http://dcrdx.com/

持续风险监测体系实践:基于ATT&CK的APT高频技术分析

ATTCK作为一系列反映网络安全攻击的知识模型,自2013年提出以来,越来越受到安全行业的关注,并逐渐成为网络攻击事件分析的新标准,在许多APT事件分析中得到广泛应用。

针对不同APT组织的攻击技术,必达实验室安全技术专家黄慧敏基于协同的持续风险监测体系,跟踪APT组织的活动轨迹,以ATTCK为载体,分析了部分活跃代表性的APT组织攻击策略的总体情况。 参照《持续风险监测体系实践——基于ATTCK的APT攻击策略分析》,本文进一步探讨了高频技术,整理形成了APT组织的常用技术清单。

为了更好地防范APT攻击,作为防守端,特别是受到敏感APT青睐的行业防守端,需要加强对这些APT常用攻击技术的积极防御,优化检测、屏蔽策略,降低APT攻击的安全风险,从而保护资产免受损失同时,这些高频技术还可以在红蓝对抗中为攻击方提供技术参考,模拟APT攻击,检测当前防御情况。

一、高频技术检测与优化

根据APT在《持续风险监测体系实践——基于ATTCK的APT攻击策略分析》各项战略中的技术覆盖率及其与真实高频和预期高频的关系,划分了四个象限。 本文根据各象限的现实意义和特征,根据象限的曝光度绘制了图1-1四象限冰山图。 活跃者象限是曝光度最高的象限,而投机者象限位于水面,隐性、潜在者曝光少,需要深入挖掘。 因此,建议从冰山以下优化防御系统。

“活动者”象限需要加强防范网络钓鱼攻击( T1566 )的对策。 子技术包括“鱼叉附件攻击”、“鱼叉链路攻击”,对于鱼叉攻击中的恶意鱼叉附件、鱼叉链路,引入威胁监控装置,结合威胁信息,实现流量层的萨“T1078有效账户使用”、“T1133外部远程服务使用”技术的检测通过威胁监测系统中的用户行为图像、流量层特征,与终端注册事件、服务日志等联动持续监测,异常注册、异常

“投机者”象限需要注意“使用t 1071 APP应用层协议”和“T1021远程服务”两种高度隐蔽的技术。 对于此类技术的检测,建议部署全流量威胁监测设备。 流量层在基于特征和算法的检测方面具有独特的优势,特别是检测DNS、ICMP等隧道的识别、SMB协议漏洞的利用等攻击。

在“隐藏者”象限中,最值得注意的技术是“使用T1059命令和脚本解释器”、“使用T1003证书转储”和“使用T1505服务器软件组件”,其中值得在T1059中重点关注针对“使用UNIX shell”、“使用winix shell”这些技术的检测,我们提出以终端EDR检测为主,以流层威胁监测为辅的思路进行联动检测,这部分主机层的安全设备更具优势,但流层监测设备在流量层进行宏观调控,云端专家可以提前判断其发展态势的发展,及时推出阻断策略。

在“潜在”象限中,“T1070主机痕迹去除”值得关注。 “主机痕迹去除”可用作指标性技术警告,痕迹去除通常是入侵后的收尾工作,即避免发现攻击行为。 对于该技术,建议在终端上部署EDR系统,通过监视系统日志、历史记录等相关位置的清除、删除等敏感操作,检测“主机痕迹的清除”。

基于篇幅限制,仅对高频技术中的部分技术提出了检查建议。 完整的高频技术清单见附表1。 如四象限冰山图,所观察到的只是冰山一角,往往忽略了水中的深层攻击,如何让冰山慢慢浮现,是防守方不断努力克服的方向。 显然,在网络攻击形势日益严峻的今天,传统的设备堆栈方式已经不能满足对APT的防御和检测。 此时,需要构建全方位的监测体系,在此基础上,提出了基于协调的持续风险监测体系,从承载层、流量层、APP应用层三个维度出发。 结合威胁信息应用、沙盒动态行为分析、入侵特征和行为分析、大数据异常行为分析、多事件相关分析等一系列手段,全方位、持续监测威胁,将威胁归纳为后端安全的“智慧大脑”,全面分析和计算威胁。 无论是主机层、流量层、APP应用层,都紧密联动,连接环路。 在某个环节发生报警时,可以结合协同监测中心和威胁信息中心进行分析、跟踪、确认,然后配合相应的防护设备进行处置、屏蔽,有效地实现了发现、响应、处置威胁的闭环。

二、高频技术攻击案例探讨

四象限中逐一选取代表性技术进行研究。 根据技术的使用热度、流行趋势,选择了“T1189积水攻击”、“t 1071 APP应用层协议利用”、“T1059指令和脚本解释器利用”三种技术。 其中,T1059包含许多子技术,现在我们以其中的“使用T1059.001 PowerShell”为例进行研究。 “潜在者”象限没有合适的技术,这里不讨论。 “积水攻击”是近年来比较流行的一种攻击方式,有很大的增加势头,“积水攻击”也是“陷入第三方网站”,以迂回攻击路径的特点,游离于传统防御监测体系,是监测的难点。 而“APP应用层协议利用”、“PowerShell利用”在我们的持续风险监测事件中一直表现活跃,两者都有规避检查的效果,前者是在流量层的规避检查,后者是在主机层的规避检查基于这些技术的挑战性和代表性,我们结合自身持续风险监测工作开展过程中遇到的实际案例,对这三种技术展开了讨论,以便更好地应对这种攻击。

