那么,正题,开始!
►►►
从挨批到挨夸,我只用了一个动作
嗨,还是我,顺丰的安全研究员K,今天又在网络安全的海洋里“冲浪”,结果被三条告警的“浪”拍得晕头转向:这三条告警彼此简直毫不相干,可是看着间隔时间,又让我本能地觉得此事并不简单。
没想到,这个工具关键时候还真能救命。 我输入告警信息,几秒钟的时间它便把三条告警串联起来,指向了同一个攻击团伙。
原来,我离真相只差一个“攻击者画像”的距离!好家伙,今天又有东西可以跟老板吹了:
►►►
攻击者画像介绍
攻击者画像,就像是给网络攻击者画的一张“肖像画”,它站在高维度的攻击者视角,通过分析攻击者的行为模式、使用的技术和工具、攻击的目标和频率等信息,每天从数千万的攻击告警中提炼有效信息,最终构建出一份关于攻击者的详细“档案”。
具体来说,攻击者画像可能包含以下几个方面的内容:
►►►
为什么需要攻击者画像?
那么为什么需要用到攻击者画像这个工具呢?
►►►
建立攻击者画像的步骤
(一)同源识别聚类,构建攻击者准确画像知识库
攻击者画像系统基于大量的告警日志、原始审计日志、情报等IOC数据与外网攻击、恶意邮件、端点恶意样本等样本数据,借助同源识别聚类算法、攻击者身份识别、特征分析和攻击关系图分析等,关联相同特征和相似攻击行为,最终形成独立的攻击者画像信息,达到攻击者身份、攻击者意图、攻击能力和相关手法的全面刻画。
(图1 攻击者画像系统分析流程)
(二)动态制定针对性防御措施
(图2 某攻击者的画像研判结果)
(三)利用第三方信息增补攻击者画像知识库
企业的攻击视野较为有限,各个攻击团伙在某个单位暴露的手法只是冰山上的一角, 如果只从企业防御数据出发,攻击者画像得到的知识库,难免以偏概全。因此我们主动利用第三方信息库增补攻击者画像知识库,与微步在线等外部安全情报厂商合作,持续不断对强相关对手进行:
整合内外部情报源后,攻击者画像的刻画更加深入,全面增强了防守方的对手认知,如下图:
组织名(持续追踪) | Phobos |
常用文件名 | 加密文件后缀: .phobos .Frendi .phoenix .mamba .adage .acute .1500dollars .Acton .actor .banjo .help .actin .BANKS .HorseLiker .barak .WannaCry .caleb .calix .deal .Devos .eking |
加密进程常用名 | fast.exe COMING~1.exe comingback2022.exe |
工具文件常用名 | oute print.cmd psexec mRemoteNC.exe netscanold.exe NS-v2.EXE |
常用目录 | 1.自启动: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup C:\Users\System\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\users\Public\ |
网络行为 | C2: 218.28.17.250 118.242.18.199 89.248.165.41 58.48.195.138 117.184.37.20 109.107.166.25 125.33.95.33 |
攻击手法 | 1.RDP爆破 2.psexec内网尝试弱口令横向移动 3.修改注册表实现恶意文件驻留 4.拷贝文件到自启动目录实现驻留 5.文件加密:RSA+AES <原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal> 6.向日葵或其他方式 |
常用命令 | 1.关闭防火墙: netsh advfirewall set currentprofile state off netsh firewall set opmode mode=disable 2.删除windows备份 "C:\Windows\system32\wbadmin.msc"delete catalog -quiet |
注册表更改 | 添加恶意键值到自启动相关注册表下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
背景 | Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。 Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。 |
样本hash | 9704a4959ec0edb5b82732944be3665e80ed974dec17ab401545ee21069da08d f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446 |
参考链接 | 1.https://www.antiy.cn/research/notice&report/research_report/20191016.html 2.https://s.threatbook.com/report/file/9704a4959ec0edb5b82732944be3665e80ed974dec17ab401545ee21069da08d 3.https://s.threatbook.com/report/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446 |
(图3 攻击者知识库中某攻击者档案)
►►►
接下来我们举个栗子!
用一个示例为准,这是一个很常见的命令执行攻击,常见安全设备都可以拦截。
请求方式
payload内信息
来源信息
来源IP:31.220.1.83就不用讲了,针对常见蓝队防御手段来讲,基本上就是针对IP查询下社区情报然后进行封堵即可。
同时,还可以产生本地情报输出给相关同事进行后续狩猎。详情思路如图,通过事件驱动转换以攻击者身份持续运营立体发现实际遭遇威胁,配合拓线和狩猎持续完善攻击者相关信息形成情报产生到消费的完整闭环。
这个思路变成系统化后,如果你碰到过喜欢用代理池慢速绕过一些安全设备阈值来挖洞的红队,此操作大可一试。
同时根据资源点信息103.146.23.249查询可以发现已经有相关样本信息了,我们可以将此类样本hash一并提供给内部排查是否存在此类样本。 (样本相关信息也可以进行相关拓线发现其他新的信息,欲知后事如何,且看下篇文章分解)
综上所述,我们还可以针对此攻击者意图进行推理分析结果:
攻击者 画像概况 |
|
特点 | 描述 |
类型 | 黑灰产 |
意图 | 投机主义、1day利用 |
特征 | URL包含103.146.23.249并执行wget信息 |
目的 | 通过IOT的1day部署僵尸网络 |
手法 | 利用各种IOT设备的1day进行全网攻击 |
本文作者:顺丰SRC
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/205325.html