ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

  • A+
所属分类:云安全

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


近日,全球首场网络安全万人云峰会——第八届互联网安全大会ISC 2020在云端拉开了帷幕。青藤云安全COO程度以“ATT&CK高频攻击技术的分析与检测”为题,分享了ATT&CK高频攻击技术TOP5、以CARET为代表的攻击检测技术方法论等干货内容。


青藤云安全COO  程度


01/CrowdStrike、Red Canary、FireEye披露高频攻击技术



ATT&CK作为近几年炙手可热的攻击框架,对于安全行业的攻击检测具有实践指导。它覆盖的攻击技术庞杂而具体,含12种战术、数百余种技术,近日还新增了“子技术”。对于一般组织机构而言,很难面面俱到去研究分析每一项技术,因此需要结合自身情况有重点、有优先级的处理不同攻击技术。根据国外一些机构发布的报告可以统计出黑客最为高频使用的攻击技术,可以将之作为参考素材,具体内容如下:


CrowdStrike 2020 Threat Report统计,混淆、命令行界面、凭据转储、机器学习恶意软件、Powershell 位列前五。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

数据来源CrowdStrike 2020 Threat Report



据Red Canary 2020 Threat Detection Report统计,进程注入、计划任务、Windows Admin共享、 Powershell占比均在10%以上,总和超过50%。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

数据来源Red Canary 2020 Threat Detection Report



FireEye M-Trends 2020统计的五大最常见攻击技术为:非授权访问(T1086、T1035、T1133),脚本技术(T1064)、混淆文件或信息(T027)。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

数据来源FireEye M-Trends 2020


02丨ATT&CK攻击技术检测分析方法论



在利用ATT&CK攻击技术进行分析与检测落地方面,有一套成熟的方法论,Mitre提出“CARET模型”。如下图所示:从左到右分为五个部分:攻击组织、攻击技术、关联查询分析、数据模型建立、事件采集&数据存储。往往,APT组织从左到右,安全团队从右到左,在“分析”这一列进行交汇。APT组织使用攻击技术进行渗透,安全团队利用安全数据进行数据分类并进行分析,在“分析”环节进行碰撞。


以APT组织FIN5为例,它会采用16种攻击技术,攻击者在执行这些攻击技术时候,在受害组织的网络或者主机上回留下一些表象痕迹和特征。而作为防守方的检测人员,则可以通过事件采集完成一些数据收集,比如sysmon的数据、 Auto runs的数据。然后利用所收集到数据进行数据建模,在中间关联查询分析当中做碰撞完成相关检测。毕竟所有的异常行为,都会在某些维度上留下痕迹,比如在进程、文件等方面。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

CARET分析模型


另外,从攻击检测和分析所需的数据源来看,使用最多就是文件监控、进程监控、进程命令。如果在ATT&CK实现中集成上述三个数据源,就可以最大程度地增加可以创建的检测方案。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

数据源类型分布


03丨ATT&CK击技术检测与分析


在本次分享中,青藤COO程度结合自身研究和实践经验,总结了ATT&CK框架中最高频和最具代表性五大攻击技术(Valid Account、Powershell、Masquerading、Credential Dumping、Scheduled Task),通过对攻击技术概念、攻击技术复现和检测分析三个维度的讲解,使大家全面了解针对ATT&CK攻击研究的三大常规步骤。


Valid Account

有效账号是指攻击者会使用利用漏洞获取凭证访问的权限技术来窃取⼀个特定用户或服务账户的用户名密码或凭证,或者是通过社会工程学侦查获得特定用户或服务账户的用户名密码或证书,从而获得初始访问的权限。


攻击者可能使用的账户分为三类:默认账户、本地账户和域账户。


(1)Valid Account攻击过程复现实例

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


(2)Valid Account攻击的检测分析

通过收集“异常登录”、“账号变更”的数据源,是针对该攻击技术的检测手段的落地基础。例如,对账号变更和异常的登录时间进行监控和分析,尤其是针对那些在非正常时间、非正常地点进行登录行为进行重点监控。如下伪代码所示,将登陆时间在8点-21点且登陆ip在国外的那些行为筛选出来,判定为异常登录。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


Powershell

PowerShell是Windows环境下黑客较为喜爱的攻击工具。攻击者可以使用PowerShell执行许多操作,包括:信息发现和执行恶意代码。


(1)Powershell攻击过程复现实例

黑客可以利用Powershell工具绕过权限对本地发起攻击。例如绕过本地的权限完成执行动作,比如上传xxx.ps1到目标服务器,然后在cmd的环境下,在目标服务器本地执行该脚本。如下伪代码所示,通过ExecutionPolicy Bypass这样一个参数,就可以绕过本地权限执行脚本。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


当然还可以本地隐藏绕过权限执行脚本,如下所示的hidden及相关参数,证明它是隐藏自身的情况,来执行这样的一个脚本。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


还可以通过IEX下载远程的ps1脚本,绕过的一些动作执行这些脚本。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


