结合DecoyMini蜜罐,攻击源画像的思考与实践

admin 2025年1月12日21:45:01评论6 views字数 2067阅读6分53秒阅读模式

 DecoyMini蜜罐支持对攻击源进行画像,包括攻击者的基本信息、主机特征、浏览器特征、曾使用服务,系统会提炼出攻击者攻击行为特征(TTP),支持日志的多要素钻取分析。
    在自动化的基础上,通过高交换蜜罐,依托分析人员的挖掘,可以从四个方面:
攻陷指标(IOCs)基础设施(INS)战术技术(TTP)攻击组织(Threat Actor),逐步进阶形成完整的攻击源画像。

结合DecoyMini蜜罐,攻击源画像的思考与实践

01

攻陷指标(IOCs)

   【基础信息】攻陷指标(IOCs)指提取的攻击源使用的文件Hash、恶意域名、攻击源IP、C&C域名、恶意证书Hash等。也包括观测的行为特征,即该攻击源在攻击时可观测到的一系列网络侧和系统侧行为特征,如访问特定的C&C节点、特定的扫描行为、在特定时间发送钓鱼邮件、尝试上传某类Webshell等。

    【蜜罐效用】蜜罐采集包括网络数据、系统日志、应用日志、文件等数据。情报平台通过数据去重、报警优化、日志富化、迭加关联、白名单过滤形成本地化的情报。目前通过蜜罐捕获的生成IOCs总量在16.62万,都是当下活跃的IOCs。开源情报和蜜罐的内生情报互为补充。

结合DecoyMini蜜罐,攻击源画像的思考与实践

    【画像关联性IOCs与组织为弱关联,IOCs更换的成本非常低,比如采用DGA或 fast-plux等技术会快速变化其IOCs,进而就造成部分IOCs情报不太准确。在实际使用过程中,IOCs的生命周期也相对较短。

结合DecoyMini蜜罐,攻击源画像的思考与实践

02

基础设施(INS)

    【基础信息INS即指该攻击组织所拥有的命令控制服务器、下载服务器、跳板群、僵尸网络、IP、域名、社工库、使用的工具、恶意软件、通信工具等攻击资源。这里需要区别一般自动化攻击和高级威胁攻击。

    高级威胁攻击大量借助加密隐蔽通信手段,攻击行为非常接近正常网络应用。高隐蔽攻击发现的一个重要方法依据指控通联中的隐蔽通信、数据回传隐蔽通信特征,主被动方式发现高隐蔽攻击节点,再梳理出攻击路径。攻击路径(APM是在攻击面管理(ASM之后最近比较火的一个概念。高隐蔽攻击攻击路径包括:

      • 指控通联隧道:命令控制服务器、下载服务器、跳板群、僵尸网络下行路径

      • 数据回传通道:数据打包节点、数据中转节点、隐蔽回传节点等数据上行路径

    【蜜罐效用】蜜罐可以捕获整个攻击链条,包括采用端口扫描、漏洞入侵、暴力破解、webshell后门植入、恶意程序上传、持久化,尝试外联命令控制服务器、横向扩散等攻击行为。蜜罐的反制是这个环节很重要的一个能力。

    【画像关联性】基础设施与攻击组织的关联性,可根据不同类型攻击资源,赋予不同的关联性强度,高隐蔽攻击节点及其攻击路径可以认为是强关联;IP和设备指纹可认为是中关联;唯一性的社工库可认为是强关联,而通用的漏洞则认为是弱关联

结合DecoyMini蜜罐,攻击源画像的思考与实践

03

战术技术(TTP)

    【基础信息目前业内最常用的MITRE提出的ATT&CK,从大量的现实网空威胁中提炼出攻击行动的技术战术打法。

    【蜜罐效用】蜜罐能够提供攻击的技术,战术,过程(TTPs)描述,聚合攻击者完成任务所经历的所有过程,为全面分析个人或攻击团体的攻击行为提供支持。

    【画像关联性TTPs与攻击组织为强关联,APT攻击最终还是资源的对抗,攻防双方都会基于成本去考虑问题。针对目标的价值不同、防御能力不同而投入不同的攻击成本是攻击方的一个策略。TTPs的更换比攻击基础设施更换的成本要大很多。

结合DecoyMini蜜罐,攻击源画像的思考与实践

04

 攻击组织(Threat Actor)

    【基础信息攻击方对应的组织或团体或个人,包括但不限于APT攻击组织、黑产团伙、羊毛党。攻击组织的画像主要包含几个要素:角色、成员、攻击动机、组织能力级别、攻击资源级别、过往的攻击活动等。

      • 角色:指在一个威胁组织中的不同分工,比如有的是专门写恶意软件的,有些是实施攻击,植入恶意软件的。当然也有可能1人从事多个角色的工作。

      • 攻击动机:了解威胁参与者的动机可能会让分析师或防御者更好地了解可能的目标和行为。

      • 组织能力级别:一个创新的、高技能的威胁行为人可能接触到很少的资源,而一个最低级别的行为人可能拥有有组织犯罪集团的资源。个人的能力与具备的攻击资源级别并不完全对应。

      • 攻击资源级别:小团体,或者是正式组织,或者拥有丰富资源的有资金赞助的组织、政府级别的组织等。

      • 过往的攻击活动:即指该攻击源曾被监测到参与过的安全事件。

    【蜜罐效用】可以通过高交互蜜罐的交互数据,以及分析人员的挖掘,通过较长时间的数据积累,横向关联威胁情报,归因画像,揭示出后台的攻击组织。

    【画像关联性根据组织的细粒度可分为二级(例如境外、羊毛党等)和三级(例如APT28相关组织、XX团伙等)标签。二级标签为弱关联性,三级标签为强关联性。过往的攻击活动,比如APT或定向性攻击事件可认为是强关联,大规模扫描、常见漏洞利用可认为是弱关联。

结合DecoyMini蜜罐,攻击源画像的思考与实践

平台访问地址:https://ti.watcherlab.com/

结合DecoyMini蜜罐,攻击源画像的思考与实践结合DecoyMini蜜罐,攻击源画像的思考与实践

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号(全栈网络空间安全):结合DecoyMini蜜罐,攻击源画像的思考与实践

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月12日21:45:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   结合DecoyMini蜜罐,攻击源画像的思考与实践https://cn-sec.com/archives/1110243.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息