入侵檢測鑽石模型和基於網路的威脅複製

我最近在 BSides DC 峰會上與 Chris·Ross 一起演示了複製對手在攻擊過程中使用的（這裡指紅軍也就是攻擊者）後期漏洞利用工具以及諜報技術。在演講期間，我們簡要的介紹了「特殊對手模擬模擬」的概念，並且在一個很高的層次上討論了如何利用入侵分析的鑽石模型作「對手模擬模擬」的框架。為了更好地解釋這個概念，我決定最好在博客文章中擴展我們的想法，所以這篇文章相對較長。

和我的大部分文章一樣，我會儘力提供儘可能多的參考資料。我在整篇文章中引用了以下內容，並且希望和確保這些內容的原作者能獲得他們應得的讚揚：

1. 原始的白皮書：入侵分析鑽石模型，作者： 塞爾吉奧卡爾塔吉羅，安德魯·彭德格斯特，和克里斯托弗·貝茲

2. 概念的總結：鑽石模型總結，塞爾吉奧卡爾塔吉羅

3. 威脅複製博文：推桿熊貓，麥基拉斐爾

4. PUTTER PANDA(推桿熊貓) 的APT分析報告： 推桿熊貓，Crowdstrike

如何複製威脅？

我之前發表過一些關於紅軍行動及在發起此類行動所需要的各種組件和注意事項的文章。威脅複製練習是紅軍行動的一個子集。在這些練習中，紅軍負責建模和模擬特定威脅，以便在環境中衡量檢測，響應和緩解的有效性。這種方法既有優點也有缺點，並且經常需要大量的資源來準確地複製對手。

經常有人會問我一個問題，但是這個問題直到現在也沒有一個讓人滿意的答案：你在缺少可用的商用威脅情報的情況下，如何複製對手的行動操作，意圖還有目標，能力等等？我目前還不知道有其他任何已被紅軍團隊廣泛接受的明確定義攻擊團隊如何有效地模擬威脅的一些框架。在我自己刷新了對鑽石模型的認識之後，我在紅軍團隊的環境中看到了明確的價值，這些價值可以更好地影響紅軍在交戰過程中如何有效地模擬模擬對手。

這是一個什麼樣的模型？

概述

由卡爾塔吉羅，安德魯·彭德格斯特和克里斯托弗·貝茨 在2013年發表了入侵分析鑽石模型的白皮書。該模型基於集合和圖論，並努力為正確分類入侵活動而創建了一個框架。模型的基礎是一個原子元素（「事件」），並由至少四個互連（鏈接）的特徵（節點）組成：對手，基礎設施，能力和受害者。事件是對手為了實現其目標所必須採取的整個完整的攻擊路徑中的一個步驟。活動線是表示操作者執行的操作流程的一系列有序事件序列。線可以在各種活動之間進行關聯和匹配，以形成共享通用戰術，技術和過程（TTP）的活動組。

從任何一個特定的特徵中，入侵分析人員均能夠觀察到其他鏈接元素（節點）的活動。例如，從受害者出發，分析人員將能夠識別事件中動用的能力和使用的基礎設施。同樣，從能力或基礎設施出發，入侵分析人員也可以觀察對手的情況。

現在，讓我把這些原語分解一下。

對手

入侵分析鑽石模型—Axiom 2：現實中存在一夥兒對手（可能是內部人員，外部人員，個人，團體和組織），其目的在於破壞計算機系統或網路以進一步實現其意圖並滿足其需求。

對手是一個定義為惡意行為負責的人的模型特徵。雖然是一個簡單的概念，但它可以很容易地劃分出對手消費者及其操作者。消費者是對手定義最終目標的行動和接收收集到的情報的組成部分。操作者是負責執行操作的技術組件。

能力

此模型特徵側重於描述和定義對手所使用的工具和技術。需要重點關注的是，在某個惡意事件或活動線內部，僅可能觀察到對手的軍火庫的能力的有限子集，也就說無法準確的衡量對手的所有能力。

基礎設施

此模型特徵能描述了交付，策劃，控制以及通信這些能力所使用到的物理的和邏輯的資產。在白皮書中，作者定義了兩種類型的基礎設施：

類型I - 完全由對手控制或擁有的基礎設施。

類型II – 由不情願的中間人控制或擁有的基礎設施。

基礎設施特徵可以顯示出有關於對手的一些被調查的惡意行為的有趣細節; 然而，基礎設施也可以用於將多個惡意行為鏈接到單個對手。互聯網服務提供商（ISP）是基礎設施功能的子組件，它可以用作識別不同事件之間的潛在關係的選擇器（攻擊者通常在不同的行為中重複使用相同的ISP）。此外，可以對基礎設施類型（基於雲的，VPS，數據中心，私人/住宅等）進行特別有趣的觀察，因為它反映了對手運用基礎設施的方法，這可能在整個大的活動中不會發生太大改變，特別是那些有組織分工且跨多種操作功能（開發人員，操作員，網路操作等）的對手。

受害者

受害者模型特徵描述了受害者的通用分類，例如行業，市場，組織或人物，以及受害者遭到攻擊的資產的具體分類。在有針對性攻擊的案例中，受害者通常是一種對手達到目的的手段，並且是被對手所利用的基礎設施中的一部分。這一點可以在攻擊鏈的早期階段比較明顯的確認，在攻擊鏈中，系統輕易的被入侵是因為在特權提升時的技術重要性導致的。例如，如果對手試圖入侵一個針對性很強的組織時，他們往往可能會首先入侵一個目標組織的已知用戶所使用的且易受攻擊的web伺服器。接下來，他們可以在該網站上進行「水坑」攻擊，以便在該組織中獲得初步的立足點。通過憑證濫用（如爆破密碼等），他們將橫向滲透擴展到可用的系統上去，最終獲得域管理員許可權。從這一點上來講，被入侵的資產對最終的目標並沒有直接的影響，而只是讓它們在獲得目標之前保持了立足點。

元特徵/擴展模型

除了基本特徵之外，還有元特徵，其關注和定義更高級別的結構以及描述模型中基本特徵之間的關係。在展開的鑽石模型中，兩個關鍵的元特徵的加入，既擴大了入侵分析的關係也涉及到了入侵分析的複雜性：即社會政治因素和技術。

社會政治元特徵定義了對手在所有的惡意活動中的基本意圖或目標。這關係到對手的動機以及更大的攻擊戰略，這是非常關鍵的一點，因為它是一個側重於受害者心理學的概念。對手的意圖和目標導致了他們所選擇的受害者，以及這些受害者在他們的宏偉計劃中該如何發揮出作用。

技術元特徵引入並擴大了基礎設施和特徵之間的關係。這個元特徵將所有的後端技術聯繫在一起，並使得特徵與基礎設施之間的通信成為可能。像DNS，雲VPS，被入侵的博客站點等等都有可能落入到這個功能領域，並有助於攻擊者繼續發揮能力。

放在一起看

把它們放在一起後，一個事件可以定義為：

使用此模型，事件響應團隊可以將鑽石模型上的活動進行分類觀察並做為事件的某一個方面，然後從單個特徵開始調查。當分析關於該節點的相關數據時，他們能夠關聯到相應的特徵以擴展關於認識對手的一些知識。此外，該模型允許防禦者使用活動分組，詳細描述共享TTP的模式，並對特定威脅的參與者及其跨多個事件的活動進行連接和分組。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！