Wir haben das Konzept der Pyramide des Schmerzes behandelt, das bei der Reaktion auf Vorfälle und der Bedrohungssuche verwendet wird. Es umfasst die Artefakte der Werkzeuge und Techniken des Angreifers und wie einfach/schwierig es ist, sie zu ändern, um einer Entdeckung durch Analysten zu entgehen. Wir haben auch behandelt und erklärt, was jede Schicht in der Pyramide als Artefakt während der Phase eines Cyberangriffs darstellt. Dies war Teil von TryHackMe Die Pyramide des Schmerzes.

Hinweise zum COMPTIA Security+-Zertifikat abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Beschreibung der Herausforderung

Erfahren Sie, was die Pyramid of Pain ist und wie Sie dieses Modell nutzen können, um den Schwierigkeitsgrad zu ermitteln, der für einen Gegner entsteht, wenn er die ihm und seiner Kampagne zugeordneten Indikatoren ändert.

Video-Highlights

Sicherheitsexperten verwenden die Hashwerte normalerweise, um Einblick in eine bestimmte Malware-Probe oder eine bösartige oder verdächtige Datei zu erhalten und um das bösartige Artefakt eindeutig zu identifizieren und darauf zu verweisen.

Sie haben in der Vergangenheit wahrscheinlich Ransomware-Berichte gelesen, in denen Sicherheitsforscher am Ende des Berichts die Hashes der bösartigen oder verdächtigen Dateien angeben. Sie können sich das ansehen Der DFIR-Bericht Und Blogs zur Bedrohungsforschung von FireEye wenn Sie ein Beispiel sehen möchten.

In der Pyramid of Pain werden IP-Adressen mit der Farbe Grün gekennzeichnet. Sie fragen sich vielleicht, warum und was Sie mit der Farbe Grün assoziieren können?

Aus Verteidigungssicht kann es wertvoll sein, die von einem Angreifer verwendeten IP-Adressen zu kennen. Eine gängige Verteidigungstaktik besteht darin, eingehende Anfragen von IP-Adressen in Ihrem Parameter oder Ihrer externen Firewall zu blockieren, zu löschen oder abzulehnen. Diese Taktik ist oft nicht absolut sicher, da ein erfahrener Angreifer sie ganz einfach durch die Verwendung einer neuen öffentlichen IP-Adresse wiederherstellen kann.

Ein Angreifer kann die erfolgreiche Durchführung einer IP-Blockierung unter anderem durch die Verwendung von Schneller Fluss.

Entsprechend Akamai, Fast Flux ist ein DNS Eine von Botnetzen verwendete Technik, um Phishing, Webproxying, Malware-Auslieferung und Malware-Kommunikationsaktivitäten hinter kompromittierten Hosts zu verbergen, die als Proxys fungieren. Der Zweck des Fast Flux-Netzwerks besteht darin, die Kommunikation zwischen Malware und ihrem Befehls- und Kontrollserver (C&C) für Sicherheitsexperten schwer erkennbar zu machen.

Domänennamen können für Angreifer etwas schwieriger zu ändern sein, da sie höchstwahrscheinlich die Domäne kaufen, registrieren und ändern müssen. DNS Datensätze. Leider haben viele DNS-Anbieter lockere Standards und stellen APIs bereit, die es Angreifern noch einfacher machen, die Domäne zu ändern.

Angreifer verstecken die bösartigen Domänen normalerweise unter URL-Verkürzer. Ein URL-Shortener ist ein Tool, das eine kurze und eindeutige URL erstellt, die auf die bestimmte Website weiterleitet, die beim ersten Einrichten des URL-Shortener-Links angegeben wurde.

Host-Artefakte sind Spuren oder erkennbare Elemente, die Angreifer auf dem System hinterlassen, z. B. Registrierungswerte, verdächtige Prozessausführungen, Angriffsmuster oder IOCs (Indicators of Compromise), von bösartigen Anwendungen abgelegte Dateien oder alles, was ausschließlich mit der aktuellen Bedrohung zusammenhängt.

Netzwerkartefakte gehören ebenfalls zur gelben Zone der Pyramide des Schmerzes. Das bedeutet, dass der Angreifer mehr Zeit benötigt, um seine Taktik oder die Tools zu ändern, wenn Sie die Bedrohung erkennen und darauf reagieren können. Dadurch haben Sie mehr Zeit, um zu reagieren und die kommenden Bedrohungen zu erkennen oder die bestehenden zu beseitigen.

Ein Netzwerkartefakt kann eine User-Agent-Zeichenfolge sein, C2 Informationen oder URI-Muster, gefolgt von den HTTP-POST-Anfragen. Ein Angreifer könnte eine User-Agent-Zeichenfolge verwenden, die in Ihrer Umgebung noch nie beobachtet wurde oder ungewöhnlich erscheint. Der User-Agent wird definiert durch RFC2616 als Anforderungsheaderfeld, das die Informationen über den Benutzeragenten enthält, von dem die Anforderung stammt.

Netzwerkartefakte können in Wireshark PCAPs (Datei, die die Paketdaten eines Netzwerks enthält) mithilfe eines Netzwerkprotokollanalysators wie TShark oder erkunden IDS (Intrusion Detection System) Protokollierung aus einer Quelle wie Schnauben.

MalwareBazaar Und Malshare sind gute Ressourcen, die Ihnen Zugriff auf die Beispiele, Schad-Feeds und YARA-Ergebnisse gewähren. All dies kann bei der Suche nach Bedrohungen und der Reaktion auf Vorfälle sehr hilfreich sein.

Für Erkennungsregeln: SOC Prime-Marktplatz zur Bedrohungserkennung ist eine großartige Plattform, auf der Sicherheitsexperten ihre Erkennungsregeln für verschiedene Arten von Bedrohungen austauschen, einschließlich der neuesten CVEs, die von Angreifern in freier Wildbahn ausgenutzt werden.

Fuzzy-Hashing ist auch eine starke Waffe gegen die Werkzeuge des Angreifers. Fuzzy-Hashing hilft Ihnen bei der Durchführung einer Ähnlichkeitsanalyse – vergleichen Sie zwei Dateien mit geringfügigen Unterschieden anhand der Fuzzy-Hash-Werte. Ein Beispiel für Fuzzy-Hashing ist die Verwendung von SSDeep; auf der offiziellen SSDeep-Website finden Sie auch die vollständige Erklärung zum Fuzzy-Hashing.

TTPs steht für Taktiken, Techniken und Verfahren. Dies umfasst die gesamte GEHRUNG ATT&CK-Matrix, d. h. alle Schritte, die ein Angreifer unternimmt, um sein Ziel zu erreichen, angefangen von Phishing-Versuchen bis hin zur Persistenz und Datenexfiltration.

Wenn Sie die TTPs schnell erkennen und darauf reagieren können, lassen Sie den Gegnern fast keine Chance, sich zu wehren. Wenn Sie beispielsweise einen Übergeben Sie den Hash Wenn Sie den Angriff mithilfe der Windows-Ereignisprotokollüberwachung durchführen und beheben, können Sie den kompromittierten Host sehr schnell finden und die laterale Bewegung innerhalb Ihres Netzwerks stoppen. An diesem Punkt hätte der Angreifer zwei Möglichkeiten:

  1. Gehen Sie zurück, führen Sie weitere Recherchen und Schulungen durch, konfigurieren Sie ihre benutzerdefinierten Tools neu
  2. Gib auf und suche dir ein anderes Ziel

Option 2 klingt definitiv weniger zeit- und ressourcenaufwändig.

Raumantworten

Analysieren Sie den Bericht, der mit dem Hash „b8ef959a9176aef07fdca8705254a163b50b49a17217a4ff0107487f59d4a35d“ verknüpft ist. Hier. Wie lautet der Dateiname des Beispiels?
Lese das folgende Bericht um diese Frage zu beantworten. Was ist die erste IP-Adresse der bösartige Prozess (PID 1632) versucht zu kommunizieren mit?
Lese das folgende Bericht um diese Frage zu beantworten. Was ist die erster Domänenname der bösartige Prozess ((PID 1632) versucht zu kommunizieren mit?
Gehe zu dieser Bericht über app.any.run und bieten die ersten verdächtig Sie sehen die URL-Anfrage. Sie werden diesen Bericht verwenden, um die verbleibenden Fragen dieser Aufgabe zu beantworten.

Welcher Begriff bezeichnet eine Adresse zum Zugriff auf Websites?

Bei welcher Art von Angriff werden Unicode-Zeichen im Domänennamen verwendet, um eine bekannte Domäne zu imitieren?

Geben Sie die weitergeleitete Website für die verkürzte URL mithilfe einer Vorschau an: https://tinyurl.com/bw7t8p4u

Ein Sicherheitsanbieter hat die bösartige Probe für uns analysiert. Lesen Sie den Bericht Hier um die folgenden Fragen zu beantworten.

Ein Prozess namens regidle.exe stellt eine POST-Anfrage an eine IP-Adresse auf Port 8080. Wie lautet die IP-Adresse?

Der Akteur legt eine bösartige ausführbare Datei (EXE) ab. Wie lautet der Name dieser ausführbaren Datei?

Schau dir das an Bericht von Virustotal. Wie viele Anbieter halten diesen Host für bösartig?

Welcher Browser verwendet die im obigen Screenshot angezeigte User-Agent-Zeichenfolge?

Wie viele POST-Anfragen sind im Screenshot der PCAP-Datei enthalten?

Geben Sie die Methode an, mit der die Ähnlichkeit zwischen den Dateien festgestellt wurde.

Geben Sie den alternativen Namen für Fuzzy-Hashes ohne die Abkürzung an

Navigieren Sie zur ATT&CK Matrix-Webseite. Wie viele Techniken fallen unter die Kategorie „Exfiltration“?

Chimera ist eine in China ansässige Hackergruppe, die seit 2018 aktiv ist. Wie heißt das kommerzielle Fernzugriffstool, das sie für C2 Beacons und Datenexfiltration?

Video-Komplettlösung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen