憑證被盜一直是一個長期存在的問題，組織尚未有效解決該問題。每週，我們都會聽到有關憑證填充攻擊的資訊，攻擊者會在該攻擊中成功竊取憑證，登入到環境並橫向移動以獲取更高級別的訪問許可權。所有活動都有一個重點：訪問私有資料或高價值資產。MITER ATT＆CK知識庫提供有關威脅參與者使用的策略，技術和程式的資訊，這些資訊可以幫助安全團隊建立更強大的安全流程。Exabeam通過分析成功地幫助組織檢測到這些活動，包括將活動對映到MITRE。這是一個示例，說明了我如何通過機器學習提供支援的分析解決方案來幫助客戶。

最近，我正在客戶現有的SIEM上進行新的Exabeam增強部署。在我們完全部署Exabeam之前，我們使用了來自現有SIEM的Syslog提要到我們的Exabeam分析引擎中，開始對環境進行建模。在此期間，Exabeam Advanced Analytics觸發了“知名使用者”。從那時起，我們看到了通過帳戶切換和橫向移動將使用者帳戶升級為被盜帳戶的過程。這就是它的展開方式。

5月7日，星期四，Exabeam觸發了一個著名使用者，風險得分為93分。

圖1：我們首先看到了使用者的異常活動

5月7日22:20

趨勢時間表清楚地表明，這對於使用者而言是非常不正常的。

圖2：在趨勢時間軸上檢視此活動顯示與使用者正常活動相反的峰值

使用動態KPI，我們還可以看到，在過去的所有活動中，使用者通常不會產生這種風險級別，使用這麼多帳戶或訪問這麼多資產。

圖3和圖4：回顧過去幾天中使用者的行為，我們發現與所看到的警報相比，沒有任何風險

深入研究使用者詳細資訊，我們可以快速看到有關引起使用者關注的原因的摘要，但是我們單擊了“時間軸”檢視以瞭解更多發生的情況。

圖5：更仔細地觀察，我們可以看到風險原因總計為1044

檢視時間軸，在21:15可以看到Exabeam為來自新加坡的使用者v*n標記了20個風險點。由於使用者或整個組織中的任何人從未見過這種情況，因此引發了另外20個風險點。該使用者還另外獲得了22個風險點，因為它們從以前從未被觀察到的ISP連線到ISP，並且從以前從未與它們相關聯的使用者代理字串進行連線。

此階段使用的MITER ATT＆CK技術是外部遠端服務（T1133）和有效帳戶（T1078）。

圖6：Exabeam在從新加坡進行v*n接入時向用戶標記了20個風險點，另外20個風險點是因為使用者和整個組織中的任何人都沒有進行此活動並添加了

深入研究資料模型表明，我們已經清楚地看到它們通常使用Mozilla從Windows計算機連線，但是從不使用Trident，這就是將這種風險應用於其時間表的原因。

圖7：該活動被標記為使用者通常使用Mozilla而非Trident從Windows計算機連線

使用者現在在其時間表上處於62個風險點。一小時後的22:15，使用者開始訪問以前從未發現過的資產，每個資產都標記了10個風險點。22:15時的兩項資產增加了20個風險點，而22:16時的另一項資產給該使用者93個風險點，該風險點超過了全域性閾值，變得引人注目。這是警報發出來調查此人的時間。

此時，應用於他們的時間軸的風險的100％是基於與異常登入位置的行為偏差來訪問他們通常不接觸或從未接觸過的資產。

5月8日，3:48

經過數百次嘗試訪問其他資產的嘗試，使用者最終能夠找到憑據以切換到初始主機並橫向移動。Exabeam將此作為帳戶切換活動縫入了時間軸，並顯示了最初使用的使用者名稱，他們切換到的使用者名稱以及他們遷移到的主機。

使用的MITER ATT＆CK技術是Discovery（TA0007），帳戶發現（T1087），網路共享發現（T1135），橫向運動（TA0008），遠端服務：遠端桌面協議（T1021.001）

圖8：使用者找到要切換到初始主機並橫向移出初始主機的憑據

不幸的是，該組織目前沒有一整夜的24/7 SOC來管理整個晚上的安全警報，使用者繼續通過從Mimikatz提取的233個憑據訪問了487個資產，然後從最初受到破壞的主機橫向移動到另一個環境中的資產。通過該資產，轉儲了另外60個憑據，並試圖在整個環境中使用。

因為該組織使用的是Exabeam Entity Analytics，所以他們還觀察到使用者在第二天上午03:04橫向移動的資產變得引人注目，這再次是由於資產的行為變化所致。

米米卡茲是一個憑證轉儲者，能夠獲取純文字帳戶登入名和密碼。該工具可通過MITER ATT＆CK框架中所述的技術（例如“帳戶操作”（T1098），憑證轉儲（T1003），Rogue域控制器（T1207） 和更多。

圖9：受感染的使用者繼續在組織中移動

Exabeam觸發“顯著資產”後不久，客戶的EDR工具也亮起，並通知了正在使用Mimikatz工具的通知。這些警報也被整合到“資產時間表”中，從而進一步加快了整體風險評分。

圖10：來自客戶EDR工具的警報顯示了正在使用Mimikatz工具的通知

Exabeam時間軸和建模能夠從行為驅動方面完全觸發“著名使用者和資產”，同時還可以清楚地將事件組合在一起，以充分了解攻擊進行中的情況。

回顧一下，Exabeam Advanced Analytics在22:19檢測到了著名使用者。首次使用受到破壞的憑據的時間是21:15，這距離檢測到受到破壞的憑據的時間略有一個多小時。通常將其標記為有效帳戶（T1078（MITRE ATT＆CK）框架中的技術），該技術由對手共同完成，以在獲得證書後橫向移動不同資產。

小組從其EDR工具收到的第一個警報是第二天早晨Mimikatz執行時的03:12。認為您可以簡單地將警報傳送到安全流程，自動化和響應中的組織（SOAR）解決方案並且受到保護將錯過這次攻擊的最重要部分。由於EDR僅檢測到Mimikatz，因此分析人員將需要手動查詢日誌以重新建立此攻擊，包括初始感染，橫向移動和憑證轉儲。根據MITER ATT＆CK框架，在憑證訪問策略中使用了一些技術，例如以雜湊或明文密碼的形式轉儲憑證（T1003）。一旦對手獲得對內部系統對手的未經授權的訪問權，他們就可以利用遠端服務（T1210）。

沒有對Advanced Analytics安裝進行自定義，只有從客戶的現有SIEM到整個鏈的Advanced Analytics的直接Syslog提要支援它。根據我的經驗，遺留SIEM通常需要幾天甚至幾個月的時間才能建立相關內容，如果您尚未編寫或建立有關如何預測自己受到攻擊的規則，則需要花費更多時間。

考慮到解決方案尚未定製，客戶很高興看到大量的攻擊細節。但是，也許最值得注意的是這樣的事實，即對環境瞭解甚少的客戶能夠讀取日誌並準確知道發生了什麼。他們讚賞甚至更少的高階分析師也可以使用此軟體立即獲得結果。客戶能夠執行整個調查，而不必編寫單個查詢或梳理原始日誌來嘗試回答一些最關鍵的問題。