威胁情报概念与APT事件分析模型概述
0X01 基本信息:
1.威胁情报的定义:
威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
2.分类
按照不同标准威胁情报有多种不同的分类方式,首先根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures)这几种,其源于David J. Bianco在《The Pyramid of Pain》一文中提出的威胁情报相关指标(单一的信息或数据一般算不上威胁情报,经过分析处理过的有价值的信息才称得上威胁情报)的金字塔模型。
左侧是能够利用的情报,右侧是这些情报给攻击者造成的困难程度。一般来说情报中价值最低的是Hash值、IP地址和域名(也就是常说的信誉库),其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报。这里分别做个简单介绍:
HASH值:一般指样本、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。
IP地址:常见的指标之一,通过IP的访问控制可以抵御很多常见的攻击,但是又因为IP数量太大,任何攻击者均可以尝试更改IP地址,以绕过访问控制。
域名:有些攻击类型或攻击手法也或者出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信,由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的,对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击,往往会准备大量备用域名,所以它的限制作用也是有限。
网络或主机特征:这里指的特征可以是很多方面,比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等,这些特征就是一种对攻击者的描述,这些情报数据可以很好的将攻击流量从其他的流量中提取出来,就会产生一种较好的防御效果。
攻击工具:这里是指获取或检测到了攻击者使用的工具,这种基于工具的情报数据能够使得一批攻击失效,攻击者不得不进行免杀或重写工具,这就达到了增加攻击成本的目的。
TTPs:Tactics、Techniques & Procedures的缩写,这里是指攻击者所使用的攻击策略、手法等,掌握了些信息就能明白攻击者所利用的具体漏洞,就能够针对性的布防,使得攻击者不得不寻找新的漏洞,所以这也是价值最高的情报数据。
按照传统的分类方法威胁情报分为以下三类
战术级情报:战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。
运营级情报:运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。
战略级情报:战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。它能够帮助决策者把握当前的安全态势,在安全决策上更加有理有据。包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。
3.意义
传统的防御机制根据以往的“经验”构建防御策略、部署安全产品,难以应对未知攻击;即使是基于机器学习的检测算法也是在过往“经验”(训练集)的基础寻找最佳的一般表达式,以求覆盖所有可能的情况,实现对未知攻击的检测。但是过往经验无法完整的表达现在和未来的安全状况,而且攻击手法变化多样,防御技术的发展速度本质上落后与攻击技术的发展速度。所以需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段,威胁情报应运而生。通过对威胁情报的收集、处理可以直接将相应的结果分发到安全人员(认读)和安全设备(机读),实现精准的动态防御,达到“未攻先防”的效果。
0X02 APT 事件的分析与防御
1.威胁情报在事件分析中的定位
威胁情报数据并不能帮助甲方来预测攻击,威胁情报在安全运营体系中的定位是——辅助发现潜在的或正在发起的恶意行为或操作,重点在于辅助两个字,威胁情报严格意义上来说只能有限地感知潜在的威胁,换句话说:如果有人现在瞄准的目标全部都是能源类客户,那么威胁情报就可以提醒没有被攻击的客户可能会遭受到该攻击者的攻击,这个叫做有限的感知潜在的威胁。
威胁情报既然是个辅助手段,那么肯定有一个主要手段,这个主要的手段其实就是针对事件的分析,接下来主要说的是两个分析使用的模型——钻石模型和Kill-Chain模型,这两个模型在分析的时候往往需要结合起来使用,尤其是比较大型的针对性的攻击诸如APT攻击。
2.Kill-Chain模型
Kill-Chain模型分为7个部分,侦查阶段(Reconnaissance)、武器化阶段(Weaponization)、部署阶段(Delivery)、攻击阶段(Exploitation)、后门植入阶段(Installation)、远程控制阶段(C&C)、后渗透阶段(Actives on Objects),也就是下面这个样子:
