简介
这一事件最初被称为“太阳风黑客”,但随着我们对它的了解越来越多,它的范围也在稳步扩大,它的重要性足以让我们确信会有关于它的书籍。其中一些书可能会成为畅销书。更恰当地描述为一系列事件,而不是一个事件,它为参与信息安全的每个人提供了许多教训;无论你感兴趣的领域是什么,星座中的某些部分都可能是相关的。在DomainTools,毫无疑问,对手用于命令和控制的基础设施是特别感兴趣的。乔Slowik来自我们研究团队的几篇优秀文章博客在上面,下面的时间线来自其中一个。
在12月消息传出后不久,我参加了一个小组讨论,提出了一个问题,即威胁搜索能否在早期阶段发现这种入侵。大家一致认为这是不可能的,但我不相信。我决定召集一个我们自己的小组来探讨这个问题以及相关的问题,关于寻找供应链漏洞的可能性应该有什么样的合理预期。
我的DomainTools讨论小组成员是Joe,他的研究团队同事乍得安德森,以及首席销售工程师泰勒Wilkes-Pierce.这三种方法都为各种威胁搜索方法提供了有价值的视角。我们探索了四个主要领域:
如果他们不确定他们是否已经被太阳风事件破坏了,现在应该做什么类型的狩猎团队
对手基础设施狩猎的作用
关于什么可能是最佳的ROI搜索/事件响应活动的建议,特别是考虑到事件之后的大量指标和ttp
威胁搜索能否在入侵的早期阶段就发现
还有第五个问题,在网络研讨会之前的音频检查中出现:团队应该做些什么来确保他们的构建系统是干净的?在这篇文章的最后会有更多的内容。
狩猎团队现在应该做什么
关于第一个问题——如果不确定他们是否受到太阳风相关入侵的影响,现在应该采取什么类型的狩猎团队——小组确定了几个主要问题:
虽然这可能有点晚了,但值得检查C2域avsvmcloud[.]com的任何流量(现在已被中和)
入侵的第二阶段涉及到Cobalt Strike信标。这为猎人提供了另一套文物。(微软博客对于入侵的钴打击来说是一个很好的资源)
一般来说,大规模地丰富Internet可观测数据(例如全部或部分新的DNS解析)是开始解开潜在可疑活动的关键。乐动体育网址
对手基础设施狩猎的作用
关于对手基础设施狩猎的问题,Joe在之前的博客中提到了很多,提出了猎人需要考虑的几个有价值的问题:
DNS流量到avsvmcloud[.]com不仅仅是SUNBURST活动的指示,它还提供了C2滥用DNS的有用示例。猎人应该考虑建立对异常DNS流量的探测。(这无纸虽然已经有几年的历史了,但它有关于检测DNS C2的大量信息。)
除了SUNBURST和Cobalt Strike信标相对较少的域之外,对于这种特定的入侵没有大量的基础设施可供探索(就目前的理解而言)。专家组普遍认为,一些入侵或攻击将涉及比这次更多的网络观测数据。
寻找现有参与者创建的新资产可能比过去更加棘手,因为对手的OpSec现在更好了,而且更多的注册信息被掩盖了。也就是说,托管提供商、SSL信息、IP和名称服务器数据等组合模式仍然可以使其跟上新兴活动的步伐。
它也不仅仅是关于域名和ip;Chad注意到,查看服务层(如TLS/SSL、屏幕内容等)越来越重要。正如他所说,“总有一些东西需要调用服务”,并且总能从这些流量中找到一些线索。
最佳狩猎/事故应变活动提示
小组讨论的目标之一体现在我们的第三个问题中,即哪些技术可以让狩猎团队(或任何进行临时狩猎的SOC人员)获得最好的回报。这里有一些建议,其中一些更适合于在狩猎中为自己的成功做好准备,而不是狩猎本身。
资产管理和“皇冠上的宝石”资源的识别至关重要。特别是在一个非常大的环境中,可能会有大量的数据需要筛选。蓝队应优先处理关键系统的出站流量;但显然,这些系统必须被识别,并在搜索中进行过滤。Taylor指出,监控来自这些设备的新域名和主机名解析仍然是检测危险活动的最佳方法之一。乐动体育网址
网络分段在这方面也起着重要作用。Chad指出,平坦的环境,尤其是大型环境,比那些分割良好的环境面临着更大的战斗。
网络流量分析是一种很好理解的技术,但它并没有像人们期望的那么多商店所做的那样。结合以上两个前提条件,流量分析的重点变得更加易于管理。进一步的过滤会使它变得更糟;例如,过滤掉Alexa前100万个域名的DNS查询,将大大减少需要分析的DNS流量。此外,还有一些使用正则表达式的技术可以捕获格式异常的DNS请求。这样的规则可以捕捉到SUNBURST的受害者识别编码记录查找。
威胁狩猎能捕捉到这种入侵吗?
第四个问题是:SUNBURST是否已经被常规的威胁搜索方法检测到?我们小组的一致意见是肯定的,但是有条件的肯定。首先,我们要承认对手在这次入侵中实践了非常好的opsec。没有独立发现这种入侵(即在指标列表公布之前)的狩猎团队没有理由感到羞愧。与此同时,我们在讨论中讨论的大部分内容,如网络流量分析和王冠资产的监控,可以合理地预计到一些入侵信号,即使这些信号不会告诉团队关于事件性质的太多信息(在消息广泛传播后,缺乏外部背景)。
Joe还谈到了了解对手进入您的环境的路径的重要性;这就是威胁建模可以真正为许多有价值的狩猎活动提供信息的地方。他进一步指出,识别远程登录(特别是奇怪的登录模式)和其他横向移动信号等行为既重要又广泛适用,因为它可以发现一系列活动,从国家支持的真正APT行为到商用恶意软件或勒索软件。
保持管道清洁的技巧
在网络研讨会之前的音频检查中,我们提出了一个问题,一位观众也问了这个问题:如何确保泄露或完全恶意的二进制文件不是管道的一部分?Chad提供了一个类似Git提交预挂钩的方法,其中所有内容都被散列,然后提交到另一个服务器,以验证它是否按预期构建,这可能是一种方法。然而,他也承认,开发速度与这样的措施是不一致的,所以尽可能无缝地进行任何此类检查是很重要的。
毫无疑问,SUNBURST及其相关活动将继续在一段时间内出现在新闻中,更多的组织将发现他们受到了影响。我们向努力缓解这种情况和相关入侵的团队致敬。