McAfee डिफेंडर का ब्लॉग: ऑपरेशन नॉर्थ स्टार अभियान

के खिलाफ अनुकूलनीय सुरक्षा वास्तुकला का निर्माण ऑपरेशन नॉर्थ स्टार अभियान

ऑपरेशन नॉर्थ स्टार अवलोकन

पिछले कुछ महीनों में, हमने देखा है कि हमलावर साइबर हमले शुरू करने के लिए महामारी का लाभ उठाते हैं। ऐसा ही एक उदाहरण एक अभियान है जिसे McAfee Advanced Threat Research (ATR) ने एयरोस्पेस एंड डिफेंस इंडस्ट्री को लक्षित करने वाली दुर्भावनापूर्ण साइबर गतिविधि में वृद्धि के रूप में देखा। इस अभियान में McAfee ATR ने बहुत ही लक्षित अंदाज़ में, दुर्भावनापूर्ण दस्तावेज़ों की एक श्रृंखला की खोज की, जिसमें प्रमुख रक्षा ठेकेदारों से ली जाने वाली पोस्टिंग का इस्तेमाल किया गया। 2017 और 2019 में इसी तरह की तकनीकों का उपयोग करते हुए इस तरह का अभियान पहले भी सामने आया है, लेकिन 2020 के अभियान में प्रत्यारोपण, बुनियादी ढांचे और स्पीयर फ़िशिंग ल्यूर में कुछ अलग अंतर हैं। इस अभियान के अधिक विस्तृत विश्लेषण के लिए कृपया McAfee ATR ब्लॉग देखें।

यह ब्लॉग इस बात पर केंद्रित है कि इन प्रकार के हमलों के खिलाफ अपनी लचीलापन बढ़ाने के लिए एक अनुकूलनीय सुरक्षा वास्तुकला का निर्माण कैसे किया जाए और विशेष रूप से, McAfee का पोर्टफोलियो ऑपरेशन नॉर्थ स्टार अभियान में उपयोग की जाने वाली रणनीति और तकनीकों के खिलाफ रोकथाम, पता लगाने और प्रतिक्रिया करने की क्षमता कैसे बचाता है।

ऑपरेशन नॉर्थ स्टार पर खुफिया जानकारी जुटाना

हमेशा की तरह, अनुकूलनीय रक्षात्मक वास्तुकला का निर्माण बुद्धि से शुरू होता है। अधिकांश संगठनों में, सुरक्षा ऑपरेशन टीम खतरे के विश्लेषण, साथ ही धमकी और घटना की प्रतिक्रिया के लिए जिम्मेदार है। McAfee इनसाइट्स इंटेल इंटेलिस्ट और खतरे के उत्तरदाता के लिए एक बढ़िया उपकरण है। इनसाइट्स डैशबोर्ड दुनिया भर में उभरते खतरों की व्यापकता और गंभीरता की पहचान करता है जो सुरक्षा संचालन केंद्र (एसओसी) को खतरे की प्रतिक्रिया क्रियाओं को प्राथमिकता देने और खतरे से जुड़े प्रासंगिक साइबर खतरे खुफिया (सीटीआई) को इकट्ठा करने में सक्षम बनाता है, इस मामले में ऑपरेशन नॉर्थ स्टार अभियान। CTI को Compromise के तकनीकी संकेतक (IOC) के साथ-साथ MITER ATT & CK फ्रेमवर्क रणनीति और तकनीकों के रूप में प्रदान किया गया है। एक खतरे के विश्लेषक या उत्तरदाता के रूप में, आप ऑपरेशन नॉर्थ स्टार पर अधिक विशिष्ट जानकारी इकट्ठा करने के लिए नीचे ड्रिल कर सकते हैं, जैसे कि प्रचलन और सूचना के अन्य स्रोतों से लिंक। आप और अधिक विशिष्ट कार्रवाई करने योग्य बुद्धिमत्ता को इकट्ठा करने के लिए नीचे ड्रिल कर सकते हैं जैसे कि MITER ATT & CK फ्रेमवर्क से जुड़े टैक्टिस और टैक्नीक / तकनीक के संकेतक।

