跳過主内容

探索Microsoft 365 Defender內部:尋找與停止橫向移動的攻擊模型

Microsoft 365 Defender Threat Intelligence Team

在國家層級的攻擊與人為操作的勒索軟體例子中,我們了解到成功網路攻擊的關鍵在於它們能夠找到阻礙最少的路徑,並在受破壞的網路中穿梭。在安全性操作中,確定攻擊的整個範圍和造成的影響,是最關鍵但也最具挑戰性的部分。

為了向安全團隊提供對付網路攻擊的可見性和解決方案,Microsoft 365 Defender (過去通稱為Microsoft threat protection , MTP)連結了跨多個網域和解決方案(包括端點、身份、資料和應用程式)的威脅信號。這種全面性的可見性,使 Microsoft 365 Defender 能夠在 Microsoft 365 資料中進行預防、偵測和回應。

其中一個讓 Microsoft 365 Defender 完成上述功能的方式,是利用事件提供高品質的攻擊證據。事件將企業內的相關警報和攻擊行為結合在一起。當中的一個例子是整合顯示在多台電腦上存在勒索軟體的行為,以及透過暴力密碼破解連結橫向行動行為與初始存取。另一個例子可以在最新的MITRE ATT&CK評估中找到,Microsoft 365 Defender 在當中自動將80個不同的警報,連結到兩個反映兩種模擬攻擊的事件中。

事件透視圖讓防禦者能夠快速瞭解和回應現實世界的攻擊。在此部落格中,我們將分享有關資料驅動方法的詳細資訊,這個方法透過統計模型偵測橫向移動的行為證據,來識別和增強事件。以Microsoft Threat Experts驗證和利用這種新穎的方法(資料科學與安全專業知識的集合),並辨識和了解攻擊的範圍。

  • 辨識橫向移動

攻擊者透過橫向移動提升層級,或從被入侵網路中的特定電腦竊取資訊。橫向移動通常涉及方式是利用合法管理工具來操作管理合法電腦,包括 Server Message Block (SMB) 、 Windows Management Instrumentation (WMI)、Windows Remote Management (WinRM) 和 Remote Desktop Protocol (RDP) 等應用程式。攻擊者針對這些在維護網路功能方面有合法用途的技術,透過結合大量機會與大量預期遙測數據,提供實現其目標的路徑。最近,我們觀察到攻擊者執行橫向移動,然後使用上述的 WMI 或 SMB 將勒索軟體,或資料抹除惡意軟體配置到網路中的多台電腦。

PARINACOTA 集團最近發動的一次襲擊,因部署 Wadhrama 勒索軟體的人為攻擊而著名,值得注意的是,當中使用多種方法進行橫向移動。在透過 RDP 進行暴力密碼破解,並獲得對網路伺服器的初始存取權後,攻擊者透過掃描 port 3389 (RDP)、445 (SMB) 和 22 (SSH) 來搜尋網路中其他易受攻擊的電腦。

攻擊者下載並使用Hydra,透過SMB和SSH來暴力破解目標。此外,他們還使用透過Mimikatz 憑證傾倒竊取的認證,從遠端桌面登錄到多個伺服器。攻擊者在他們能夠存取的其他電腦上,都執行相同的行動、憑證傾倒和搜尋有價值的資訊。

值得注意的是,攻擊者對未啟用遠端桌面的伺服器特別感興趣。他們將 WMI 與 PsExec 配合使用,連接伺服器上的遠端桌面連接,並使用netsh防止防火牆中port 3389上封鎖。這讓攻擊者可以通過 RDP 連接到伺服器。

他們最終使用此伺服器,將勒索軟體部署到組織一大部分的伺服器基礎結構。這次攻擊是人為操作的勒索軟體行動的一個例子,它削弱了組織的功能,也顯示偵測和減少橫向移動的重要性。

圖1 使用多種橫向移動方式的PARINACOTA攻擊
圖1 使用多種橫向移動方式的PARINACOTA攻擊
  • 以概率推測橫向移動的方法

    若要自動將警報和橫向移動的證據與不同的事件連結,需要先了解攻擊的整個範圍,並建立攻擊者跨越網路移動的活動連結。在複雜網路中中要區分惡意攻擊者活動,既具有挑戰性又耗時。無法獲得所有相關警報、資產、調查和證據的全視圖,可能會限制防禦者為緩解和完全解決攻擊的動作。

    Microsoft 365 Defender 使用其獨特的跨域可見性,和內建自動化功能來偵測橫向移動。用來偵測橫向移動的資料驅動方法,包含了解和統計量化作為攻擊鏈一部份的行為。舉例來說,例如,認證盜竊、與其他裝置的遠端連接,以及進一步的預期外或惡意的活動。

    動態概率模型能夠使用新資訊,隨時間進行自我學習,在給定相關信號的情況下,量化觀察橫向移動的可能性。這些信號可以包括端點之間透過特定埠連接的網路連接頻率、可疑檔案以及在端點上執行的過程。多個行為模型透過連結與攻擊相關的特定行為,為攻擊鏈的不同方面進行編碼。這些模型與異常偵測相結合,可同時發現已知和未知的攻擊。

    橫向移動的證據可以使用圖形方式建模,這包含在正確的時間軸中建造適當的節點和連結。圖 2 呈現了攻擊者如何在網路中進行橫向移動。

    繪製攻擊圖的目的是發現具有足夠可信度的相關子圖,以進行進一步調查。建立可以準確計算攻擊概率的行為模型,對於確保測量的可信度和所有相關事件極為重要。

    圖2 視覺化攻擊者在網路中橫向行動(合併事件 1、2、4、5)
    圖2 視覺化攻擊者在網路中橫向行動(合併事件 1、2、4、5)

    圖 3 概述了用於橫向移動建模和行為編碼的步驟,這些步驟稍後被用於增加事件。透過進階狩獵,可以發現橫向運動的例子,並分析真實攻擊行為。透過匯集形成信號,並定義和計算行為模型。

    圖3 指定統計模型以偵測橫向移動行為編碼

    行為模型由統計學家和威脅專家精心設計,共同將結合概率推論和安全性,準確反映攻擊者的情況。

    使用指定行為模型後,透過將模糊映射應用在各別行為,並估計攻擊的可能性,以進行事件擴展的過程。例如若對某個攻擊相對可能性的把握較高,包含橫向移動行為,那這個事件就會被連結起來。圖 4 顯示了整個過程。透過結合專家知識和現實世界例子的回饋,我們能準確發現攻擊鏈。

    圖 4 藉由圖片推論的事件擴展基演算法細流
    圖 4 藉由圖片推論的事件擴展基演算法細流

將此流程以圖示連結時,可以發現當它們遍布網路時會暴露攻擊。例如,圖 5 顯示了如何利用警報作為節點和 DCOM 流量( TCP port 135),而連結被用來識別機器之間的橫向移動。然後,這些計算機上的警報可以融合到單個事件中。透過將這些edge和節點圖示化,可以顯示出一個受侵入的機器如何讓攻擊者橫向移動至三台機器,其中一個被用來進一步橫向移動。

圖5 連結當攻擊透過機器移動時連結
圖5 連結當攻擊透過機器移動時連結
  • 使用橫向移動攻擊增強事件處理能力

前面描述的 PARINACOTA 攻擊是一個人為操作的勒索攻擊,曾破壞六台新加入的伺服器達成攻擊的目的。Microsoft 365 Defender 會自動將以下事件關聯並顯示至端點到端點的攻擊鏈事件中:

  • 行為模型標識了在勒索軟體入侵前幾天開始的RDP暴力密碼破解,如圖6所示。
  • 當一開始的入侵行為被偵測時,暴力密碼破解將自動被識別為造成安全缺口的主因。
  • 入侵後,攻擊者在被入侵的伺服器上置放許多可疑文件,然後橫向移動到多個其他伺服器並部署勒索軟體。此攻擊鏈引起了16個不同的警報,Microsoft 365 Defender 應用概率推理方法,將傳播攻擊的勒索軟體連結至同一事件,如圖 7 所示。
    圖6. 每日透過暴力密碼破解輸入的公共 IP 時間序列的標記

    圖7. 表示從遭受入侵後的伺服器和勒索軟體在被入侵的伺服器擴散

建構圖形顯示特別有用是當攻擊來自未知設備時。這些未知設備可能是配置錯誤的機器、惡意設備,甚至連網裝置。即使沒有來自裝置的遙測數據,它們仍可用作跨多個被監控裝置關聯活動的連結點。如圖 8 所示,我們看到橫向移動攻擊從不受監控的裝置透過 SMB到受監控的裝置。然後,不受控制的裝置隨即建立了與command-and-control (C2) 的連接,可持續收集被入侵裝置的各種資訊。之後,不受控制的裝置繼續建立 SMB連接到第二個受控制的裝置。這一次,攻擊者採取的操作是只從裝置上收集資訊。

這兩個裝置共用同一組事件會被歸類至同一事件裡:

  • 透過SMB從未知裝置登錄
  • 收集裝置資訊

結論

橫向移動是攻擊偵測最具挑戰性的領域之一,因為它可以在一般大型環境中只發出非常微小的信號。在此部落格中,我們描述了一種透過資料驅動的方法,用於識別企業網路中的橫向移動攻擊,以發現攻擊為目標,實現Microsoft 365 Defender 承諾提供協調防禦攻擊。此方法是透過:

  • 整合Microsoft 365 Defender 的信號對於端點、身份、數據和應用程式提供無與倫比的可見性。
  • 形成數據的自動化、復合性問題,以找出整個數據生態系統中受到攻擊的證據。
  • 通過概率建模攻擊行為,建構跨設備橫向移動攻擊的子圖表。

這種方法結合了業界領先的光學技術、專業知識和數據科學,自動發現當今在客戶環境中最關鍵的威脅。通過Microsoft 365 Defender ,組織可以發現其網路中的橫向移動攻擊,並瞭解端點到端點的攻擊鏈過程。Microsoft 365 Defender 使防禦者能夠自動停止和解決攻擊,因此安全運營團隊可以將其寶貴的時間和資源集中到更關鍵的任務上,包括執行暫緩行動可以在一開始就消除攻擊者橫向移動攻擊行為,如同我們在最近的一些調查中所提及1&2的。

Microsoft 365 Defender利用 Microsoft 365資訊安全的力量,提供無與倫比的協調防禦,以偵測、關聯、阻止、補救並防止組織在Microsoft 365環境中遭受的攻擊。現有的Microsoft 365 授權提供 Microsoft 365安全中心中的Microsoft 365 Defender 功能的存取,且無需額外的費用。若要開始使用 Microsoft 365 Defender ,請轉到security.microsoft.com。

瞭解Microsoft 365 Defender 如何幫助您的組織協調防禦以阻止攻擊。閱讀Microsoft 365 Defender 系列中的這些部落格文章:

Justin Carroll, Cole Sodja, Mike Flowers, Joshua Neil, Jonathan Bar Or, Dustin Duran

Microsoft Threat Protection Team

若欲瞭解原文,請至微軟官方部落格參考。

與我們聯絡

您對這篇文章有問題、疑慮或任何見解嗎?快加入 Microsoft 365 Defender 技術論壇一起討論、閱讀所有 Microsoft 安全情報的部落格的文章,以及關注我們的Twitter @MsftSecIntel

相關資料人工智慧和機器學習自動化網路安全端點安全Microsoft Defender Advanced Threat Protection微軟安全情報勒索軟體Security Intelligence威脅防護