Bruk disse enkle reglene til å oppdage vanlige angriperverktøy

 

Et av de kraftigste våpnene en angriper har til rådighet er bruken av spesialiserte verktøy designet for å kompromittere nettverkssikkerheten. Mimikatz, BloodHound og winPEAS er bare noen få eksempler på verktøy som kan skape kaos i miljøet ditt dersom de ikke blir oppdaget.

I denne artikkelen skal vi utforske hvordan ondsinnede aktører kan utnytte spesialiserte verktøy for å starte sofistikerte angrep. Vi vil også demonstrere hvordan en SIEM-løsning som ManageEngine Log360 effektivt kan oppdage tilstedeværelsen av disse verktøyene i nettverket ditt ved hjelp av enkle, forhåndsdefinerte korrelasjonsregler.

1. Mimikatz

Mimikatz er et kraftig verktøy som er i stand til å stjele legitimasjon fra kompromitterte systemer, slik at angripere kan bevege seg sideveis i et nettverk og eskalere privilegiene sine. Denne teknikken kan føre til betydelige datainnbrudd, uautorisert tilgang til sensitive systemer og driftsforstyrrelser. Ved å trekke ut passord, hasher, PIN-koder og Kerberos-billetter fra minne eller SAM/LSAD-filer, gir Mimikatz angripere ert drøss av informasjon å utnytte.

Angripere kan også bruke Mimikatz til å utføre pass-the-hash-angrep ved å bruke stjålne hash-koder for å autentisere til andre systemer uten å kreve de faktiske passordene. Deretter kan trusselaktører bygge gylne billetter ved å lage vedvarende Kerberos-billetter som gir dem langsiktig tilgang til systemer og ressurser.

Log360 kan oppdage Mimikatz ved å korrelere ulike hendelser med følgende regelkriterier:

  • Prosesser med navn som inneholder mimikatz eller relaterte termer.
  • Kommandolinjer som inneholder mimikatz eller tilknyttede argumenter.
  • Prosesser med navn som inneholder delpy.
  • Prosesser med navn som inneholder gentilkiwi.

 2. Blodhund

BloodHound er et kraftig Active Directory (AD) visualiseringsverktøy som kan avsløre relasjoner mellom brukere, grupper, datamaskiner og tjenester. Angripere kan bruke denne informasjonen til å identifisere potensielle angrepsbaner, oppdage privilegerte kontoer og planlegge målrettede angrep. BloodHound kan også brukes til å bevege seg sideveis i nettverket og få tilgang til sensitive systemer.

Log360 kan oppdage BloodHound ved å korrelere ulike hendelser med følgende regelkriterier:

  • Prosesser med navn som inneholder blodhund eller relaterte termer.
  • En betingelse ser etter tilstedeværelsen av det spesifikke argumentet –CollectionMethod på kommandolinjen. Dette argumentet brukes ofte med BloodHound for å spesifisere innsamlingsmetoden for innsamling av informasjon fra AD.
  • Kommandolinjer som inneholder azurehound, som antyder et forsøk på å samle inn informasjon fra Azure AD.

3. PetitPotam

PetitPotam er et verktøy designet for NTLM-reléangrep, som utnytter sårbarheter i NTLM-autentiseringsprotokollen.

Angripere bruker PetitPotam til å angripe nettapplikasjoner ved å omdirigere NTLM-autentiseringstrafikk til en kompromittert domenekontroller, fange legitimasjon og få uautorisert tilgang. De kan også angripe nettverkstjenester ved å videresende NTLM-autentiseringstrafikk til sårbare nettverkstjenester, for eksempel SMB eller RDP, for å få tilgang. De er også i stand til å utføre pass-the-hash-angrep ved å bruke stjålne NTLM-hasher for å autentisere til andre systemer uten å kreve de faktiske passordene.

Log360 kan oppdage PetitPotam ved å korrelere ulike hendelser med følgende regelkriterier:

  • Bruk av pepitpotam på kommandolinjen kan indikere en sterk mulighet for en ondsinnet aktivitet utført av angripere, for eksempel tvungen SMB-autentisering eller NTLM-reléangrep.

4. WinPEAS

winPEAS er et verktøy etter utnyttelse som gir omfattende systeminformasjon, som gjør det mulig for angripere å samle etterretning, identifisere sårbarheter og få ytterligere tilgang.

Angripere bruker ofte winPEAS til å samle systeminformasjon ved å samle inn detaljer om kjørende prosesser, tjenester, brukere, grupper og nettverkstilkoblinger. De kan identifisere sårbarheter ved å oppdage utdatert programvare, svake konfigurasjoner og utnyttbare tjenester. Med winPEAS er det lettere å finne privilegerte kontoer og identifisere sårbarheter som kan utnyttes for å få tilgang på høyere nivå. Trusselaktører lager også mekanismer for å opprettholde tilgang til et kompromittert system, selv etter en omstart.

Log360 kan oppdage winPEAS ved å korrelere ulike hendelser med følgende regelkriterier:

  • Prosesser med navn som inneholder winpeas eller relaterte termer.
  • Kommandolinje som inneholder winpeas.bat. Denne delen av regelen fanger opp forsøk på å kjøre winPEAS via en batchfil.
  • Kommandolinje som inneholder winpeas.ps1. Denne delen av regelen fanger opp PowerShell-baserte forsøk på å kjøre winPEAS.

5. Kerbrute

Kerbrute er et verktøy designet for å brute-force Kerberos-billetter, en nettverksautentiseringsprotokoll som er mye brukt i Windows-miljøer. Ved å gjette passord kan angripere få gyldige billetter og få uautorisert tilgang til ressurser. De kan utføre pass-the-hash-angrep ved å trekke ut NTLM-hasher fra stjålne Kerberos-billetter og bruke dem til sideveis bevegelse og privilegieeskalering.

Log360 kan oppdage Kerbrute ved å korrelere ulike hendelser med følgende regelkriterier:

  • Kommandolinjer som inneholder kerbrute eller tilknyttede argumenter.

Ved å bruke Log360s forhåndskonfigurerte korrelasjonsregler kan du effektivt identifisere sikkerhetstrusler som disse i sanntid. Utforsk vårt omfattende korrelasjonsregelbibliotek for å oppdage flere angriperverktøy og andre sikkerhetstrusselkategorier som du kan oppdage med Log360.



 Esther Christopher