McAfee ATR ब्लॉग से, आप देख सकते हैं कि ऑपरेशन नॉर्थ स्टार अन्य APT अभियानों के लिए आम तौर पर रणनीति और तकनीक का लाभ उठाता है, जैसे कि इनिशियल ऐक्सेस के लिए भाला फ़िशिंग, सिस्टम टूल्स और हस्ताक्षरित बायनेरीज़, रजिस्ट्री कुंजी या स्टार्टअप फ़ोल्डर के संशोधन के लिए दृढ़ता और एन्कोडेड ट्रैफ़िक। कमान और नियंत्रण के लिए।

रक्षात्मक वास्तुकला अवलोकन

आज का डिजिटल उद्यम ऑपरेशन नॉर्थ स्टार जैसे हमलों के लिए कई एंट्री पॉइंट्स के साथ ऑन-प्रिमाइसेस सिस्टम और क्लाउड सेवाओं का एक संकर वातावरण है। COVID-19 द्वारा मजबूर होम ऑपरेटिंग मॉडल के काम ने केवल हमले की सतह का विस्तार किया है और सफल भाले के फ़िशिंग हमलों के लिए जोखिम में वृद्धि हुई है यदि संगठनों ने अपनी सुरक्षा मुद्रा को अनुकूलित नहीं किया और दूरस्थ श्रमिकों के लिए प्रशिक्षण बढ़ा दिया। ऑपरेशन नॉर्थ स्टार जैसे हमलों के जोखिम को कम करने के लिए डिवाइस पर, नेटवर्क पर और सुरक्षा संचालन (सेकंड ऑप्स) में सही नियंत्रण के साथ एक सुरक्षा वास्तुकला की आवश्यकता होती है। सेंटर फॉर इंटरनेट सिक्योरिटी (CIS) टॉप 20 साइबर सिक्योरिटी कंट्रोल उस आर्किटेक्चर को बनाने के लिए एक अच्छा गाइड प्रदान करता है। निम्नलिखित ऑपरेशन उत्तर सितारा रणनीति और तकनीकों के खिलाफ अपने उद्यम की रक्षा के लिए वास्तुकला की प्रत्येक परत पर आवश्यक प्रमुख सुरक्षा नियंत्रणों की रूपरेखा तैयार करता है।

प्रारंभिक प्रवेश चरण रक्षात्मक अवलोकन

थ्रेट इंटेलिजेंस एंड रिसर्च के अनुसार, प्रारंभिक पहुंच या तो भेद्यता शोषण या भाला फ़िशिंग अटैचमेंट के माध्यम से की जाती है। जैसा कि हमलावर तेजी से स्पीयर फ़िशिंग अटैचमेंट या लिंक स्थानों को बदल सकते हैं, स्तरित बचाव होना ज़रूरी है, जिसमें उपयोगकर्ता जागरूकता प्रशिक्षण और प्रतिक्रिया प्रक्रिया, ईमेल सिस्टम, वेब प्रॉक्सी और एंडपॉइंट सिस्टम पर खुफिया और व्यवहार-आधारित मैलवेयर सुरक्षा शामिल हैं, और अंत में playbooks ops संदिग्ध ईमेल अटैचमेंट या अन्य फ़िशिंग तकनीकों के खिलाफ शुरुआती पता लगाने और प्रतिक्रिया के लिए, निम्न चार्ट उन नियंत्रणों को संक्षेप में प्रस्तुत करता है जो प्रारंभिक चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee क्षमता
प्रारंभिक पहुँच भाला फ़िशिंग अटैचमेंट (T1566.001) CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

प्रारंभिक पहुँच भाला फ़िशिंग लिंक (T1566.002) CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

प्रारंभिक पहुँच स्पीयर फ़िशिंग (T1566.003) सेवा CSC 7 – ईमेल और वेब ब्राउज़र सुरक्षा

CSC 8 – मालवेयर डिफेंस

सीएससी 17 – उपयोगकर्ता जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा,

वेब गेटवे (MWG), उन्नत खतरा रक्षा, वेब गेटवे क्लाउड सेवा (WGCS)

