Daha İyi Yanal Hareket Tespiti için LATMA Algoritması Tanıtımı
Haziran 5th, 2023 gal sadeh
Yanal hareket algılama, her siber güvenlik araştırmacısının muhtemelen aşina olduğu bir zorluktur. Ekibim ve ben bu zorlukla birkaç ay önce karşılaştık ve şaşırtıcı olmayan bir şekilde, bunu çözmenin kolay veya hızlı bir çözümü olmadığını çabucak keşfettik.
Bu yazıda, tespit etmenin zorluğunu açıklayacağım yanal hareket ve size ekibimle birlikte bunu tespit etme yeteneğimizi nasıl önemli ölçüde geliştirdiğimizi göstereceğim. Yanal Hareket Analizörü (LATMA) aracı. Bu algoritmanın ayrıntılarını tartışacağım ve şu anda mevcut olanlardan çok daha iyi sonuçları nasıl alabildiğini açıklayacağım.
Eğer bir uygulayıcıysanız, dinleyin! Çünkü yeni açık kaynak aracımızı nasıl kullanabileceğinizi paylaşacağım. yanal hareketi algılama çevrenizde.
Içindekiler
Yakın Zamandaki Bir Saldırıyı İnceleyerek Yanal Hareketi Anlamak
Yanal hareket algılamayı tartışmadan önce, tam olarak ne olduğunu tanımlayalım. Ve bunu yapmanın bir örnek kullanmaktan daha iyi bir yolu yoktur.
Birkaç ay önce, siber suç grubu Lapsus$'a bağlı bilgisayar korsanları, "MFA bombalaması" adı verilen bir sosyal mühendislik tekniği kullanarak edindikleri normal kullanıcı kimlik bilgileriyle bir VPN aracılığıyla Uber'in sistemlerine erişim sağladı. Saldırganlar, değerli bilgiler bulmak için ağı taradı ve sonunda yönetici kimlik bilgilerini içeren bir PowerShell komut dosyası buldu. Daha sonra bir veritabanına giriş yapmak ve hassas şirket bilgilerini ifşa etmek için bu yöneticinin kimlik bilgilerini kullandılar.
Bu saldırı birkaç adımdan oluşuyordu:
- Uber'in sistemlerine ilk erişimin elde edilmesi — bu durumda sosyal mühendislik aracılığıyla.
- Bilgi aramak ve ardından onu ağdaki diğer makinelere erişmek ve ayrıcalıklı kimlik bilgileri elde etmek için kullanmak.
- Bu ayrıcalıklı kimlik bilgilerini kötü amaçlı bir hedefi gerçekleştirmek için kullanmak — bu durumda hassas bilgileri ifşa etmek.
Bu üç adım, neredeyse her başarılı ihlalde gerçekleşir. Ancak, saldırganların bir kuruluşun ağında başarılı bir şekilde hareket etme becerisine işaret ettiğinden, yalnızca ikinci adım yanal hareket olarak kabul edilir. Odaklanacağım adım bu.
Kimlik Doğrulamanın Yanal Harekette Oynadığı Rolü Anlamak
Makineler arasındaki hareket, kimlik doğrulama gerektirir. Bu aşamada, saldırganın kimlik sağlayıcıya kimlik bilgileri sağlaması gerekir ve yalnızca bunlar doğrulandıktan sonra hedef makineye ilerleyebilir.
Sorun, makineler arasındaki normal hareketin, kötü niyetli hareket kadar kimlik doğrulaması gerektirmesi ve her ikisinin de aynı izleri bırakmasıdır. Bu, normal ve kötü niyetli hareket arasında ayrım yapmayı çok zorlaştırır.
Bunu çözmeye yönelik bir yaklaşım, anormalliklerin saptanmasıdır. Bununla birlikte, bu yaklaşımı benimsemenin kendi zorlukları vardır çünkü birçok anormallik aslında kötü niyetli değildir. Örneğin, bir çalışan yardım için BT departmanına gittiğinde ve BT görevlisi yardım isteyen kişinin bilgisayarına giriş yaptığında, bu bir anormalliktir ancak açıkça kötü niyetli değildir.
Ne yazık ki, bu nedenle basit anomali tespit algoritmaları aslında pek kullanışlı değil. Bu nedenle ekibim ve ben bu engeli aşan LATMA algoritmasını geliştirdik.
LATMA Tespitinin Üç Adımı
1. Adım: Anormal Kimlik Doğrulama Trafiği İçin Bir Grafik Oluşturun
Bu adımda LATMA, kuruluştaki kimlik doğrulama trafiğinin tamamını sindirir ve hangi kimlik doğrulamalarının normal, hangilerinin anormal göründüğünü belirler. Bunu, bilgisayar/kullanıcı rolleri ve beklenen davranışları gibi etki alanı hakkındaki bilgileri kullanarak yapar. Ardından, her düğümün bir bilgisayarı temsil ettiği ve her kenarın bir kimlik doğrulamasını temsil ettiği ağı temsil eden bir grafik oluşturmak için kimlik doğrulamaları kullanılır.
Ancak daha önce de belirtildiği gibi, yanal hareketi tespit etmek için anormallikleri bulmak yeterli değildir, bu nedenle süreçte birkaç adım daha vardır.
Adım 2: Yanal Hareket Kalıplarını Bulmak
Bu adımda, önceki adımdaki kimlik doğrulama grafiğini girdi olarak alıp yanal hareket modellerini araştırıyoruz. Bu modeller, farklı kötü amaçlı yazılım türleri ile ilişkilidir. niyet.
Kalıpları üç kategoriye ayırıyoruz:
Arama kalıpları – Saldırganlar herhangi bir hareket gerçekleştirmeden önce, muhtemelen ilerlemek için iyi bir hedef arayacaklardır. Model şu şekildedir: tek bir kaynaktan (saldırganın mevcut konumunu temsil eder) birden çok sunucuya birçok kimlik doğrulaması.
Gelişmiş kalıplar – Bunlar, saldırganların farklı ağ varlıkları arasındaki hareketini temsil eder. Saldırganlar yol boyunca kimlik bilgilerini çalabilir ve ardından bunları ilerlemek için kullanabilir.
Hareket kalıpları – Genellikle bunlar, ihlalin sonlarına doğru, saldırganlar kötü niyetli hedeflerini gerçekleştirmeye başladıklarında gerçekleşir. Bu kalıplar genellikle bilgi çalmak veya kötü amaçlı yazılım çalıştırmak için birden fazla makineye aynı anda büyük otomatik erişim ile karakterize edilir.
3. Adım: Uyarı
LATMA, bu kalıplardan en az ikisi sırayla gerçekleştiğinde bir uyarı oluşturur. Örneğin, saldırgan ilerlemek için bir hedef makine arar ve ardından ona başarılı bir şekilde ilerlerse, algoritma bir uyarı oluşturur.
Örnekte, saldırı, harekete geçen modelden önce durdurulmuş olabilir, çünkü algoritma, başka bir modele bağlanan bir hareket eden model tespit ederse bir uyarı oluşturur. Davranış kalıpları genellikle saldırganın hedeflerini zaten gerçekleştirmiş olduğu anlamına gelir. Bu durumda, algoritmanın çıktısı araştırmaya yardımcı olabilir.
LATMA Tanıtımı: Yanal Hareket Analiz Aracı
Araştırmamızın bir parçası olarak, LATMA'nın mantığını uygulayan ve ortamdaki tüm şüpheli hareketlerin ayrıntılı bir raporunu çıkaran ücretsiz bir araç geliştirdik. Araç iki modülden oluşur:
Günlük Toplayıcı – Bu modül, kimlik doğrulama trafiğini toplar. Active Directory (AD) ortamı. Etki alanı denetleyicilerinden ve uç noktalardan gelen günlükleri toplar ve yalnızca etkileşimli Kerberos ve NTLM kimlik doğrulamaları. Bu modül açık kaynaklıdır ve burada bulunabilir: https://github.com/silverfort-open-source/latma
Analizör Modülü – Bu modül, toplayıcıdan gelen günlükleri girer ve LATMA'nın bulduğu kalıpları, bunların nasıl bağlandığını ve bunları kimin ve ne zaman gerçekleştirdiğini içeren ayrıntılı bir rapor çıkarır. Ayrıca bulguları bir GIF'te görselleştirir. Bu modül ücretsizdir ve burada bulunabilir: https://www.silverfort.com/resources/tools/lateral-movement-analyzer-tool-beta/
Bu aracın avantajlarından biri, sonuçların okunabilir ve net olmasıdır. Çünkü bazen bir uyarıyla baş etmenin en zor yanı, yalnızca bunun olduğunu bilmek değil, ekibinizi bunun yanlış bir alarm olmadığına ikna etmektir. LATMA'nın basit çıktısı bu sorunun çözülmesine yardımcı olur.
LATMA'nın bu tam demosunu izleyin. 16: 54 - 30: 44
LATMA'nın Kanıtı Sonuçlarda
Buraya kadar okuduysanız, umarım bu algoritmanın ve aracın bir değeri olduğuna ikna olmuşsunuzdur. Bu yüzden size bunun son derece doğru olduğunu da göstermek istiyorum.
işimin bir parçası olarak Silverfort, Yüzlerce farklı ortamdan kimlik doğrulama trafiği görüyorum ve birçoğunun yanal hareket girişimleri tarafından hedef alındığını öğrenince şaşırabilirsiniz. Bunu biliyoruz çünkü ya müşterimiz bunu keşfetti ya da Silverfortplatformu bizi bu konuda uyardı. Bu, bu verileri doğrulama, eğitim algoritmaları ve test hipotezleri için iyi kılar.
LATMA'yı farklı ortamlardan düzinelerce veri setinde çalıştırdık. Sonuç olarak, yanal hareketlerin %95'ini tespit etti ve yaklaşık olarak her üç günde bir yanlış alarm verdi - diğer mevcut algoritmalardan neredeyse 30 kat daha iyi!
Gelecekteki Çalışma: Bununla Nereye Gidiyoruz?
Algoritma üzerinde çalışmak, benim ve ekibimin yanal hareket saldırılarını daha iyi anlamamıza ve modellememize yardımcı oldu. Ayrıca, önemli gelişmelere rağmen, daha gidilecek çok yol olduğunu fark etmemi sağladı. Saldırı yüzeyleri hızla gelişiyor ve saldırganlar, örneğin kurum içi bir ortamdan buluta veya tam tersine geçerek bundan yararlanmak için giderek daha fazla fırsata sahip oluyor. Dolayısıyla, bu algoritmaya yönelik potansiyel bir iyileştirme, bulut ortamlarından günlükleri ve olayları ve platformları geçen yanal bir hareketin tespitini içerecektir.
LATMA ile ilgili daha fazla haber için bizi izlemeye devam edin ve bu araçla ilgili görüşlerinizi bize bildirdiğinizden emin olun.
