目前,已經(jīng)有不少敢為人先的組織都將威脅狩獵作為安全運營工作的一部分,并且收獲了不小的效果。威脅狩獵強調(diào)通過“人”主動去尋找入侵痕跡,而不是被動等待技術(shù)告警。
威脅獵人長什么樣?
威脅獵人必須具有深入的網(wǎng)絡(luò)知識和安全知識,并能夠在他們的腦海中繪制出網(wǎng)絡(luò)圖。他們對應(yīng)用程序和系統(tǒng)的專業(yè)理解使他們能夠識別表明攻擊者存在的明顯跡象。他們應(yīng)該是什么樣呢?也許是美女與野獸組合。
威脅狩獵團隊的人員組織,需要7種角色,有些角色可以合并為一個人,不一定是7個角色7個人。
系統(tǒng)管理員:主要針對SIEM系統(tǒng)的維護以及威脅狩獵平臺的管理。
狩獵初級分析師:使用SIEM系統(tǒng)和威脅狩獵平臺,處理報警和一些基本平臺使用。
狩獵中級分析師:具有威脅情報、日志分析能力,具有滲透測試和網(wǎng)絡(luò)協(xié)議知識。
狩獵高級分析師:具有風(fēng)險等級評估、漏洞管理、網(wǎng)絡(luò)包和日志深度分析能力、以及惡意軟件分析能力。
取證專家:對于內(nèi)存、硬盤要有專業(yè)的取證知識,可以做時間鏈分析。
狩獵工具開發(fā)人員:要具備開發(fā)經(jīng)驗,可以自動化一些狩獵場景。
惡意軟件分析工程師:主要負責(zé)惡意軟件的逆向,熟悉匯編語言等內(nèi)容。
安全情報人員:具有情報資深經(jīng)驗,能夠篩選、使用、開發(fā)威脅情報。
威脅狩獵金字塔模型
擁有一個相對完整的狩獵團隊之后,還需要一個相對清晰的理論模型來指導(dǎo)大家完成狩獵行動。某種意義上來說,威脅狩獵功能是從頂部1級開始,然后逐漸下沉5級,如下圖所示。在頂部是采用高置信度的警報,例如防病毒,IDS等被動方法,主要是針對確定異常情況自動告警。當(dāng)然底部才是威脅狩獵所需的核心功能,更加關(guān)注人的作用。在模型底部,針對不同置信度的各種指標(biāo),需要進一步調(diào)查才能確定。例如,可以執(zhí)行一組預(yù)定義的場景用例,當(dāng)然也可以將這些用例內(nèi)置到威脅狩獵工具中。最后,從包括SOC等平臺中,生產(chǎn)出新的用例并執(zhí)行它們。
威脅狩獵金字塔模型
當(dāng)然,所有狩獵場景實例,都建立在廣泛的安全專業(yè)知識基礎(chǔ)上,這些專業(yè)知識可以不斷驅(qū)動生成新的用例,包括諸如來自紅隊的攻擊成功案例的反饋,相關(guān)攻擊技術(shù)公開資料(例ATT&CK),事件響應(yīng)團隊反饋等。
因此,通過模型將廣泛的安全經(jīng)驗帶入用例生成,執(zhí)行,分析,適當(dāng)?shù)淖詣踊约霸诳赡艿那闆r下進行自動警報。如上圖的頂部黑色部分主要集中在技術(shù)上,它使用自動化和分析功能使工作效率更高。但是并沒有完全自動化的工具,因此極大部分狩獵是需要人工介入。
需要特別注意的是,威脅狩獵者不能簡單地執(zhí)行有限的不變狩獵場景實例。否則,攻擊者只需要切換技術(shù)就可以逃過雷達監(jiān)控。相反,獵人需要持續(xù)更新生成用例,才能真正體現(xiàn)“人”價值。當(dāng)然,威脅狩獵工具可以簡化該過程。如果某些用例產(chǎn)生特別明顯的結(jié)果,則可以將其反饋到自動化中,在將來以更高的優(yōu)先級向威脅狩獵者突出此類情況,或者只是在將來加快執(zhí)行速度。
威脅狩獵實例
威脅狩獵的核心是執(zhí)行一系列狩獵場景(或假設(shè))繼而尋找存在攻擊的證據(jù)。通過分析大量不同維度的數(shù)據(jù)和指標(biāo)來判斷是否存在異常和攻擊行為。
Credential Dumping用例