मैक्एफ़ी संदिग्ध ईमेल अटैचमेंट से कैसे बचाव कर सकते हैं, इसकी अतिरिक्त जानकारी के लिए, इस अतिरिक्त ब्लॉग पोस्ट की समीक्षा करें।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-protects-against-suspicious-email-attachments/

शोषण स्टेज रक्षात्मक अवलोकन

शोषण चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली तक पहुंच प्राप्त करता है। इस स्तर पर ऑपरेशन नॉर्थ स्टार के खिलाफ संरक्षण दोनों अंत उपयोगकर्ता उपकरणों और सर्वरों पर अनुकूलनीय एंटी-मैलवेयर पर निर्भर है, एप्लिकेशन निष्पादन पर प्रतिबंध, और एंडपॉइंट डिटेक्शन और प्रतिक्रिया सेंसर जैसे सुरक्षा संचालन उपकरण।

मैकफी एंडपॉइंट सिक्योरिटी 10.7 गहराई से क्षमता में एक सुरक्षा प्रदान करता है, जिसमें हस्ताक्षर और धमकी खुफिया सहित ज्ञात खराब संकेतक या कार्यक्रमों को कवर करने के लिए, साथ ही ऑपरेशन नॉर्थ स्टार के खिलाफ हमले की सतह को कम करने और नई शोषण हमले तकनीकों का पता लगाने के लिए मशीन-शिक्षण और व्यवहार-आधारित सुरक्षा प्रदान करता है। यह हमला रिमोट सर्वर पर बाहरी टेम्पलेट फ़ाइलों के लिंक के साथ हथियार वाले दस्तावेजों का लाभ उठाता है। मैकेफी थ्रेट प्रिवेंशन एंड अडैप्टिव थ्रेट प्रोटेक्शन मॉड्यूल इन तकनीकों से बचाव करते हैं।

इसके अतिरिक्त, MVISION EDR शोषण चरण विश्लेषण में पहचानी गई निष्पादन और रक्षात्मक चोरी तकनीकों पर सक्रिय पहचान क्षमता प्रदान करता है। ऑपरेशन नॉर्थ स्टार के खिलाफ कार्रवाई में MVISION EDR देखने के लिए कृपया आगे पढ़ें।

निम्नलिखित चार्ट उन महत्वपूर्ण सुरक्षा नियंत्रणों को संक्षेप में प्रस्तुत करता है जो शोषण चरण तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव डालते हैं, जहां संभव हो उन नियंत्रणों को लागू करने के लिए।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
क्रियान्वयन उपयोगकर्ता निष्पादन (T1204) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

सीएससी 17 सुरक्षा जागरूकता

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (मैक), वेब गेटवे और नेटवर्क सुरक्षा प्लेटफ़ॉर्म
क्रियान्वयन कमांड और स्क्रिप्टिंग दुभाषिया (T1059)

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (MAC), MVISION EDR
क्रियान्वयन साझा मॉड्यूल (T1129) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा सुरक्षा, अनुप्रयोग नियंत्रण (मैक)
हठ बूट या ऑटोलोन निष्पादन (T1547) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7 खतरा निवारण, MVISION EDR
रक्षात्मक साक्ष्य टेम्पलेट इंजेक्शन (T1221) CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR
रक्षात्मक साक्ष्य हस्ताक्षरित द्विआधारी प्रॉक्सी निष्पादन (T1218) CSC 4 नियंत्रण व्यवस्थापक विशेषाधिकार

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, अनुप्रयोग नियंत्रण, MVISION EDR
रक्षात्मक साक्ष्य Deobfuscate / Decode फ़ाइलें या सूचना (T1027)

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 8 मालवेयर डिफेंस

समापन बिंदु सुरक्षा प्लेटफ़ॉर्म 10.7, खतरा निवारण, अनुकूली खतरा संरक्षण, MVISION EDR

McAfee Endpoint Security 10.7 ऑपरेशन नॉर्थ स्टार शोषण चरण में इस्तेमाल की जाने वाली कुछ तकनीकों को कैसे रोक सकता है, इस बारे में अधिक जानकारी के लिए, इस अतिरिक्त ब्लॉग पोस्ट की समीक्षा करें।

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-amsi-integration-protects-against-malicious-scripts/

प्रभाव स्टेज रक्षात्मक अवलोकन

प्रभाव चरण वह जगह है जहां हमलावर लक्ष्य प्रणाली, डेटा को एन्क्रिप्ट करता है और संभवतः नेटवर्क पर अन्य प्रणालियों को बाद में ले जाता है। इस चरण में सुरक्षा दोनों अंत उपयोगकर्ता उपकरणों और सर्वर, नेटवर्क नियंत्रण और सुरक्षा संचालन की क्षमता पर निर्भर एंटी-मैलवेयर पर निर्भर है जो विशेषाधिकार प्राप्त पहुंच या नेटवर्क ट्रैफ़िक में विसंगतियों के लिए लॉग की निगरानी करने की क्षमता है। निम्नलिखित चार्ट उन प्रभावों को नियंत्रित करने के लिए प्रभाव मंच तकनीकों और McAfee समाधानों के खिलाफ सबसे अधिक प्रभाव की अपेक्षा करता है, जहां संभव हो।

MITER रणनीति MITER तकनीक सीएससी नियंत्रण McAfee पोर्टफोलियो शमन
खोज खाता खोज (T1087) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
खोज सिस्टम सूचना डिस्कवरी (T1082) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
खोज सिस्टम ओनर / यूजर डिस्कवरी (T1033) CSC 4 व्यवस्थापक विशेषाधिकार का उपयोग नियंत्रण

CSC 5 सुरक्षित कॉन्फ़िगरेशन

CSC 6 लॉग विश्लेषण

MVISION EDR, MVISION क्लाउड, क्लाउड वर्कलोड प्रोटेक्शन
आदेश और नियंत्रण एन्क्रिप्ट किया गया चैनल (T1573) CSC 8 मालवेयर डिफेंस

CSC 12 सीमा की कमी

वेब गेटवे, नेटवर्क सुरक्षा प्लेटफ़ॉर्म

ऑपरेशन नॉर्थ स्टार इंडिकेटर्स के लिए शिकार

एक खतरे के विश्लेषक या शिकारी के रूप में, आप ऑपरेशन नॉर्थ स्टार पर प्राप्त किसी भी संकेतक के लिए अपने सिस्टम को जल्दी से स्कैन करना चाह सकते हैं। बेशक, आप मैन्युअल रूप से संकेतकों की सूची डाउनलोड करके और उपलब्ध उपकरणों के साथ खोज करके ऐसा कर सकते हैं। हालाँकि, यदि आपके पास MVISION EDR और इनसाइट्स हैं, तो आप कीमती समय बचाते हुए, कंसोल से सही कर सकते हैं। हमलावर का शिकार करना इंच का खेल हो सकता है, इसलिए हर सेकंड मायने रखता है। बेशक, यदि आपको संकेतक के साथ संक्रमित सिस्टम या सिस्टम मिला है, तो आप एमवीआईएसआईएनडीआर कंसोल से तुरंत घटना की प्रतिक्रिया के लिए जांच और कार्रवाई शुरू कर सकते हैं।

ऑपरेशन नॉर्थ स्टार तकनीकों का सटीक पता लगाना

इस हमले में कई शोषण चरण तकनीक वैध विंडोज प्रक्रियाओं और अनुप्रयोगों का उपयोग या तो शोषण या पता लगाने से बचने के लिए करती है। हमने ऊपर दिखाया कि एंडपॉइंट प्रोटेक्शन प्लेटफॉर्म कैसे हथियार वाले दस्तावेजों को बाधित कर सकता है लेकिन, MVISION EDR का उपयोग करके, आप अधिक दृश्यता प्राप्त कर सकते हैं। सुरक्षा विश्लेषकों के रूप में, हम winword.exe द्वारा उपयोग की जाने वाली संदिग्ध तकनीकों पर ध्यान केंद्रित करना चाहते हैं क्योंकि यह हमला हथियार वाले दस्तावेजों का लाभ उठाता है। MVISION EDR पर हमें WINWORD.EXE के लिए मॉनिटरिंग डैशबोर्ड पर पहला खतरा पता चला मध्यम जोखिम

