每一项调查的背后都有一个侦探,他的任务是梳理犯罪现场的琐碎细节,找出重要的线索。每个优秀的侦探都知道首先要找什么证据:指纹。指纹是识别罪犯的关键,是发现其他重要信息的第一步——行为、意图、动机、同谋、相关犯罪——这有助于破案。
在威胁搜索中也是如此,了解对手是至关重要的。收集情报——比如攻击者最有可能做什么,他们的目标是谁以及为什么,他们想要达到什么目的,他们的惯用战术以及如果被发现他们会如何反应——是对如何保护我们的网络做出明智决定的唯一现实的方法。
这首先要观察我们的敌人,以及他们的战术、技术和程序(TTPs),即使他们试图掩盖自己的踪迹。利用网络取证、事件响应过程和来自以前(或活动)入侵的已知事实,可以为了解威胁行为者的活动和行为提供一个窗口。通过对照观察得到的事实,团队可以对对手的操作方式和使用的工具提出假设。识别活动模式和特定对手的典型目标将帮助团队验证或完善假设。当对手进化或改变他们的TTPS和目标时,这个假设应该更新。
举例说明
最早记录的网络对手观察案例之一是克利福德·斯托尔(Clifford Stoll)对加州劳伦斯·伯克利国家实验室(Lawrence Berkeley National Laboratory)遭到黑客攻击的调查。经过广泛的阶段性观察和记录对手的所有活动,斯托尔能够追踪到德国的威胁。进一步的努力成功地确定和逮捕了罪犯,他被发现一直在向苏联克格勃出售他的活动信息。
一旦实现了一致的假设,安全团队就可以进入应用威胁情报阶段,并建立适用于观察到的和假设的行为的检测。这允许调查人员采取更积极的方法,并探索威胁情报,以揭示未知的未知。一种方法是利用网络资产对对手的基础设施进行指纹识别。
Web资产指纹的10个提示
威胁行为者不断使用新方法,使我们无法了解他们的一切或他们的能力。但有了下面的10个建议,团队就可以开始发现数字指纹,这将有助于找到更多的线索,就像在身体犯罪调查中一样。
- 不要忽视操作安全.在追捕对手时,操作安全(OPSEC)非常重要,特别是当归因是调查人员的目标之一时。OPSEC的一个失误可能会泄露关键信息,从而导致被拿下。
- 利用已应用的威胁情报.应用威胁情报的一个例子是查看HTTP GET与POST的比率。了解了正常比值后,就可以发现异常,从而识别攻击者行为。新注册的域是另一种类型的指纹,可以在应用威胁情报阶段发挥作用。
- 进入DNS和Whois.攻击者可能同时注册25个域,但只使用一个或两个。如果它们都注册在同一个名称服务器上,调查人员可以将其作为指纹,以此为基础找到更多可以从网络上屏蔽的攻击者的基础设施。
- 记住对手是程序员.程序员不可能为他们开发的每个网站编写定制代码。相反,他们对每个站点重用一些基本代码和工具,并自定义部分。对手也会这么做。因此,像加载到HTML文档中的第三方文件集这样的元素,以及它们加载的顺序,可以揭示对手的“风格”,从而提供潜在的指纹。
- 知道你在寻找什么.可用于指纹识别的主要web资产包括JavaScript文件、CSS文件和图像,这些文件被加载到带有许多标签的网站的主HTML上。对于单个对手来说,在几个不同的网站上,这些信息可能看起来是一样的。
- 连接搜索.这种方法包括搜索在可疑站点上找到的文件名,以查找与可能具有共享基础设施的其他站点的连接。使用这种策略可能会出现误报,但通常情况下,产生较低连接数的结果实际上表明网站之间存在连接的可能性更大,而这种连接并不立即明显。
- 主.通过跨命名服务器、Whois信息、电子邮件域、共享主机和相关域等信息片断的旋转,可以为调查人员提供额外的指纹搜索。例如,在DomainTools虹膜调查平台在美国,调查人员可以查看与可疑域名或已知指纹共享相同值的IP地址和其他特征。在许多情况下,这可以揭示额外的未知领域或细节,以帮助了解有关威胁的全部情况。
- 文件哈希.对压缩文件的分析可以显示,即使文件名不同,文件什么时候是相同的。这将有助于在危险地点之间建立联系。如果调查人员认为攻击者试图通过在文件中添加垃圾文件或将某些CSS文件注入到页面中来避免检测,团队可以获取这些模块并应用函数级哈希和分析以进行进一步的了解。
- 遵循恶意软件分析实践.包括分析签名、外部网络调用、重用代码、代码样式和运行时在内的技术已经在恶意软件分析中使用了一段时间。这些可以扩展到web空间,分析和指纹恶意网站。
- 复制广告客户浏览器指纹.广告商使用反向浏览器技术,根据用户的各种属性(cookie、偏好、位置等)来识别和指纹,以便进行广告定位。安全团队可以使用类似的方法,通过查看页面属性来锁定威胁参与者。
改进方法
Web资产指纹识别是一种新方法,因此在大规模应用时需要进行一些微调。会出现误报,安全团队需要找到管理信噪比的方法。做到这一点的方法包括:
- 向允许列表中添加良性内容和常用文件的系统。
- 缩小团队正在哈希和旋转的文件的范围。
- 关注那些与已知智力有很强相关性的指标。
结论
抓捕网络罪犯永远是一场猫捉老鼠的游戏。虽然攻击者不断变得越来越老练,但他们仍然很难完全隐藏自己的指纹。擅长于网络资产指纹识别、善于利用这种方法收集到的情报的防御者,将在回答有关对手的重要问题和从其网络中拦截恶意基础设施方面取得更大成功。