- 侦查阶段:扫描目标IT资产和信息收集,比如说Google Hacking这些侦查类型的攻击
- 武器化阶段:将前一阶段发现和扫描到漏洞的信息整合到一起并制作针对性的武器(当然国内的嘛,你懂得)
- 部署阶段:将这些武器或者是远控RAT部署到对应的Compromised Servers上
- 攻击阶段:使用这些Compromised Servers和之前做好的武器化工具对目标发起攻击
- 后门种植阶段:安装远程控制的服务和进程
- 远控阶段:让目标和C&C通信
- 后渗透阶段:收割、继续横向渗透入侵
3.钻石模型
之前说过了一次完整的攻击行为的参考就是上面说到的Kill-Chain,也就是用来描述的攻击者攻击的路线和进行的进度。但是Kill-Chain只能说明攻击的进程和路线,并不能很好地说明其造成的影响和目的,钻石模型就很好的针对性的补充了这点。
钻石模型是一个针对单个事件分析的模型,核心就是用来描述攻击者的技战术和目的,具体的钻石模型如下图所示:
总结一下这幅图就是说明:攻击者因为什么原因,利用哪些基础设施,并通哪些手段攻击了怎么样的一个目标
具体一点的关于图中信息的解释如下:
社会政治影响:处于钻石模型上下两个顶点,上顶点表示攻击者,下顶点表示受害者也就是目标。攻击者和受害者之间的某种利益冲突或者是社会地位对立则会产生攻击的意图和发起攻击的原因,纵切面表示的就是社会政治影响。说大白话就是根据这俩人去发现攻击的意图。
技战术组合:技战术组合位于整个钻石模型的横切面,横切面的两个顶点分别为基础设施和技术能力,这里的基础设施和技术能力其实都是相对于攻击者而言的。
元数据:这个其实就是左边列出来的,攻击时间、攻击阶段、攻击结果、攻击方向、攻击手段、攻击资源利用
置信度:也就是以上你分析出结果的可信程度。
注意:
这里要提醒一点,但凡基于威胁情报做分析的时候一定要牢记以下4点:
1.威胁情报分析出来的结果一般不能作为电子证据确定嫌疑人有计算机犯罪行为
2.威胁情报分析结果须带有严格的置信度
3.威胁情报数据由于技术原因限制不可以做到实时性
4.要在相关机构的监管下进行分析
4.Kill-Chain与钻石模型的组合分析
复杂的攻击往往都是有一系列的攻击事件组成的,不同的攻击事件指向的目标和达到的目的可以表示出攻击的进程,那么OK,我们如果把事件按照Kill-Chain进行分类同时使用泳道图进行表示,同时把不同的攻击路线分为不同的攻击线程,那么我们就可以得到一个这样的泳道图。
其实这张图描述的是这么一个事件:
1.攻击者先对目标进行了Google Hacking操作,获得了他们域名解析记录等一些基础的It信息
2.攻击者找到了一个目标新注册的域名,然后用搜索引擎搜索他们的网络管理员的电子邮件信息
3.攻击者使用鱼叉邮件方式对目标的网络管理员发送一封带有木马的邮件
4.目标的网管(我们叫他网管一号)打开了这封邮件的附件然后不幸中枪
5.网管一号的主机因为中了病毒,所以攻击者利用网管一号这台主机发送了一个HTTP Post请求到域控节点,然后域控节点返回了一个HTTP Response
6.我们通过对鱼叉邮件中附件进行逆向分析发现里面有两个IP地址,第二个IP地址作为备份,防止第一个失效
7.通过C&C请求到网管一号的主机,我们的恶意程序打开了一个TCP代理服务
8.通过网管一号主机上的代理服务,攻击者继续去Google上搜索其他的目标
9.攻击者检查网管一号邮件的通信录列表去寻找是否拥有目标二号的通讯方式,结果发现了目标二号的首席科学家的联系方式
10.攻击者使用攻陷的网管一号的邮箱对目标二号的首席科学家的邮箱发起鱼叉邮件攻击,工具使用和之前一样的
11.此时又来了一个攻击者,我们称他为攻击者二号,攻击者一号扫描了目标三号的web服务器
12.使用同样的漏洞利用工具攻击发现目标三号主机上的相同的漏洞
13.被攻陷的目标三号主机返回一个shell会话给攻击者三号
14.目标三号的所有数据被攻击者三号窃取
这样的话使用Kill-Chain和钻石模型分析可以同时get到攻击者的点和想要攻击的目标,同时还知道了他的攻击路径,也就是说这时候我们对攻击者了如指掌了。
5.基于Kill-Chain的安全防护矩阵:
0X03 总结
本文按照网上的资料对威胁情报和 APT 事件的分析方法进行了简单的阐述,丰富了自己对情报分析方面的认知。
参考链接
https://blog.csdn.net/fly_hps/article/details/82744104
https://zhuanlan.zhihu.com/p/30105006
https://zhuanlan.zhihu.com/p/30160133
https://zhuanlan.zhihu.com/p/30197024
https://www.xmanblog.net/threat-intelligence/