“蓝队”的起源
在中国,由于传统习俗与文化因素,一般将红色代表自己,称为“红军”;将蓝色代表假想敌部队,称为“蓝军”。在我国军事领域,蓝军是指在部队模拟对抗演习中,专门扮演假想敌的部队,它可以模仿世界上任何一支军队的作战特征与红军(代表我方正面部队)进行针对性的训练,我国的蓝军组建于2011年。蓝军是世界很多军事强国用来砥砺和检验作战部队的一种方法,经过多年的训练证明是最行之有效的。
蓝队技战术 #1 威胁分析
- 核心是Pivoting
- 基础是丰富化(Enrichment)
- 数据是威胁情报(Threat Intelligence) & 我方情报(Friendly intelligence)
示例:
流行威胁Hunting的小技巧,像Emotet此类大型恶意软件家族,一次攻击行动通常会有多个目标,很多时候我们捕获的样本可能是FUD(完全免杀)的,这个时候可以根据样本特征及YARA进行Pivoting。
蓝队技战术 #2 检测规则
在设计检测规则的时候,通常,我们都会从两个维度进行分析:①.攻击本身的行为特征 ②.攻击执行后的行为特征
举例来说:
1.内网端口扫描
攻击本身特征:
A.攻击武器
B.流量-系统防火墙日志
C.流量-网络层5元组数据(一对多(IP、端口等))
攻击执行后的行为特征:
根据扫描结果进行漏洞利用等操作
2.横向移动
攻击本身特征:
A.攻击武器
B.从主机侧看(系统日志数据),利用某用户尝试登录多台主机
C.从网络侧或图的视角,那就是从A点 ——> B点 ——> [C点]之间的变化。在这种情况下,机器学习算法无疑是最佳的检测方法。
攻击执行后的行为特征:
无或无需关注
蓝队技战术 #3 威胁狩猎(Hunting)与威胁检测(Detection)的区别
示例:
假设Mimikatz dump明文凭据操作会产生事件ID:1000且进程命令行为:XXX
- 威胁检测规则:事件ID为1000且命令行为:XXX
- 威胁狩猎:
假设一:对手使用定制版的Mimikatz
假设二:对手使用自研工具
Hunting查询:取事件ID为1000的数据进行调查
文末再讲个小故事,故事还得回到几年前,当时国内安全行业有过这么一个说法:“基于网络杀链(Cyber Kill Chain®)进行APT检测,主要思路是在网络杀链的每一个环节部署相关的检测设备”。笔者最近又听到了一种类似的说法:“APT检测,只需要在杀链的某个阶段检测对手就可以了”。这两种说法也不是说是错误的,不过笔者认为这里面有个大前提,你必须有“强悍”的检测能力。什么叫“强悍”呢?假设网络杀链上的某个点存在100中攻击手法,除非你能够检测95%的攻击手法,那么上面两种说法才勉勉强强说的通吧!
花絮:
(Sysmon)EventID = 11 AND Image LIKE "%taskmgr.exe" AND TargetFilename RLIKE ".*lsass.*.dmp"
往期精选
围观
热文
热文
天御攻防实验室:
专注威胁感知、威胁猎杀、高级威胁检测,Adversary Simulation、Adversary Detection、Adversary Resilience
天御蓝军:
全球高级威胁研究与对抗
本文始发于微信公众号(天御攻防实验室):入侵对抗中的蓝队技战术 #1 #2 #3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论