การตรวจจับข้อมูล รับรองที่ถูกบุกรุก กรณีการใช้งานการวิเคราะห์ขั้นสูง

การตรวจจับข้อมูล ข้อมูลประจำตัวที่ถูกขโมยเป็นปัญหาที่เกิดขึ้นอย่างต่อเนื่องและองค์กรต่างๆยังไม่สามารถแก้ปัญหาดังกล่าวได้อย่างมีประสิทธิภาพ ทุกสัปดาห์เราจะได้ยินเกี่ยวกับการโจมตีแบบสอดแทรกข้อมูลประจำตัวซึ่งผู้คุกคามสามารถขโมยข้อมูลรับรองเข้าสู่ระบบสิ่งแวดล้อมและย้ายไปด้านข้างเพื่อเข้าถึงระดับที่สูงขึ้นได้ กิจกรรมทั้งหมดมีจุดเน้นเดียวคือเพื่อเข้าถึงข้อมูลส่วนตัวหรือทรัพย์สินที่มีมูลค่าสูง ฐานความรู้ MITER ATT & CK ให้ข้อมูลเกี่ยวกับกลยุทธ์เทคนิคและขั้นตอนที่ใช้โดยผู้คุกคามซึ่งสามารถช่วยทีมรักษาความปลอดภัยสร้างกระบวนการรักษาความปลอดภัยที่แข็งแกร่งขึ้น Exabeam ช่วยให้องค์กรตรวจพบกิจกรรมเหล่านี้ได้สำเร็จผ่านการวิเคราะห์รวมถึงการทำแผนที่กิจกรรมกับ MITER นี่คือตัวอย่างของวิธีที่ฉันสามารถช่วยลูกค้าของฉันด้วยโซลูชันการวิเคราะห์ของเราที่ขับเคลื่อนโดยการเรียนรู้ของเครื่อง

เมื่อเร็ว ๆ นี้ฉันกำลังดำเนินการเกี่ยวกับการปรับใช้ Exabeam แบบใหม่บน SIEM ที่มีอยู่ของลูกค้าของเรา ก่อนที่เราจะปรับใช้ Exabeam อย่างสมบูรณ์เราใช้ฟีด Syslog จาก SIEM ที่มีอยู่ไปยังเครื่องมือวิเคราะห์ Exabeam ของเราเพื่อเริ่มสร้างแบบจำลองสภาพแวดล้อม ในช่วงเวลานั้น Exabeam Advanced Analytics ได้เรียกใช้ผู้ใช้ที่มีชื่อเสียง จากจุดนั้นเราได้เห็นความก้าวหน้าของบัญชีผู้ใช้ไปยังบัญชีที่ถูกบุกรุกผ่านการสลับบัญชีและการเคลื่อนไหวด้านข้าง นี่คือวิธีที่จะคลี่ออก

เมื่อวันพฤหัสบดี 7 พฤษภาคมTH Exabeam เรียกผู้ใช้ที่โดดเด่นด้วยคะแนนความเสี่ยงของ 93 จุด

เทคนิคการประนีประนอม Drive-by
รูปที่ 1: ครั้งแรกเราเห็นกิจกรรมที่ผิดปกติสำหรับผู้ใช้

เส้นเวลาของเทรนด์ให้ข้อบ่งชี้ที่ชัดเจนว่าสิ่งนี้ค่อนข้างผิดปกติสำหรับผู้ใช้

เทคนิคการประนีประนอม Drive-by
รูปที่ 2: การดูกิจกรรมนี้ใน Trend Timeline แสดงให้เห็นถึงการเพิ่มขึ้นอย่างรวดเร็วในทางตรงกันข้ามกับกิจกรรมปกติสำหรับผู้ใช้

เมื่อใช้ KPI แบบไดนามิกเราจะเห็นได้ว่าในวันก่อนหน้าของกิจกรรมทั้งหมดผู้ใช้ไม่ได้สร้างความเสี่ยงระดับนี้ใช้บัญชีจำนวนมากนี้หรือเข้าถึงเนื้อหาจำนวนมากนี้

รูปที่ 3 และ 4: เมื่อมองย้อนกลับไปที่พฤติกรรมของผู้ใช้ในช่วงหลายวันที่ผ่านมาเราจะเห็นว่าไม่มีระดับความเสี่ยงใด ๆ เมื่อเทียบกับการแจ้งเตือนที่เราเห็น

เมื่อเจาะลึกลงไปในรายละเอียดของผู้ใช้เราสามารถดูสรุปได้อย่างรวดเร็วว่าเหตุใดผู้ใช้จึงกลายเป็นคนที่น่าทึ่ง แต่เราคลิกที่มุมมองไทม์ไลน์เพื่อทำความเข้าใจกับสิ่งที่เกิดขึ้นมากขึ้น

เทคนิคการประนีประนอม Drive-by การตรวจจับข้อมูล
รูปที่ 5: เมื่อมองอย่างใกล้ชิดมากขึ้นเราจะเห็นว่าเหตุผลด้านความเสี่ยงรวมกันเป็นคะแนน 1044 ได้อย่างไร

เมื่อดูตามไทม์ไลน์เวลา 21:15 น. เราจะเห็นว่า Exabeam ตั้งค่าสถานะความเสี่ยง 20 จุดสำหรับผู้ใช้ VPNing จากสิงคโปร์ เนื่องจากสิ่งนี้ไม่เคยปรากฏมาก่อนจากผู้ใช้หรือใครก็ตามในทั้งองค์กรจึงทำให้เกิดความเสี่ยงเพิ่มขึ้น 20 คะแนน ผู้ใช้รายนี้ยังได้รับความเสี่ยงเพิ่มขึ้นอีก 22 จุดเนื่องจากพวกเขาเชื่อมต่อจาก ISP ที่ไม่เคยมีใครสังเกตเห็นมาก่อนพร้อมกับการเชื่อมต่อจากสตริงตัวแทนผู้ใช้ที่ไม่เคยเชื่อมโยงกับพวกเขามาก่อน

เทคนิค MITER ATT & CK ที่ใช้ในขั้นตอนนี้คือ External Remote Services (T1133) และบัญชีที่ถูกต้อง (T1078).

เทคนิคการประนีประนอม Drive-by
รูปที่ 6: Exabeam ตั้งค่าสถานะผู้ใช้ที่มีความเสี่ยง 20 คะแนนเนื่องจากพวกเขาใช้ VPN จากสิงคโปร์อีก 20 คะแนนเนื่องจากทั้งผู้ใช้และใครในองค์กรไม่มีกิจกรรมนี้และเพิ่ม
เพิ่มอีก 22 จุดสำหรับการเชื่อมต่อจาก ISP ใหม่

การเจาะเข้าไปในแบบจำลองข้อมูลแสดงให้เห็นว่าโดยทั่วไปแล้วเราเห็นได้ชัดว่าพวกเขาเชื่อมต่อจากเครื่อง Windows โดยใช้ Mozilla แต่ไม่เคยใช้ Trident ซึ่งเป็นสาเหตุที่ความเสี่ยงนี้ถูกนำไปใช้กับไทม์ไลน์ของพวกเขา

เทคนิคการประนีประนอม Drive-by
รูปที่ 7: กิจกรรมถูกตั้งค่าสถานะเนื่องจากผู้ใช้มักจะเชื่อมต่อจากเครื่อง Windows โดยใช้ Mozilla ไม่ใช่ตรีศูล

ขณะนี้ผู้ใช้อยู่ที่ 62 จุดเสี่ยงบนไทม์ไลน์ หนึ่งชั่วโมงต่อมาเวลา 22:15 น. ผู้ใช้เริ่มเข้าถึงสินทรัพย์ที่ไม่เคยมีมาก่อนสำหรับพวกเขาโดยแต่ละคนตั้งค่าสถานะความเสี่ยง 10 จุด สินทรัพย์สองรายการเมื่อเวลา 22:15 น. เพิ่มคะแนนความเสี่ยงอีก 20 จุดและอีกจุดหนึ่งเมื่อเวลา 22:16 น. ทำให้ผู้ใช้รายนี้มีความเสี่ยง 93 คะแนนที่ข้ามเกณฑ์ระดับโลกไปเป็นที่น่าสังเกต นี่คือตอนที่การแจ้งเตือนออกไปเพื่อตรวจสอบบุคคลนี้

ณ จุดนี้ 100% ของความเสี่ยงที่เกิดขึ้นกับไทม์ไลน์ของพวกเขานั้นขึ้นอยู่กับพฤติกรรมที่เบี่ยงเบนจากตำแหน่งการเข้าสู่ระบบที่ผิดปกติเพื่อเข้าถึงสินทรัพย์ที่โดยปกติไม่ได้สัมผัสหรือไม่เคยสัมผัส

8 พฤษภาคม 03:48 น

หลังจากพยายามโจมตีเนื้อหาอื่น ๆ หลายร้อยครั้งในที่สุดผู้ใช้ก็สามารถค้นหาข้อมูลรับรองเพื่อเปลี่ยนไปใช้และย้ายออกจากโฮสต์เริ่มต้นในด้านข้าง Exabeam ต่อสิ่งนี้ลงในไทม์ไลน์เป็นกิจกรรมการสลับบัญชีและแสดงชื่อผู้ใช้ที่ใช้ในตอนแรกและสิ่งที่พวกเขาเปลี่ยนไปและโฮสต์ที่พวกเขาย้ายไป

เทคนิค MITER ATT & CK ที่ใช้คือ Discovery (TA0007), การค้นพบบัญชี (T1087), Network Share Discovery (T1135), การเคลื่อนไหวด้านข้าง (TA0008), บริการระยะไกล: โปรโตคอลเดสก์ท็อประยะไกล (T1021.001)

เทคนิคการประนีประนอม Drive-by
รูปที่ 8: ผู้ใช้ค้นหาข้อมูลประจำตัวเพื่อเปลี่ยนไปใช้และเลื่อนออกจากโฮสต์เริ่มต้นด้านข้าง

น่าเสียดายที่ปัจจุบันองค์กรนี้ไม่มี SOC ตลอด 24 ชั่วโมงทุกวันเพื่อจัดการการแจ้งเตือนความปลอดภัยตลอดทั้งคืนและผู้ใช้ยังเข้าถึงเนื้อหาทั้งหมด 487 รายการผ่านข้อมูลประจำตัวที่ถูกทิ้ง 233 รายการจาก Mimikatz จากนั้นก็ย้ายออกจากโฮสต์ที่ถูกบุกรุกในตอนแรกไปที่อื่น สินทรัพย์ในสิ่งแวดล้อม ผ่านเนื้อหานั้นข้อมูลประจำตัวอีก 60 รายการถูกทิ้งและพยายามที่จะใช้ทั่วทั้งสภาพแวดล้อม

เนื่องจากองค์กรนี้ใช้ Exabeam Entity Analytics พวกเขาจึงสังเกตว่าเนื้อหาที่ผู้ใช้ย้ายไปด้านข้างกลายเป็นสิ่งที่น่าสังเกตเมื่อเวลา 03:04 น. ของเช้าวันรุ่งขึ้นอีกครั้งเนื่องจากการเปลี่ยนแปลงพฤติกรรมในเนื้อหา

มิมิกัตซ์ เป็นผู้ทิ้งข้อมูลประจำตัวที่สามารถรับข้อมูลล็อกอินและรหัสผ่านบัญชีข้อความธรรมดาได้ เครื่องมือนี้ถูกตรวจพบโดยเทคนิคตามที่อธิบายไว้ในกรอบงาน MITER ATT & CK เช่นการจัดการบัญชี (T1098), การถ่ายโอนข้อมูลรับรอง (T1003), ตัวควบคุมโดเมน Rogue (T1207) และอื่น ๆ

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in