前兩天看到個文章,綜述了廠商在APT檢測和分析方面的實踐,其中提到了利用ATT&CK框架這個工具分析關聯APT攻擊。奇安信威脅情報中心做APT分析也有幾年了,有限的經驗告訴我們這個事情是不靠譜的。當時在朋友圈裡簡單說了幾句,表達實在受限,這裡再展開說一下。
為什麼我那麼說
ATT&CK這個當紅炸子雞是什麼我就不多說了,介紹的文章汗牛充棟,但跟APT的關聯分析扯上邊還遠了點,下面是為什麼。
記錄事實的能力受限
參加過RSA、Blackhat這樣的安全展會可能會有些印象,廠商給你產品展示的Demo,一個攻擊從初始的Payload投遞、CC連接到最終的數據外洩整個過程在產品裡一目瞭然,各種日誌和原始數據隨時可下鑽展現在你面前,還給出了在ATT&CK矩陣裡的對應的條目。對不起,這個只是Demo,成年人都應該知道Demo和實際到手的區別,現實要骨感得多。
大部分的組織採集威脅元數據的能力非常有限,我們可能收到一些終端和網絡安全軟件的告警,準確度先不論,最大的問題是這些告警本質上是觀點而不是事實。歷史記錄的原始信息收集不完整,免殺做得好的攻擊環節一旦漏掉就永遠錯過,所以大多數情況下我們看不到攻擊的全過程,事後排查,斷鏈隨處可見。我們看到有些分析報告似乎過程環環相扣,如果不是有其他的甚至是外部的數據彌補手段的資源,你可以很有把握地說:編的。
很多安全產品從終端的EDR到網絡的NDR在努力覆蓋ATT&CK矩陣,這也是ATT&CK指導安全能力增強的路線圖價值所在,另一個主要價值同時也是評估對比安全產品的檢測能力。但是從APT分析的角度看,光看到環節本身是遠遠不夠的,目擊到一系列環節本身並不足以導向足夠的區分度,甚至都不是關聯歸屬的核心點所在。
關聯分析的核心在於細節
ATT&CK本質上是一個TTP知識庫,目前正在經歷由粗到細的進化,正向總結APT團伙的TTP對了解對手來說當然是有用的,但是從觀察到的一些活動反向確認來源歸屬則是另外一回事。
因為ATT&CK所枚舉的技術手段應該理解為Key,除非手法本身已經有高度的獨特性,不然絕大多數用於關聯的特徵存在於Key對應的Value或“參數”中,而不是手法本身。
下面是洛馬Kill Chain文檔中的一個基於魚叉郵件滲透的關聯分析,大多數APT活動都有魚叉郵件的Payload投遞,使其能被關聯到一起的並不是大致的攻擊過程環節,而是惡意代碼執行階段的特定文件名和C2階段的同一個域名這些攻擊“參數”。
這些分析所需要的細節的獲取,ATT&CK框架提供不了什麼指導,這也是為什麼說ATT&CK所提供的泛泛的TTP枚舉對APT分析幫助不大的原因。
現實世界的APT關聯
讀過各家廠商的APT報告,結合自己的實踐,我的結論是目前的APT關聯分析還是基於強特徵的。什麼是強特徵,就是體現足夠獨特性的細節:
- 非常特定的目標
特定的行業和人群,比如沙特的某些異見人士經常成為NSO工具的對象,攻擊來源可以非常容易地猜測到。
- 只被某特定團伙使用的數字武器
比如海蓮花團夥以前所使用的Denis家族木馬(現在基本都用商業產品CobaltStrike了);惡意代碼在機器上執行過程中輸出的特徵數據,如互斥體、執行路徑、命令參數、創建的文件和註冊表項等等。
- 已有明確歸屬的網絡資源
攻擊者使用的特定IP、域名、郵箱、社交賬號、服務器及相應的“業務系統”,目前的IOC主力就是這類數據。
- 需要特定資源操控能力的手法
0day的使用、BGP的劫持甚至海底光纜的竊聽,從能力上體現出來的鶴立雞群。
上面這些特徵的列舉暗合了鑽石模型的分析需求,鑽石模型定義了對手、能力、基礎設施和受害者這四個核心對象,給出了它們之間的Pivot交互方式。分析人員按照其約束的Pivot方向循環挖掘相關的特徵信息,確認其中的Overlap,這才是關聯歸屬分析比較有成效的工作方法,因此,分析APT的需求方面鑽石模型是比ATT&CK有用得多的工具。
從信息論的角度看,特徵的價值高低取決於其消除不確定性的能力,所以不是所有的特徵都是平等的,比如知道已知某個攻擊團伙的C2域名用到了某個域名註冊商遠不如知道其用到了某個特定IP,因為域名註冊商並不只服務於攻擊者,而IP在特定階段只被特定攻擊者使用,排他性消除了很大部分不確定性。
元數據為王
APT分析的核心是看見的能力,獲取信息量的能力,分析方法上其實並不需要多複雜,沒必要搞得高深莫測。隨著摩爾定律主導下的計算存儲成本的指數級降低,以及支持大數據處理技術的完善,我們正在進入到一個元數據為王的時代。不理解這一點的讀一下當年美國司法部對Lazarus團伙成員的起訴書就知道了:
https://www.justice.gov/opa/press-release/file/1092091/download
上圖是部分對文檔中提到的一些對象的梳理,文檔中體現的美國人收集元數據的能力是驚人的:
- 特定IP的訪問記錄
- 特定IP與社交賬號的關係
- 人員所使用的IP
- 人員使用的社交賬號
- 人員的郵件記錄
- 人員的社交信息收發
- 人員的搜索記錄
掌握這些信息,還需要什麼特別的機器學習方法嗎?簡單的圖關聯就夠了。
奇安信高級威脅檢測產品天眼的功能之一就是基於網絡的元數據收集,網絡上視野範圍內的TCP會話記錄、郵件活動、DNS交互、URL訪問、文件下載都被以日誌的形式作為元數據記錄下來,可以方便地檢索到,這遠比強行使用粗糙的ATT&CK的TTP枚舉有意義。
閱讀更多 奇安信威脅情報中心 的文章
