Felhasználói sérülékenységek, fenyegetés keresés és MDATP

Minden szervezet számára fontos a biztonság, legyen szó fizikai biztonságról vagy digitális biztonságról. Ezt a tényt nem írja felül se a szervezet/vállalat jellege, se annak mérete. A digitális világban viszont hajlamosak vagyunk hátradőlni és megnyugodni a tűzfalak, vírusirtók és email szűrök védelme mögött. Nem törődve a munkavállalók megfelelő információ biztonsággal kapcsolatos oktatásával. A figyelem felhívás, hogy egy nem átgondolt cselekmény pontosan mihez is vezethet. Egy phishing email megnyitása, egy word, excel fájlban beágyazott macro engedélyezése, esetleg munkaidő alatt felelőtlen böngészés kompromittált oldalon. De fontos alapkő lehet a munkavállalókkal való megfelelő bánásmód is, így elkerülve a szándékos belső fenyegetés megjelenését. Mert ilyen esetben hiába a megfelelő oktatás, hiába az a sok drága szoftver ha végső soron a fenyegetés, támadás belülről jön.

 

De mit tehetünk és milyen megoldás létezik az ilyen jellegű fenyegetések felderítésére?

A fenyegetésekre történő vadászat, angolul Threat Hunting pontosan ezt a célt szolgálja. Egy olyan gyakorlat, ami során az elemző olyan tevékenységek után kutat, ami a szokványostól eltér. Lehet az egy rendszeres URL kapcsolat, powershell script futtatás, vagy egy törölt malware. A támadó sikeres behatolás esetén hónapig is a rendszerünkben lehet, csöndben adatokat gyűjtve, érzékeny információk után kutatva és egyéb felhasználói adatokat megszerezve tovább mozdulva a hálózatunkon. Miután sikeresen elkerülte az észlelést, a legtöbb szervezetnek hiányzik az a fejlett képessége, hogy a támadó további tevékenységét tudja monitorozni és kizárja azt a hálózatból.

Erre nyújthatnak megoldást az ingyenesen elérhető eszközök, mint pl.: Maltego CE, YARA, AIEngine vagy YETI. De kereskedelmi megoldások is léteznek pl.: Sqrrl, Mantix4, Infocyte HUNT. Viszont tökéletes eszköz lehet a Microsoft Defender Advanced Threat Protection EDR (Endpoint Detection and Response) megoldása is, amit a továbbiakban használunk. Segítségével proaktívan ellenőrizhetők a hálózaton történő események, aminek köszönhetően megvizsgálhatok érdekes események vagy entitások.

Jelen forgatókönyv alapján a vállalat részét képező gyakornok célzott adathalász emailt kapott, amin keresztül nem csak megadta felhasználói adatait, de a word-be ültetett macro futását is engedélyezte. Alapvető biztonsági kockázat, hogy a felhasználók nincsenek rendszeresen oktatva ilyen eseményekre. Még kevesebb hangsúlyt kapnak a gyakornokok, akik alapvetően rövid időt töltenek el egy szervezet életében. Mindegy, hogy az 1-2 hét vagy éppen 1-2 hónapot jelent.

 

Ahhoz, hogy meghatározzuk, mi szükséges a Splunk használatához SOAR platformként, össze kell szednünk azokat a követelményeket, amelyek lehetővé teszik a rendszer félig-meddig történő automatizálását.

Amikor összegyűjtöttünk adatokat a Splunk-ban, lehetőségünk van arra, hogy ne csak figyelmeztető jelzéseket, dashboardokat, riportokat készítsünk, hanem akár egyéb automatizált feladatokat is létrehozhatunk, hogy biztonsági vagy infrastrukturális csapatunk hatékonyabban kezelje a felmerülő problémákat.

A Splunk támogatja a *Nix és a Windows platformot is, így mindekét esetben egyedi műveleteket hozhatunk létre. Ezek a parancsok sh (shell scripts), py (Python script), js (Javascript) vagy más futtatható formátumban hozhatóak létre.

Ezek a szkriptek a keresési eredményekből adatokat vesznek át, és ezeket a Splunk a parancsfájlokhoz kapcsolva futtatja.

Például létrehozhatunk egy keresést tűzfalnaplóinkból, és a kimenet eredményeit használhatjuk például SYN-flood naplókból, hogy azonosítsuk a támadó IP címet, és az egyéni szkript segítségével automatikusan blokkolhatjuk a tűzfalunkon az IP-jét.

Egy másik példa egy python parancsfájl segítségével az Active Directory lekérdezése, oly módon, hogy azonosítsuk a disztribuciós lista tagjait egy olyan gyanús levél esetén, amely több ilyen listát célozhat meg és ezesetben szeretnénk megtudni, hogy pontosan mely embereket érinti. Ebben a forgatókönyvben automatizálhatunk egy e-mail küldő parancsfájlt, hogy értesítsük ezeket a személyeket a gyanús levélről, ezzel megelőzve az esetleges további problémákat.

Ez a rövid bejegyzés azért jött létre, hogy bemutassa a Splunk átalakítását SIEM-ből egy úgymond fél-SOAR eszközzé.

Az eseményeket tovább levezetve meg tudjuk vizsgálni az indikátort és a hozzá tartozó incidens grafikont is, hogy jobban átlássuk a történést.

Fenyegetés keresés szempontjából, MDATP-n belül a Kusto lekérdező nyelv további eszközt jelent a kezünkben. Mivel feltételezzük, hogy a támadás nem ért véget és kíváncsiak vagyunk milyen további powershell futtatások történhettek ezen idő alatt. Használhatjuk a következő lekérdezést.


DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
| where ProcessCommandLine has "Net.WebClient"
or ProcessCommandLine has "DownloadFile"
or ProcessCommandLine has "Invoke-WebRequest"
or ProcessCommandLine has "Invoke-Shellcode"
or ProcessCommandLine contains "http:"
or ProcessCommandLine has "IEX"
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine
| top 100 by Timestamp

 

  • Felhasználók rendszeres oktatása
  • Ne rendelkezzenek adminisztrátori jogosultságokkal
  • Ne legyen engedélyezve powershell futtatás
Top