1、水坑攻击

是将受害者日常浏览的网站攻下,受害者浏览该网站时会成为攻击的目标。 积水攻击已经成为APT攻击的常见手段,与交叉链接和附件攻击相比,积水攻击基于隐蔽性,受害者警惕性较低,往往不易察觉网站异常。 另外,攻击的网站多为第三方网站,不在防御系统内,大大提高了检查的难度。

据悉,在监测过程中,“积水攻击”也呈增加趋势。 在对一个地方人民政府的持续风险监测活动中,有一天,一台PC终端被发现从当地地方晚报下载了恶意文件,行为可疑。 以前为了业务,这台电脑终端经常访问当地的地方晚报主页,后来被确认该地方晚报被黑客挂住了马,受害者上门后,在办公室终端下载运行恶意文件。 针对这一事件,我们的威胁监测系统通过流量层对请求页码的审核,及时发现了问题,产生了警告。 然后终端EDR也在第一时间切断,向SOC平台报告了警告事件。 通过对主机层和流量层的协同确认,证据充分、攻击路径明确,我们及时以事件特报的形式告知用户,避免其他终端进入该壁挂网站,有效屏蔽和避免了风险传播

通常有两种方法检测积水攻击。 第一个是前面提到的流量层审计,但不适用于tls的加密流量。 二是周期性监测业务网站。 也就是说,积极发现积水攻击,协助拦截黑白网站列表。 以上两种方式相结合,可以有效发现和避免“积水攻击”。

2、应用层协议利用

攻击者使用典型的标准化APP应用层协议进行通信,并将其集成到正常流量中,以降低检测到的可能性。 典型的APP应用方案是攻击者使用标准APP应用层协议传输C2命令和命令的执行结果。 常用的标准协议包括HTTP、HTTPS、SMTP、POP3、DNS、FTP、SMB等。 网络内部的连接通常使用RPC、SSH和RDP,如代理或中心节点与其他节点之间的连接。

从发现的角度来看,使用标准协议比使用非标准协议更混乱。 例如,用HTTPS创建的隧道本身是加密的,很难从内容中判断是否存在恶意。 当攻击进入C2部分时,目标主机几乎陷落,这意味着攻击者成功地逃脱了逐层检测,对已经运行的C2代理的通信流量的识别很重要。

以下是在某个地方政府机构发现的DNS协议隧道,在此期间,内联网的一台主机经常向DNS服务器请求ha***.monster域名的MX、CNAME、TXT、a记录,请求的子域名为基于这一线索,我们确定了受害终端,并结合终端EDR可疑行为日志,最终确定了C2客户端,经过反向分析,确定了该C2客户端通过DNS隧道加密传出数据的行为。 C2客户端被免除了扑杀,但最终由于DNS的异常流量特性暴露了自己。 这种情况是极端的,因为下载C2客户端时没有发生流量警告事件、威胁情报事件、病毒检查事件,在数据渗出和指令控制的一环中发生了DNS隧道的异常流量警告事件,所以“利用APP应用层协议”技术

这样,对于使用标准协议传输数据并进行C2命令控制的通信量,每个协议结合数据包的长度、大小、通信内容等特征,结合威胁信息、机器学习算法综合判断异常,最后人工进行研究

3、PowerShell利用

PowerShell是Windows操作系统的强大的交互式命令行界面和脚本环境。 攻击者可以使用PowerShell执行许多操作,包括信息发现和代码执行。

利用PowerShell进行攻击已经非常成熟,有Empire、PowerSploit和PSAttack等成熟工具。

仍然以我们自己的监控事件为例,某地方重点三甲医院感染BuleHero病毒的事件,攻击者利用Apache Struts2远程代码执行漏洞( CVE-2017-5638 ),执行远程命令, 通过cmd下载PowerShell脚本,最终将远程控制木马释放到c:(windows ),其中PowerShell是下载程序,是中间环节(其他环节也已经暴露),避免了检测下图为流量层沙箱对PowerShell恶意脚本的检测,基本确定了该脚本的运行方式。

检测PowerShell的难点在于PowerShell本身是系统的正常功能之一,存在误报问题。 因此,检测除了常规的静态分析引擎外,还应该在分析函数、特征的基础上,具备有脚本分析能力的沙盒,提取行为特征、流量特征等,进行威胁信息匹配,多方结合降低误报率。 另外,也可以通过机器学习建立检查模型,辅助检查。

三、总结

本文通过对典型APT组织中使用的技术进行ATTCK映射分析,并对其进行象限划分,阐明了不同象限的应对策略,最终得到了值得关注的高频技术,并以其中三种代表性技术为例,进行了基于协同的持续通过总结出的APT中常用的高频技术,优化检测规则,逐步扩展低频技术,可以从容应对APT的攻击。 可以说ATTCK为防御检查指明了方向,不再盲目防御。 因此,我们根据持续性风险监测经验,结合ATTCK的技术框架,最终总结出企业应重视的38项高频技术和对应的27项子技术,为企业进行防御体系建设提供参考。

附表一、重点关注的38项高频技术

标签:持续风险监测体系实践:基于ATTampCK的APT高频技术分析

文章来源:http://www.dcrdx.com/

上一篇:真的黑客先做事后付款 黑客做事付款

下一篇:Pikachu靶场通关之Cross-site request forgery

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读