F

FRANKENSTEIN

Spyware.png

На первом этапе SOC мы увидели понимание атак на базовом уровне и необходимые шаги для разрыва цепи атак. Перейдем к этапам SOC и продвинутому уровню защиты организации.


Первые годы, когда мы говорим вирус, это просто " exe " файл с некоторыми всплывающими окнами. Большинство вирусов, созданных script kiddies, и они не наносят никакого ущерба для любых ПК. Но современная вредоносная программа не создается скриптами kiddies, но они разрабатываются компаниями для получения прибыли, и за каждой созданной вредоносной программой есть мотивы и повестка дня.

Семейства вредоносных программ были сгруппированы в virus/ worm/ PUP/ Spyware/ Adware/ Polymorphic Virus/ Fakeav / Screensaver Virus. Это не создаст большого влияния, или за этим не будет никакого делового мотива.

Но, в настоящее время современный вредоносный ландшафт огромен и шире с уникальными способами кодирования, эта вредоносная программа, имеющая встроенные возможности загрузки дополнительной части вредоносных кодов, эксфильтрировать данные, общаться за пределами серверов, стирать данные, шифровать файлы и многое другое. Это современное вредоносное ПО создается с помощью повестки дня, modus, Money-minded и т. д.

Семейства вредоносных программ были сгруппированы в virus/ worm/ PUP/ Spyware/ Adware/ Polymorphic Virus/ Fakeav / Screensaver Virus. Это не создаст большого влияния, или за этим не будет никакого делового мотива. Но, в настоящее время современный вредоносный ландшафт огромен и шире с уникальными способами кодирования, эта вредоносная программа, имеющая встроенные возможности загрузки дополнительной части вредоносных кодов, эксфильтрировать данные, общаться за пределами серверов, стирать данные, шифровать файлы и многое другое. Это современное вредоносное ПО создается с помощью повестки дня, modus, Money-minded и т. д.

современные семейства вредоносных программ будут, трояны / руткит/ бот/ ботнет/ POS Malware/ ATM Malware/ Ransomware/ Cryptomining Malware/ Spybot/ Wiper/ CnC Trojan/ Exploit Kit/ Browser Hijacker/ Credential Stealer/ RAT/ WMI Backdoors/ Skeleton Key / Keylogger и т. д..

Таким образом, базовое понимание современных угроз становится необходимым для каждой команды SOC. Понимание профилей угроз гораздо важнее в мониторинге SOC. SOC должны знать, с чем они имеют дело, они должны понимать поведение, они должны различать шаблон, они должны знать варианты, выпущенные сообществом хакеров, а также команда SOC должна знать, как справиться с этим без каких-либо нарушений. Профили угроз-это типы вредоносных программ/скриптов/ уязвимых приложений / сетевых артефактов и артефактов windows, используемых злоумышленником для выполнения кибератаки на вашу организацию.
Эти возможности можно классифицировать как:

1.) Начальный доступ-злоумышленники используют, чтобы получить начальную точку опоры в сети.

2.) Выполнение-выполнение контролируемого противником/злоумышленником кода в локальной или удаленной системе . Эта тактика часто используется в сочетании с начальным доступом в качестве средства выполнения кода после получения доступа и бокового перемещения для расширения доступа к удаленным системам в сети.

3. Персистентность-персистентность - любой доступ, действие или изменение конфигурации к системе, которая дает противнику постоянное присутствие в той системе . Противникам часто необходимо поддерживать доступ к системам через прерывания, такие как перезапуск системы, потеря учетных данных или другие сбои, которые потребовали бы, чтобы инструмент удаленного доступа перезапустил или альтернативный бэкдор для них возвратил доступ.

4.) Повышение привилегий-повышение привилегий является результатом действий, которые позволяют противнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Противники могут войти в систему с непривилегированным доступом и должны воспользоваться слабостью системы для получения привилегий локального администратора или системного/корневого уровня.

5.) Уклонение от защиты-уклонение от защиты состоит из методов, которые противник может использовать, чтобы уклониться от обнаружения или избежать других защит . Иногда эти действия являются такими же, как или вариации методов в других категориях, которые имеют дополнительное преимущество подрыва конкретной защиты или смягчения.

6. Доступ к учетным данным-доступ к учетным данным представляет методы, приводящие к доступу к системным, доменным или служебным учетным данным или контролю над ними, которые используются в корпоративной среде . Противники, скорее всего, попытаются получить законные учетные данные от пользователей или учетных записей администратора (локального системного администратора или пользователей домена с правами администратора) для использования в сети.

7.) Discovery-Обнаружение состоит из методов, которые позволяют противнику получить знания о системе и внутренней сети. Когда противники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды от работы этой системы дают их текущей цели или общим целям во время вторжения.

8. Боковое движение-боковое движение состоит из методов, которые позволяют противнику получить доступ и управлять удаленными системами в сети и может, но не обязательно, включать выполнение инструментов на удаленных системах . Методы бокового перемещения могут позволить противнику собирать информацию из системы, не требуя дополнительных инструментов, таких как инструмент удаленного доступа.

9. Сбор-сбор состоит из методов, используемых для идентификации и сбора информации, такой как конфиденциальные файлы, из целевой сети до эксфильтрации . Эта категория также охватывает места в системе или сети, где противник может искать информацию для фильтрации.

10.) Exfiltration-Exfiltration относится к методам и атрибутам, которые приводят или помогают в противнике удаление файлов и информации из целевой сети . Эта категория также охватывает места в системе или сети, где противник может искать информацию для фильтрации.

11. Командование и контроль – тактика командования и контроля представляет, как противники общаются с системами под их контролем в целевой сети. Есть много способов, которыми противник может установить команду и управление с различными уровнями скрытности, в зависимости от конфигурации системы и топологии сети. Из-за широкой степени вариации, доступной противнику на сетевом уровне, для описания различий в командовании и управлении использовались только наиболее распространенные факторы.

Давайте посмотрим варианты семейств вредоносных программ, которые вызывают больше шума в качестве векторов атаки. Этот список не полный, просто выборка выпущенных вариантов.

1562085292573.png

1562085330992.png

1562085399390.png

1562085442640.png

SOC.png

1562085726774.png

Вывод

Почему я должен беспокоиться о вредоносных программах и их поведении?

Мы должны волноваться! Потому что современный вредоносная программа есть некоторые конкретные способы распространения больше сложная структура команд accompolish для дальнейшего убежища. Каждая вредоносная программа, с которой вы сталкиваетесь, это не ответственность вашей организации AV team, это ядро responsilibilty из SOC, чтобы понять, что это поведение и capabilitties они обладающий чтобы вторгнуться в вашу сеть.Они не в одиночку, в большинстве случаев они работают вместе, чтобы сделать свою работу. SOC Analyst-обучение кибератаки вторжение / с нуля