青藤云安全:獵鷹札記之威脅獵人的“千人千面”及場景實(shí)踐

目前,已經(jīng)有不少敢為人先的組織都將威脅狩獵作為安全運(yùn)營工作的一部分,并且收獲了不小的效果。威脅狩獵強(qiáng)調(diào)通過“人”主動(dòng)去尋找入侵痕跡,而不是被動(dòng)等待技術(shù)告警。

威脅獵人長什么樣?

威脅獵人必須具有深入的網(wǎng)絡(luò)知識(shí)和安全知識(shí),并能夠在他們的腦海中繪制出網(wǎng)絡(luò)圖。他們對應(yīng)用程序和系統(tǒng)的專業(yè)理解使他們能夠識(shí)別表明攻擊者存在的明顯跡象。他們應(yīng)該是什么樣呢?也許是美女與野獸組合。

青藤云安全:獵鷹札記之威脅獵人的“千人千面”及場景實(shí)踐

威脅狩獵團(tuán)隊(duì)的人員組織,需要7種角色,有些角色可以合并為一個(gè)人,不一定是7個(gè)角色7個(gè)人。

系統(tǒng)管理員:主要針對SIEM系統(tǒng)的維護(hù)以及威脅狩獵平臺(tái)的管理。

狩獵初級分析師:使用SIEM系統(tǒng)和威脅狩獵平臺(tái),處理報(bào)警和一些基本平臺(tái)使用。

狩獵中級分析師:具有威脅情報(bào)、日志分析能力,具有滲透測試和網(wǎng)絡(luò)協(xié)議知識(shí)。

狩獵高級分析師:具有風(fēng)險(xiǎn)等級評估、漏洞管理、網(wǎng)絡(luò)包和日志深度分析能力、以及惡意軟件分析能力。

取證專家:對于內(nèi)存、硬盤要有專業(yè)的取證知識(shí),可以做時(shí)間鏈分析。

狩獵工具開發(fā)人員:要具備開發(fā)經(jīng)驗(yàn),可以自動(dòng)化一些狩獵場景。

惡意軟件分析工程師:主要負(fù)責(zé)惡意軟件的逆向,熟悉匯編語言等內(nèi)容。

安全情報(bào)人員:具有情報(bào)資深經(jīng)驗(yàn),能夠篩選、使用、開發(fā)威脅情報(bào)。

威脅狩獵金字塔模型

擁有一個(gè)相對完整的狩獵團(tuán)隊(duì)之后,還需要一個(gè)相對清晰的理論模型來指導(dǎo)大家完成狩獵行動(dòng)。某種意義上來說,威脅狩獵功能是從頂部1級開始,然后逐漸下沉5級,如下圖所示。在頂部是采用高置信度的警報(bào),例如防病毒,IDS等被動(dòng)方法,主要是針對確定異常情況自動(dòng)告警。當(dāng)然底部才是威脅狩獵所需的核心功能,更加關(guān)注人的作用。在模型底部,針對不同置信度的各種指標(biāo),需要進(jìn)一步調(diào)查才能確定。例如,可以執(zhí)行一組預(yù)定義的場景用例,當(dāng)然也可以將這些用例內(nèi)置到威脅狩獵工具中。最后,從包括SOC等平臺(tái)中,生產(chǎn)出新的用例并執(zhí)行它們。

青藤云安全:獵鷹札記之威脅獵人的“千人千面”及場景實(shí)踐

威脅狩獵金字塔模型

當(dāng)然,所有狩獵場景實(shí)例,都建立在廣泛的安全專業(yè)知識(shí)基礎(chǔ)上,這些專業(yè)知識(shí)可以不斷驅(qū)動(dòng)生成新的用例,包括諸如來自紅隊(duì)的攻擊成功案例的反饋,相關(guān)攻擊技術(shù)公開資料(例ATT&CK),事件響應(yīng)團(tuán)隊(duì)反饋等。

因此,通過模型將廣泛的安全經(jīng)驗(yàn)帶入用例生成,執(zhí)行,分析,適當(dāng)?shù)淖詣?dòng)化以及在可能的情況下進(jìn)行自動(dòng)警報(bào)。如上圖的頂部黑色部分主要集中在技術(shù)上,它使用自動(dòng)化和分析功能使工作效率更高。但是并沒有完全自動(dòng)化的工具,因此極大部分狩獵是需要人工介入。

需要特別注意的是,威脅狩獵者不能簡單地執(zhí)行有限的不變狩獵場景實(shí)例。否則,攻擊者只需要切換技術(shù)就可以逃過雷達(dá)監(jiān)控。相反,獵人需要持續(xù)更新生成用例,才能真正體現(xiàn)“人”價(jià)值。當(dāng)然,威脅狩獵工具可以簡化該過程。如果某些用例產(chǎn)生特別明顯的結(jié)果,則可以將其反饋到自動(dòng)化中,在將來以更高的優(yōu)先級向威脅狩獵者突出此類情況,或者只是在將來加快執(zhí)行速度。

威脅狩獵實(shí)例

威脅狩獵的核心是執(zhí)行一系列狩獵場景(或假設(shè))繼而尋找存在攻擊的證據(jù)。通過分析大量不同維度的數(shù)據(jù)和指標(biāo)來判斷是否存在異常和攻擊行為。

Credential Dumping用例

憑證轉(zhuǎn)儲(chǔ)是攻擊指標(biāo)(IOA)的一個(gè)示例。已知的APT組(例如APT1、28和Axiom)已使用此技術(shù)。轉(zhuǎn)儲(chǔ)的憑證可用于執(zhí)行橫向移動(dòng)并訪問受限制的數(shù)據(jù)集。出于此用例的目的,通過使用MimiKatz實(shí)現(xiàn)了憑證轉(zhuǎn)儲(chǔ)。例如,在Windows中,安全帳戶管理器(SAM)數(shù)據(jù)庫存儲(chǔ)本地主機(jī)的本地帳戶,并且可以使用多種工具通過使用內(nèi)存技術(shù)來訪問SAM文件中的信息。其他工具包括Pwdumpx,Gsecdump和WCE-但是,尋找這些工具并不一定會(huì)產(chǎn)生任何結(jié)果。

(1)Credential Dumping攻擊過程復(fù)現(xiàn)實(shí)例

如下實(shí)例所示,通過任務(wù)管理器選擇lsass.exe,然后再轉(zhuǎn)儲(chǔ)內(nèi)存,創(chuàng)建一個(gè)轉(zhuǎn)儲(chǔ)的文件,之后可以選擇procdump或者說mimikatz這類工具把實(shí)際內(nèi)存中憑證dump出來,獲得認(rèn)證信息。

青藤云安全:獵鷹札記之威脅獵人的“千人千面”及場景實(shí)踐

(2)Credential Dumping攻擊的檢測分析

然后這個(gè)檢測起來相對來說會(huì)復(fù)雜一些。例如,攻擊者?般都會(huì)通過powershell執(zhí)?惡意命令,?且在執(zhí)?powershell時(shí),必然需要使?參數(shù)–exec bypass來繞過執(zhí)?安全策略,這是?個(gè)很強(qiáng)的檢測點(diǎn)。然后再用mimikatz等工具將憑證dump出來。

如下所示檢測分析實(shí)例,是指進(jìn)程訪問了lsass.exe,訪問的行為包含了GrantedAccess(Windows系統(tǒng)自帶的進(jìn)程訪問編碼)這幾個(gè)字段。此外該進(jìn)程還調(diào)用了一些DLL。在這個(gè)基礎(chǔ)上,再查看父進(jìn)程一些相關(guān)信息,就能判斷肯定存在威脅。按照正常來說的一些程序,他不會(huì)去通過這些的訪問方式來去訪問lsass.exe的。

青藤云安全:獵鷹札記之威脅獵人的“千人千面”及場景實(shí)踐

綜上所述,檢測這類技術(shù)需要對進(jìn)程、進(jìn)程命令行參數(shù)、powershell日志、API等進(jìn)行監(jiān)控,獲得一個(gè)綜合數(shù)據(jù)。

Powershell用例

以下面場景為例,攻擊者通過外部魚叉式網(wǎng)絡(luò)釣魚活動(dòng)個(gè),實(shí)現(xiàn)三個(gè)戰(zhàn)術(shù)“發(fā)現(xiàn)、憑據(jù)訪問和命令控制(CC)”。攻擊者實(shí)現(xiàn)這些戰(zhàn)術(shù)的痕跡都被記錄下來,通過青藤獵鷹·威脅狩獵平臺(tái)將這些攻擊動(dòng)作映射到ATT&CK框架中,并且可以知道攻擊者是如何利用Powershell實(shí)現(xiàn)攻擊戰(zhàn)術(shù)。

這樣,針對powershell狩獵就擁有了一個(gè)假設(shè)觸發(fā)點(diǎn),并且可以基于這種可靠的、擁有上下文場景的威脅情報(bào)來提高SOC針對Powershell的敏感性。這個(gè)場景也能夠說明威脅狩獵平臺(tái)產(chǎn)生的威脅模型可以傳遞給SOC。例如,SOC可以進(jìn)行關(guān)聯(lián)并檢查是否存在異常地理位置IP與靶機(jī)建立通信。

寫在最后

當(dāng)然想要實(shí)現(xiàn)威脅狩獵,需要利用一些平臺(tái)工具方可實(shí)現(xiàn)。首先,需要能夠收集到高質(zhì)量的數(shù)據(jù);其次,還需要能夠解決異構(gòu)數(shù)據(jù)源頭的連接問題。最后,還需要一個(gè)強(qiáng)大分析引擎,能夠支持復(fù)雜的分析算法,此外還需要一個(gè)靈活的分析員。

在這樣背景下,青藤正式推出了獵鷹•威脅狩獵平臺(tái)。該平臺(tái)集成了大約50余類原始數(shù)據(jù),并且內(nèi)置了超過100余類ATT&CK檢測模型,能夠更簡單、有效幫助解決安全數(shù)據(jù)匯集,數(shù)據(jù)挖掘,事件回溯,安全能力整合等各類問題。

通過青藤獵鷹威脅狩獵平臺(tái),也可以將攻擊者的行為實(shí)時(shí)映射到MITER框架,幫助安全人員加強(qiáng)他們?nèi)肭中袨榈睦斫?,盡快輸出對威脅狩獵假設(shè)。它還使我們能夠識(shí)別威脅參與者在欺騙環(huán)境中移動(dòng)時(shí)正在使用的不同技術(shù),這些技術(shù)可能會(huì)并行觸發(fā)單獨(dú)的搜尋。沒有這些數(shù)據(jù),該假設(shè)的制定將耗費(fèi)大量時(shí)間和資源。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )