DecoyMini蜜罐支持对攻击源进行画像,包括攻击者的基本信息、主机特征、浏览器特征、曾使用服务,系统会提炼出攻击者攻击行为特征(TTP),支持日志的多要素钻取分析。
在自动化的基础上,通过高交换蜜罐,依托分析人员的挖掘,可以从四个方面:攻陷指标(IOCs)、基础设施(INS)、战术技术(TTP)、攻击组织(Threat Actor),逐步进阶形成完整的攻击源画像。
01
攻陷指标(IOCs)
【基础信息】攻陷指标(IOCs)指提取的攻击源使用的文件Hash、恶意域名、攻击源IP、C&C域名、恶意证书Hash等。也包括观测的行为特征,即该攻击源在攻击时可观测到的一系列网络侧和系统侧行为特征,如访问特定的C&C节点、特定的扫描行为、在特定时间发送钓鱼邮件、尝试上传某类Webshell等。
【蜜罐效用】蜜罐采集包括网络数据、系统日志、应用日志、文件等数据。情报平台通过数据去重、报警优化、日志富化、迭加关联、白名单过滤形成本地化的情报。目前通过蜜罐捕获的生成IOCs总量在16.62万,都是当下活跃的IOCs。开源情报和蜜罐的内生情报互为补充。
【画像关联性】IOCs与组织为弱关联,IOCs更换的成本非常低,比如采用DGA或 fast-plux等技术会快速变化其IOCs,进而就造成部分IOCs情报不太准确。在实际使用过程中,IOCs的生命周期也相对较短。
02
基础设施(INS)
【基础信息】INS即指该攻击组织所拥有的命令控制服务器、下载服务器、跳板群、僵尸网络、IP、域名、社工库、使用的工具、恶意软件、通信工具等攻击资源。这里需要区别一般自动化攻击和高级威胁攻击。
高级威胁攻击大量借助加密隐蔽通信手段,攻击行为非常接近正常网络应用。高隐蔽攻击发现的一个重要方法依据指控通联中的隐蔽通信、数据回传隐蔽通信特征,主被动方式发现高隐蔽攻击节点,再梳理出攻击路径。攻击路径(APM)是在攻击面管理(ASM)之后最近比较火的一个概念。高隐蔽攻击攻击路径包括:
-
指控通联隧道:命令控制服务器、下载服务器、跳板群、僵尸网络下行路径。
-
数据回传通道:数据打包节点、数据中转节点、隐蔽回传节点等数据上行路径。
【蜜罐效用】蜜罐可以捕获整个攻击链条,包括采用端口扫描、漏洞入侵、暴力破解、webshell后门植入、恶意程序上传、持久化,尝试外联命令控制服务器、横向扩散等攻击行为。蜜罐的反制是这个环节很重要的一个能力。
【画像关联性】基础设施与攻击组织的关联性,可根据不同类型攻击资源,赋予不同的关联性强度,高隐蔽攻击节点及其攻击路径可以认为是强关联;IP和设备指纹可认为是中关联;唯一性的社工库可认为是强关联,而通用的漏洞则认为是弱关联。
03
战术技术(TTP)
【基础信息】目前业内最常用的MITRE提出的ATT&CK,从大量的现实网空威胁中提炼出攻击行动的技术战术打法。
【蜜罐效用】蜜罐能够提供攻击的技术,战术,过程(TTPs)描述,聚合攻击者完成任务所经历的所有过程,为全面分析个人或攻击团体的攻击行为提供支持。
【画像关联性】TTPs与攻击组织为强关联,APT攻击最终还是资源的对抗,攻防双方都会基于成本去考虑问题。针对目标的价值不同、防御能力不同而投入不同的攻击成本是攻击方的一个策略。TTPs的更换比攻击基础设施更换的成本要大很多。
04
攻击组织(Threat Actor)
【基础信息】攻击方对应的组织或团体或个人,包括但不限于APT攻击组织、黑产团伙、羊毛党。攻击组织的画像主要包含几个要素:角色、成员、攻击动机、组织能力级别、攻击资源级别、过往的攻击活动等。
-
角色:指在一个威胁组织中的不同分工,比如有的是专门写恶意软件的,有些是实施攻击,植入恶意软件的。当然也有可能1人从事多个角色的工作。
-
攻击动机:了解威胁参与者的动机可能会让分析师或防御者更好地了解可能的目标和行为。
-
组织能力级别:一个创新的、高技能的威胁行为人可能接触到很少的资源,而一个最低级别的行为人可能拥有有组织犯罪集团的资源。个人的能力与具备的攻击资源级别并不完全对应。
-
攻击资源级别:小团体,或者是正式组织,或者拥有丰富资源的有资金赞助的组织、政府级别的组织等。
-
过往的攻击活动:即指该攻击源曾被监测到参与过的安全事件。
【蜜罐效用】可以通过高交互蜜罐的交互数据,以及分析人员的挖掘,通过较长时间的数据积累,横向关联威胁情报,归因画像,揭示出后台的攻击组织。
【画像关联性】根据组织的细粒度可分为二级(例如境外、羊毛党等)和三级(例如APT28相关组织、XX团伙等)标签。二级标签为弱关联性,三级标签为强关联性。过往的攻击活动,比如APT或定向性攻击事件可认为是强关联,大规模扫描、常见漏洞利用可认为是弱关联。
平台访问地址:https://ti.watcherlab.com/
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):结合DecoyMini蜜罐,攻击源画像的思考与实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论