|
总结
横向移动是攻击检测中最具挑战性的领域之一,因为在大型环境的正常嗡嗡声中,横向移动可能是非常微妙的信号。在本文中,我们描述了一种数据驱动的方法来识别企业网络中的横向移动,目的是发现攻击趋势。Microsoft威胁保护(MTP)对的工作原理是:
1.整合来自Microsoft Threat Protection对端点、身份、数据和应用程序无与伦比的可见性的监控信号;
2.形成数据的自动化复合问题,以识别整个数据生态系统遭受攻击的证据;
3.通过对攻击行为进行概率建模来构建横向运动的攻击试图。
这种方法结合了业界领先的光学、专业知识和数据科学,从而能够自动发现当今环境中的一些最严重的威胁。
构造图特别有用的另一个领域是当攻击来自未知计算机时,这些未知计算机可能是配置错误的计算机、恶意计算机,甚至是网络中的物联网计算机。即使没有可靠的设备监控,它们仍可以用作链接点,以关联多个受监控设备之间的活动。
在一个示例中,如图8所示,我们看到了通过SMB从一个未监控计算机横向移动到一个监控计算机。然后,该计算机建立了命令和控制(C2)的连接,建立持久性,并从该计算机收集各种信息。随后,相同的未监控计算机建立了到第二个被监控计算机的SMB连接。此时,攻击者所采取的唯一行动就是从该计算机收集信息。
可以看出,这两个计算机共享一组共同的事件,这些事件与同一事件相关:
1. 通过SMB从未知计算机登录;
2. 收集计算机信息。
搜集横向移动情报
我们之前描述的PARINACOTA攻击是一场由人操作的勒索活动,涉及6台新登录的服务器。Microsoft威胁防护将以下事件自动关联到一个显示端到端攻击链的事件中:
一个行为模型识别了在勒索软件部署前几天启动的RDP入站暴力尝试,如图6所示。当检测到最初的攻击时,暴力破解尝试会被自动识别为攻击的原因。
在被攻击之后,攻击者在要攻击的服务器上删除了多个可疑文件,并开始横向移动到多个其他服务器,并部署勒索软件的有效载荷。这个攻击链引发了16个不同的警告,表明Microsoft Threat Protection(采用概率推理方法)与同一事件相关,表明勒索软件的传播,如图7所示。
横向运动攻击的查找
如果将警报和横向移动的证据自动关联到不同的事件中,则就可以需要了解攻击的全部范围,并建立攻击的活动链接,以显示整个网络的活动。在复杂的网络中,在合法登录的噪音中区分恶意攻击者的活动是很有挑战性和费时的。无法获得所有相关警报、目标、调查和证据的聚合视图可能会限制防御者为缓解和完全解决攻击所采取的行动。
Microsoft Threat Protection利用其独特的跨域的可见性和内置驱动的自动化检测横向运动数据驱动的方法来检测横向运动包括理解和统计量化行为观察到一个攻击链的一部分,例如,凭据盗窃之后,远程连接到其他计算机和进一步意外或恶意的活动。
动态概率模型,有能力在一段时间内使用新信息进行自我学习,量化观察到相关信号的横向运动的可能性。这些信号可以包括某些端口上的端点之间的网络连接频率、可疑已删除文件以及在端点上执行的进程类型。多个行为模型通过将与攻击相关的特定行为关联起来,对攻击链的不同方面进行编码。这些模型与异常检测相结合,驱动已知和未知攻击的发现。
可以使用基于图形的方法对横向运动的证据进行建模,该方法涉及在正确的时间轴中构造适当的节点和边缘。图2描绘了攻击者可能如何通过网络横向移动的图形表示,绘制攻击图的目的是发现具有足够置信度的相关子图,以便立即进行进一步调查。建立可以准确计算出攻击概率的行为模型,对于确保正确地测量置信度并结合所有相关事件至关重要。
(编辑:广安站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
