XDR 如何有效偵測在企業網路內「橫向移動」的攻擊?

具備進階偵測能力的 XDR,可交叉關聯分析橫跨多重領域的資料,發現一些原本不會注意到的事件。
歹徒在某個領域的工作完成之後,就會刪除相關的痕跡,因此,能夠蒐集並留下相關的情報,將有助於釐清問題的根源 ……

具備進階偵測能力的 XDR,可交叉關聯分析橫跨多重領域的資料

正如我們先前部落格文章提到全面偵測及回應(XDR)是一種更能有效偵測網路內部駭客活動的方法,因為它可協調整合多重攻擊管道上的威脅情報和資料,全面涵蓋端點 (行動及IIoT 裝置)、伺服器、網路、郵件、網站以及雲端。這篇文章的目的,是要藉由探討駭客攻擊程序中的一個環節,也就是「橫向移動」,來讓企業知道該如何有效偵測駭客攻擊。

當駭客進入了企業網路,接下來就會試圖從最初的入侵點開始向外擴散,搜尋他們想要的重要資料與關鍵系統,不論是入侵資料中心、營運技術 (OT) 網路,或是尋找關鍵系統來從事不法活動。儘管駭客在網路內橫向移動的手法很多,但最重要的關鍵是要能隱藏並消除自己的痕跡。

一開始,他們會利用系統管理員常用的工具來掃描內部網路,找出有哪些可供入侵的系統。此外,也會利用駭客工具和鍵盤側錄程式來竊取使用者的帳號密碼,進而入侵合法使用者的帳號。駭客還會經由幕後操縱 (C&C) 通訊管道下載更多工具來輔助其攻擊。隨著駭客逐漸取得更多擁有系統權限的帳號,他們就能入侵更多系統並且使用「正常」的工具來做事,如此一來企業就很難察覺,例如:

  • 使用 PSEXEC 在遠端系統上執行程式。
  • 建立一個遠端排程工作來執行後門程式或惡意程式碼。
  • 利用遠端桌面 (RDP) 或「net use」指令連線至其他主機。
  • 利用 WMI 來進行無檔案式入侵。
  • 執行 PowerShell 腳本來進行無檔案式入侵。
  • 利用漏洞攻擊手法,攻擊系統內尚未修補的已知漏洞。
  • 執行像 BitLocker 這樣的正常加密工具將客戶資料加密,就如同勒索病毒一樣,但因為它是使用正常的系統工具,因此防毒軟體不會發出警示。

此時,若能在 XDR當中加入網路情報,並與其他領域的資料進行交叉關聯分析,就可發揮極大功效。像這樣具備進階偵測能力的 XDR,可交叉關聯分析橫跨多重領域的資料,發現一些原本不會注意到的事件。

不但如此,在許多攻擊當中,當歹徒在某個領域的工作完成之後,就會刪除相關的痕跡,因此,能夠蒐集並留下相關的情報,將有助於釐清問題的根源,在四處分散的攻擊活動當中找出彼此的關聯。透過這樣的關聯,企業就能完整拼湊攻擊的全貌。

近期出現的多起 RYUK 勒索病毒攻擊就是很好的例子。在這些攻擊中,駭客利用 Eternal Blue 漏洞攻擊手法在企業內部一邊搜刮使用者的登入憑證邊四處擴散,接著,利用系統本身的工具將電腦上的安全服務關閉來隱藏自己的行蹤。在這些案例當中,研究人員都是藉由端點、伺服器及網路上所蒐集到的情報來拼湊出駭客攻擊的過程以及使用到的元件。

今日,絕大多數的攻擊皆具備橫向移動能力 (如勒索病毒),所以若能將網路情報納入,成為整個 XDR 平台中的一環,將有助於提升企業防範、偵測及矯正精密攻擊的能力。

未來我們還會陸續發表更多有關XDR如何提升我們未來資安策略的文章,敬請持續鎖定我們的部落格。