Weblog de McAfee Company Defender: Operation Harvest


Resumen

El equipo de Advanced Threat Analysis (ATR) de McAfee Business proporcionó información detallada sobre una campaña a largo plazo Procedure Harvest. En el blog site, detallan las Tácticas y Técnicas de MITRE que utilizaron los actores en el ataque. En este weblog, nuestros defensores de la crimson de preventa describen cómo puede defenderse de una campaña como Procedure Harvest con la plataforma de seguridad MVISION de McAfee Enterprise y las mejores prácticas de arquitectura de seguridad.

Defensa contra Operation Harvest con McAfee

Operation Harvest, al igual que otras campañas de ataques dirigidos, aprovecha múltiples técnicas para acceder a la pink y capturar credenciales antes de filtrar los datos. Por lo tanto, como Network Defender, tiene múltiples oportunidades para prevenir, interrumpir o detectar la actividad maliciosa. La prevención, identificación y respuesta tempranas a actividades potencialmente maliciosas es elementary para la resiliencia empresarial. A continuación se muestra una descripción standard de cómo puede defenderse de ataques como Operation Harvest con la arquitectura de seguridad MVISION de McAfee.

A lo largo de este web site, proporcionaremos algunos ejemplos de dónde MVISION Protection Platform podría ayudar a defenderse contra este tipo de ataque.

Prepárese con la última inteligencia sobre amenazas

Como defensores de la crimson, nuestro objetivo es prevenir, detectar y contener la amenaza lo antes posible en la cadena de ataque. Eso comienza con el uso de inteligencia de amenazas, de weblogs o soluciones como MVISION Insights para prepararse y usar herramientas como MITRE. Navegador de ataque para evaluar su cobertura defensiva. El blog de ATR detalla las técnicas, indicadores y herramientas utilizadas por los atacantes. Muchas de las herramientas utilizadas en Procedure Harvest son comunes a otros actores de amenazas y los detalles de detección de PlugX y Winnti ya están documentados en MVISION INSIGHTS.

Obtenga una descripción common rápida de la herramienta PlugX:

Busque o exporte fácilmente IOC PlugX directamente desde MVISION Insights:

Obtenga una descripción normal rápida de la herramienta Winnti:

Busque o exporte fácilmente IOC de Winnti directamente desde MVISION Insights:

Reglas de caza multiplataforma para Winnti:

MVISION Insights también se actualiza con la inteligencia técnica más reciente sobre Procedure Harvest, incluido un resumen de la amenaza, la prevalencia, los indicadores de compromiso y las contramedidas defensivas recomendadas.

Defenderse contra el acceso inicial

En este ataque, el acceso inicial involucró a un servidor web comprometido. Durante el último año, hemos visto a los atacantes utilizar cada vez más vectores de acceso inicial más allá del spear-phishing, como comprometer los sistemas de acceso remoto o las cadenas de suministro. La explotación de vulnerabilidades de cara al público para el acceso inicial es una técnica asociada con Operation Harvest y otros grupos de APT para obtener acceso. Detectar esta actividad y detenerla es essential para limitar las capacidades del actor de la amenaza para promover su estrategia de ejecución. Además de detectar la actividad en curso, también es imperativo verificar que las vulnerabilidades críticas estén parcheadas y que las configuraciones sean las mejores prácticas de seguridad para evitar la explotación. MVISION UCE proporciona visibilidad de amenazas, vulnerabilidades y auditorías de configuración asignadas al marco MITRE ATT & CK para protección contra actividades sospechosas.

Muchas aplicaciones y servidores website orientados al cliente están alojados en la infraestructura de la nube. Como Community Defender, ganar visibilidad y monitorear las configuraciones incorrectas en las plataformas de infraestructura es basic, ya que este es cada vez más el punto de entrada para un atacante. MVISION Cloud Indigenous Software Security Platform (CNAPP) proporciona una capacidad de evaluación continua para múltiples plataformas en la nube en una sola consola para que pueda corregir rápidamente las configuraciones incorrectas y fortalecer la postura de seguridad en las plataformas AWS, AZURE o Google Cloud.

Fortalezca el servidor o el punto final contra el uso de herramientas maliciosas

Los atacantes cargaron varias herramientas conocidas o potencialmente maliciosas en los sistemas comprometidos. Muchas de estas herramientas fueron detectadas durante la instalación o ejecución por ENS Risk Prevention o Adaptative Menace Avoidance Module. La siguiente es una muestra del registro de eventos de amenazas de ePolicy Orchestrator (ePO) de nuestras pruebas.

Puede buscar fácilmente estos eventos en ePO e investigar cualquier sistema con detecciones.

Para obtener la mejor protección, energetic Worldwide Danger Intelligence (GTI) para los módulos Threat Prevention y Adaptive Risk Safety. Asegúrese de que las reglas de ATP 4 (reputación de archivos GTI) y 5 (reputación de URL) estén habilitadas en ATP. Global Risk Intelligence también se actualiza con los indicadores más recientes para este ataque.

