简介
网络基础设施是与网络入侵相关的主要观察对象之一。从作为扫描或侦察基础设施的IP地址,到作为命令和控制(C2)或泄露服务器的域,网络基础设施构成了对手行动的先决条件。通过典型模型,如洛克希德马丁网络杀戮链,(如下所示)网络基础设施可观察性因素几乎渗透到入侵生命周期的每个阶段,要么是关键依赖关系,要么是启用因素。
然而,虽然通常被提及并且几乎普遍存在,但网络基础设施的可观察性——特别是域名和IP地址——也经常被嘲笑为原子,用于防御目的的最低程度的丰富项目。本文将说明这种观点是错误和被误导的——但前提是我们扩展对网络基础设施可观测对象及其特征的理解。
对网络观测数据的彻底检查显示了最低丰富指标和复合对象之间的区别,从而能够更深入地理解和分析。通过采用后一种观点,一个看似原子的对象(如域名)会产生许多相互关联的观察结果,从而能够进行进一步的分析和旋转。通过遵循这种方法,防御者可以使用相对较小的观察集来构建对手倾向的强大图景,并挖掘额外的战役和对手观察。
指示符和原子对象
信息安全操作通过吸收、分析和处理技术观察而存在。经常被称为“妥协的迹象”(国际石油公司),这些项目都是理论上的复合对象由观察、描述和元数据组成的。然而在实践中,“IOC”指的是一个贬值,减少原始概念的版本。ioc不包含内置上下文,而是被简化为孤立的可观察对象:一个IP地址、一个域名、一个哈希值。
虽然国际石油公司(已被贬损)仍然主导着大部分日常网络安全操作,但它们越来越受到分析师和行业代表的嘲笑。示例包括调用强调对手行为而不是具体的防御技术观察,或者理论结构,比如痛苦金字塔代表不同类型观察的“持久力”。
虽然这些论点对于改进信息安全实践通常是正确和有见地的,但这些发展伴随着隐性的和经常被忽视的成本。在匆忙拥抱以行为为基础,以战术-技术-程序(TTP)为重点的防御时,指标的价值及其性质可能被抛在后面。
对指标中存在的内容的更彻底的理解使我们能够更详细地探索该指标存在的性质和基础。就像原子虽然代表了物质的基本组成部分,但它包含了定义其特征的亚原子粒子一样,裸指标也是如此。通过进一步的分析和丰富,我们可以发现更多的细节,并更好地理解这些观察结果。
网络基础设施的性质
网络基础设施观察对象是那些与入侵事件或对手活动相关的构件,这些活动与交付、通信、控制和泄露等项目相关。虽然不是详尽的,但网络基础设施的例子包括域名、IP地址和SSL/TLS证书。如下所示,这些项是相互关联的,因为它们属于同一个整体通信方案的不同方面:一个IP托管一个使用SSL/TLS证书加密流量的域。
乍一看,这些项目似乎是单一的原子指示器。因此,它们似乎需要充实自身和外部环境,以便对理解对手的行为和倾向具有持久的、有意义的价值。然而,对这些项目的进一步研究表明,它们具有更复杂的性质,具有多个子组件和特征,这些子组件和特征在适当的分析下将这些项目标识为复合对象。
如更新后的图像所示,经过适当的分析和观察,基础设施可观测数据包含了丰富的数据。将比较扩展到上面所做的原子,可观察到的每种类型的网络都有效地“分解”为子组件的混合物。理解和分析这些项目、它们的关系和组成模式,可以深入了解对手的行为,从而扩展和深化“裸”网络指标的价值。
域名
一个域名是一种自然语言,人类可读的项目,被设计为以机器为中心的IP地址在线托管内容的参考。虽然内容或服务可以简单地通过IP地址访问,但域名促进了这一过程,并允许通过其名称实现一定程度的“品牌”或唯一性。
域本身并不是一个单一的对象。相反,域由几个组件或标识元数据组成,这些组件或元数据可用于“识别”或进一步了解域的性质或创建。除了与域名及其使用相关的任何托管信息之外,以下项目代表了分析人员和防御者可以利用的域名特征:
- 域名注册:为了创建并拥有域,个人或实体需要通过注册商来保护一个域注册表管理所需的顶级域名(TLD -例如“。com”)。注册商在定价、客户审查和其他方面存在很大差异。由于这些特征和基础设施偏好,威胁行为者可能更喜欢或主要利用某些注册商来创建基础设施。
- 域名注册人:域名是由给定的注册人创建的。虽然这些信息在历史上非常有用,因为这些信息将包括联系电子邮件地址和其他可用于指纹基础设施创建的信息,但越来越多的人采用隐私保护服务和欧盟的影响一般保障资料规例(GDPR)极大地限制目前没有这样的信息。尽管如此,跨注册的隐私保护服务的共性仍然可以作为连接各个域的薄弱环节。
- 名称服务器:到IP地址的域解析需要一个授权名称服务器来转换请求。标识与注册相关的名称服务器——尤其特定权威服务器-可以揭示基础设施建设的模式和对手的倾向。
- 域名命名主题或约定:在我以前的一篇文章,我描述了如何实际的域名选择可以用来推断对手的意图以及对手的倾向。威胁行为者必须为域名选择一些东西,无论这是随机生成的字符串、匹配主题的项目还是匹配目标或活动的名称。识别这些主题或约定对于区分域注册和识别参与者的共性是一种非常有用的机制。
以上这些项的总和定义了一个域。正如它们是表示域的组件一样,它们也是可用于搜索类似结构或创建的基础结构的项。例如,攻击者可能始终使用名称服务器、注册器和注册隐私保护服务的相同组合,从而能够旋转和识别其他攻击者基础设施。
如下面的DomainTools虹膜调查截图所示,这些项目可以很容易地识别并用于旋转目的。
IP地址
IP地址是互联网协议(IP)流量的识别模式,用于指定特定的机器或服务器接收流量。网络通信不需要域名,基于IP的通信需要IP地址。一个活动的、通信的域总是与一个IP地址配对,而IP地址不需要有相关的域来确保主机之间的通信。
虽然IP地址是CTI报告中最常见的指标之一,但就像域IP地址隐藏了多个识别对手倾向和行为方面的子组件一样:
- 托管提供商:对手需要为网络基础设施找到合理的私有、不可归属的托管。选项包括来自的任何主要云服务提供商亚马逊网络服务来DigitalOcean;小虚拟专用服务器(VPS)供应商;或者利用服务CloudFlare对监视方掩盖真实的托管。
- 举办地点:除了托管提供商外,威胁参与者还可以在托管位置上进行一定程度的选择。云、VPS和其他提供商通常拥有位于不同国家的基础设施。对手可以利用位置专一性来避免潜在的基于地理位置的流量过滤,利用东道国的法律制度来最大限度地提高隐私性,或使防御者的调查更加困难。
- 服务器类型:基础设施仍然需要在其上运行的系统,而且操作系统(OS)和版本的选择也可以用来识别对手的倾向。威胁行为者可以在不同风格的Linux和不同版本的Windows底层操作系统之间做出选择。识别特定的趋势(特别是与下面描述的公开的系统服务相关的趋势)可以揭示可用于识别或配置新基础设施的活动模式。
- 服务器服务:为了充当命令和控制(C2)或其他节点,服务器必须侦听某些服务。最直接和最基本的是HTTP或HTTPS,在这种情况下,我们作为防御者可以识别web服务器类型、版本,在HTTPS的情况下,服务器SSL/TLS证书(下文将进一步描述)。识别非标准或非典型服务,特别是对于唯一的或自定义的C2框架,可以进一步支持识别和跟踪。
为了说明上述概念,可疑域“advertising -cdn[. cn]”. com”托管在一个专用服务器上,地址是213.252.246[.]在DomainTools虹膜调查中,我们可以识别IP地址,托管提供商和托管位置:
使用互联网扫描和枚举工具,如Shodan,我们可以进一步调查服务器,以识别服务和指纹服务器的操作系统:
基于以上,我们可以识别一个可疑的域,该域使用立陶宛的特定服务托管,暴露HTTP和SSH以及TCP 8000上的HTTP,并允许我们将服务器指纹识别为Debian Linux机器。使用这些信息,我们可以通过域和服务器特征来识别进一步的基础设施。
SSL / TLS证书
最后,攻击者(以及大多数合法的web服务)经常使用标准加密安全套接字层(SSL)或传输层安全性(TLS)协议。虽然对手当然可以对流量使用自定义加密或编码协议,但SSL/ tls包裹的通信无处不在,大多数组织对此类通信的可见性有限,这使得公开可用的标准对威胁行为者来说既非常有效,又非常便宜。
作为一种公钥密码术, SSL/TLS加密依赖于证书的功能。可以通过各种数据点跟踪证书,因为它们通常具有与证书所有者相关的标识信息,例如组织或位置。
证书可以采用多种形式,从自签名的、不受信任的项到通过免费的、未检查的服务创建的证书(例如让我们加密)或在发出资料时进行某种程度审查的来源。虽然生成的元数据将根据颁发者和证书而有所不同,但使用证书特征跟踪对手行为(如遗留行为)的历史非常丰富APT28或花哨的熊证书和基础设施活动.
看着可疑的域欧洲人谁[。]com,我们发现了与cPanel的服务.因此,虽然我们可以注意到有限的证书信息和免费服务的使用,以将其识别为潜在的可疑,但可以从有限的数据中提取数据,而证书哈希值提供了一种跟踪此特定项使用的方法。
尽管在这种情况下,用于直接旋转的信息有限,但仅识别自签名的内置cPanel证书的使用就可以用于区分和识别通过基于域或基于ip的分析发现的进一步基础设施。识别具有类似域或IP特征、也部署类似SSL/TLS证书创建趋势的另一个网络对象,可以让我们链接基础设施,并开始了解对手的行为。
复合细节和旋转
如下图所示,除了在不同类型的基础设施特征中进行旋转之外,了解对手的基础设施趋势也可以在项目之间进行旋转。
从这个角度来看,对域创建的深入了解可以揭示基础设施托管的趋势,可以利用它来识别其他域。或者SSL/TLS证书创建中的持久模式会产生额外的域,这些域又会映射到额外的基础设施。
然而,尽管新指标的发现很有吸引力,而且可能对防御有用,但这只是一个中间目标,是更大过程的一部分。网络威胁情报(CTI)分析师不应该仅仅试图识别更多的ioc,而是应该利用这项工作作为识别基本对手倾向的手乐动体育下载链接段,可以用于随着时间的推移不断识别和披露基础设施。通过这项工作肯定会产生指标,但它们代表了在创建网络基础设施时识别和观察真实对手行为的更基本过程的输出。
例如:2020年底的琉球活动
要看上面的例子,我们可以看看最近的一集Ryuk勒索软件事件在多家医院和卫生保健提供者系统在美国,与一个被称为UNC1878由信息安全公司FireEye提供。乐动体育官网下载而利用恶意软件和滴管,如BazarLoader而且BazarBackdoor, Ryuk部署人员仍然需要C2基础设施来控制和进一步扩大受害者环境中的感染。根据火眼公司发布的信息凯尔Ehmke从ThreatConnect,并经其他多方确认,UNC1878网络基础设施活动包括从2020年夏季到2020年10月创建的数百个域名。(请参阅IOCs的链接文件.)
虽然看起来势不可挡,但上述领域包含了一些共同点:
- 随着时间的推移使用类似的注册模式。
- 优先选择有限数量的托管提供商。
- SSL/TLS证书特征一致性。
例如unc1878链接域“drive-boost[。com”具有以下特点:
将这些观察结果分解后,我们可以看到以下情况:
- 使用一致的命名“主题”,反映与it相关的概念或项目(例如“驱动程序”)。
- Namecheap注册器的使用。
- 始终使用WhoisGuard隐私保护服务。
- 一致使用注册服务器[。DNS服务器。
虽然上述单项都很常见,但把它们放在一起,我们就可以开始过滤可能相关的项目。查看托管ISP模式,如DomainTools虹膜调查可视化所示,揭示了额外的特征,即围绕以下提供商的四个不同的“波”或一系列活动:
- 私人层公司,位于瑞士。
- Psychz Networks,位于美国。
- Frantech 乐动体育网址Solutions,位于美国。
- 康邦顿有限公司位于德国。
现在我们有了更好的方法对已知活动进行聚类,并有可能识别新的、相似的项目。但是,在具有现有SSL/TLS证书的域的子集中还存在进一步的选项。例如,看看“司机助推器[。. com显示如下证书信息:
在本例中,我们看到一个证书模式使用自签名证书的Locality Name为“Texas”,Organization Name为“lol”。深入研究证书信息可以得到100多个项目,当这些项目与上面记录的其他项目结合起来看时,可以很有信心地归因于UNC1878活动。
通过这一进程,我们确定了代表《联合国宪章1878年》基础结构的一组特征。这既可以用于事件后归因,以确定哪些实体可能对违规行为负责。此外,这种方法可以通过DomainTools等数据集和Iris Investigate等搜索工具使用,以便在创建基础设施时主动和先发制人地识别基础设施。通过这种方式,CTI更加适应对手的趋势和特征,同时通过持续识别对手基础设施,为网络防御行动提供更直接、更主动的支持。
结论
虽然网络基础设施指标和可观察对象通常被视为原子对象,但将这些项目视为组合,使强大的分析能够跟上对手的发展步伐。通过了解域名、IP地址和SSL/TLS证书等项目的基本性质,分析人员可以开始了解对手的基本趋势和谍报技术。如果做得好,这样的行动不仅可以使防御者在发现新基础设施时准确地部署它,而且还可以在创建新基础设施时识别它,以促进防御行动。
虽然这个过程在识别和跟踪对手的操作方面非常强大,但我们也必须注意到这种方法的局限性。例如,对手可能会利用受损害的合法基础设施进行通信和类似活动,以隐藏他们的踪迹并混淆分析。对于许多威胁行为者来说,这是一个日益增长的趋势,这可能会抛弃如上所述的分析技术。然而,即使在这些情况下,也存在这样的可能性,例如识别底层服务器或软件共性,这些共性可能表明利用漏洞来访问合法服务器。这些共性可以实现类似类型的转向,即前面讨论的对手拥有和运营的基础设施。
通过将指标不仅仅视为孤立的对象,而是视为包含多个组件的组合,这些组件可用于更好地理解指标的性质、目的和组成,CTI分析师可以更好地了解对手的操作。此外,虽然本文仅限于网络观察对象,但同样的基本概念也同样适用于基于主机和文件的指示器。通过进一步细化、研究和丰富指标,CTI分析师可以不断推动威胁理解和威胁检测的极限,从而更好地理解过去的事件,并在已知对手出现的新威胁向量时潜在地识别它们。
要了解如何在DomainTools虹膜调查中识别和跟踪对手的操作,请访问我们的产品页面。