之前,我們已經(jīng)對ATT&CK進(jìn)行了一系列的介紹,相信大家都已了解,Mitre ATT&CK通過詳細(xì)分析公開可獲得的威脅情報(bào)報(bào)告,形成了一個巨大的ATT&CK技術(shù)矩陣。誠然,這對于提高防御者的防御能力、增加攻擊者的攻擊成本都有巨大作用。但或許是出于獵奇心理,很多威脅情報(bào)報(bào)告更多地是在報(bào)道攻擊者使用的比較新穎有趣的技術(shù)方法,而卻忽視了攻擊者反復(fù)使用的普通技術(shù)。這也是Mitre公司在2019年10月份的ATT&CKcon2.0大會上,推出了ATT&CK Sightings項(xiàng)目,以期借助社區(qū)力量收集更多直接觀察數(shù)據(jù)的原因所在。
對此,一些安全公司通過在真實(shí)環(huán)境中所收集的直接觀察數(shù)據(jù)來檢測攻擊技術(shù),這種方法直觀性更強(qiáng),也更具說服力。Red Canary是美國一家從事信息安全的網(wǎng)絡(luò)安全公司,負(fù)責(zé)對客戶環(huán)境中的終端數(shù)據(jù)進(jìn)行大規(guī)模檢索,來尋找攻擊者。Red Canary分析了過去五年里,其客戶環(huán)境中發(fā)生的一萬多起惡意事件,并將惡意事件中使用的技術(shù)與ATT&CK框架進(jìn)行了映射。
本文將通過對比Mitre ATT&CK的Top 20攻擊技術(shù)及Red Canary基于ATT&CK的Top 20攻擊技術(shù),確定了攻擊者最常用的七項(xiàng)ATT&CK技術(shù),并對其進(jìn)行了詳細(xì)分析。
Mitre公司 VS Red Canary Top 20攻擊技術(shù)
Mitre ATT&CK 通過整合、分析400多份公開的威脅情報(bào)報(bào)告,將技術(shù)報(bào)告中的內(nèi)容與ATT&CK技術(shù)進(jìn)行了映射,MITRE ATT&CK整理得出的Top 20攻擊技術(shù)為:
Red Canary通過對過去五年里,其客戶環(huán)境中發(fā)生的一萬多起惡意事件進(jìn)行分析,得出了威脅事件利用每種ATT&CK技術(shù)的頻率,如下圖所示:
從圖中我們看到,Red Canary 分析得出的Top 20攻擊技術(shù)為:
對Mitre ATT&CK和Red Canary分別整理得出的Top 20技術(shù)進(jìn)行對比分析,我們可以發(fā)現(xiàn)有7項(xiàng)技術(shù)是重合的,分別為PowerShell、腳本執(zhí)行、命令行界面、注冊表Run Key/ 啟動文件夾、偽裝、混淆文件或信息、憑據(jù)轉(zhuǎn)儲?;蛟S,這應(yīng)該是防御者建立防御方案的著手點(diǎn)。
下表展示了這七項(xiàng)技術(shù)在Red Canary 和Mitre ATT&CK Top 20攻擊技術(shù)中的排名次序和出現(xiàn)次數(shù)。
希望讀者能夠通過上表中的數(shù)據(jù),進(jìn)一步了解攻擊者對這七種技術(shù)的使用頻率和在攻擊者中的流行程度。下面,我們詳細(xì)分析這七種技術(shù)。
攻擊者最常用的TOP7攻擊技術(shù)
1. “Powershell”備受攻擊者青睞
PowerShell是Windows操作系統(tǒng)中包含的功能強(qiáng)大的交互式命令行界面和腳本環(huán)境。攻擊者可以使用PowerShell執(zhí)行許多操作,包括發(fā)現(xiàn)信息和執(zhí)行代碼,例如,用于運(yùn)行可執(zhí)行文件的Start-Process cmdlet和在本地或在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行命令的Invoke-Command cmdlet。
