روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما با دقت فراوان تکنیکهایی را که به دفعات توسط مهاجمین به کار رفتند بررسی میکنیم و سریعاً به سیستم SIEM خود برای شناسایی آنها منطق شناسایی اصلاح کرده یا میافزاییم. به طور مشخصتر، در آپدیت پلتفرم منسجم و یکپارچهی تحلیل و نظارت کسپرسکی خود در سه ماههی دوم سال 2024، منطق شناسایی تکنیک غیرفعالسازی/ دستکاری فایروال لوکال را که از جمله TTPهای برتر است که مهاجمین استفاده میکنند را تکمیل و گسترش دادیم.
چطور مهاجمین فایروال لوکال را غیرفعال یا دستکاری میکنند؟
تکنیک T1562.004 به مهاجمین اجازه میدهد تا لایههای دفاعی را دور زده و برای وصل شدن به سرورهای C2 روی شبکه یا فعالسازی اپ غیرمعمول جهت داشتن دسترسی پایه به شبکه، قدرت گیرند. دو متود شایع برای دستکاری یا غیرفعال کردن فایروال میزبان وجود دارد: استفاده از ابزارnetsh یا دستکاری تنظیمات رجیستری ویندوز. در زیر نمونههای خط فرمانهای محبوبی را داریم که برای این مقاصد توسط مهاجمین به کار رفتند:
netsh firewall add allowedprogram
netsh firewall set opmode mode=disable
netsh advfirewall set currentprofile state off
netsh advfirewall set allprofiles state off
مثالی از یک کلید رجیستری و ارزش افزوده شده توسط مهاجمین که به ترافیک UDP ورودی برای برنامه C:\Users\<user>\AppData\Local\Temp\server.exe اجازه میدهد:
HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
روش دیگری که مهاجمین برای غیرفعال کردن فایروال استفاده میکنند، متوقف کردن سرویس mpssvc است. این معمولاً با ابزار net utility net stop mpssvc انجام میشود.
net stop mpssvc
چطور راهکار SIEM میتواند T1562.004 را شناسایی کند؟
این با استفاده از قانون جدید R240 به دست میآید. به ویژه، با شناسایی و مرتبط کردن رویدادهای زیر:
- مهاجم سرویس فایروال لوکال را متوقف میکند تا محدودیتهای آن را دور بزند
- مهاجم در حال غیرفعال کردن یا تغییر خط مشی فایروال لوکال برای دور زدن آن (پیکربندی یا غیرفعال کردن فایروال از طریق netsh.exe)
- مهاجم قوانین فایروال لوکال را از طریق رجیستری تغییر میدهد تا محدودیتهای آن را دور بزند (تغییر قوانین از طریق رجیستری ویندوز)
- مهاجم فایروال لوکال را از طریق رجیستری غیرفعال میکند
- مهاجم با تغییر خط مشیهای خود، فایروال لوکال را دستکاری میکند
با آخرین به روز رسانی خود، این پلتفرم اکنون بیش از 605 قانون را ارائه میدهد، از جمله 474 قانون حاوی منطق تشخیص مستقیم. ما همچنین 20 قانون موجود را با اصلاح یا تنظیم شرایط آنها اصلاح کردهایم.
چرا تمرکزمان بر روی دستهبندی MITRE است؟
MITRE ATT&CK سازمانی حکم راهنمای استاندارد صنعت را برای دستهبندی و شرح حملات سایبری و نفوذها را دارد و از 201 تکنیک، 24 زیرتکنیک و هزاران رویه تشکیل شده است. از این رو، موقع تصمیم بر سر پیشرفت بیشتر پلتفرم SIEM خود از بین موارد دیگر، تمرکز خود را روی دستهبندی MITRE میگذاریم. طبق این برنامه با هدف گسترش عملکرد سیستم و بازتاب سطح محافظت در برابر تهدیدات شناخته شده شروع کردیم به برچسبگذاری قوانین فعلی مطابق با روشها و تاکتیکهای حمله MITER کردهایم. این اهمیت بسیاری دارد زیرا به ما امکان میدهد منطق تشخیص را ساختار دهیم و اطمینان حاصل کنیم قوانین جامع هستند - بدون "نقاط کور". ما همچنین در هنگام توسعه محتوای OOTB (اصطلاحاً خارج از جعبه) برای پلتفرم SIEM خود به MITER متکی هستیم. در حال حاضر، راهکارهای ما 309 تکنیک و تکنیکهای فرعی MITER ATT&CK را پوشش میدهد.
سایر نکات اضافهشده و آپدیتهای سیستم SIEM کسپرسکی
افزون بر منطق شناسایی برای T1562.004 که بالاتر اشاره کردیم، نرمالکنندههایی را نیز به سیستم SIEM اضافه کردهایم تا از منابع رخداد زیر پشتیبانی کند:
- OOTB محصولات مایکروسافت، OOTB محصولات مایکروسافت برای پلتفرم نظارت و تحلیل یکپارچه Kaspersky 3، [OOTB] محصولات مایکروسافت از طریق KES WIN:: نرمالسازهایی برای پردازش برخی رویدادها از گزارشهای امنیتی و سیستم سیستم عامل Microsoft Windows Server.محصولات OOTB مایکروسافت از طریق نرمالساز KES WIN از تعداد محدودی از انواع رویدادهای حسابرسی که از طریق syslog به KUMA KES WIN 12.6 منتقل میشوند، پشتیبانی میکند.
- [OOTB] Extreme Networks Summit Wireless Controller:نرمالکنندهای برای رویدادهای ممیزی خاص از کنترلکننده بیسیم Extreme Networks Summit (مدل: WM3700، نسخه میانافزار: 5.5.5.0-018R).
- [OOTB] Kaspersky Security برای MS Exchange SQL:نرمال ساز رویدادهای سیستم Kaspersky Security for Exchange (KSE) نسخه 9.0 ذخیره شده در پایگاه داده.
- فایل (OOTB) TIONIX VDI:نرمالسازیکنندهای که از پردازش برخی رویدادهای سیستم TIONIX VDI (نسخه 2.8) ذخیره شده در فایل tionix_lntmov.log پشتیبانی میکند.
- [OOTB] SolarWinds Dameware MRC xml:نرمالسازیکنندهای که از پردازش برخی رویدادهای سیستمی Dameware Mini Remote Control (MRC) نسخه 7.5 ذخیره شده در گزارش برنامه Windows پشتیبانی میکند. نرمال ساز وقایع ایجاد شده توسط ارائه دهنده dwmrcs را پردازش میکند.
- [OOTB] Cisco WLC syslog: نرمالکنندهای برای برخی انواع رخدادها از سوی دستگاههای Cisco WLC network (سری کنترلرهای بیسیم 2500، سریهای 5500 و 8500 و فلکس 7500) از طریق لاگ سیستم.
- فایل [OOTB] Huawei iManager 2000: نرمالکنندهای با پشتیبانی از پردازش برخی رخدادهای سیستم Huawei iManager 2000 ذخیرهشده در فایلهای \client\logs\rpc و \client\logs\deploy\ossDeployment.
متخصصین ما همچنین نرمالکنندههای زیر را نیز اصلاح کردند:
- برای محصولات مایکروسافت: نرمال ساز ویندوز بازطراحی شده اکنون به صورت عمومی در دسترس است.
- برای سیستم PT NAD: یک نرمال ساز جدید برای PT NAD نسخههای 11.1، 11.0 توسعه داده شده است.
- برای سیستم عاملهای یونیکس مانند: انواع رویدادهای اضافی اکنون پشتیبانی میشوند.
- برای چک پوینت: بهبودهایی در نرمال ساز که از Check Point R81 پشتیبانی میکند.
- برای سیستم Citrix NetScaler:رویدادهای اضافی از Citrix ADC 5550 — NS13.0 اکنون پشتیبانی میشوند.
- برای FreeIPA:نرمالساز بازطراحی شده اکنون به صورت عمومی در دسترس است.
بطور کلی اکنون حدود 250 منبع را پشتیبانی میکنیم و این فهرست همچنان در حال توسعه است و در عین حال در حال ارتقای کیفیت هر کانتکتور نیز هستیم. فهرست کامل منابع رخداد پشتیبانیشده در نسخه 3.2 پلتفرم ما در بخش پشتیبانی فنی موجود است.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
