简介
在本系列的第1部分中,我们研究了互联网可观察对象(如域名、IP地址、名称服务器等)如何与流行模型(如MITRE)中描述的网络攻击的各个阶段相匹配ATT&CK和网络杀伤链所有这些都是为了帮助SOC人员“向左移动”,在早期或早期攻击之前撤离。在本文中,我们将讨论蓝队在此过程中需要考虑的一些具体目标和目的。显然,每个人都同意抢在攻击者前面是个好主意;但实际情况是如何发生的呢?涉及哪些步骤?要想实现这一目标,需要打什么基础?这就是本文和第3部分发挥作用的地方。
远程预警
冷战时期的核防御战略包括尽早知道敌人是否发射了导弹。美国为此部署的技术之一是一套雷达装置,称为远程早期预警(DEW)线。在卫星图像还没有像今天这样好和实时的时候,DEW线雷达(以及苏联的同类雷达)是核大国为攻击做准备的最佳手段(并不是说你能对飞行时间在20分钟左右的导弹做什么,但那是另一个博客了)。事实证明,在网络安全领域,你也可以构建一个DEW系统。
领先于某些类型的攻击的关键是了解对手正在建立的基础设施。回顾一下冷战时期的类比,这就是间谍飞机和卫星所做的:它们拍摄已知或可疑的导弹基地或空军基地建设,以便各自的政府采取与威胁相一致的防御姿态。恶意域名、托管它们的IP地址以及对它们具有权威的名称服务器都是对手基础设施的关键部分,必须就位并发挥作用,才能开始和进行操作。这个基础设施在攻击场景中如何发挥作用的例子可以是:
- 域:钓鱼电邮欺骗域名;钓鱼链接目标域(用于恶意软件分发或凭据收集);恶意软件命令和控制(C2);数据泄露服务器
- IP地址:托管服务于入侵或攻击任何阶段的域名;攻击者客户端机器;C2或泄露的硬编码目的地
- 域名服务器:域名到IP地址的解析,用于上述任何目的;用于DNS隧道技术的泄露或C2服务器
关于所有这些基础设施组件的数据和元数据对于分析对手的想法是非常宝贵的。一个优秀的分析人员可以对基础设施做出很多有用的推断,而不必等待流量进出基础设施时会发生什么。
何时,如何,如果检测和阻止
在一个完美的世界里,防御者总是在恶意攻击开始之前就知道,因此可以在每次已知的对手基础设施被使用时阻止它。在现实世界中,有些时候防御者可以一直走到“boom的左边”,而有些时候,了解新出现的攻击的唯一方法是在发现正在进行的攻击的至少某个阶段之后。在第一种情况下,你可以阻止任何特定的活动。在第二种情况下,您可以中断正在进行的入侵,或者至少拥有关于可能已经成功的攻击的良好取证数据。
攻击前
一些入侵或攻击依赖于模拟目标公司或可能与目标受害者共享敏感信息、联合登录凭据、供应链等的另一家公司的域。乐动体育官网下载通过监控新创建的域名,这些域名会欺骗你自己的公司和你的内部圈子,比如你的供应或分销链,你可以针对新注册的恶意域名建立检测乐动体育官网下载或阻止规则。其他攻击可能是您以前暴露的活动的一部分,因此可能使用您可以通过监视识别的基础设施,并在对手使用之前阻止它。
入侵过程
互联网可观察对象可以根据(非常基本的时间顺序)钓鱼邮件、到中期工具服务器的连接、到C2的连接或到泄露目标的连接触发警报。分析人员可以从中找到相关的基础设施,并在此基础上创建检测或阻塞规则;但是,只有及时捕获一些早期阶段的流量,组织才能避免“繁荣”中最糟糕的部分。如果在后期被发现,手术就更像是法医鉴定,而不是预防。
无论何时,只要您有入侵或攻击的证据,您的组织就会受到攻击,显然,为其启用(或创建)检测非常重要。在许多情况下,特别是当对给定指标的评估的置信度不是很高时,组织会选择检测过度阻塞。对于屏蔽可能是无辜的域名,人们的沉默是可以理解的;此外,许多组织中的威胁英特尔团队与管理安全控制的人员是分开的,后者最终负责做出决策。“信任阈值”深深植根于一个组织的安全DNA;一些商店采用了零信任模式,在默认-拒绝的标题中有精心策划的允许列表。有些策略不允许流量到*任何*新创建的域,不管任何风险评分可能适用于他们。只有您的安全领导才能根据威胁建模、风险承受能力、业务需求和各种其他考虑因素决定置信度阈值的位置。
使用互联网可观测数据推断对手TTPs
在本讨论中,我们将讨论两类战术、技术和过程(TTPs)。
- 标准ttp:在MITRE ATT&CK和其他框架中定义的ttp
- 基础设施TTPs:参与者在基础设施配置中展示的模式,以支持活动
您可以使用Internet可观察物来推断对手这两类的ttp。对于标准ttp,以下是一些合理的推论:
- 欺骗目标组织的域通过拼写错误,相似的域名等:鱼叉式网络钓鱼,商业电子邮件泄露,凭据收集,伪造,电子商务欺诈,其他欺诈
- 具有高熵名称的域可能是由域生成算法(DGA)创建的:命令和控制(C2),泄露,恶意软件分发
- 不寻常的/长子域字符串: DNS隧道数据泄露或C2
当您检测到任何这些类别的域名的DNS查找或实际流量时,您可以对所讨论的域的意图进行有根据的猜测,并且可以对参与者试图完成的任务形成可测试的假设。您还可以推断入侵或攻击的进度可能在哪里。到达C2域的流量意味着攻击者已经在您的网络中至少建立了一个最小的立足点,这带有一组特定的IR含义。对欺骗您的组织或与您共享敏感信息的组织的域的流量(或DNS查找)表明处于早期入侵阶段。您可以根据所看到的上下文进一步缩小欺骗域的使用范围。例如,如果它出现在您的SMTP日志中,这表明它可能是对手模仿您组织中某人的电子邮件地址进行的鱼形钓鱼尝试的一部分——当然,如果发送了这样的电子邮件(或阻止/隔离),这将得到确认。如果在HTTP/S日志中出现欺骗域,则可能是凭证收集操作。
域生成算法(dga)使用无意义的名称创建域。其中一些是随机组合的字符,而另一些则是随机组合的真实单词。如果您发现到这样一个域的异常流量,那么机器人很有可能正在使用到该域的通信来访问后期工具或窃取数据。
DNS隧道是一种流行的对抗技术。有多种检测方法,如中所述这篇来自SANS的优秀论文;一些需要注意的事情是异常长的DNS A记录或TXT记录请求字符串。这些字符串可以被散列或加密参与者泄漏到相关域的内部数据表示。
基础设施ttp是恶意行为者在注册和托管用于攻击活动的域时遵循的可识别模式。要发现这些模式,需要一个旋转的调查工具,例如DomainTools虹膜,它允许您通过公共链接数据点映射相关的基础设施。这种模式的一个例子可以是一组共享这些特征的域:
- 注册商
- 命名方案
- 托管提供商
- IP范围或ASN
- 创建日期在一个狭窄的范围或一组范围内
- SSL证书或元数据(SSL组织名称等);自签名证书
- MX记录或SPF规则
请注意,作为域的连接器或特征符,每个项本身可能是无趣的,但结合起来,它们可以让您“三角测量”一组公共基础结构。在本博客的第3部分中,我们将更详细地讨论如何进行这种分析。
从狼开始,追踪狼群
假设您正在监视新的域名注册,以防止域名欺骗您的组织,或与您共享敏感数据的其他公司,并且您得到了一个结果。这个区域暗示了早期的攻击阶段资源开发或初始访问(ATT&CK)或交付(杀伤链)。通过研究注册和托管OSINT,您可能会发现其他基础设施看起来像是a)连接到欺骗域和b)暗示后期攻击阶段的准备。现在,您有了一组指示器,可以通知您的检测工程,也可能通知您的阻塞/电子邮件隔离/深度数据包检查规则。
关键的外卖
- 攻击者将基础设施用于操作的各个阶段,并且几乎总是以Internet可观察物的形式留下一些线索
- 这些可以形成一种远程预警系统,用于早期入侵或攻击
- 这些指标可以形成针对特定对手或活动的检测或阻止规则的基础
- 您可以使用这些Internet可观测数据来推断对手的ttp
- 在ATT&CK、杀伤链等中定义的常规ttp
- 特定于基础设施的ttp(注册/托管模式)
- 找到这些指标中的任何一个都可能导致发现一个更大的活动,它可能是活跃的,也可能是休眠的,等待被激活
在下一篇文章,我们将了解如何动手使用这些分析技术来保护您的组织。