Threat Hunting
0x00 威脅狩獵大綱
威脅狩獵的目的是縮短入侵發現的時間,它的價值在於你只需要花費數千美元進行補救而不是花費數百萬美元來事後公關處理。然而,許多組織仍然沒有專業的hunting Team。 有證據顯示38%的入侵行為是由第三方或外部實體曝光而不是由受害組織自己發現。為了降低這個數字,降低安全開銷,我們必須假設入侵行為已經發生,並且在發生損害之前尋找證據。
一些人認為,威脅搜索可以從威脅情報源中搜索已知指標(IoCs),但是,儘管如此,但這只是在後視鏡看到前方的危險,例如,從過去的十年中搜索您所在組織的所有遠程訪問工具(RAT)並不是threat hunting。 但是,您可以通過查找整個企業系統上可能的持久性位置並測量某些項目和證書籤名者在其中出現的頻率來發現惡意活動。也就是說在SRC發現問題之前,hunting Team要找到入侵路徑。
起初threat hunting忽悠的成分比較多,今天我們從以下幾個方面探討,轉換我們大腦中固有的認知:
·如何建立hunting Team,回顧了threat hunting的基本概念,獵取團隊所需的知識和經驗,以及團隊尋找的行為類型。
·討論威脅建模框架,狩獵結構的步驟以及評估狩獵效率和功效的指標。
0x01 什麼是Hunting
大多數IT安全活動都是被動的。 他們專註於實施檢測攻擊者行為的安全控制措施,然後在企業網路上識別出威脅指標時進行響應。 這是安全的核心要素。 然而,這也是一種基本的防禦方式,為複雜的對手留出空間,讓他們在網路上「隱瞞」數周,數月甚至數年的時間:充足的時間查找和竊取有價值的數據,或中斷業務運營
相比之下,威脅搜索是保護組織系統的主動方法。 這是在企業網路內積極尋找惡意活動的跡象的過程,而不需要事先了解這些跡象。 它允許您在沒有簽名或已知妥協跡象(IOC)的情況下發現網路上的威脅。
threat hunting的主要目標是減少停留時間。 通過儘早找到防禦的方案,您可以在攻擊者完成目標之前從系統和網路中刪除惡意活動。 通過在入侵早期檢測對手,組織還可以降低範圍和補救的工作量,從而大幅度降低防禦成本。
0x02 hunting Team組成
·事件管理員 - 一位技術人員,了解每種威脅如何使業務面臨風險,並有權指導團隊調查並解決惡意活動的跡象。
·響應分析師 - 一個可以分析來自一個或多個來源的數據,然後記錄和傳達調查結果的人
·惡意軟體分析師 - 可以使用自動化惡意軟體分析工具來理解和反向處理惡意軟體樣本的人員,以及可以為響應分析師生成解碼器和其他實用程序的人員
·運營人員 - 具有系統和網路管理知識,應用程序開發和其他IT功能的人員
0x03 Hunting Team需要尋找什麼
Hunting Team尋找的不是安全操作中心(SOC)中的發現的已知的惡意軟體樣本以及已知的IOC威脅指標。Hunting Team需要專註於揭露攻擊者技術和活動的行為和其他證據。
我們並不是說你的安全團隊應該忽略諸如文件哈希,IP地址和DNS記錄之類的「已知不良」指標。 相反,安全團隊應該創建自動搜索和查詢它們。 自動匹配可以釋放您最寶貴的資產:人力資源。 將這個匹配過程的結果視為警報,對它們進行分類,並將這些發現作為threat hunting的輸入。
作為一種慣例,hunting Team的成員應該研究攻擊者的攻擊工具,技術和攻擊流程(TTP)。
大多數組織都是針對不止一種對手的。 具有金融動機的攻擊者,有黑客行為主義者,還有國家資助的專業團隊。 研究所有可能瞄準你企業的人。 請記住,對手的防守方式不受限制,有些個體會使用在多個威脅分類中進行攻擊。
大多數組織都是針對不止一種對手。 具有金融動機的攻擊者,「黑客行為主義者」和國家資助的黑客團隊。 研究所有可能瞄準你企業的人。 請記住,對手的防守方式不受限制,使用不止一種威脅分類攻擊。
入侵行為指標
隨著攻擊者與環境的交互,他們的行為會產生可用於識別入侵的痕迹。 這些痕迹有幾種,包括但不限於:
·Filesystem metadata
·Network metadata (such as NetFlow and DNS que- ries and responses)
·Application data and metadata
·User and authentication records
例如,如果攻擊者正在使用Microsoft Internet信息服務(IIS)的Internet伺服器應用程序編程介面(ISAPI)篩選器來持久保留網路伺服器上的惡意軟體,則可能會生成:
·One or more malicious files
·Modifications to the IIS configuration file
·User session artifacts in the registry and filesystem
·Authentication from remote access attempts
即使攻擊者採取了很少的行動,如果您收集正確的數據並定期對其進行檢查,那麼這些行為也會留下可追蹤的痕迹。
大多數攻擊者,就像間諜一樣,為了實現他們的目標,必須遵循幾個通用流程。 如果你知道這些通用流程,攻擊者可以查找到這些活動的痕迹。
·訪問受害者環境
·創建並維護外部攻擊者與內部系統控制下的軟體之間的命令和控制(C2)通信
·獲得並利用額外的許可權
·進行網路和主機的偵察
·識別數據,應用程序和感興趣的系統
·訪問一個或多個系統
·收集或銷毀敏感數據
·獲取數據或以其他方式實現目標
在入侵特徵中還有一些更高級的攻擊特徵包括:
·結合多種離散的技術
·發生相對密集的時間段
·包括良性和惡意可執行文件
·獲取並利用某種類型的特權訪問
·涉及一個或多個端點
·更改端點文件系統的內容
0x04 分類未知威脅
1.流行度
你可以通過測量它們在環境中發生的頻率,來分類普通事件和攻擊事件。
複雜的攻擊通常只會影響網路上相對很少數量的系統。因此,稀缺的事件比那些比較流行的事件更有可能是惡意的。
例如,假設您在85%的Windows系統上找到以前未知的二進位文件。這幾乎是肯定的良性軟體。攻擊者不可能在如此高比例的系統上安裝惡意軟體。另一方面,2%的Windows系統上的未知二進位文件可能是成功的釣魚攻擊活動的結果。作為指導原則,低流行率比高流行率更可疑。
在數百個系統上發生大規模暴發疫情的案例很少。 但是,這些規則的例外通常很明顯,例如勒索軟體。
2.遠近程度
分析師可以通過將事件和工單分組到最新和最老的人進行判斷。由於您需要擔心的攻擊大多數仍在繼續,最近發生的攻擊比較老的攻擊更可能是惡意攻擊。
例如,三天前出現在端點上的未知二進位文件比三年前安裝的未知二進位文件更可能代表是正在進行的威脅。 同樣,兩年前沒有更改的註冊表設置比兩天前更改的註冊表設置更不可靠
3.行為模式
有很多行為在單獨考慮的時候是無害的,但是連接到一起就形成了惡意行為
例如,網路上的端點始終與Internet上的伺服器建立連接。 但是,當端點定期與未知伺服器建立連接時,惡意軟體可能會向攻擊者控制的伺服器回連。同樣,登錄每天都會成功並失敗,但來自無效或禁用用戶帳戶的登錄是可疑的。
4.異常行為
偏離標準行為可以幫助您分類未知威脅事件,值得調查的偏差類型包括:
·不尋常的數量和頻率(在24小時內將10GB上傳到外部網站;從一個端點每分鐘嘗試20次登錄嘗試失敗)
·與標準配置的偏差(可執行文件未出現在黃金映像上;新創建的系統與環境中存在幾個月的系統之間的註冊表項差異)
·偏離慣例(不遵循組織命名約定的主機名和文件名)
尋找異常情況的其他地方包括:
·Run and RunOnce keys
·Windows services
·Image file execution options
·Application debuggers
·Registered COM servers
0x05 建立環境基線
在你的團隊開始尋找異常行為和異常模式威脅之前,需要建立對環境的認識,確定預期的活動並創建基線。 你需要找到這樣的問題的答案:
·我們的系統管理員如何與伺服器交互以及從哪裡進行交互?
·哪些帳戶擁有特權組,哪些帳戶是特權組的成員?
·這種環境中常用的遠程執行工具是什麼?
·哪些UserAgent字元串在這裡很常見?
·哪裡是最敏感的數據存儲,以及用戶如何正常訪問數據?
·伺服器到工作站,伺服器到瀏覽器和工作站到伺服器的橫向移動的典型級別是什麼?
0x06 結構化威脅狩獵
儘管你可以在這裡和那裡採取非結構化的方法,但對於大多數威脅搜索活動,你應該建立一些結構。 為每個狩獵定義一個可以步驟重複使用的過程。 這樣可以更輕鬆地衡量結果並評估工具和團隊方法的表現。 它還使您能夠以一致的方式向狩獵向管理層展示調查結果。 定義狩獵過程的最佳方法是應用科學方法:
·說明要解決的問題以及解決問題的假設
·提出收集和分析證據的程序
·定義指標以評估工作的成功
0x07 選擇一個框架
在定義單個 threat hunting之前,選擇一個攻擊生命周期框架是非常有用的,該框架可以打破典型網路攻擊的階段及其在每個階段可能使用的技術。 包括:
·洛克希德馬丁公司的Cyber KillChain
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
·Mandiant的攻擊者生命周期模型。
http://www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/
·我們最喜歡的是MITRE敵對策略,技巧和常識(ATT&CKTM)框架。
https://attack.mitre.org/wiki/Main_Page
0x08 如何結構化
每個狩獵都是不同的,但正如我們前面提到的,根據科學方法構建每一個狩獵都可以幫助您使步驟重複,並且可以測量結果。
第一步:提出一個假設
陳述關於一個或多個對手的合理假設以及他們可能用於進入或堅持你的環境的技術。一個例子可能是:「不良行為者會利用良性和簽名的Windows二進位文件執行惡意活動,這些活動不會被我現有的安全工具標記為可疑。」
第二步:找出證據來證明這個假設
確定可證明或否定假設的證據形式,並確定如何收集證據。 要繼續上面開始的示例,您可以啟用流程執行審計(Windows EID 4688或Sysmon EID 1)並開始匯總:
·進程名稱,路徑,散列和簽名信息
·命令行參數
·捕獲任何網路目標
·由可執行文件載入的DLL
※盤點迄今為止Mirai的7大變種
※釣魚的藝術:三行代碼實現標籤釣魚
TAG:嘶吼RoarTalk |