凭证被盗一直是一个长期存在的问题,组织尚未有效解决该问题。每周,我们都会听到有关凭证填充攻击的信息,攻击者会在该攻击中成功窃取凭证,登录到环境并横向移动以获取更高级别的访问权限。所有活动都有一个重点:访问私有数据或高价值资产。MITER ATT&CK知识库提供有关威胁参与者使用的策略,技术和程序的信息,这些信息可以帮助安全团队建立更强大的安全流程。Exabeam通过分析成功地帮助组织检测到这些活动,包括将活动映射到MITRE。这是一个示例,说明了我如何通过机器学习提供支持的分析解决方案来帮助客户。

最近,我正在客户现有的SIEM上进行新的Exabeam增强部署。在我们完全部署Exabeam之前,我们使用了来自现有SIEM的Syslog提要到我们的Exabeam分析引擎中,开始对环境进行建模。在此期间,Exabeam Advanced Analytics触发了“知名用户”。从那时起,我们看到了通过帐户切换和横向移动将用户帐户升级为被盗帐户的过程。这就是它的展开方式。

5月7日,星期四,Exabeam触发了一个著名用户,风险得分为93分。

                                                               图1:我们首先看到了用户的异常活动

5月7日22:20

趋势时间表清楚地表明,这对于用户而言是非常不正常的。

                                              图2:在趋势时间轴上查看此活动显示与用户正常活动相反的峰值

使用动态KPI,我们还可以看到,在过去的所有活动中,用户通常不会产生这种风险级别,使用这么多帐户或访问这么多资产。

                                  图3和图4:回顾过去几天中用户的行为,我们发现与所看到的警报相比,没有任何风险

深入研究用户详细信息,我们可以快速看到有关引起用户关注的原因的摘要,但是我们单击了“时间轴”视图以了解更多发生的情况。

                                        图5:更仔细地观察,我们可以看到风险原因总计为1044

查看时间轴,在21:15可以看到Exabeam为来自新加坡的用户VPN标记了20个风险点。由于用户或整个组织中的任何人从未见过这种情况,因此引发了另外20个风险点。该用户还另外获得了22个风险点,因为它们从以前从未被观察到的ISP连接到ISP,并且从以前从未与它们相关联的用户代理字符串进行连接。

此阶段使用的MITER ATT&CK技术是外部远程服务(T1133)和有效帐户(T1078)。

                           图6:Exabeam在从新加坡进行VPN接入时向用户标记了20个风险点,另外20个风险点是因为用户和整个组织中的任何人都没有进行此活动并添加了来自新ISP的22个连接点

深入研究数据模型表明,我们已经清楚地看到它们通常使用Mozilla从Windows计算机连接,但是从不使用Trident,这就是将这种风险应用于其时间表的原因。

                                  图7:该活动被标记为用户通常使用Mozilla而非Trident从Windows计算机连接

用户现在在其时间表上处于62个风险点。一小时后的22:15,用户开始访问以前从未发现过的资产,每个资产都标记了10个风险点。22:15时的两项资产增加了20个风险点,而22:16时的另一项资产给该用户93个风险点,该风险点超过了全局阈值,变得引人注目。这是警报发出来调查此人的时间。

此时,应用于他们的时间轴的风险的100%是基于与异常登录位置的行为偏差来访问他们通常不接触或从未接触过的资产。

5月8日,3:48

经过数百次尝试访问其他资产的尝试,用户最终能够找到凭据以切换到初始主机并横向移动。Exabeam将此作为帐户切换活动缝入了时间轴,并显示了最初使用的用户名,他们切换到的用户名以及他们迁移到的主机。

使用的MITER ATT&CK技术是Discovery(TA0007),帐户发现(T1087),网络共享发现(T1135),横向运动(TA0008),远程服务:远程桌面协议(T1021.001)

                                   图8:用户找到要切换到初始主机并横向移出初始主机的凭据

不幸的是,该组织目前没有一整夜的24/7 SOC来管理整个晚上的安全警报,用户继续通过从Mimikatz提取的233个凭据访问了487个资产,然后从最初受到破坏的主机横向移动到另一个环境中的资产。通过该资产,转储了另外60个凭据,并试图在整个环境中使用。

因为该组织使用的是Exabeam Entity Analytics,所以他们还观察到用户在第二天上午03:04横向移动的资产变得引人注目,这再次是由于资产的行为变化所致。

米米卡兹 是一个凭证转储者,能够获取纯文本帐户登录名和密码。该工具可通过MITER ATT&CK框架中所述的技术(例如“帐户操作”(T1098),凭证转储(T1003),Rogue域控制器(T1207) 和更多。

                                                      图9:受感染的用户继续在组织中移动

Exabeam触发“显着资产”后不久,客户的EDR工具也亮起,并通知了正在使用Mimikatz工具的通知。这些警报也被整合到“资产时间表”中,从而进一步加快了整体风险评分。

                                图10:来自客户EDR工具的警报显示了正在使用Mimikatz工具的通知

Exabeam时间轴和建模能够从行为驱动方面完全触发“著名用户和资产”,同时还可以清楚地将事件组合在一起,以充分了解攻击进行中的情况。

回顾一下,Exabeam Advanced Analytics在22:19检测到了著名用户。首次使用受到破坏的凭据的时间是21:15,这距离检测到受到破坏的凭据的时间略有一个多小时。通常将其标记为有效帐户(T1078(MITRE ATT&CK)框架中的技术),该技术由对手共同完成,以在获得证书后横向移动不同资产。

小组从其EDR工具收到的第一个警报是第二天早晨Mimikatz执行时的03:12。认为您可以简单地将警报发送到安全流程,自动化和响应中的组织(SOAR)解决方案并且受到保护将错过这次攻击的最重要部分。由于EDR仅检测到Mimikatz,因此分析人员将需要手动查询日志以重新创建此攻击,包括初始感染,横向移动和凭证转储。根据MITER ATT&CK框架,在凭证访问策略中使用了一些技术,例如以散列或明文密码的形式转储凭证(T1003)。一旦对手获得对内部系统对手的未经授权的访问权,他们就可以利用远程服务(T1210)。

没有对Advanced Analytics安装进行自定义,只有从客户的现有SIEM到整个链的Advanced Analytics的直接Syslog提要支持它。根据我的经验,遗留SIEM通常需要几天甚至几个月的时间才能创建相关内容,如果您尚未编写或创建有关如何预测自己受到攻击的规则,则需要花费更多时间。

考虑到解决方案尚未定制,客户很高兴看到大量的攻击细节。但是,也许最值得注意的是这样的事实,即对环境了解甚少的客户能够读取日志并准确知道发生了什么。他们赞赏甚至更少的高级分析师也可以使用此软件立即获得结果。客户能够执行整个调查,而不必编写单个查询或梳理原始日志来尝试回答一些最关键的问题。

Exabeam UEBA之高级Analytics(分析)用例:检测损坏的凭据相关推荐

  1. 计算机应用课程思政的应用,计算机类课程思政改革——以“Office高级应用”课程为例...

    计算机类课程思政改革--以"Office高级应用"课程为例 文章以"Office高级应用"课程为例,首先阐述了计算机类课程思政改革的重要性,然后阐述了计算机类 ...

  2. UEBA案例分析系列之检测失陷凭证

    UEBA案例分析系列之检测失陷凭证 概述 近日万豪透漏其公司再次遭遇大规模数据泄露,可能涉及520万名客户的详细信息.此次事件攻击者使用万豪特许经营酒店两名员工的登录凭证进行数据访问. 利用合法凭证访 ...

  3. MySQL系列-高级-性能分析工具-EXPLAIN

    MySQL系列-高级-性能分析工具-EXPLAIN 1. EXPLAIN概述 1.1 官网介绍 1.2 EXPLAIN 基本语法 2. 基于函数和存储过程插入数据 2.1 创建表 2.2 创建函数和过 ...

  4. WSO2部署+集成MySQL+集成Analytics分析工具

    前提条件 本文使用的版本为3.1.0 安装wso2的前提必须要有java环境 wso2的rpm包.java的JDK1.8压缩包.mysql驱动jar包.Analytics压缩包都放在以下百度网盘中 硬 ...

  5. JAVA抽象类和接口的区别【附经典分析用例Door】

    这篇文章对抽象类和接口说的很详细,希望对大家有所帮助. abstract class和interface是Java语言中对于抽象类定义进行支持的两种机制,正是由于这两种机制的存在,才赋予了Java强大 ...

  6. 高级转录组分析和R语言数据可视化第十三期 (线上线下同时开课)

    " 福利公告:为了响应学员的学习需求,经过易生信培训团队的讨论筹备,现决定安排扩增子16S分析.宏基因组.Python课程线上直播课.报名参加线上直播课的老师可在1年内选择参加同课程的一次线 ...

  7. 高级转录组分析和R语言数据可视化第12期 (线上线下同时开课)

    " 福利公告:为了响应学员的学习需求,经过易生信培训团队的讨论筹备,现决定安排扩增子16S分析.宏基因组.Python课程线上直播课.报名参加线上直播课的老师可在1年内选择参加同课程的一次线 ...

  8. 最后1周 | 高级转录组分析和R语言数据可视化第十一期 (报名线上课还可免费参加线下课)...

    " 福利公告:为了响应学员的学习需求,经过易生信培训团队的讨论筹备,现决定安排扩增子16S分析.宏基因组.Python课程线上直播课.报名参加线上直播课的老师可在1年内选择参加同课程的一次线 ...

  9. 最后2周 | 高级转录组分析和R语言数据可视化第十一期 (报名线上课还可免费参加线下课)...

    " 福利公告:为了响应学员的学习需求,经过易生信培训团队的讨论筹备,现决定安排扩增子16S分析.宏基因组.Python课程线上直播课.报名参加线上直播课的老师可在1年内选择参加同课程的一次线 ...

最新文章

  1. 刷前端面经笔记(十一)
  2. 转-android图片降低图片大小保持图片清晰的方法
  3. android获取string.xml的值(转)
  4. view,control,service,dao,model层的关系
  5. Visual SourceSafe 数据库安全性简介
  6. 定时任务管理系统 java_几种任务调度的 Java 实现方法与比较(定时任务)(转)...
  7. 位运算初步入门状态压缩操作
  8. cv2 和matplotlib中画图时的颜色选取
  9. RDP大屏幕报表sql问题
  10. 完整的网站前端+源码模板
  11. Easyui datagrid数据清空
  12. 数独解法Java实现
  13. 小米note2鸿蒙ROM,小米最新刷机包rom下载_奇兔rom市场
  14. Arch Linux Arm 安装Yaourt
  15. 【IJCV2020】【语义编辑】Semantic Hierarchy Emerges in Deep Generative Representations for Scene Synthesis
  16. [USACO13NOV]挤奶牛Crowded Cows(洛谷 P3088)
  17. seo从入门到精通_SEO可以干什么,一定要看(SEO职业攻略)
  18. Game Center,移动游戏社交平台的勘探报告
  19. iOS 调整UIPageControl圆点大小
  20. Lync 2010拨打座机报错

热门文章

  1. 基于APB与I2C的多主多从架构设计 - Function Description
  2. 用10元,20元,50元三种币值的纸币凑出1000元,一共有多少种组合(C++实现)三种思路,两种实现
  3. 计算机类sci杂志排名,计算机类SCI杂志排名(2)
  4. 自定义小程序popupwindow弹出框
  5. qt中如何修改日志输出级别?
  6. centos7 redis集群搭建
  7. 简单介绍一下qsort函数
  8. 广联达2019C++软件开发
  9. html表格导出excel有几种方式
  10. 《NFL橄榄球》:新奥尔良圣徒·橄榄1号位