憑證轉(zhuǎn)儲是攻擊指標(biāo)(IOA)的一個示例。已知的APT組(例如APT1、28和Axiom)已使用此技術(shù)。轉(zhuǎn)儲的憑證可用于執(zhí)行橫向移動并訪問受限制的數(shù)據(jù)集。出于此用例的目的,通過使用MimiKatz實現(xiàn)了憑證轉(zhuǎn)儲。例如,在Windows中,安全帳戶管理器(SAM)數(shù)據(jù)庫存儲本地主機的本地帳戶,并且可以使用多種工具通過使用內(nèi)存技術(shù)來訪問SAM文件中的信息。其他工具包括Pwdumpx,Gsecdump和WCE-但是,尋找這些工具并不一定會產(chǎn)生任何結(jié)果。
(1)Credential Dumping攻擊過程復(fù)現(xiàn)實例
如下實例所示,通過任務(wù)管理器選擇lsass.exe,然后再轉(zhuǎn)儲內(nèi)存,創(chuàng)建一個轉(zhuǎn)儲的文件,之后可以選擇procdump或者說mimikatz這類工具把實際內(nèi)存中憑證dump出來,獲得認證信息。
(2)Credential Dumping攻擊的檢測分析
然后這個檢測起來相對來說會復(fù)雜一些。例如,攻擊者?般都會通過powershell執(zhí)?惡意命令,?且在執(zhí)?powershell時,必然需要使?參數(shù)–exec bypass來繞過執(zhí)?安全策略,這是?個很強的檢測點。然后再用mimikatz等工具將憑證dump出來。
如下所示檢測分析實例,是指進程訪問了lsass.exe,訪問的行為包含了GrantedAccess(Windows系統(tǒng)自帶的進程訪問編碼)這幾個字段。此外該進程還調(diào)用了一些DLL。在這個基礎(chǔ)上,再查看父進程一些相關(guān)信息,就能判斷肯定存在威脅。按照正常來說的一些程序,他不會去通過這些的訪問方式來去訪問lsass.exe的。
綜上所述,檢測這類技術(shù)需要對進程、進程命令行參數(shù)、powershell日志、API等進行監(jiān)控,獲得一個綜合數(shù)據(jù)。
Powershell用例
以下面場景為例,攻擊者通過外部魚叉式網(wǎng)絡(luò)釣魚活動個,實現(xiàn)三個戰(zhàn)術(shù)“發(fā)現(xiàn)、憑據(jù)訪問和命令控制(CC)”。攻擊者實現(xiàn)這些戰(zhàn)術(shù)的痕跡都被記錄下來,通過青藤獵鷹·威脅狩獵平臺將這些攻擊動作映射到ATT&CK框架中,并且可以知道攻擊者是如何利用Powershell實現(xiàn)攻擊戰(zhàn)術(shù)。
這樣,針對powershell狩獵就擁有了一個假設(shè)觸發(fā)點,并且可以基于這種可靠的、擁有上下文場景的威脅情報來提高SOC針對Powershell的敏感性。這個場景也能夠說明威脅狩獵平臺產(chǎn)生的威脅模型可以傳遞給SOC。例如,SOC可以進行關(guān)聯(lián)并檢查是否存在異常地理位置IP與靶機建立通信。
寫在最后
當(dāng)然想要實現(xiàn)威脅狩獵,需要利用一些平臺工具方可實現(xiàn)。首先,需要能夠收集到高質(zhì)量的數(shù)據(jù);其次,還需要能夠解決異構(gòu)數(shù)據(jù)源頭的連接問題。最后,還需要一個強大分析引擎,能夠支持復(fù)雜的分析算法,此外還需要一個靈活的分析員。
在這樣背景下,青藤正式推出了獵鷹•威脅狩獵平臺。該平臺集成了大約50余類原始數(shù)據(jù),并且內(nèi)置了超過100余類ATT&CK檢測模型,能夠更簡單、有效幫助解決安全數(shù)據(jù)匯集,數(shù)據(jù)挖掘,事件回溯,安全能力整合等各類問題。
通過青藤獵鷹威脅狩獵平臺,也可以將攻擊者的行為實時映射到MITER框架,幫助安全人員加強他們?nèi)肭中袨榈睦斫猓M快輸出對威脅狩獵假設(shè)。它還使我們能夠識別威脅參與者在欺騙環(huán)境中移動時正在使用的不同技術(shù),這些技術(shù)可能會并行觸發(fā)單獨的搜尋。沒有這些數(shù)據(jù),該假設(shè)的制定將耗費大量時間和資源。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )