Pesquisar

Língua

Apresentando o Algoritmo LATMA para Melhor Detecção de Movimento Lateral

5 de junho de 2023

INÍCIO » BLOG » Apresentando o Algoritmo LATMA para Melhor Detecção de Movimento Lateral

A detecção de movimento lateral é um desafio com o qual todo pesquisador de segurança cibernética provavelmente está familiarizado. Minha equipe e eu enfrentamos esse desafio há alguns meses e, não surpreendentemente, descobrimos rapidamente que não existe uma solução fácil ou rápida para enfrentá-lo.

Neste post, explicarei o desafio de detectar movimento lateral e mostrar como minha equipe e eu melhoramos significativamente nossa capacidade de detectá-lo com nosso Ferramenta Analisador de Movimento Lateral (LATMA). Discutirei os detalhes desse algoritmo e explicarei como ele conseguiu resultados muito melhores do que outros disponíveis atualmente.

Se você é praticante, ouça! Porque vou compartilhar como você pode usar nossa nova ferramenta de código aberto para detectar movimento lateral em seu ambiente.

Índice analítico

  • Compreendendo o movimento lateral examinando um ataque recente
  • Compreendendo o papel que a autenticação desempenha no movimento lateral
  • As três etapas para detecção LATMA
  • Apresentando LATMA: a ferramenta de análise de movimento lateral
  • A prova da LATMA está nos resultados
  • Trabalho futuro: para onde vamos com isso

    • Compreendendo o movimento lateral examinando um ataque recente

    Antes de discutir a detecção de movimento lateral, vamos primeiro definir exatamente o que é. E não há melhor maneira de fazer isso do que usando um exemplo.

    Há alguns meses, hackers do grupo cibercriminoso Lapsus$ obtiveram acesso aos sistemas do Uber por meio de uma VPN com credenciais de usuário regulares adquiridas por meio de uma técnica de engenharia social chamada “bombardeio MFA”. Os invasores examinaram a rede para encontrar informações valiosas e, eventualmente, encontraram um script do PowerShell que continha credenciais de administrador. Eles então usaram as credenciais desse administrador para fazer login em um banco de dados e expor informações confidenciais da empresa.

    Este ataque consistiu em várias etapas:

    1. Obter acesso inicial aos sistemas da Uber – neste caso através de engenharia social.
    2. Buscar informações e utilizá-las para acessar outras máquinas da rede e obter credenciais privilegiadas.
    3. Usar essas credenciais privilegiadas para cumprir um objetivo malicioso — neste caso, expor informações confidenciais.

    Essas três etapas ocorrem em quase todas as violações bem-sucedidas. No entanto, apenas o segundo passo é considerado movimento lateral, uma vez que sinaliza a capacidade dos atacantes de se moverem com sucesso através da rede de uma organização. Esta é a etapa na qual vou me concentrar.

    Compreendendo o papel que a autenticação desempenha no movimento lateral

    A movimentação entre máquinas requer autenticação. Durante esta fase, o invasor precisa fornecer credenciais ao provedor de identidade e somente depois que elas forem verificadas ele poderá avançar para uma máquina alvo.

    O problema é que o movimento normal entre máquinas requer autenticação tanto quanto o movimento malicioso, e ambos deixam os mesmos rastros. Isso torna muito difícil distinguir entre movimentos normais e maliciosos.

    Uma abordagem para resolver isso é através da detecção de anomalias. Adotar esta abordagem, no entanto, tem os seus próprios desafios, uma vez que muitas anomalias não são, na verdade, maliciosas. Por exemplo, quando um funcionário vai ao departamento de TI em busca de ajuda e o profissional de TI faz login no computador da pessoa que solicitou ajuda, isso é uma anomalia, mas obviamente não é maliciosa.

    Infelizmente, é por isso que algoritmos simples de detecção de anomalias não são muito úteis. É por isso que minha equipe e eu desenvolvemos o algoritmo LATMA que supera esse obstáculo.

    As três etapas para detecção LATMA

    Etapa 1: construir um gráfico para tráfego de autenticação anormal

    Nesta etapa, o LATMA digere todo o tráfego de autenticação na organização e determina quais autenticações parecem normais e quais parecem anormais. Ele faz isso usando informações sobre o domínio, como funções de computador/usuário e seu comportamento esperado. Em seguida, as autenticações são usadas para construir um gráfico que representa a rede, onde cada nó representa um computador e cada aresta representa uma autenticação.

    Porém, conforme mencionado anteriormente, encontrar anomalias não é suficiente para detectar movimentos laterais, portanto, há várias outras etapas no processo.