默認(rèn)情況下,PowerShell基本上已包含在每個Windows操作系統(tǒng)中,提供了對Windows API的完全訪問權(quán)限,包括數(shù)百個供開發(fā)人員和系統(tǒng)管理員使用的功能,但同樣也遭到攻擊者的大肆利用。像許多核心平臺實(shí)用程序一樣,PowerShell庫很容易獲得,因此也很容易實(shí)現(xiàn),能夠暴露任意進(jìn)程中的完整PowerShell功能。
那么該如何進(jìn)行檢測呢?進(jìn)程監(jiān)控是最普遍有效的技術(shù)。進(jìn)程監(jiān)控可以讓防御者確定在其環(huán)境中使用PowerShell的基準(zhǔn)。進(jìn)程命令行監(jiān)控則更有效,可以洞悉哪些PowerShell實(shí)例試圖通過編碼命令傳遞有效負(fù)載并以其他方式混淆其最初意圖。除了PowerShell腳本的默認(rèn)主機(jī)之外,腳本還可以在加載PowerShell框架庫的其他進(jìn)程中執(zhí)行。要查看該行為,觀察模塊負(fù)載以及進(jìn)行分析以提供其他上下文,從而為檢測提供支持。
2. “腳本執(zhí)行”不容忽視
攻擊者可能會使用腳本來幫助進(jìn)行操作并執(zhí)行其他本來應(yīng)該是手動進(jìn)行的多項(xiàng)操作。腳本執(zhí)行對于加快操作任務(wù),減少訪問關(guān)鍵資源所需的時間很有用。通過直接在API級別與操作系統(tǒng)交互,而無需調(diào)用其他程序,某些腳本語言可以用于繞過過程監(jiān)視機(jī)制。Windows的常用腳本語言包括VBScript和PowerShell,但也可以采用命令行批處理腳本的形式。
安全工具和人工分析的快速發(fā)展讓攻擊者很難使用公開的攻擊載荷或者直接從磁盤獲取相關(guān)載荷。因此,攻擊者需要找到替代方法來執(zhí)行有效載荷并執(zhí)行其他惡意活動,這是腳本相關(guān)技術(shù)日益流行的主要原因。此外,該技術(shù)利用的運(yùn)行時環(huán)境、庫和可執(zhí)行文件是每個現(xiàn)代計(jì)算平臺的核心組件,不能輕易禁用,并且沒有始終對其進(jìn)行密切監(jiān)視。
在Windows上,Windows腳本宿主(WSH)最簡單的檢測用例是基于process ancestry的。這包括監(jiān)視從shells命令(cmd.exe、powershell.exe)、Office應(yīng)用程序、Web瀏覽器和Web服務(wù)處理程序中生成的wscript.exe或cscript.exe。還建議監(jiān)視從非標(biāo)準(zhǔn)位置執(zhí)行的腳本,例如用戶可寫路徑,包括appdata\local\*、其他類似路徑以及臨時目錄。
此外,監(jiān)視進(jìn)程元數(shù)據(jù)、進(jìn)程命令行和文件修改都是非常重要的策略。檢測與托管腳本相關(guān)的二進(jìn)制文件的可疑模塊加載(例如vbscript.dll)的檢測系統(tǒng)也是值得采取的策略。
當(dāng)然最徹底的辦法就是禁用Windows腳本宿主,也可以強(qiáng)制對腳本進(jìn)行簽名,以確保僅執(zhí)行批準(zhǔn)的腳本。諸如AppLocker之類的工具還提供了與腳本執(zhí)行相關(guān)的其他約束。這些是預(yù)防策略,但也可用于檢測之用,因?yàn)閲L試執(zhí)行未經(jīng)授權(quán)的腳本應(yīng)產(chǎn)生更高質(zhì)量的報(bào)警信號。
3. “命令行界面”也是黑客最愛
命令行界面提供了一種與計(jì)算機(jī)系統(tǒng)進(jìn)行交互的方式,并且是許多類型的操作系統(tǒng)平臺的共同功能。Windows系統(tǒng)上的令行界面是cmd,可用于執(zhí)行許多任務(wù),包括執(zhí)行其他軟件。命令行界面可以通過遠(yuǎn)程桌面應(yīng)用程序、反彈Shell會話等在本地或遠(yuǎn)程進(jìn)行交互。執(zhí)行的命令以命令行界面進(jìn)程的當(dāng)前權(quán)限級別運(yùn)行,除非該命令進(jìn)行進(jìn)程調(diào)用,更改執(zhí)行權(quán)限(例如計(jì)劃任務(wù))。
命令行界面發(fā)展至今,已經(jīng)有大量的成熟工具可以使用。此外,命令行界面是一個非常輕便的應(yīng)用程序,打開時不會給硬件帶來負(fù)擔(dān),因此打開起來更快。而且在基于GUI的應(yīng)用程序上完成的所有任務(wù),能夠通過命令行界面更快地打開。
針對這類攻擊,可以通過使用命令行參數(shù)正確記錄進(jìn)行執(zhí)行情況來捕獲命令行界面活動。通過深入了解攻擊者時如何使用本地進(jìn)程或自定義工具的,可以進(jìn)一步了解攻擊者的行為。這就需要做到以下兩方面:(1)了解組織機(jī)構(gòu)中應(yīng)用程序的常見來源;(2)收集命令行和相關(guān)的檢測數(shù)據(jù).
4. “注冊表run key/啟動文件夾”是實(shí)現(xiàn)持久化的關(guān)鍵動作
在注冊表的“run keys”或啟動文件夾中添加一個條目,將會導(dǎo)致用戶登錄時,該程序會運(yùn)行該條目。這些程序?qū)⒃谟脩舻纳舷挛闹袌?zhí)行,并具有與賬戶相同的權(quán)限級別。
注冊表run key和啟動文件夾歷來都是各類攻擊者實(shí)現(xiàn)持久化的重要目標(biāo)。根據(jù)Microsoft文檔,對注冊表run key的支持至少可以追溯到Windows95。有可靠記錄表明,作為一種持久化機(jī)制,加之易于實(shí)施,該技術(shù)在一定程度上解釋了其為何在攻擊者中使用非常普遍。攻擊者僅需要用戶級別的權(quán)限,并具有寫入注冊表或?qū)⒂行ж?fù)載拖放到啟動文件夾的功能。
雖然實(shí)現(xiàn)起來相對簡單,但非常有效。隨著時間的推移,該技術(shù)已經(jīng)從引用可執(zhí)行有效負(fù)載發(fā)展為加載動態(tài)庫,并利用了其他技術(shù)(例如regsvr32和腳本執(zhí)行)。針對該攻擊技術(shù),可以在持久化機(jī)制生命周期的三個不同點(diǎn)上有效地實(shí)現(xiàn)檢測:安裝時、休眠時以及觸發(fā)時。
在安裝時檢測run key和啟動文件夾項(xiàng)目需要監(jiān)視特定注冊表和文件系統(tǒng)路徑的變更情況??梢酝ㄟ^平臺文檔或通過引用一些實(shí)用程序來報(bào)告是否存在這些配置來列舉這些路徑。此外,可能會成功檢查任何已知與這些路徑結(jié)合使用的文件類型,例如LNK。要檢測已安裝且處于休眠狀態(tài)的持久化,可以檢查同一注冊表和文件系統(tǒng)路徑的內(nèi)容中是否存在可疑條目。創(chuàng)建一個基準(zhǔn)并定期監(jiān)視是否有偏移基準(zhǔn)的情況,以此來減少調(diào)查工作量。
當(dāng)然,持久化永遠(yuǎn)不會單獨(dú)發(fā)生,它始終是達(dá)到目的的手段。因此,監(jiān)視預(yù)期某些變更會涉及哪些進(jìn)程以及尚未觀察到的進(jìn)程之間的關(guān)系也是非常有效的。
5. “偽裝”是繞過防御的最佳辦法
偽裝是指為了逃避防御和觀察而操縱或?yàn)E用合法或惡意的可執(zhí)行文件的名稱或位置的情況。攻擊者利用偽裝作為繞過防御技術(shù)的手段或欺騙手段。攻擊者使用該技術(shù)通過使惡意可執(zhí)行文件和軟件看起來合法或預(yù)期來破壞機(jī)器和人工分析。偽裝的實(shí)現(xiàn)范圍很廣,從簡單地重命名可執(zhí)行文件(從而讓這些文件看起來更像是正常系統(tǒng)進(jìn)程)到更復(fù)雜的方法(例如命令行欺騙)。偽裝在攻擊者中使用很普遍,因?yàn)樗鼭M足了繞過防御技術(shù)和人為分析的簡單需求,并且相對容易實(shí)施。
檢測偽裝技術(shù)的一種策略是利用二進(jìn)制元數(shù)據(jù),例如在文件創(chuàng)建或簽名時的原始文件名。例如,如果要查找wscript.exe,則應(yīng)查找具有該名稱的二進(jìn)制文件,也應(yīng)查找具有原始文件名WScript的任何二進(jìn)制文件。
雖然,可以檢測名稱或元數(shù)據(jù)為wscript.exe的任何二進(jìn)制文件,但基于文件的簽名、哈希或其他標(biāo)識符并不可信。因此可對文件位置建立一個基準(zhǔn),對上述方法進(jìn)行補(bǔ)充。如果我們了解給定二進(jìn)制文件通過哪個路徑執(zhí)行,則可以在其他任何地方看到該標(biāo)志時,就可以觸發(fā)報(bào)警。
6. “混淆文件或信息”可逃避基于簽名的檢測系統(tǒng)
攻擊者可能會試圖通過加密、編碼或其他方式混淆系統(tǒng)上或傳輸中的可執(zhí)行文件或文件內(nèi)容,從而使其難以發(fā)現(xiàn)或分析。這是一種可以跨不同的平臺和網(wǎng)絡(luò)使用,以繞過防御的常見行為。
許多網(wǎng)絡(luò)安全檢測產(chǎn)品(防病毒軟件、IDS等)設(shè)計(jì)為基于惡意軟件的簽名運(yùn)行。一旦發(fā)現(xiàn)了在野使用的特定惡意軟件變體,便會提取出該惡意軟件的獨(dú)特功能,并用于在未來感染中對其進(jìn)行檢測和識別。將通過網(wǎng)絡(luò)邊界或下載到主機(jī)的每條數(shù)據(jù)與這些簽名進(jìn)行比較。如果找到匹配項(xiàng),則將采取措施(刪除、隔離、警報(bào)等)。
混淆的目的是繞過這些基于簽名的檢測系統(tǒng),并增加對惡意軟件樣本進(jìn)行取證分析的難度。如果以某種方式混淆了簽名所基于的數(shù)據(jù)或代碼,則檢測引擎在尋找純文本簽名時就無法找到匹配項(xiàng)。
存在許多混淆算法,例如壓縮、編碼、加密、隱寫等等。惡意軟件使用者可以隱藏各種不同類型的文件和數(shù)據(jù)。例如,惡意軟件可能被設(shè)計(jì)為使用混淆來隱藏其惡意代碼?;蛘?,惡意軟件變體可能會對其配置文件進(jìn)行加密,從而使惡意軟件分析師更難于理解其功能。
想要檢測混淆文件或者信息,除非在混淆過程留下了可以檢測到的獨(dú)特偽像,否則很難檢測文件混淆。如果無法檢測,則可以去檢測執(zhí)行混淆文件的惡意活動(例如,用于在文件系統(tǒng)上寫入、讀取或修改文件的方法)。標(biāo)記并分析包含混淆指示符和已知可疑語法(例如未解釋的轉(zhuǎn)義字符,如'''^''' 和'''"''')的命令。反混淆工具可以用來檢測文件/有效載荷中的這些指標(biāo)。
此外,可以在網(wǎng)絡(luò)上檢測到用于初始訪問的有效載荷中使用了哪些混淆方法。還可以使用網(wǎng)絡(luò)入侵檢測系統(tǒng)和電子郵件網(wǎng)關(guān)篩選來識別壓縮和加密的附件和腳本。某些電子郵件附件展示系統(tǒng)可以打開壓縮和加密的附件。通過網(wǎng)站從加密連接傳遞的有效載荷需要進(jìn)行加密的網(wǎng)絡(luò)流量檢查。
7. “憑據(jù)轉(zhuǎn)儲”讓黑客在內(nèi)網(wǎng)為所欲為
憑據(jù)轉(zhuǎn)儲是從操作系統(tǒng)和軟件獲取帳戶登錄名和密碼信息的過程,通常是哈?;蛎魑拿艽a形式的信息。進(jìn)行憑據(jù)轉(zhuǎn)儲后,攻擊者就可以使用憑據(jù)進(jìn)行橫向移動及訪問受限信息。
憑據(jù)轉(zhuǎn)儲是攻擊者訪問目標(biāo)組織中的用戶帳戶和其他資源的共同需求。攻擊者還利用轉(zhuǎn)儲的憑據(jù)來實(shí)現(xiàn)權(quán)限提升和橫向移動。憑據(jù)對于攻擊者而言是如此重要,以致在許多情況下,獲取用戶名和密碼不僅是達(dá)到目的的手段,而且是攻擊的整個目標(biāo)。因此,在各種犯罪論壇上,憑據(jù)都是可出售的商品,并且有些網(wǎng)站可以追蹤公開的憑據(jù)轉(zhuǎn)儲情況。除了將轉(zhuǎn)儲憑據(jù)用于出售和初始訪問外,憑據(jù)是漏洞利用后的一個重要部分。一旦攻擊者獲得對環(huán)境的初始訪問權(quán)限,通常需要某種級別的特權(quán)訪問權(quán)限才能實(shí)現(xiàn)攻擊活動中的進(jìn)一步目標(biāo)。雖然有很多方法可以提高特權(quán)級別,但是最有效和可靠的方法之一是使用具有特定級別權(quán)限的人員的合法憑據(jù)。
憑據(jù)可以從內(nèi)存中以純文本格式提取。監(jiān)視對特定進(jìn)程的訪問可以為防御者提供一種檢測憑據(jù)轉(zhuǎn)儲的方式。這種檢測方法很容易產(chǎn)生大量誤報(bào)事件,因?yàn)椴僮飨到y(tǒng)的內(nèi)置功能也可以訪問這些過程。防御者要重點(diǎn)關(guān)注潛在問題進(jìn)程之間的交互來減少這種噪聲。
檢測是否存在憑據(jù)轉(zhuǎn)儲的另一種方法是分析常用工具,并使用其他數(shù)據(jù)源作為相關(guān)點(diǎn),基于留下的指紋來制定檢測策略。注冊表項(xiàng)和文件修改就是一個很好的切入點(diǎn)。
寫在最后
我們之前已經(jīng)針對ATT&CK框架進(jìn)行了一系列的介紹,有興趣的讀者可以閱讀一下之前的相關(guān)文章。但是,ATT&CK框架包含了300多種技術(shù),而且每種技術(shù)又包含多種變體。面對一個體型如此龐大的框架,可能會讓人有些望而卻步,一臉茫然,不知該從何處入手。本文通過對比分析MITRE ATT&CK和Red Canary總結(jié)分析的Top20攻擊技術(shù),發(fā)現(xiàn)其中有七項(xiàng)技術(shù)是重合的,突出說明了這七項(xiàng)攻擊技術(shù)在攻擊者中的普遍性,是需要防御者重點(diǎn)關(guān)注或是建立防御方案時的著手點(diǎn)。本文對這七項(xiàng)技術(shù)進(jìn)行了簡單的介紹,說明了這些技術(shù)能夠得到攻擊者青睞的原因所在,并給出了檢測策略,希望能夠?yàn)樽x者使用ATT&CK框架帶來一些幫助。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!