在第1部分在本系列中,我们研究了互联网可观察对象(如域名、IP地址、名称服务器等)如何适应流行模型(如MITRE)中描述的网络攻击的各个阶段ATT&CK和网络杀伤链所有这些都是为了帮助SOC人员“向左移动”,在早期或早期攻击之前撤离。在第2部分,我们检查了您的组织在更大的威胁情报和蓝队行动中可能围绕使用互联网可观测物开发的一些目标。在本系列的最后一部分中,我们将看看如何使用各种DomainTools应用程序和数据集来操作我们在前两部分中研究的理论。
特征符、连接器和标识符
关于域名、IP地址、名称服务器或其他Internet资产的各种元数据可以为分析师提供各种目的。我们可以将它们非正式地分为以下几类:
- Characterizers
- 连接器
- 标识符
顾名思义,characterizers告诉你一些关于基础设施元素的事情。特征符的例子有:
- 域名
- 风险评分
- 国家
- (很少)Alexa排名(可能有助于找出被入侵的合法域名)
- 网站响应码
- MX, SPF记录
- 截图
你可能已经猜到了,连接器是帮助您找到相关资产的轴心点。有时连接器单独工作(例如名称服务器具有一组紧密相关的域,它是权威的)或组合工作(一种单独无兴趣的连接器模式,它们共同构成对DNS OSINT的查询基础,可以将看似不相关的资产联系在一起。连接器包括:
- 唯一的电子邮件(相对于隐私服务联系信息)(注册人或授权开始[SOA])
- 注册人联系方式
- IP地址
- SSL散列、主题、组织或电子邮件
- 名称服务器有时是连接器,(很少)是标识符
- 谷歌分析代码
- 重定向
- 子域
识别对手是它自己的一件麻烦事,如果不出一两本书,至少值得它自己的博客系列。对恶意行为者的积极识别通常是难以捉摸的,而且对蓝队来说很少真正重要。然而,将各种资产与一个共同参与者联系起来的“John Doe”简介是有价值的。因此,一些数据点可以作为标识符:
- 组织名称
- 电子邮件地址(注册人或SOA)
- 注册人的名字
- 域名服务器
- SSL证书信息
记住,这些标识符中的名字不一定是真实的名字才能成为有用的标识符。如果一个演员一直使用相同的假名字,这仍然是有用的标识符。而且,正如您可能猜到的那样,根据具体情况,许多数据点可以符合上述两种甚至所有三种类别。我们看了一个例子UNC 1878Ryuk基础设施,在一系列域中使用“lol”作为SSL组织:
这是一个连接器因为(在撰写本文时)大约有140个域共享该数据点,并且a描述因为“lol”几乎证实了这些域名不属于提供备份或其他it相关服务的善意公司。
在攻击前识别对手的基础设施
有时可以在恶意资产被操作之前识别它们。对于防守者来说,这是最理想的情况,虽然不总是可能的,但有时是可能的。可以通过以下方式主动监控新的休眠基础设施:
- DomainTools PhishEye监控新域名注册的精确和模糊匹配给定的关键字。大多数组织都是从通过phiheye UI或API监控自己的名称(或多个名称,因为大型组织通常有多个名称或品牌)开始的,以便在这些资产上线时构建检测或阻止列表来保护它们。也值得考虑监视与您公司有敏感业务往来的任何其他组织,因为欺骗可信的合作伙伴是一种常见的鱼叉式钓鱼攻击。
- 使用DomainTools虹膜调查API,匹配代表特定活动“指纹”的标准的查询可以显示符合这些标准的新域名注册。在上面的例子中,可以编写Iris API调用脚本,每天检查SSL组织为“lol”的新域。通常,这些指纹包含几个部分;常见的是名称服务器,注册商,TLD,和SSL字段,有时结合操作符,如“域名以。”
- 为了使这些过程自动化,许多组织构建SOAR剧本,将检索DomainTools命中的步骤与创建内部检测或拒绝列表相结合.
- 另外一个步骤是,为SOAR增加了复杂性,但大多数运行此类技术的组织仍然能够掌握它在监视工具显示的领域上自动化一些枢轴,从而扩大检测或阻断的范围。这样的剧本将使用下一节所描述的技术。
阻止正在进行的入侵
假设攻击者试图攻击目标公司的一名员工。乐动体育官网下载网络钓鱼被ATT&CK、Kill Chain和类似的模型识别为早期活动。如果这个网络钓鱼被识别出来(理想情况下是在任何人成为受害者之前,但有时只有在事后才会被识别出来),与网络钓鱼相关的基础设施就可以作为一个起点,以确定网络钓鱼行为者持有的额外资产的情况。大多数网络钓鱼电子邮件具有取证价值,因为攻击基础设施涉及以下一种或多种方式:
- 发送电子邮件的域名可能是目标公司自己的域名乐动体育官网下载
- 该电子邮件可能包含一个连接到对手C2基础设施的恶意软件
- 可能会有一个到凭据收集域、路过下载站点等的链接。
在Iris中搜索这样一个域,分析人员将经常在收集到的关于该域的数据中找到一个或多个连接器或特征符。以连接器为中心可能会产生与第一个领域密切相关的其他领域。
引导枢轴是虹膜调查的UI和API功能,它突出了在开发对手持有的图片时最有可能获得回报的枢轴。如果共享该属性的域的数量大于0且小于500(默认情况下),则突出显示枢轴。当连接域的数量在这个范围内时,这些域之间存在关系的可能性要比数量更高时高得多。例如,电子邮件地址“abuse@enom.com不是一个有用的枢轴,因为数百万个域名共享该电子邮件地址。相比之下,与某人对应的电子邮件地址更有可能连接更少的域,而且这些域之间也更有可能是积极连接的。与每个数据点绑定的计数由虹膜调查API返回,因此引导枢轴可以形成自动查找序列的一部分。
有了一组扩展的基础设施,分析人员可以形成假设,指导响应、狩猎和防御行动。这些假设包括:
- 控制网络钓鱼域的行动者专门针对我的组织
- 他的目标是我所在行业的多个组织
- 来自网络钓鱼的域名只是更大活动的一个组成部分
- 这个网络钓鱼不是我的组织第一次接触这个行动者控制的资产,也不会是最后一次
然后,分析人员可以及时地展望未来和回顾,以测试这些假设:
- (回到过去)搜索日志/SIEM在Iris开发的相关基础设施中任何域或IP的早期命中
- (及时前进为任何相关的基础设施配置警报
在时间上更进一步的展望将是使用Iris Investigate API重复找到相关基础设施的查询,以防止参与者继续提出其他资产,这些资产共享帮助分析师找到第一组相关域的相同连接器或特征符。
检测或阻止来自网络钓鱼的任何与该域名相关的对手域名可能有助于挫败攻击。例如,假设一些相关的域用于C2、后期工具的下载或数据泄露。一旦发现网络钓鱼,立即封锁这些域名可能足以阻止这场活动。基于在Iris中发现的连接而封锁新的基础设施也可能识别或阻止同一行动者发起的全新活动。
寻找相关情报
威胁情报有很多希望,也有很多挑战。最终,唯一对防御者有实际用处的威胁情报是与组织相关的情报。现有的威胁情报比任何组织都要多得多,更不用说个人了。然而,开发具有相关锚的情报不仅是可能的,而且在大多数安全部门的掌握范围内从这里讨论的一些地方开始:欺骗组织的域或与其共享敏感信息的域,或与起源于受保护环境的恶意或可疑流量密切相关的域。DomainTools已与全球各地的许多安全团队合作,他们正在使用这些技术取得重要进展,以击败广泛的对手,从大规模传播的商品恶意软件机会主义者到国家支持的具有重要能力的演员。我们希望您的组织也会发现这些技术是富有成效的。