威脅情報的層次分析
威脅情報,近幾年來興起的安全熱點,已經從理念到技術再到平臺逐步開始落地。不管是老牌的安全公司還是新興的廠商都正在這方面探索,包括可行的技術方案、交換標準及商業模式。本文著重為讀者介紹一下我所理解的威脅情報的層次,結合近年的自身實踐,提出了一個金字塔模型,希望有助於提升業界對威脅情報的認識。
威脅情報的概念
目前,Gartner對於威脅情報的定義比較廣地被引用:
“Threat intelligence is evidence-based knowledge, including context,mechanisms, indicators, implications and actionable advice, about an existingor emerging menace or hazard to assets that can be used to inform decisionsregarding the subject's response to that menace or hazard.”
這是一個比較理想化的定義,對情報應該包含的資訊量提出了明確的要求,面向高階使用者提供決策依據的完整情報樣式,可以認為是狹義的威脅情報。
事實上,對於大多數的組織機構得不到上述這類準確和全面的情報服務,即便得到也無法採取應對措施。想象一下,即使有安全廠商能夠告訴某個大公司一個安全威脅的背後的組織、國家背景甚至人員資訊(這些都是高階威脅情報的必要組成部分),那又能如何?通常的組織機構不是執法機構,無法對這些情報採取什麼緩解威脅的措施。
對一般的公司組織相對低端的失陷標示(Indicator Of Compromise,IOC/">IOC)可能更為實際些,它由可被邊界安全裝置和主機安全防護軟體所使用的資料所構成,典型的入侵指示器有檔案HASH、IP、域名、程式執行路徑、登錄檔項等,這類威脅情報在下文有詳細的分析。
威脅情報的作用
通過對威脅情報的交換和共享,聯合安全業界各方的力量,整合資訊資源實現更大範圍內的快速響應,以對抗也在不停進化的安全威脅。以下Webroot小紀念品上的圖非常形象地表現了威脅情報所能起到的作用。
目前威脅情報作為一個安全關鍵詞顯得非常火熱,但是顯然被有些寄予了過高的期望,在安全領域不存在什麼單點的銀彈技術。準確及時的失陷標示資料可以幫助使用者快速處理已經或正在發生的威脅,比如黑樣本的HASH、對外連線的C&C及Downloader伺服器的IP或域名,網路邊界裝置或運行於主機上的Agent可以通過簡單的匹配就能發現並採用自動化的應對措施。當用戶試圖分析一個可疑事件時,威脅情報可以為使用者判定可疑事件的惡意性提供有用的參考資料,比如事件所涉及到的IP是否在某些已知的黑名單之中,相關的域名是否被已知的APT活動使用等。
威脅情報的層次
上圖是我們構建的一個展示威脅情報層次的金字塔圖,我們從下到上逐層解釋一下每個層次的資訊構成,所能發揮的作用及分析獲取的方法。
檔案HASH
最底層威脅情報由檔案構成,主要涉及惡意網路活動相關的各種惡意程式碼:Trojan、Backdoor、Downloader、Dropper等。一般來說,檔案樣本是整個事件分析的起點和基礎性資料,其重要性相當於刑事案件調查中最主要的物證,比如凶器和屍體。用於標記檔案的各種HASH是最基本威脅情報資訊,可以方便地用於在目標系統上進行搜尋,如果一個木馬檔案在系統上被發現則物件被感染的可能性就非常大。下圖是Symantec釋出的Butterfly攻擊活動相關的部分檔案HASH列表。
絕大多數檔案HASH的主要問題在於特異性太強,無論是MD5、SHA1、SHA256,只要檔案出現一個位元位的變化就會導致完全不同的HASH值,這個特性在避免誤報的同時也使攻擊者可以通過最簡單的內容修改來躲過檢測,所以一旦被公開揭露,幾乎立即過期。因此,檔案HASH作為入侵指示器基本只能用來發現已發生的事件,對防禦方來說需要用自動化的搜尋匹配機制儘可能用其來縮短從事件發生到發現時間視窗,以儘可能減少損失。
主機和網路特徵
在檔案HASH之上的是通過分析檔案樣本得到的直接關聯的各類基於主機和網路特徵,這些資料可以被用來作為入侵指示器。簡單來說,主機特徵可能包含惡意程式碼在機器上執行時產生的有區分能力的資料,比如程式執行時的Mutex、寫入的登錄檔項、檔案路徑等,網路特徵可能包含對外連線的C&C或元件下載的IP/域名、訪問的URL、通訊協議等資訊。下圖是一個木馬內建的主機與網路特徵資料的例子。
這些資料大多可以通過使樣本運行於受控環境(沙箱和虛擬機器)來獲取,對於對抗強度較高的或無法執行的樣本手工的逆向除錯分析則有可能是必須的,這時就需要很大的時間與精力投入。相較於檔案HASH,這些從檔案中通過靜態或動態分析得到的特徵相對穩定,但改變的代價依然很小,特別是在被公開揭露出來以後,作為入侵指示器的價值也會很快消失。
事件層次情報
在單個樣本相關的資訊以上為事件層次的威脅情報。當我們得到了大量檔案樣本相關的細節以後,通過分析其各個維度上的相似度就可以實現樣本家族的分類。下圖是三個疑似歐洲來源的祕密監控軟體基於樣本特徵的同源性分析,可以看到一些關鍵特徵保持一致,暗示它們有共同的源頭。
通過分析樣本之間的上下游關係,可以推斷攻擊發生時惡意程式碼的進入渠道,從而瞭解對手的攻擊手法,通過魚叉郵件、水坑攻擊、U盤植入還是其他主動性的攻擊,是否利用了安全漏洞,使用了什麼樣的社工技巧。瞭解攻擊的方法對於防禦方調整防護方案,填補漏洞和盲點,使防護更有針對性同時降低成本有重要的意義。下圖是2015年360公司揭露的海蓮花APT事件中攻擊者所使用的惡意程式碼感染方式。
如果收集到的資料包含受害者內部網路和主機的行為,我們還能瞭解攻擊者在受害者內部系統中嘗試進一步獲取控制的方式和方法。因此,要得到的準確的事件層次的威脅情報,需要更多的資料輸入,更多的分析資源投入,所以其得到的結果也包含了更大資訊量。
以下我們整理了基於Lockheed Martin Kill Chain模型各環節中可用於做關聯性分析的維度。
| 偵察跟蹤 | 武器構建 | 載荷投遞 | 突防利用 | 安裝植入 | 通訊控制 | 達成目標 |
| 目標國家 |
特定互斥量 |
惡意程式碼進入方式 |
漏洞利用 |
初始啟動路徑 |
域名註冊資訊 |
目標資料 |
| 目標個體 |
執行流程 |
魚叉郵件 |
社會工程學 |
持續啟動方式 |
域名使用偏好 |
打包方法 |
| 涉及行業 |
加解密方式 |
水坑攻擊 |
偽裝正常模式 |
域名命名偏好 |
傳輸方法 |
|
| 特定功能模組 |
U盤 |
IP所在ASN |
破壞功能 |
|||
| 對抗分析措施 |
主動滲透 |
後門工具 |
||||
| 原始碼工程路徑 |
工具型別 |
|||||
| 特定資料字串 |
工具配置 |
|||||
| 語言編譯環境 |
通訊協議 |
|||||
| 特定數字簽名 |
認證憑據 |
|||||
| 元件組織架構 |
SSL證書 |
|||||
| 特別的錯誤 |
來自Lockheed Martin的一個實際的多個攻擊事件基於要素關聯的例子:
組織情報
基於事件層次的事實收集與分析,我們可能可以分辨出多個攻擊事件背後的同一個組織,並判定組織的來源、分工、資源狀況、人員構成、行動目標等要素。
通過分析對手所使用工具開發維護狀況、突破技術及通訊基礎設施,可以推斷對手的資源狀況。一般來說,使用自己開發的成系列的漏洞利用及控制工具,通訊網路使用了較多的IP、域名及伺服器資源,載荷投遞時顯示出專業的針對性技巧,則可以判斷對手擁有較強的能力,有足夠的資源支援,組織內部可能存在明確的分工。
組織的來源可以通過分析事件涉及的樣本檔案中包含的語言相關的特徵來推斷,比如字串的語言、開發或打包工具的語言版本,對於非可執行的樣本,也可以分析其預設的配置情況。在佔有大量樣本的情況下,可以通過分析樣本的生成時間推斷對手的日常工作時間,甚至休假情況,與特定國家的節假日做匹配,也可能成為分析對手來源的有效線索。如果有資源瞭解受影響目標的國家、行業及個體的分佈,以及對手所發動的攻擊型別(竊密型還是求財型)所使用的基礎設施的地理位置,我們也可以非常有把握地推測出對手的來源。
以下是Cylance一個名為Operation Cleaver的APT活動的來源要點分析:
人員情報
在組織之上的是人員相關的威脅情報,這是威脅分析的最後一環,實現虛擬身份到現實身份的對映。
人處在威脅情報金字塔的頂端,因為它是整個威脅體系中最穩定的部分,一旦定位到人也就定位到了威脅產生的根源,解決人的問題是真正釜底抽薪的解決方案。弗諾·文奇寫過一篇非常精彩的小說,名字就叫《真名實姓》,未來虛擬空間裡最大的問題就是如何把其中的角色對應到現實中的人,一旦完成對映就意味著戰鬥的結束。這是因為如果我們處理的物件是人,就意味著解決問題的手段不會再受限於技術可能性。所有處於人之下的威脅情報型別我們一般只能採取技術手段來處理,比如我們知道一些攻擊相關的IOC(樣本、IP或域名),對其有效的處置手段主要侷限於人工或自動化的識別、隔離及阻斷等。而當我們對抗物件是人時,那麼可採用的手段就可以豐富得多,我們不僅可以對目標本身還可以對其所在環境施加壓力,利用人性的弱點就能實現類似降維攻擊的效果。
要得到這類情報,資訊的輸入也就不再限於技術分析,可能需要其他方面的資料輸入及非常規的取證手段,比如真實註冊資訊、社交賬號的關聯資料、交易資料、蜜罐及反制。下圖是360公司使用互動式資料關聯絡統對XcodeGhost事件的始作俑者的追溯演示,從攻擊者所使用的一個C&C域名(做了隱私保護)出發通過層層前推最終定位到一個關聯域名,而攻擊者用其真實名字註冊的它。
小結
本文從威脅資料資訊情報的穩定性角度對其做了一個分層的劃分,對每一層進行了組成描述並給出了一些對應的例子,在以後的文章中還會對Gartner所定義的威脅情報概念包含的要素做更深入的分析。
參考連結
Malwareconfig
https://malwareconfig.com/
Butterfly: Corporate spies out for fiancialgain
https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/butterfly-corporate-spies-out-for-financial-gain.pdf
BIG GAME HUNTING: THE PECULIARITIES OF NATION-STATEMALWARE RESEARCH
https://www.blackhat.com/docs/us-15/materials/us-15-MarquisBoire-Big-Game-Hunting-The-Peculiarities-Of-Nation-State-Malware-Research.pdf
OceanLotus (APT-C-00)數字海洋的遊獵者
https://ti.360.net/uploads/2018/01/26/807a12464561e0ee33f8d906585796d8.pdf
Intelligence-Driven Computer NetworkDefense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
Operation Cleaver
https://cdn2.hubspot.net/hubfs/270968/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf
宣告:本文來自360威脅情報中心,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。