Además, en base a otros elementos observables en este ataque, creemos que existen varias otras Reglas de Prevención de Amenazas Adaptativas que podrían prevenir o identificar la actividad potencialmente maliciosa en el endpoint o servidor. Supervise especialmente estos eventos de ATP en los registros de eventos de amenazas de ePO:

Regla 269: detecta el uso potencialmente malintencionado del servicio WMI para lograr la persistencia

Regla 329: Identificar el uso sospechoso de las tareas programadas

Regla 336: Detecte cargas útiles sospechosas dirigidas a servicios o aplicaciones relacionados con la red a través de herramientas de doble uso.

Regla 500: Bloquear el movimiento lateral mediante utilidades como Psexec desde un cliente infectado a otras máquinas de la purple.

Regla 511: Detectar intentos de volcar información confidencial relacionada con credenciales a través de lsaas

El análisis continuará y las reglas de ATP adicionales que creemos que se relacionan se agregarán a la guía de mitigación en MVISION Insights.

ENS con reglas expertas

Las reglas expertas son un lenguaje de firmas potente y personalizable dentro del módulo de prevención de amenazas de ENS. Para este ataque, puede usar reglas expertas para identificar el posible uso indebido de Psexec o evitar la ejecución o creación de ciertos tipos de archivos utilizados, como archivos .rar.

Aquí encontrará orientación adicional sobre cómo crear sus propias reglas de experto y el enlace a nuestro repositorio:

Cómo utilizar reglas expertas en ENS para prevenir exploits maliciosos

Repositorio de reglas de expertos de ATR

Según la práctica estándar, recomendamos que los clientes prueben esta regla en el modo de informe antes de aplicarla en el modo de bloqueo.

Prevención o detección de comando y command

Al igual que otros ataques que explotan vulnerabilidades críticas, los atacantes pueden obtener el mando y el manage de los sistemas explotados para entregar cargas útiles u otras acciones. MVISION EDR puede identificar muchas técnicas de comando y handle, como las balizas Cobalt Strike. En este caso, MVISION EDR habría registrado las solicitudes de conexión DNS y HTTP a los dominios sospechosos y los analistas de SOC podrían usar la búsqueda histórica y en tiempo authentic para buscar de manera proactiva las máquinas comprometidas.

Además, Unified Cloud Edge (UCE – SWG) puede evitar el acceso a sitios world wide web peligrosos mediante inteligencia de amenazas, reputación de URL, análisis de comportamiento y aislamiento remoto del navegador. Asegúrese de tener una política de seguridad website sólida y de supervisar los registros. Este es un gran management para identificar la actividad C2 potencialmente maliciosa.

Supervisión de la escalada de privilegios

El adversario utilizó varias técnicas y herramientas para elevar los privilegios y ejecutar Mimikatz para robar credenciales. En nuestra simulación, MVISION EDR identificó proactivamente el intento de descargar y ejecutar en la memoria un script de Mimikatz PowerShell.

Simulamos el intento malicioso del atacante utilizando herramientas de papa que reproducen una escalada de privilegios genérica. Desde el árbol del proceso de monitoreo de EDR pudimos observar la secuencia de eventos con un cambio en términos de nombre de usuario de una cuenta de usuario a Method ”.

Iniciamos una investigación guiada sobre el sistema afectado. Los análisis de los datos identificaron anomalías en el comportamiento del usuario. Las investigaciones guiadas facilitan la visualización de conjuntos de datos complejos e interconexiones entre artefactos y sistemas.

Identificación de herramientas de uso común para el movimiento lateral

Los atacantes utilizaron una utilidad de sistema de uso dual común, en este caso Psexec.exe, para moverse lateralmente. En muchos casos, el uso malintencionado de herramientas legítimas del sistema es difícil de detectar solo con detección basada en firmas. MVISION EDR utiliza una combinación de análisis de comportamiento e inteligencia de amenazas para identificar y marcar de forma proactiva una alerta de alta gravedad sobre el uso malintencionado de Psexec para el movimiento lateral.

Psexec.exe utilizado para el movimiento lateral:

Mapeo de anomalías de datos y usuarios para detectar la exfiltración

Los actores de amenazas detrás de Procedure Harvest utilizaron varias herramientas para elevar los privilegios y extraer datos del entorno afectado. La visualización de anomalías en la actividad del usuario y el movimiento de datos se puede utilizar para detectar comportamientos fuera de lo typical que pueden indicar una actividad maliciosa en su entorno. MVISION UCE monitoreará el comportamiento del usuario y proporcionará anomalías para que el equipo de seguridad identifique áreas de preocupación para amenazas internas o adversas externas.

Identificación de anomalías de acceso de usuarios con UCE:

Identificación de anomalías en la transferencia de datos con UCE:

Resumen

MVISION Security System proporciona una defensa en profundidad para prevenir, interrumpir o detectar muchas de las técnicas utilizadas en Operation Harvest. Como defensor de la crimson, concéntrese en la prevención o detección temprana de las técnicas para proteger mejor a su organización contra los ataques cibernéticos.





Enlace a la noticia original