O Infection Monkey tem uma nova versão e é mais MITREier do que nunca

Views: 139
0 0
Read Time:5 Minute, 28 Second

O que é o Infection Monkey 1.8.0?

O Infection Monkey é uma ferramenta gratuita e de código aberto de Simulação de Violação e Ataque (BAS) que avalia a resiliência de ambientes de nuvem privada e pública para ataques pós-violação e movimento lateral.

Lançamos uma nova versão que melhora as capacidades do Infection Monkey. O Infection Monkey agora mapeia suas ações para a base de conhecimento MITRE ATT&CK: Fornece um novo relatório com as técnicas utilizadas e atenuações recomendadas, para ajudá-lo a simular um ataque APT em sua rede e mitigar caminhos de ataque reais de forma inteligente.

Para ver os novos recursos de ATT&CK do Infection Monkey em ação, assista a uma demonstração de vídeo destacando o relatório ATT&CK:Agora que você já sabe um pouco mais, recomendamos que você baixe o Infection Monkey enquanto lê este post, para que você possa começar a trabalhar com ele assim que terminar.

Baixe Infection Monkey, uma ferramenta gratuita de violação de código aberto e simulação de ataque para avaliar a postura de segurança de sua rede.Download gratuito

Por que integramos o MITRE ATT&CK e o Infection Monkey

A matriz Mitre ATT&CK é um banco de dados de técnicas de ataque que os adversários usam na vida real. Tendo essas informações, cada vez mais especialistas em segurança cibernética usam a matriz ATT&CK como base para testes e avaliações de segurança de rede. Como o Infection Monkey já tenta um grande número de técnicas de ATT&CK, queríamos fornecer uma maneira de configurar facilmente o Infection Monkey com base nas técnicas ATT&CK que você deseja testar e fornecer mais informações sobre como essas técnicas foram usadas e como se proteger. O resultado final é uma plataforma onde os testes ATT&CK podem ser facilmente configurados, lançados automaticamente e os resultados são agregados em um único lugar.

Como funciona e como você pode usá-lo

Depois de baixar e implantar o Infection Monkey, você pode executar uma simulação de ataque em sua rede. Ao fazer isso, o Infection Monkey utiliza técnicas de ataque como APTs conhecidos na natureza. Isso testa a resiliência da sua rede contra malware que emprega essas técnicas. Quando os testes do Infection Monkey forem concluídos, você recebe um relatório de status att&CK do MITRE com todas as informações necessárias em cada técnica para se preparar para o próximo ataque.

Você pode configurar quais técnicas você gostaria de usar na página de configuração do MITRE:

Monkey MITRE Configuration page.

Digamos que você não quer que o Infection Monkey use o Infection Monkey (System Information Discovery). Talvez você não queira que o Infection Monkey o teste, já que você já sabe que é compromisável, então não é o foco de seus testes agora. Basta clicar para desativar (ou ativar) essa técnica do arsenal do Infection Monkey e clicar em “Enviar” para confirmar!

Relatório ATT&CK do Infection Monkey

O relatório AtT&CK do MITRE é centrado em torno da matriz ATT&CK:

Screenshot of the new MITRE report.

O Infection Monkey classifica sua rede nas técnicas de ataque que tentou. Para cada técnica, você pode obter

  • Vermelho: O Infection Monkey usou com sucesso a técnica na simulação. Isso significa que sua rede é vulnerável a essa técnica sendo empregada.
  • Amarelo: O Infection Monkey tentou usar a técnica, mas não conseguiu. Isso significa que sua rede não é vulnerável à forma como monkey emprega esta técnica.

Então, você pode ver exatamente como a técnica foi usada neste ataque, e também o que você deve fazer para atenuá-la, clicando na técnica e vendo os detalhes. Por exemplo, vamos olhar para a técnica “Chaves privadas” que faz parte da empregação da tática “Acesso de Credenciais”:

Screenshot of the details of one technique in the report, "Private Keys"

Neste exemplo, você pode ver a partir de quais máquinas o Infection Monkey foi capaz de roubar chaves SSH, e as mitigações recomendadas, incluindo restringir o acesso a arquivos e diretórios e implementar segmentação de rede.

Com quais técnicas o Infection Monkey está armado?

Aviso: Esta lista é atualizada para a versão 1.8.0 do Infection Monkey. Vamos adicionar mais técnicas nos próximos lançamentos. Confira nossa página de notas de lançamento para ficar atualizado sobre as últimas mudanças.

TÁTICATÉCNICAS
ExecuçãoInterface de linha de comando
Execução através da carga do módulo
Execução através de API
Powershell
Script
Execução de Serviço
Evasão de DefesaTrabalhos bits
Exclusão de arquivos
Modificação de permissões de arquivos e diretórios
Acesso à credencialForça Bruta
Dumping credencial
Chaves Privadas
DescobertaDescoberta remota do sistema
Descoberta de informações do sistema
Descoberta de configuração da rede do sistema
Movimento lateralExploração de Serviços Remotos
Passe o Hash
Cópia remota de arquivo
Serviços remotos
ColeçãoDados do Sistema Local
Comando e ControleProxy de conexão
Porta estranhamente usada
Multi-hop Proxy
ExfiltraçãoExfiltração sobre comando e canal de controle

Use casos

Entenda a resiliência da sua rede a técnicas específicas de ataque

O principal caso de uso que tínhamos em mente quando desenvolvemos esta nova versão Infection Monkey com o relatório MITRE ATT&CK está ajudando você a entender quais técnicas os atacantes serão capazes de usar em sua rede e como mitigar essas técnicas.

Por exemplo, digamos que você gostaria de entender o quão vulnerável você é para os atacantes usando os ataques Do Passe o Hash para mover lateralmente em sua rede. Pass the Hash é um método de autenticação como usuário sem realmente ter a senha, mas sim roubar o hash e usá-lo no processo de autenticação. Para testar isso usando esse Infection Monkey, execute o Infection Monkey de uma de suas instâncias do Windows com altas permissões enquanto um usuário estiver conectado. Se o Infection Monkey for capaz de fazer logon em outra instância do Windows em sua rede usando as credenciais do primeiro usuário, você verá essa técnica e os detalhes no relatório ATT&CK.

Verifique se sua segurança pára os atacantes

Outro grande caso de uso para os novos recursos de avaliação ATT&CK do Infection Monkey é testar nossas soluções de segurança e produtos que afirmam mitigar técnicas específicas de ATT&CK. Você pode executar o Infection Monkey em um ambiente de demonstração com a solução de segurança implantada e certificar-se de que as técnicas que o Infection Monkey está tentando usar estão bloqueadas (o que fará com que eles apareçam como Amarelo no relatório) e relatados no sistema de alerta/log da solução.

Tente você mesmo.

Fique 3 passos à frente dos atacantes. Baixe a nova versão do Infection Monkey e teste sua rede. É de código aberto e gratuito.

Também convidamos você a participar da conversa em nosso canal Slack para fazer perguntas, sugerir novos recursos ou apenas falar conosco.

FONTE: GUARDICORE

Previous post Campanhas de eCrime identificadas capitalizando com o COVID-19
Next post Como corrir o computador quando ele congela aleatoriamente no Windows 10

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *