Threat Hunting之橫向移動攻擊

新聞 07-16

為啥要研究橫向移動攻擊

1.建立攻擊的立足點

有時,入侵者事先知道要入侵的任務的目標用戶或系統,但是,更常見的情況是,在企業中獲得立足點的攻擊者必須進行發現過程以獲取有關主機,用戶和感興趣數據的信息,一旦確定了目標,攻擊者必須在網路中移動以獲得他們在環境變得敵對之前所需的內容。

2.無法有效的區分管理員正常操作和黑客異常入侵行為

有幾種方法可以對橫向運動技術進行分類。

在這裡我們將參考:

啟用遠程身份驗證的協議,例如SSH,SMB和RDP

專為遠程執行而設計的框架,例如WinRM,WMI和RPC

不依賴於協議或框架的技術支持遠程訪問或執行,例如「粘滯鍵」功能濫用

橫向移動攻擊手段

為了橫向移動,入侵者通常使用內置於操作系統中的工具,例如SSH,Windows Management Instrumentation(WMI)和Windows遠程管理(WinRM)。其他時候攻擊者引入了像Windows Sysinternals PsExec這樣的工具。其中一些工具可以選擇指定目標用戶名和密碼,而其他工具則能夠使用當前用戶上下文並透明地向遠程系統進行身份驗證

Hunting 可疑PsExec的使用

PsExec是Sysinternals PsTools軟體套件中的一個實用程序,是與遠程執行相關的更常見的橫向移動工具之一。它在產品文獻中被描述為可以使用的「telnet替換」Windows控制台或第三方軟體。 PsExec已被各種組織的管理員廣泛採用,並且經常在Windows系統上遇到。但是,攻擊者很快採用它的原因和管理員一樣。在管理員和攻擊者都擁有相同工具的環境中,發現惡意行為可能極具挑戰性。

檢查事件日誌

1.您可以通過檢查取決於目標操作系統的多個取證數據來獲取在目標系統上使用PsExec的證據。 Windows事件日誌中發現的證據來源包括:

·EID 5145,包含有關訪問隱藏的$ ADMIN和$ IPC共享的請求的元數據; 這些日誌表明負責的過程(尋找PsExec)。

·EID 5140表示成功訪問了共享,可以確認嘗試成功,以及使用的帳戶和其他支持證據。

·EID 4697和7045可以捕獲臨時PSEXESVC服務的安裝

·EID 4688事件中捕獲的詳細流程執行可以識別源系統和目標系統上PsExec的使用,包括完整的命令行參數

·Sysmon是一個免費的日誌記錄實用程序,它捕獲EID 1中的詳細進程執行,並包括父流程,網路和用戶元數據

2.建立工具使用基線

·能夠訪問這些證據來源的團隊應首先評估PsExec在環境中的出現頻率,以及是否已知其合法使用。從那裡,他們可以識別哪些系統是用於遠程執行的PsExec的常見源,以及哪些帳戶最常用於身份驗證。

·協調IT和網路運營,以更好地確定常用工具,帳戶和系統是否合法。大多數安全團隊沒有必要的環境意識來了解如何使用這些資源。在事件期間還可以利用與操作組的關係來動員響應,支持數據收集,並實施預防性控制和增強日誌記錄

3.你需要多少數據

·建立捕獵能力的組織可能會感到有必要通過PsExec進行過度採伐,以涵蓋橫向移動等技術。保留與NTLM和KERBEROS身份驗證相關的事件是一個很好的決定,但是對於系統活動的每一分鐘,可能會創建許多個別記錄。相反,與共享訪問關聯的日誌會發生變化更不頻繁,所以你不必搜索這麼多的數據。因此,您可以開始關注EID 5145事件並暫停其他證據來源。在下一節中,我們將討論此事件類型的分析選項。

* 分析元數據

* 我們知道,根據我們對PsExec內部的理解,它將檢查目標系統上共享的屬性。我們還知道,根據我們對Windows操作系統的理解,檢查這些屬性會產生EID 5145事件。

* 記錄事件的時間(將有所不同)

* 請求的來源(服務控制管理器)

* 服務的名稱(PSEXECSVC,但請注意這是可配置的)

* 服務可執行文件(%systemroot% psexecsvc.exe,也可配置)

* 在目標上創建的服務名稱和可執行文件可由對手配置。但是,在訪問隱藏的股票時,這不應該是一個主要障礙。分析人員需要了解查詢共享屬性並導致生成這些事件的所有有效服務。在您的環境中,您應該記錄這些有效的服務。這樣,當你看到一個名字奇怪的服務時「WjjNnsdsd12sdkj」試圖訪問$ IPC共享,你可以肯定某些東西是可疑的。

* 分析進程事件

* 除了共享訪問和服務創建事件的日誌之外,進程執行的證據(本機或通過Sysmon)可以幫助揭示PsExec和其他惡意可執行文件的可疑使用。

* 什麼是應用程序和應用程序元數據(文件名,路徑,散列,大小,PE版本信息,命令行參數等)?

- 是在已知的操作期間記錄的窗口?

- 是與執行相關的有效帳戶,並且在正常運營期間使用此帳戶窗口?

- 該過程是否與網路活動相關?

* 需要多少數據

* 捕獲所有系統的詳細進程執行數據是一種很好的做法。但是,有些企業可能會發現捕獲共享訪問事件足以進行搜索。通過僅將特定事件從端點轉發到中心位置,您的伺服器會收到海量日誌。這種解決方案不可取。其實保留這個事件最重要的部分就好,同時為了調查目的在端點上保留幾天的價值。可以在Windows上啟用新的進程創建審核,這會記錄EID 4688個事件。這些日誌包含一個有關進程的大量有價值信息,但可以生成大量數據。在源和目標上生成的4688事件包含:

* 記錄事件的時間

* 用戶上下文(帳戶ID,名稱,域,會話ID)

* 進程元數據(ID,可執行文件的完整路徑,許可權令牌,父進程ID,父進程已滿路徑,完整的命令行)

* 進程關聯文件HASH

* 我么也可以記錄進程文件的hash,到virustotal查詢。

* 分析命令行

* 對於分析,有用的元數據包括與過程本身相關的詳細信息。其中,命令行參數最有用。攻擊者可以更改PsExec的某些屬性來隱藏其軌道,但是它們不能改變它接受的命令行參數。

如何自動化發現橫向移動攻擊

結構化分析手段抽象

監控API