KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险

admin 2022年9月3日01:39:59评论72 views字数 2402阅读8分0秒阅读模式
  //  

KCon黑客大会,秉承着追求干货、乐于分享的精神,力求为每一位热爱网络安全技术研究的伙伴打造一个尽情展示、尽情交流的舞台。今年为期2天的第11届KCon黑客大会线上直播,已于8月28日圆满结束。本届KCon以“+1 进阶,护航未来”为主题,期望通过这一年一度的技术前沿分享盛会,不断为护航未来网络空间安全贡献“+1”的力量,助力网络安全技术发展的不断进阶!


大会首日,来自【知道创宇404实验室APT高级威胁情报团队】 两位演讲人K×NaN,在开场分享了知道创宇近年来在威胁情报获取及APT狩猎方面的新思考以及新成果。


KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险


KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险


传统APT狩猎竟暗藏顽疾


威胁狩猎指借助威胁数据、分析技术和专家经验,主动搜索、识别网络中未知威胁的过程,其核心思想是假设存在威胁,并开展主动和持续的搜索发现,以缩短发现攻击者踪迹所需时间和提高响应处置能力。

而目前传统的APT狩猎分为自动化狩猎和人工狩猎,由于每个人能力不一致,经验不一样,会导致大家对取证、数据分析以及组织掌握程度有所偏差,从而导致不一样的结果。

由此,传统狩猎方式也带来了5个很明显的问题:

01


数据来源问题:任何厂商的数据采集能力都无法覆盖所有的受害者主机。

02


滞后问题:每次发现都基于用户手动上传样本或合作方自动上传样本,而此时已经存在受害者遭受入侵。

03


数量问题:一个样本往往只对应一个IOC,但显然每款木马各组织不会只用一次,后面再次使用相同木马,其IOC配置就不知道了。

04


绕过问题:每个样本的MD5,甚至主机行为逻辑,代码结构等,可能变化较快,从而出现了绕过。

05


自动化框架部署落地问题:威胁模型只有在有明确界定范围的系统方式下才能发挥作用,它没有办法在没有明确系统或目标的前提下,就直接去套用。


转攻为守,向前防御


由于APT高级威胁情报团队研究发现,目前狩猎的目标都是在目标网络进行狩猎,但是目前所有的攻击来源都来源于互联网,且目标网络最好的狩猎结果也只是用很短的时间去捕获攻击和阻断攻击。

因此他们提出了几个问题:

01


既然这些攻击都来自于互联网,那我们能不能从互联网当中去进行狩猎,或者进行搜索发现呢?

02


有没有什么方法能做到直接在互联网中进行狩猎呢?

03


我们如何发现当前万维网中存在的攻击,或者提前发现即将发生的攻击?


因此【知道创宇404实验室APT高级威胁情报团队】提出了“向前防御”的概念,即变传统防御思想,从保护目标网络免受攻击,到主动去发现互联网中即将发生的攻击或正在发生的攻击行为,从而做到提前防御,及时阻断正在发生的攻击和提前布防即将到来的攻击。
结合知道创宇多年核心的ZoomEye测绘数据能力,团队进行了基于测绘的APT研究,从而做到了向前防御。

目前已有的基于测绘的APT探测方式有两种,行为测绘和积极测绘。

首先是行为测绘,APT组织有着不同武器,例如不同的RAT木马或渗透工具,根据这些武器我们可以提取到基础设施中所搭建和使用的服务端的指纹信息特征,包括banner、端口、所开放的一些服务等等,根据这些提取到的特征,就可以形成网空引擎搜索语句进行搜索,依据搜索结果进行数据分析,筛选分散与收敛,就可以将最终出现的特征结果绑定到它所对应的武器或组织身上。

通常APT组织会掌握较多的基础设施(IP/域名),对于这些基础设施,一般组织通常不会对每个基础设施都进行单独管理或部署,所以这些基础设施之间必然会存在一定的相似之处。当我们使用行为测绘掌握其中一个或者多个基础情况,就有可能通过被动测绘找到剩下未使用的基础设施,从而做到在攻击者攻击之前提前掌握其资产。

积极测绘简单来说就是“以其人之道,还治其人之身”,因为从攻击链来看,不管是攻击者是以何种方式进来的,要想达到它的目的,首先在命令控制这一块,其持续时间是最长的,我们就可以根据这段持续时间最长的窗口期时间,去进行积极测绘。我们通过分析并构建客户端和服务端两端的交互逻辑来寻找全网APT基础设施,当我们分析并构建好C/S端的收发逻辑后,就可以发现它所使用的数据加密方式,从而找到其主机指纹信息了。


APT情报测绘技术造就强大产品


目前所有的威胁来源分为已知和未知2类,基于测绘的APT探测针对已知和未知两种威胁进行测绘尝试,包括已捕获到的入侵事件、1/N-Day、已知后门、以及未公开后门HASH、未知样本、未知IP域名等,面对这类威胁来源进行行为测绘和积极测绘,其效果极其显著与明显。

知道创宇猎幽APT流量监测系统作为一款专门针对活跃APT组织的流量检测分析工具的产品,之所以这么强大,正是使用了上述技术。

首先,立足攻防,拥有多年实战经验。通过长年对APT攻击的分析及追踪积累的经验,协同一线作战单位对APT进行检测分析,实时跟踪APT最新动向。

其次,拥有几十个最活跃的针对中国的APT组织最新线索及攻击特点。多年一线的APT对抗作战经验,对几十个APT组织进行常年跟踪并了解其所有特点,目前已拥有上千个精选样本规则。

最后,也是最重要的,即基于测绘能力的 APT 探测。基于ZoomEye全球的上千个节点,能在1天内完成APT最新基础设施的全球IP测绘,准确、快速地掌握攻击链条,及时发现潜在APT攻击组织的网络设施,以便进一步采取相关措施,并快速同步给NDR设备,将APT攻击阻止在萌芽状态。

以上三点,再结合全流量存储、全流量日志存储&快速搜索,为威胁分析、溯源取证提供了有力的保障。


近年来,具备国家背景的APT攻击有愈演愈烈的趋势,复杂度高、对抗性强、隐蔽性强,黑客组织开始针对能源、金融等国家基础行业进行有计划的APT攻击,以图达到窃取情报、获取商业信息等目的。知道创宇猎幽APT流量监测系统也会继续脚踏实地,不断进步,以实战锤炼产品,为国家网络安全提供真正可靠、可用、有效的网络安全产品及服务。


KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险

原文始发于微信公众号(知道创宇):KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月3日01:39:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   KCon议题揭秘:看创宇猎幽如何利用APT测绘发现潜在危险http://cn-sec.com/archives/1273349.html

发表评论

匿名网友 填写信息