डैशबोर्ड प्रक्रिया की गतिविधि पर एक विस्तृत विवरण भी प्रदान करता है, जो इस मामले में, टेम्पलेट इंजेक्शन प्रदर्शन करने का प्रयास है।

हमें rundll32 के उपयोग के कारण 2 अलर्ट भी मिले हैं:

1) rundll32 उपयोगिता के माध्यम से निर्दिष्ट मापदंडों के साथ गैर-सामान्य फ़ाइल लोड की गई

2) संदिग्ध प्रक्रिया को एंडपॉइंट सुरक्षा (निरीक्षण मोड में) द्वारा साफ किया गया होगा

ऑपरेशन नॉर्थ स्टार इवेंट्स पर निगरानी या रिपोर्टिंग

McAfee Endpoint Protection और Web Gateway की घटनाएं लाजर की घटना और खतरे की प्रतिक्रिया में महत्वपूर्ण भूमिका निभाती हैं। McAfee ePO सभी प्रबंधित समापन बिंदु सिस्टम से ईवेंट संग्रह को केंद्रीकृत करता है। खतरे की प्रतिक्रिया के रूप में, आप मौजूदा जोखिम को समझने के लिए लाजर से संबंधित खतरे की घटनाओं के लिए एक डैशबोर्ड बनाना चाहते हैं। मैक्फी एंडपॉइंट प्रोटेक्शन प्लेटफॉर्म (थ्रेट प्रिवेंशन मॉड्यूल) के अनुसार, लाजर से संबंधित खतरों की एक सूची (थकाऊ नहीं) है, जिसमें ऑन-एक्सेस स्कैन और ग्लोबल थ्रेट इंटेलिजेंस सक्षम है, और ग्लोबल थ्रेट इंटेलिजेंस के लिए मैकएफी वेब गेटवे भी सक्षम है।

McAfee समापन बिंदु खतरा निवारण घटनाएँ
जेनेरिक Trojan.dz जेनेरिक ड्रॉपर.आऊ
RDN / Generic PWS.y W97M / Downloader.cxz
ट्रोजन-FRVP! 2373982CDABA ट्रोजन-FRVP! AF83AD63D2E3
जेनेरिक ड्रॉपर.आऊ W97M / Downloader.bjp
ट्रोजन-FSGY! 3C6009D4D7B2 W97M / MacroLess.y
ट्रोजन-FRVP! CEE70135CBB1 आर्टेमिस! 9FD35BAD075C
W97M / Downloader.cxu RDN / Generic.dx
ट्रोजन-FRVP! 63178C414AF9 आर्टेमिस! 0493F4062899
Exploit-cve2017-0199.ch आर्टेमिस! 25B37C971FD7
McAfee वेब गेटवे इवेंट
जेनेरिक Trojan.dz W97M / Downloader.cxz
RDN / Generic PWS.y BehavesLike.Downloader.dc
ट्रोजन-FRVP! 2373982CDABA W97M / MacroLess.y
ट्रोजन-FSGY! 3C6009D4D7B2 BehavesLike.Win32.Dropper.hc
BehavesLike.Downloader.dc आर्टेमिस
BehavesLike.Downloader.tc

सारांश

लक्षित खतरे अभियानों को हराने के लिए, रक्षकों को आंतरिक और बाह्य रूप से एक अनुकूली सुरक्षा वास्तुकला का निर्माण करना चाहिए, जिससे खतरे के अभिनेताओं को सफल होने और व्यवसाय में लचीलापन बनाने में मुश्किल होगी। यह ब्लॉग इसी तरह की तकनीकों का उपयोग करते हुए ऑपरेशन नॉर्थ स्टार और हमलावरों को रोकने, पता लगाने और प्रतिक्रिया देने के लिए मैकाफी के सुरक्षा समाधान का उपयोग करने पर प्रकाश डालता है।

McAfee ATR इस अभियान की सक्रिय रूप से निगरानी कर रहा है और नई और वर्तमान जानकारी के साथ McAfee Insights और इसके सोशल नेटवर्किंग चैनलों को अपडेट करना जारी रखेगा। विपत्तियों से आगे रहना चाहते हैं? अधिक जानकारी के लिए मैकेफी इनसाइट्स देखें।