Analýza technik "Lateral movement" v systémech s OS Windows

Abstract

S pokračujícím nárůstem počtu sofistikovaných kybernetických útoků rostou nároky na výzkumníky a experty v oblasti kybernetické bezpečnosti. Kybernetické hrozby se neustále vyvíjejí a mění, udržovat s nimi tempo je kritické pro vývoj efektivních bezpečnostních řešení. Vývoj obrannych mechanismů je však náročný úkol. Tato práce využívá threat-informed přístup k vytváření analytik a vývoji detekčních mechanismů. Threat-informed přístup spočívá ve využívání dostupných informací získaných pomocí zpravodajství o kybernetických hrozbách (Cyber Threat Intelligence (CTI)), což může vést k výsledkům, které umožní implementaci a nasazení efektivnějších obranných mechanismů. Útočníci typicky musí provést boční pohyb (lateral movement) v napadnutém prostředí aby dosáhli svých cílů. Obvykle je jejich prvotní přístup do cílového prostředí prostředníctvím zařízení s nižší ochranou nebo pomocí phishingu zatímco jejich cíl se většinou nachází na lépe zabezpečeném zařízení. Tato práce představí techniky používáné pro docílení bočního pohybu v cílovém prostředí, zkoumá a nasadí přístup k vývoji analytik a detekcí využívající zpravodajství o kybernetických hrozbách a zaměří se na hlubší analýzu jedné z těchto technik, šíření pomocí výměnných medií (například USB flash disky). Pomocí informací získaných ze zpravodajství o kybernetických hrozbách, tato práce analyzuje techniku šíření pomocí výměnných medií, navrhne metody detekce této techniky, implementuje a nasadí navžené detekce, a vyhodnotí jejich efektivitu a validitu. Nakonec, tato práce ukazuje výhody využití informací získaných pomocí zpravodajství o kybernetických hrozbách při vývoji analytik a detekcí a diskutuje kvalitu výsledků z tohoto procesu.

As sophisticated cyberattacks continue to evolve, cybersecurity researchers and experts are challenged to keep pace with an ever-changing threat landscape. Developing effective defense mechanisms remains a formidable task. This thesis employs a threat-informed approach to develop analytics for detecting lateral movement techniques, a critical phase in cyberattacks where adversaries expand their access and control within a compromised environment. Typically, adversaries move laterally within their target network to reach their objectives, which are often located on more secured or isolated devices, following an initial compromise via less secured devices or phishing. This work provides an overview of lateral movement techniques, reviews and applies a threat-informed approach to cyber threat analytics development, and focuses on the in-depth analysis of one such technique, T1091 Replication Through Removable Media. Utilizing adjusted threat-informed cyber threat analytics development framework, this thesis analyzes lateral movement technique T1091, proposes specific detection strategies, implements them in a popular Security Information and Event Management (SIEM) system, and evaluates their performance and validity. Ultimately, this thesis demonstrates the effectiveness of the threat-informed approach to developing and implementing cyber threat analytics and detection strategies, summarizing the process and evaluating the outcomes to enhance cybersecurity defenses.