AlphaSOC on juuri julkaissut Network Flight Simulator (flightsim) 2.2.1:n, joka on ilmainen avoimen lähdekoodin hyökkäyssimulaatiotyökalu. Tämä uusin julkaisu sisältää joukon uusia moduuleja, joiden avulla tietoturvatiimit voivat välittömästi arvioida Detection & Response -kattavuuden SIEM- ja SOAR-työkaluissa.
Network Flight Simulatorin asennus
Flightsim-binäärit ovat vapaasti saatavilla Apple macOS:lle, Linuxille, FreeBSD:lle ja Microsoft Windowsille — kuten projektin sivulla on kerrottu.
Network Flight Simulator on komentorivityökalu, joka luo mallinnettua verkkoliikennettä lähdejärjestelmästä julkiseen verkkoon. Ajatuksena on turvallisesti syntetisoida haitallisia liikennemalleja kohdejärjestelmään, jotta voidaan tarkistaa tunnistustyökalujen kokoonpano ja kattavuus.
Paketin purkamisen jälkeen, kuten alla olevasta kuvasta näkyy, voidaan suorittaa komento flightsim run kaikkien moduulien kutsumiseksi ja useiden erilaisten haitallisten liikennemallien luomiseksi — mukaan lukien C2 beaconit, DGA-tapahtumat, cryptomining, DNS/ICMP -tunnelointi, SFTP-suodatus ja liikenne tunnettuihin haittaohjelma-sinkholeihin.
Moduulien jakautuminen
Command and Control (C2) -beaconeiden simulointi
C2-moduuli hakee satunnaisen otoksen C2-alueista ja IP/portti -pareista AlphaSOC API:sta, ja luo sitten DNS-pyynnöt ja TCP/IP-yhteysliikenteen kullekin alla olevan kuvan mukaisesti.
Domain Generation Algorithm (DGA) -liikenteen simulointi
DGA-moduuli luo ohjelmallisesti luettelon korkean entropian verkkotunnuksista, joiden pitäisi käynnistää DGA-tunnistusmekanismit kohdeympäristössä, ja selvittää sitten kunkin toimialueen alla olevan kuvan mukaisesti.
Liikenteen simulointi aidoilta vaikuttaviin valedomaineihin
AlphaSOC ylläpitää ylätason verkkotunnuksia, joilla on epäilyttäviä ominaisuuksia, testaustarkoituksiin — esimerkiksi com-edge2-cdn.net alla olevassa esimerkissä. Tämä verkkotunnus on uudehko (rekisteröity 30. syyskuuta 2021), ja sen esiintyvyys on alhainen. Sitten laadimme flightsim:ssa luettelon laillisista B2B-verkkotunnuksista, joita voidaan matkia ja luoda tapahtumia näihin FQDN-osoitteisiin alla olevan kuvan mukaisesti.
- Liikenteen havaitseminen aidoilta vaikuttaviin huijausverkkotunnuksiin on kriittinen asia yritysympäristöissä, koska Wipron onnistuneesti murtanut tekijä oli käyttänyt vastaavanlaisia verkkotunnuksia — jotka on listattu alla — välttääkseen havaitsemisen.
AlphaSOC Analytics Engine havaitsee nämä samankaltaiset verkkotunnusmallit ja monet muut, kuten aiemmissa blogikirjoituksissa on käsitelty:
Kryptolouhinnan simulointi
Miner-moduuli luo Stratum-protokollan mukaista sisäänkirjautumisliikennettä netin laillisiin julkisiin kryptolouhintapooleihin. Moduuli hakee luettelon kohteista AlphaSOC API:sta ja muodostaa sitten yhteyden kuhunkin, kuten alla on esitetty.
Ulospäin suuntautuvan porttiskannauksen simulointi
Tartunnan saaneet hostit suorittavat yleensä lähtevän verkkoskannauksen, jota voidaan flightsimissa simuloida käyttämällä scan-moduulia. Aluksi laaditaan luettelo RFC 5737 -kohteista ja luodaan sitten TCP/IP-liikennettä kunkin kohteen yleisimpiin portteihin — eli simuloidaan lähtevää porttiskannausta, kuten alla tapahtuu.
Liikenteen lähetys tunnettuihin haittaohjelma-sinkholeihin
Tietoturvatutkimustiimit, mm. Microsoftilla ja Kasperskylla, ylläpitävät verkossa haittaohjelma-sinkholeja, joita käytetään botnet- ja muiden tartunnan saaneiden hostien hallitsemiseen. AlphaSOC ylläpitää näistä sinkholeista luetteloa ja niihin voidaan luoda liikennettä flightsimin sink-moduulin avulla, kuten alla näkyy.
Yhteydenotot useisiin SMTP-palvelimiin
Spambot-moduuli simuloi yhteyksiä kymmeneen satunnaisesti valittuun julkiseen sähköpostipalvelimeen, kuten alla näkyy. Tartunnan saaneet hostit luovat tällaisia malleja, kun ne tuottavat SMTP-roskapostiliikennettä haitallisen sisällön lähettämiseksi.
SFTP/SSH exfiltration -simulointi
DNS-tunneloinnin simulointi
ICMP-tunneloinnin simulointi
Kehittyneet toimijat ja hyökkäyksien tekijät käyttävät myös ICMP-tunnelointia välttääkseen havaitsemisen. Flightsim-moduuli tunnel-icmp vaatii pääkäyttäjän oikeudet toimiakseen, ja se luo suuren määrän ICMP-tunnelointitapahtumia AlphaSOCin sandboxiin, alla olevan kuvan mukaisesti.
Kattavuuden ja näkyvyyden parantaminen
Network Flight Simulatoria voidaan käyttää haitallisten liikennemallien luomiseksi ja varmistamaan erilaisten C2- ja suodatusmallien kattavuus. Lisäksi sen avulla voidaan tuottaa simuloidusti kryptolouhinta-, porttiskannaus-, roskapostiliikennettä sekä spear phishing -liikennettä aidolta vaikuttaviin huijausdomaineihin.
AlphaSOC Analytics Engine tukee flightsim:lla löydettyjen mallien havaitsemista, luo korkean tarkkuuden hälytyksiä sekä tukee reaktiivista lajittelua ja ennakoivia uhkien metsästystoimintoja — joista on yhteenveto alla.
Kuvakaappaus on Splunkiin integroidusta Network Behavior Analytics -työkalusta. AlphaSOC Analytics Engine integroituu natiivisti Splunk-, Elastic-, Snowflake-, Amazon S3- ja moniin muihin lähteisiin ja pystyy eskaloimaan hälytyksiä mille tahansa SIEM- tai SOAR-alustalle, Slackin ja muihin kohteisiin.
AlphaSOC
Löydä saastuneet työasemat Havaitse vuodot ja muu luvaton käyttö Vastaanota korkealaatuisia uhkahälytyksiä Löydä tietoturvauhkat tarkasti ja täsmällisesti Sadat tietoturvatiimit ympäri maailmaa luottavat AlphaSOC:iin havaitakseen haittaohjelmia,
AlphaSOC Network Flight Simulator paljastaa havainnoinnin sokeat pisteet
AlphaSOC on juuri julkaissut Network Flight Simulator (flightsim) 2.2.1:n, joka on ilmainen avoimen lähdekoodin hyökkäyssimulaatiotyökalu. Tämä uusin julkaisu sisältää joukon uusia moduuleja, joiden avulla tietoturvatiimit voivat välittömästi arvioida Detection & Response -kattavuuden SIEM- ja SOAR-työkaluissa.
Indikaattorilistojen tuolla puolen
AlphaSOC käsittelee tietoverkkojen telemetriatietoja ja paljastaa sekä tunnettuja että tuntemattomia, uusia uhkia. Monitasoisen analyysimenetelmän avulla tietoturva-asiantuntijat voivat löytää jopa kolme kertaa enemmän haittaohjelmia kuin pelkästään IOC-indikaattoreita käyttämällä.
Mitä AlphaSOC tekee
AlphaSOC on kevyt mutta äärimmäisen tehokas työkalu egress-liikenteen tarkkailuun. AlphaSOCin Analytics Engine ratkaisee monta käyttötapausta, joiden toteuttaminen muulla tavoin olisi erittäin työlästä ja haastavaa.
AlphaSOCin asennusvaihtoehtoja
”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!” Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.
Mint Security jälleenmyymään AlphaSOCin ratkaisuja
Mint Security ryhtyy jälleenmyymään ja tukemaan AlphaSOCin tuotteita ja ratkaisuja suomessa ja euroopassa.
Automatisoi uhkien metsästys
Through Network Behavior Analytics for Splunk and our native integrations for Demisto and Graylog, we instantly enrich network indicators (FQDNs, URLs, and IP addresses) to provide security teams with hunting material.
