Kehittyneet kyberuhat ja niiden valvonta : Microsoft Advanced Threat Analytics

Abstract

Opinnäytetyö toteutettiin Tampereen ammattikorkeakoulun tietojenkäsittelykoulutuksen WPK-verkolle, joka on tietojenkäsittelyn opiskelijoiden ja opettajien ylläpitämä ja kehittämä harjoitus- ja laboratorioverkko. Kirjoittaja suoritti harjoittelunsa verkon ylläpitäjänä ja idea opinnäytetyöstä syntyi harjoittelun aikana, kirjoittajan oman mielenkiinnon pohjalta.

Opinnäytetyön tavoitteena oli tutkia, onko verkko altis kehittyneiden kyberhyökkäysten uhille tai onko siinä heikkouksia jotka mahdollistavat kirjautumistunnusten väärinkäytön. Työn tarkoituksena oli asentaa Microsoftin Advanced Threat Analytics -ohjelmisto verkkoa valvomaan ja tarkastella kolmen kuukauden seurantajakson aikana ohjelman havaitsemia uhkia ja heikkouksia.

Työssä tutkittiin Windowsin todennusprotokollia, kyberhyökkäysketjujen vaiheita ja erilaisia kehittyneitä hyökkäysmenetelmiä, joita voidaan toteuttaa Mimikatz-ohjelman ja etätyökalujen avulla. Työ selvittää vaiheittain ja esimerkkien avulla, miten moderni kyberhyökkäys voi edetä kohdeverkossa yhdeltä laitteelta aina verkon toimialuepalvelimelle asti. Lisäksi se esittelee Microsoftin tarjoaman käyttäjien ja kohteiden valvontaohjelmiston, jonka avulla kyberhyökkäyksiä voidaan havaita.

Opinnäytetyön toteutuksen aikana WPK-verkossa havaittiin muutamia heikkouksia, joiden vuoksi hyökkääjän tai opiskelijan olisi helppo varastaa toisen käyttäjän kirjautumistietoja. Varastettujen kirjautumistietojen avulla hyökkääjän tai opiskelijan olisi mahdollista päästä käsiksi resursseihin, joihin hänellä ei ole oikeutta, tai pahimmassa tapauksessa lamauttaa koko verkon toiminta. Työn tuloksena verkossa saatiin korvattua osassa laitteista käytössä ollut heikko todennusprotokolla ja lisäksi havaittiin verkkoon tehty tiedusteluhyökkäysharjoitus.

Nykyään mikään tietoturvaratkaisu ei pysty tarjoamaan täydellistä suojaa kyberhyökkäyksiltä. Hyökkääjä voi olla myös sisäpiiriläinen, jolloin käyttäjien ja kohteiden käyttäytymisanalyysiin perustuva valvontasovellus on tehokas tapa havaita hyökkäykset ja käyttäjien poikkeava toiminta verkossa. Tärkeimpänä kehitysehdotuksena kirjoittaja suosittaa WPK-verkon Windows 7 -laitteiden päivittämistä uudempiin käyttöjärjestelmiin mahdollisimman nopeasti, koska uudemmat käyttöjärjestelmät ovat huomattavasti paremmin suojattuja erityisesti kirjautumistietojen varastamishyökkäyksiä vastaan.

This bachelor’s thesis was commissioned by the WPK laboratory network at Tampere University of Applied Sciences. The initial idea for this thesis was born from the author's interest in cyber-attacks when he was performing his internship as the network’s administrator trainee.

The objective of this thesis was to find out if the WPK network is vulnerable to different kinds of cyber-threats and credential theft techniques, which allow the misuse of other people’s login credentials. The purpose of this thesis was to install Microsoft’s Advanced Threat Analytics to monitor the network and gather behavioral data from its users. The work included a three-month follow-up time during which data from the monitoring software was reviewed and development suggestions were made based on the findings.

An overview of Windows authentication protocols and different stages of cyber-attack kill chain is offered in this thesis. The reader is presented with concrete how-to examples of different kinds of login credential theft and lateral movement techniques with the use of the Mimikatz tool in an Active Directory network environment.

As a result of this study, vulnerabilities and weak authentication protocols were found to exist in the WPK network. During follow-up time, the monitoring software also detected an unreported practice reconnaissance attack, which took place in the network.

No security solution can guarantee 100% protection from advanced cyber-attacks. The attacker can also be an insider, in which case software that is based on user and entity behavior analysis offers an effective way to detect abnormal behavior. It is recommended that computers with Windows 7 should be upgraded without delay to a newer operating system, which offers much better protection against credential theft techniques.