管理威胁狩猎如何帮助破坏恶意内部人

内幕威胁，被定义为人们通过获取公司的物理或数字资产的风险，无论是恶意还是疏忽，都是网络安全世界的普遍问题，也是不可能完全邮票的问题。

然而，使用各种技术，可以在一定程度上减轻内幕威胁，因为在2020年早些时候学到了一个未命名的EMEA咨询公司，当通过与其技术供应商的快速思考和合作结合时，它成功挫败了随着它的展开，网络攻击实时。

该事件在3月份举行，并且由于支持从其供应商，Palo Alto Networks及其Cortex XDR管理威胁狩猎（MTH）服务的目标，能够在他们做任何持久之前摆脱恶意内幕损害。

该公司承认它可能很容易成为下一个高调数据泄露受害者，并积分收到的帮助，并将其名称从新闻中脱离。那么Cortex XDR是什么？Palo Alto威胁研究臂的主要研究人员Bryan Lee将其描述为作为一种行业 - 首先检测和响应产品，它本身集成了端点，网络和云数据以停止复杂的攻击。

它用于检测以“极端准确性”的攻击，由行为分析和机器学习元素支持。李说，这可以加速调查八倍，而与执法点的紧张集成加速了遏制，使用户能够在损坏完成之前停止攻击。

“我们最近宣布Cortex XDR管理威胁狩猎（MTH），由我们国际公认的42款威胁研究团队提供技术支持的一轮时钟威胁狩猎服务。通过管理威胁狩猎，我们可以帮助客户识别否则未被发现的隐藏攻击，“他解释道。

“我们的威胁猎人使用本地建立的独特的数据相关和检测功能进入Cortex XDR平台，以帮助客户找到最先进的攻击。和Cortex XDR，管理威胁狩猎跨集成端点，网络和云数据进行了独特的操作，以实现完全可见性。“

在这种情况下，在帕洛阿尔托的MTH团队之一被艾丽西亚发现了内幕攻击，在调查客户的网络时被警告到了一些错误活动的迹象。狩猎和收集威胁的专家和逆向工程恶意软件，Alicia的核心使命是通过提供上下文来帮助客户，解释正在执行的攻击，以及为什么，为什么，所有帮助授权的安全运营中心（SOC）更好地捍卫他们的组织。

Alicia首先观察了一名员工，显然是黑客攻击自己的笔记本电脑，以获取本地管理员凭据。这是使用称为粘滞密钥的技术完成的，实际上内置于Windows中的可访问性功能，可以使用登录屏幕的特定键组合启动。

“虽然该技术被称为粘滞键，但它实际上是推动利用某些版本的Windows的方式将执行为辅助功能的应用程序而设计，”Lee说。

“在Windows的易受攻击的版本中，当通过一组关键组合启动这些可访问性功能时（粘性键的换档五次，按Windows实用程序管理器等的”Windows + U“），Windows将简单地启动相关的应用程序特权状态的硬编码路径。

“攻击此功能的攻击性可以简单地将应用程序二进制替换为其中一个选择。只要FilePath和FileName是用于快捷键组合的指定键，Windows将执行它。这种技术相当众所周知，作为恢复Windows密码的方法，并已被过去的对手使用。“

李补充说：“除了调用可访问功能外，替换具有完全不同的可访问性功能应用程序的组合应引起任何安全专家的怀疑。”

端点代理在Cortex XDR中的日志中，即现在Insider已成功地授予本地管理员凭据并继续攻击。他们首先使用CMD.exe替换其计算机上的utilman.exe程序，Windows命令shell，这是触发警报的原因。

艾丽西亚及时通知客户的SoC的Dudite分析师，他确认了她的分析。李说，SoC分析师可能已经注意到这一点，但在这种情况下没有，虽然这不是对他们的能力的反思。

“由于自动化，后台行为以及人类驱动行为，在任何组织中都有大量的网络和端点活动，既由于人为驱动的行为，也可能极难过滤噪音，并在干草堆中寻找众所周知的针头， “ 他说。

“使用Cortex XDR，我们能够突出这些行为或行为的组合，以确保他们的优先考虑并进一步调查。”

然后艾莉娅挖掘深入到Cortex XDR数据和日志中，发现员工已运行命令以重置本地管理员密码并列出先前登录其笔记本电脑的本地用户帐户。

在最好的情况下，员工只是试图升级他们的笔记本电脑以更容易完成工作，但更多的是本地账户的枚举是一个人试图访问其他用户账户或偶数域名的标志管理员凭据。

然后，用户密码可以用于从用户窃取机密信息，而管理员密码可能让攻击者将整个公司网络与本地管理员权限关闭。

即便如此，内部人不应该能够作为常规用户这样做 - Windows内有丰富的机制来防止这种滥用，因此艾莉娅挖掘了日志，以查找更多的线索，可以帮助SoC分析师了解用户的方式升级了他们的特权。

她最终发现他们已经将USB粘贴到他们的笔记本电脑上，重新启动了机器，从Stick启动了一个现场Linux发行版，将Windows分区安装，然后将Cmd.exe复制到Utilman.exe上，因为Windows覆盖Windows安全性实际上没有跑步。

然后，他们重新启动了他们的系统，删除了USB棒，向上启动了Windows分区，按下了登录屏幕上的Windows + U，并面临着运行高等权限的空白命令窗口，准备好并等待执行其命令。

通过这些见解，SoC分析师能够快速，预防性行动。他们使用Cortex XDR实时终端连接到流氓笔记本电脑，将其脱机并禁用员工的账户，然后升级到小时。接下来发生了什么可以合理推断出来，更重要的是，恶意演员在攻击中足够早就陷入了持久的损害。

除了通过第三方供应商管理服务外，Cisos还有一些步骤，他们的安全团队可以试图确保他们应该发现自己在恶意内人身上他们有优势。首先识别和管理关键和敏感的资产，并实现访问管理工具和策略，以抵消未经授权的访问。正确完成，这可以在他们开始之前逮捕攻击者的进步。

安全策略还需要彻底记录和强制执行。有时，如果他们不了解此类政策，员工可能会成为偶然的内幕威胁。注意概述可接受使用组织资产，如何使用特权账户，谁拥有知识产权等。这些政策需要向员工合理。

最后，组织可以从创造内部威胁的反应策略中受益。虽然消除了完全不可行的可能性是不可行的，但是使安全团队能够迅速应对问题，可以帮助最大限度地减少对业务的损害。人们还可以考虑在跨部门和职能的工作组创建一个工作组，或任务专用人员负责内幕事件。