    Etapa 2: Encontrando Padrões de Movimento Lateral

    Nesta etapa, tomamos como entrada o gráfico de autenticação da etapa anterior e buscamos padrões de movimento lateral. Esses padrões estão associados a diferentes tipos de ataques maliciosos. intenção.   

    Classificamos os padrões em três categorias:

    Padrões de pesquisa – Antes de os atacantes realizarem qualquer movimento, eles provavelmente procurarão um bom alvo para avançar. O padrão é: muitas autenticações de uma única fonte (representando a localização atual do invasor) para vários servidores.

    Padrões avançados – Representam o movimento dos atacantes entre diferentes ativos de rede. Os invasores podem roubar credenciais ao longo do caminho e usá-las para avançar.

    Padrões de ação – Geralmente, estes ocorrem no final da violação, quando os atacantes começaram a cumprir os seus objetivos maliciosos. Esses padrões são frequentemente caracterizados por acesso automático massivo a várias máquinas ao mesmo tempo, a fim de roubar informações ou executar malware.

    Etapa 3: Alerta

    O LATMA gera um alerta quando pelo menos dois desses padrões acontecem em sequência. Por exemplo, se o invasor procura uma máquina alvo para avançar e depois avança com sucesso, o algoritmo gera um alerta.

    No exemplo, o ataque poderia ter sido interrompido antes do padrão de atuação, pois o algoritmo gera um alerta caso detecte um padrão de atuação conectando-se a outro padrão. Os padrões de atuação geralmente significam que o invasor já cumpriu seus objetivos. Nesse caso, a saída do algoritmo pode ajudar na investigação. 

    Apresentando LATMA: a ferramenta de análise de movimento lateral

    Como parte de nossa pesquisa, desenvolvemos uma ferramenta gratuita que implementa a lógica do LATMA e gera um relatório detalhado de todos os movimentos suspeitos no ambiente. A ferramenta consiste em dois módulos:

    Coletor de registros – Este módulo coleta o tráfego de autenticação do Active Directory (AD) ambiente. Ele reúne os logs dos controladores de domínio e endpoints, concentrando-se apenas em interações interativas. Kerberos e autenticações NTLM. Este módulo é de código aberto e pode ser encontrado aqui: https://github.com/silverfort-open-source/latma

    Módulo Analisador – Este módulo insere os logs do coletor e gera um relatório detalhado contendo os padrões que o LATMA encontrou, como eles estão conectados, quem os executou e quando. Ele também visualiza as descobertas em um GIF. Este módulo é gratuito e pode ser encontrado aqui: https://www.silverfort.com/resources/tools/lateral-movement-analyzer-tool-beta/

    Uma das vantagens desta ferramenta é que os resultados são legíveis e claros. Porque às vezes a parte mais difícil de lidar com um alerta não é apenas saber o que aconteceu, mas convencer a sua equipe de que não se trata de um alarme falso. O resultado direto da LATMA ajuda a resolver esse problema.

    Assista a esta demonstração completa do LATMA, de 16: 54 - 30: 44

    A prova da LATMA está nos resultados

    Se você leu até aqui, espero que esteja convencido de que esse algoritmo e ferramenta têm valor. Então, também quero mostrar que é extremamente preciso.

    Como parte do meu trabalho na Silverfort, vejo o tráfego de autenticação de centenas de ambientes diferentes, e você pode se surpreender ao saber que muitos deles são alvo de tentativas de movimento lateral. Sabemos disso porque nosso cliente descobriu isso ou SilverfortA plataforma nos alertou sobre isso. Isso torna esses dados bons para validação, treinamento de algoritmos e teste de hipóteses.

    Executamos o LATMA em dezenas de conjuntos de dados de diferentes ambientes. O resultado final é que ele detectou 95% dos movimentos laterais e gerou um alarme falso aproximadamente uma vez a cada três dias – quase 30 vezes melhor do que outros algoritmos existentes!

    Trabalho futuro: para onde vamos com isso

    O trabalho no algoritmo ajudou a mim e minha equipe a entender e modelar melhor os ataques de movimento lateral. Também me fez perceber que, apesar da melhoria significativa, ainda há um longo caminho a percorrer. As superfícies de ataque estão evoluindo rapidamente e os invasores têm cada vez mais oportunidades de tirar vantagem disso, por exemplo, migrando de um ambiente local para a nuvem e vice-versa. Portanto, um possível aprimoramento desse algoritmo incluiria logs e eventos de ambientes de nuvem e detecção de movimento lateral que atravessa plataformas.

    Fique atento para mais novidades sobre a LATMA e deixe-nos saber seus comentários sobre esta ferramenta.

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  

    Março 2nd, 2024

    Proteção MFA para redes air-gapped
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora