第六课 入侵分析是威胁情报的主要来源(一)
2023-5-19 11:1:41 Author: Desync InfoSec(查看原文) 阅读量:11 收藏

终于进入到了第二部分,入侵分析是这个部分的重点。而开篇就是洛特希德公司的杀伤链。虽然杀伤链相比ATT&CK模型已经有些年头了,我们这里学习的重点并非是杀伤链本身,而是在杀伤链的每个阶段提取攻击组织的情报。便于我们追踪和分析。内容很长所以打算分成两篇发。

什么是杀伤链

杀伤链(kill chain)由洛特希德马丁公司员工Michael Cloppert、Eric Hutchins 和 Rohan Amin 在 2011 年的一份白皮书中提出。

杀伤链包含7个步骤,攻击者每次入侵都必须经过这7个步骤才能达到最终目的(当然也有例外)

1、侦察(Reconnaissance)

2、武器化(Weaponization)

3、投递(Delivery)

4、渗透(Exploitation)

5、安装(Installation)

6、远控(C2)

7、达成目标(Actions on Objectives)

由于这个攻击模型比较稳定,大部分的攻击都会经过这7个步骤。这也意味着只要防御方能够在前6个步骤中成功阻断攻击行为,那么我们可以评估这次防护是成功的。杀伤链模型的成功之处就在于它让防御者以一种结构化的思维模式对整个入侵过程进行分析,而不仅仅针对一个点。我们可以针对攻击行为标记到对应的攻击步骤中,以进行长期的数据收集和分析。

01
侦察(Reconnaissance)

大部分成功的入侵活动都需要收集目标的大量信息(并不是所有入侵都需要)。开始入侵前的所有工作都可以归为侦查阶段

  • 收到任务或目标

  • 准备工具

  • 准备基础设施

    • 攻陷其他系统获得肉鸡

    • 创建账号

    • 创建域名

  • 确定目标

    • 个体

    • 组织

  • 调研组织

    • 技术性

    • 业务方面信息

入侵往往不会无缘无故地发生。收到任务和目标是指攻击者决定发起入侵的原因,当然除了一些带有极强目的性的入侵活动外,还会有一些网络技术爱好者和白帽子发起的攻击行为。任何攻击组织或个人产生入侵意图的过程对于网络防御方来说都是不可能观察到的。

准备工具包括要在目标上使用的新漏洞EXP、后门或植入程序。这可能来自于与他人交易、个人研究或这些因素的某种组合的结果。

准备基础设施实际上可能涉及另一个入侵活动。攻击者需要计算机和网络来执行入侵,并且为了隐藏自身不会使用自己的系统和网络直接发起攻击。建立基础设施可能包括入侵其他计算机以获取其控制权、注册域名、创建/窃取用于传递的电子邮件帐户。此外,还存在利用云服务来建立基础设施的情况(例如 Amazon Web Services [AWSl和其他基础设施即服务。

除此之外,攻击组织必须要了解攻击目标组织的行业信息。例如攻击军队,如何快速找到想要访问的军事机密数据;收集航空航天信息以用于向航空航天工程师发送相关主题的钓鱼邮件;攻击企业时收集目标企业的组织架构、业务交易相关方,以从子公司或供应链突破企业网络;收集到目标组织的网络拓扑、软件使用情况有利于攻击组织制定攻击计划,找到企业网络的薄弱点进行边界突破。

侦查例子:搜索美国军方F-22战斗机相关信息

1、针对特定人物的搜索,例如身份不公开的、从事特定高价值(国家间竞争或限制出口)的技术开发相关人员

2、针对电子邮件地址进行的搜索,例如:[email protected]

3、针对特定关键词进行搜索,例如JSF ALIS【JSF全名:Joint Strike Fighter Program;ALIS全名:autonomic logistics information system】

4、针对特定漏洞页面进行搜索,例如:site:orgname.com+filetype:.asp

02
武器化(Weaponization)

武器化是将为任务选择的所有工具和基础设施整合在一起的过程。可以将其视为制造将在目标环境中引爆的弹头。必须配置后门以连接到所需的基础设施,然后将其打包成可以逃避边界防御的形式。在针对性网络钓鱼攻击的情况下,后门和恶意代码需要与一个良性文档打包成载体文档。

一个非常典型的武器化工具的例子是Metasploit框架及其组件模块。一些msf模块会留下痕迹,而一些攻击者可能无意中在入侵的过程中保留了痕迹(例如重用包含某些独特属性的载体文档,如作者字段等)。

事实上,攻击者使用了特定的后门或投放器可能并不引人注目。然而,他们在选择和使用这些工具时所展现的人为指纹,即敌对方选择的形式,非常有趣。识别配置数据、文件路径、凭证和编码密钥等方面的选择,是分析人员需要特别关注的内容,以便追踪特定的攻击者。

武器化阶段的典型例子是攻击者利用office漏洞而制作的钓鱼word文档,分析师可以根据恶意文档的作者信息、文档创建的元数据、原始文档路径等信息追踪攻击者。

03
投递(Delivery)

Kill Chain的投递阶段描述了将武器化的载荷传递给预定目标所使用的所有工具和基础设施。投递的方式决定了分析人员在分析投递阶段时应寻找的特征和参数类型。例如,电子邮件(SMTP)与被入侵的钓鱼网站(或因为已知被目标访问而被入侵的网站)具有非常不同的特征。

最常见的投递向量是通过标准的网络协议,如SMTP和HTTP。然而,在罕见且极为令人担忧的情况下,有针对性的攻击可能通过物理媒体进行投递(例如,在贸易展会上或混合的人情情报/信号情报行动中)。前者可以在网络上被检测和缓解,但后者需要主机/终端的检测和缓解能力。

所有的投递手段都有一些共同特征,都必须有基础设施、利用一些工具以及对恶意代码做一些混淆。

投递的一个例子:

以上HTTP响应中包括重要的信息:

  • Last-modified头表示恶意代码的投递时间

  • 投递恶意代码的手段是在网页中嵌入iframe标签

  • Server字段的服务器类型


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDE3ODc1Mw==&mid=2247486198&idx=1&sn=b39b1426f1a32f8dfb5de1a70186be46&chksm=c27f7958f508f04e62cd9e309c07798eace1e34780d83290d3f07157fded56e3fa419b47b51a#rd
如有侵权请联系:admin#unsafe.sh