一部分中,这次攻击是人为操作勒索软件的一个例子,破坏了该组织的大部分功能,表明检测和缓解横向移动是至关重要的。

Inside Microsoft Threat Protection:用于发现和停止横向移动的攻击模型-极安网

本文转载:微软,不代表 极安网 立场,转载请注明出处:https://secvery.com/2455.html