(2)Powershell攻击的检测分析

如果攻击者获得管理员或系统访问权限,可能会通过注册表或命令行来定义自己的执行策略。我们可以通过收集PowerShell日志,加载的DLL,DLL监控,Windows注册表,文件监控,进程监控,进程命令行参数等数据源,追踪异常黑客的异常活动,发现潜在威胁。


如下所示伪代码实现查找基于powershell的攻击,具体含义是指从事件中查找那些以explorer.exe为父进程启动的powershell进程,这样可以初步判定这就是一个有问题的进程。因为正常情况之下,都是通过Windows主界面窗口去启动powershell,除非该应用是属于自研的运维工具等特殊情况。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


Masquerading

混淆是指为了逃避防御和监控,攻击者会利用伪装,来操纵或滥用合法或恶意的可执行文件的名称或位置。通过对合法应用程序重命名,之后将其放在另外一个受信任的目录,继而规避杀毒软件、EDR等工具检测。在linux环境下,攻击者经常攻击的Linux受信任⽬录是/bin,恶意的⼆进制可执⾏⽂件会重命名为rsyncd或dbus-inotifier。

 

(1)Masquerading攻击过程复现实例

在Windows环境下把恶意exe文件重命名成svchost,放到其他系统目录中运行。如下所示实例,首先完成反弹shell操作,然后将不同名字的恶意程序复制到其它盘中,这也是导致杀毒经常杀不尽的原因之一。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


(2)Masquerading攻击的检测分析

针对此类攻击技术的检测,则需要进行数据收集,包括文件哈希、文件PE元数据、RTLO字符等,分析黑客的恶意活动。


例如下面伪代码,就是指从主机所有的事件中获取所有进程信息,然后将进程的所有哈希值按照进程名进行统计,如果同一个哈希值的进程数大于1,就判断为异常进行报警。具体来说,两个不同进程名的哈希值一样,这极有可能就是同一个恶意进程为了躲避查杀,在不同位置启动。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


Credential Dumping

凭证转储是指从操作系统和软件中获取登录帐户和密码(通常以散列或明文密码的形式)信息的过程。然后攻击者就可以使用凭证执行横向移动并访问需要较高权限才能访问的信息。比如通过内存技术转储SAM数据库文件,常见工具包括Mimikatz、pwdumpx.exe等,也可以使用工具Reg从注册表中提权SAM文件。


(1)Credential Dumping攻击过程复现实例

例如,lsass.exe的内存经常会被转储,以进⾏离线凭证窃取攻击。可以使⽤Windows任务管理器和管理权限,系统⼯具ProcDump,或者mimikatz来实现。

如下实例所示,通过任务管理器选择lsass.exe,然后再转储内存,创建一个转储的文件,之后可以选择procdump或者说mimikatz这类工具把实际内存中凭证dump出来,获得认证信息。

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


(2)Credential Dumping攻击的检测分析

然后这个检测起来相对来说会复杂一些。例如,攻击者⼀般都会通过powershell执⾏恶意命令,⽽且在执⾏powershell时,必然需要使⽤参数 –exec bypass来绕过执⾏安全策略,这是⼀个很强的检测点。然后再用mimikatz等工具将凭证dump出来。


如下所示检测分析实例,是指进程访问了lsass.exe,访问的行为包含了GrantedAccess(Windows系统自带的进程访问编码)这几个字段。此外该进程还调用了一些DLL。在这个基础上,再查看父进程一些相关信息,就能判断肯定存在威胁。按照正常来说的一些程序,他不会去通过这些的访问方式来去访问lsass.exe的。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


综上所述,检测这类技术需要对进程、进程命令行参数、powershell日志、API等进行监控,获得一个综合数据。


Scheduled Task

计划任务是持久化攻击的一种技术,使用at、schtasks和Windows任务计划程序在某个时间执行程序或脚本。


 (1)Scheduled Task攻击过程复现实例

大部分的恶意软件为了在机器上长期存在,都会执行持久化攻击技术。例如,通过命令行的方式去建立一个计划任务,可能会包括计划任务名称,执行文件的路径,计划任务时间,后期可能也会包含反弹shell端口和ip。例如,在Windows系统下,创建一个计划任务:


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测


(2)Scheduled Task攻击的检测分析

在创建计划任务时候,会在服务器上留下痕迹。例如通过对Windows事件日志进行监控,就可以了解可⽤于创建任务的操作。


比如Windows服务器中 Event ID,是数据采集的一个对象。


ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

写在最后

当然想要实现ATT&CK高频攻击技术的检测,需要利用一些平台工具方可实现。首先,需要能够收集到高质量的数据;其次,还需要能够解决异构数据源头的连接问题。最后,还需要一个强大分析引擎,能够支持复杂的分析算法,此外还需要一个灵活的分析员。


在这样背景下,青藤正式推出了猎鹰•威胁狩猎平台。该平台集成了大约50余类原始数据,并且内置了超过100余类ATT&CK检测模型,能够更简单、有效帮助解决安全数据汇集,数据挖掘,事件回溯,安全能力整合等各类问题。




ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测
ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测
ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测
ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测
ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测
ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

-完-

ISC干货-青藤COO程度:ATT&CK高频攻击技术的分析与检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: