Chris McNab

Chris McNab

Chris McNab is an author, computer hacker, and founder of AlphaSOC (https://www.alphasoc.com). McNab is best known for his Network Security Assessment books, which detail practical penetration testing tactics that can be adopted to evaluate the security of networks.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

AlphaSOC on juuri julkaissut Network Flight Simulator (flightsim) 2.2.1:n, joka on ilmainen avoimen lähdekoodin hyökkäyssimulaatiotyökalu. Tämä uusin julkaisu sisältää joukon uusia moduuleja, joiden avulla tietoturvatiimit voivat välittömästi arvioida Detection & Response -kattavuuden SIEM- ja SOAR-työkaluissa.

Network Flight Recorder

Network Flight Simulatorin asennus

Flightsim-binäärit ovat vapaasti saatavilla Apple macOS:lle, Linuxille, FreeBSD:lle ja Microsoft Windowsille — kuten projektin sivulla on kerrottu.

Network Flight Simulator on komentorivityökalu, joka luo mallinnettua verkkoliikennettä lähdejärjestelmästä julkiseen verkkoon. Ajatuksena on turvallisesti syntetisoida haitallisia liikennemalleja kohdejärjestelmään, jotta voidaan tarkistaa tunnistustyökalujen kokoonpano ja kattavuus.

Paketin purkamisen jälkeen, kuten alla olevasta kuvasta näkyy, voidaan suorittaa komento flightsim run kaikkien moduulien kutsumiseksi ja useiden erilaisten haitallisten liikennemallien luomiseksi — mukaan lukien C2 beaconit, DGA-tapahtumat, cryptomining, DNS/ICMP -tunnelointi, SFTP-suodatus ja liikenne tunnettuihin haittaohjelma-sinkholeihin.

Network Flight Recorder

Moduulien jakautuminen

Viimeisin flightsim-julkaisu sisältää 11 moduulia, jotka on lueteltu alla. Suorittamalla näitä moduuleja ympäristössä voidaan nopeasti arvioida, onko tietoturva-analytiikka ja tunnistusmekanismit määritetty tunnistamaan haitalliset mallit internet north-south -liikenteessä.
Network Flight Recorder

Command and Control (C2) -beaconeiden simulointi

C2-moduuli hakee satunnaisen otoksen C2-alueista ja IP/portti -pareista AlphaSOC API:sta, ja luo sitten DNS-pyynnöt ja TCP/IP-yhteysliikenteen kullekin alla olevan kuvan mukaisesti.

Network Flight Recorder

Domain Generation Algorithm (DGA) -liikenteen simulointi

DGA-moduuli luo ohjelmallisesti luettelon korkean entropian verkkotunnuksista, joiden pitäisi käynnistää DGA-tunnistusmekanismit kohdeympäristössä, ja selvittää sitten kunkin toimialueen alla olevan kuvan mukaisesti.

 

Network Flight Recorder

Liikenteen simulointi aidoilta vaikuttaviin valedomaineihin

AlphaSOC ylläpitää ylätason verkkotunnuksia, joilla on epäilyttäviä ominaisuuksia, testaustarkoituksiin — esimerkiksi com-edge2-cdn.net alla olevassa esimerkissä. Tämä verkkotunnus on uudehko (rekisteröity 30. syyskuuta 2021), ja sen esiintyvyys on alhainen. Sitten laadimme flightsim:ssa luettelon laillisista B2B-verkkotunnuksista, joita voidaan matkia ja luoda tapahtumia näihin FQDN-osoitteisiin alla olevan kuvan mukaisesti.

 

Network Flight Recorder
Network Flight Recorder

AlphaSOC Analytics Engine havaitsee nämä samankaltaiset verkkotunnusmallit ja monet muut, kuten aiemmissa blogikirjoituksissa on käsitelty:

Kryptolouhinnan simulointi

Miner-moduuli luo Stratum-protokollan mukaista sisäänkirjautumisliikennettä netin laillisiin julkisiin kryptolouhintapooleihin. Moduuli hakee luettelon kohteista AlphaSOC API:sta ja muodostaa sitten yhteyden kuhunkin, kuten alla on esitetty.

 

Network Flight Recorder

Ulospäin suuntautuvan porttiskannauksen simulointi

Tartunnan saaneet hostit suorittavat yleensä lähtevän verkkoskannauksen, jota voidaan flightsimissa simuloida käyttämällä scan-moduulia. Aluksi laaditaan luettelo RFC 5737 -kohteista ja luodaan sitten TCP/IP-liikennettä kunkin kohteen yleisimpiin portteihin — eli simuloidaan lähtevää porttiskannausta, kuten alla tapahtuu.

Network Flight Recorder

Liikenteen lähetys tunnettuihin haittaohjelma-sinkholeihin

Tietoturvatutkimustiimit, mm. Microsoftilla ja Kasperskylla, ylläpitävät verkossa haittaohjelma-sinkholeja, joita käytetään botnet- ja muiden tartunnan saaneiden hostien hallitsemiseen. AlphaSOC ylläpitää näistä sinkholeista luetteloa ja niihin voidaan luoda liikennettä flightsimin sink-moduulin avulla, kuten alla näkyy.

 

Network Flight Recorder

Yhteydenotot useisiin SMTP-palvelimiin

Spambot-moduuli simuloi yhteyksiä kymmeneen satunnaisesti valittuun julkiseen sähköpostipalvelimeen, kuten alla näkyy. Tartunnan saaneet hostit luovat tällaisia malleja, kun ne tuottavat SMTP-roskapostiliikennettä haitallisen sisällön lähettämiseksi.

 

Network Flight Recorder

SFTP/SSH exfiltration -simulointi

Flightsim-moduulit ssh-exfil ja ssh-transfer luovat SFTP exfiltration -liikennettä AlphaSOCin sandboxiin ja siirtävät 200 megatavua sisältöä palveluun SSH:n yli. Ssh-exfil -moduuli käyttää ei-standardia porttia ja ssh-transfer TCP-porttia 22, kuten alla on esitetty.
Network Flight Recorder

DNS-tunneloinnin simulointi

Cobalt Strike ja muut C2-frameworkit käyttävät DNS-tunnelointia C2- ja tiedonsiirtotarkoituksiin havaitsemisen välttämiseksi. Flightsim-moduuli tunnel-dns luo suuren määrän DNS-tunnelointitapahtumia osoitteeseen *.sandbox.alphasoc.xyz, kuten alla on esitetty.
Network Flight Recorder

ICMP-tunneloinnin simulointi

Kehittyneet toimijat ja hyökkäyksien tekijät käyttävät myös ICMP-tunnelointia välttääkseen havaitsemisen. Flightsim-moduuli tunnel-icmp vaatii pääkäyttäjän oikeudet toimiakseen, ja se luo suuren määrän ICMP-tunnelointitapahtumia AlphaSOCin sandboxiin, alla olevan kuvan mukaisesti.

 

Network Flight Recorder

Kattavuuden ja näkyvyyden parantaminen

Network Flight Simulatoria voidaan käyttää haitallisten liikennemallien luomiseksi ja varmistamaan erilaisten C2- ja suodatusmallien kattavuus. Lisäksi sen avulla voidaan tuottaa simuloidusti kryptolouhinta-, porttiskannaus-, roskapostiliikennettä sekä spear phishing -liikennettä aidolta vaikuttaviin huijausdomaineihin.

AlphaSOC Analytics Engine tukee flightsim:lla löydettyjen mallien havaitsemista, luo korkean tarkkuuden hälytyksiä sekä tukee reaktiivista lajittelua ja ennakoivia uhkien metsästystoimintoja — joista on yhteenveto alla.

AlphaSOC Splunk Integration

Kuvakaappaus on Splunkiin integroidusta Network Behavior Analytics -työkalusta. AlphaSOC Analytics Engine integroituu natiivisti Splunk-, Elastic-, Snowflake-, Amazon S3- ja moniin muihin lähteisiin ja pystyy eskaloimaan hälytyksiä mille tahansa SIEM- tai SOAR-alustalle, Slackin ja muihin kohteisiin.

Ole meihin yhteydessä niin kerromme lisää – ja demoamme: sales@mintsecurity.fi.
Alphasoc NBA

AlphaSOC

Löydä saastuneet työasemat Havaitse vuodot ja muu luvaton käyttö Vastaanota korkealaatuisia uhkahälytyksiä Löydä tietoturvauhkat tarkasti ja täsmällisesti Sadat tietoturvatiimit ympäri maailmaa luottavat AlphaSOC:iin havaitakseen haittaohjelmia,

Read More »
AlphaSOC - Indikaattorilistojen tuolla puolen
alphasoc

Indikaattorilistojen tuolla puolen

AlphaSOC käsittelee tietoverkkojen telemetriatietoja ja paljastaa sekä tunnettuja että tuntemattomia, uusia uhkia. Monitasoisen analyysimenetelmän avulla tietoturva-asiantuntijat voivat löytää jopa kolme kertaa enemmän haittaohjelmia kuin pelkästään IOC-indikaattoreita käyttämällä.

Lue lisää »
alphasoc

Mitä AlphaSOC tekee

AlphaSOC on kevyt mutta äärimmäisen tehokas työkalu egress-liikenteen tarkkailuun. AlphaSOCin Analytics Engine ratkaisee monta käyttötapausta, joiden toteuttaminen muulla tavoin olisi erittäin työlästä ja haastavaa.

Lue lisää »
AlphaSOC - running an on-prem AE server
alphasoc

AlphaSOCin asennusvaihtoehtoja

”Pilvi!” joku huutaa kovaan ääneen. ”Sehän tarkoittaa, että minun tietoni lähetetään pilveen. Minun kullankalliit telemetriatietoni pahantahtoisten muukalaisten käsissä paljastaen minusta aivan liikaa!” Pitää paikkansa. Läpinäkyvyyden nimissä, tarkastellaanpa siis hieman, mitä kulissien takana oikeasti tapahtuu.

Lue lisää »
alphasoc

Automatisoi uhkien metsästys

Through Network Behavior Analytics for Splunk and our native integrations for Demisto and Graylog, we instantly enrich network indicators (FQDNs, URLs, and IP addresses) to provide security teams with hunting material.

Lue lisää »
Chris McNab

Chris McNab

Chris McNab is an author, computer hacker, and founder of AlphaSOC (https://www.alphasoc.com). McNab is best known for his Network Security Assessment books, which detail practical penetration testing tactics that can be adopted to evaluate the security of networks.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.