當(dāng)前位置:首頁 >  IDC >  安全 >  正文

亞信安全:從FireEye紅隊(duì)攻擊工具泄漏事件看“立體化”防御

 2020-12-22 17:02  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

【亞信安全】-【2020年12月16日】近期,美國網(wǎng)絡(luò)安全供應(yīng)商FireEye武器級別的紅隊(duì)攻擊工具被盜。為限制本次事件的影響范圍,其迅速提交針對本次被盜工具的防御方案,公布了"hundreds of countermeasures"(數(shù)百種對策)??梢灶A(yù)見本次丟失的武器級別的工具,可能是FireEye多年積累的干貨,影響力巨大,如果被別有用心的人利用,會(huì)產(chǎn)生難以估量的損失。

亞信安全情報(bào)分析團(tuán)隊(duì)和核心技術(shù)部,作為一直長期關(guān)注紅藍(lán)攻防的研究團(tuán)隊(duì),第一時(shí)間整理此次事件,并進(jìn)行了深入的分析。

以紅隊(duì)視角看FireEye武器分類

FireEye并沒有對本次被盜工具作出詳細(xì)的介紹,但我們的分析人員努力還原了它們的原貌,并且揭示這些工具的功能和影響。

紅隊(duì)被盜工具分為四類:

1. 基于開源項(xiàng)目的工具:這些紅色團(tuán)隊(duì)工具是開源工具的略微修改版本,占比35%。

2. 基于內(nèi)置Windows二進(jìn)制文件的工具:這些工具使用稱為LOLBIN(不落地二進(jìn)制文件)的內(nèi)置Windows二進(jìn)制文件,占比8.3%。

3. 內(nèi)部為FireEye的Red Team開發(fā)的工具:這些工具是專門為FireEye的Red Team使用而開發(fā)的,占比40%。

4. 沒有足夠數(shù)據(jù)進(jìn)行分析的工具:剩下的工具沒有足夠的數(shù)據(jù)來對其分析,占比17%。

【圖1. 工具來源分布圖】

本次泄漏工具的有效載荷中涉及CVE16個(gè),但不包含0-day漏洞。

從本次粗略分析來看,被盜工具來源復(fù)雜,涉及CVE較多,且多分布于不同的攻擊緯度。鑒于這樣的情況,要求企業(yè)的安全防護(hù)的產(chǎn)品與策略要基于:既要從全局視角、大局觀點(diǎn)出發(fā),也要兼顧黑客思維的局部觀點(diǎn)來構(gòu)建,這樣的策略防護(hù)就離不開ATT&CK的指導(dǎo)。

基于ATT&CK模型看立體防御的重要性

ATT&CK的全稱是"Adversarial Tactics,Techniques,and Common Knowledge",它是一個(gè)站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)模型,這些攻擊模型通過TTP (Tactics,Technichques, Procedures)來描述。該模型已經(jīng)成為行業(yè)通識(shí),被大量的網(wǎng)絡(luò)安全公司使用,并且產(chǎn)生了良好的防御效果,尤其是目前比較流行的無文件攻擊等APT攻擊,具有良好的效果。

經(jīng)過我們的分析,此次被盜的攻擊工具一共涉及以下ATT&CK的TTP策略:

【圖2. 被利用TTP攻擊策略】

從圖2中可以看到,本次被盜工具囊括12個(gè)攻擊階段中的11個(gè),共包括約40個(gè)攻擊策略點(diǎn)。影響之廣、覆蓋之全,可見一斑,這也迫使我們安全企業(yè)必須從攻擊鏈的角度去考慮本次事件帶來的影響。

現(xiàn)代黑客的攻擊,都是基于這樣的一個(gè)假設(shè):無論私有的中小企業(yè),還是國有的大型企業(yè),都建立了體系化防御的能力。所以在構(gòu)建攻擊工具的時(shí)候,就不能單純的設(shè)想通過單一的工具直接獲得對方的控制權(quán)限,獲取想要的信息,同時(shí)還不會(huì)給對方留下把柄。要達(dá)成既定的目標(biāo),需要通過多樣化的攻擊思路,層層攻破,隱藏痕跡,才能達(dá)到目的。

【圖3. 被利用的TTP匯總】

例如在本次事件涉及的TTP中,據(jù)不完全統(tǒng)計(jì),僅僅用來獲取對方各種情報(bào)的TTP高達(dá)15種,占比接近1/3;持久化執(zhí)行的TTP高達(dá)9種,關(guān)聯(lián)的被盜工具可能有40多個(gè),占比達(dá)到50%;這么多工具僅僅完成了攻擊鏈的訪問和持久化工作,還遠(yuǎn)遠(yuǎn)沒有達(dá)到獲取目標(biāo)信息階段,就此可見這些工具利用的攻擊面非常廣,從普通的漏洞攻擊,到硬件的側(cè)信道攻擊,再到社會(huì)工程學(xué)等等。那么想從單一層面去作防御,無異于緣木求魚,顧此失彼。尤其要注意轉(zhuǎn)換基于特征庫的防御思維,并不是說特征庫無用,而是說需要立體化的防護(hù)手段方案,從底層的操作系統(tǒng),到上層的各種應(yīng)用、腳本文件執(zhí)行等等這些都要布防。

接下來,我們將選取一些典型的工具,分析其TTP規(guī)則以解釋被盜工具和TTP規(guī)則之間的關(guān)聯(lián)關(guān)系。

1.ADPassHunt

它是一種憑證竊取工具,可搜尋Active Directory憑證。該工具的YARA規(guī)則中有兩個(gè)引人注目的字符串:Get-GPPPasswords 和Get-GPPAutologons 。Get-GPPPassword 是一個(gè)PowerShell腳本,用于檢索通過組策略首選項(xiàng)(GPP)推送的帳戶的明文密碼和其他信息。Get-GPPAutologons 是另一個(gè)PowerShell腳本,可從通過GPP推送的自動(dòng)登錄條目中檢索密碼。這些腳本在PowerSploit中用作功能,PowerSploit是結(jié)合了PowerShell模塊和腳本的進(jìn)攻性安全框架。

關(guān)聯(lián)的TTP規(guī)則:

MITRE ATT&CK Techniques

T1003.003操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ):NTDS

T1552.06不安全憑據(jù):組策略首選項(xiàng)

2.WMIRunner

該工具用于運(yùn)行WMI命令,結(jié)合WMI隱蔽攻擊策略,不利用第三方攻擊就可以實(shí)現(xiàn)持久化,即長期隱蔽于受害者主機(jī),無法查殺。

關(guān)聯(lián)的TTP規(guī)則:

MITRE ATT&CK Techniques

T1047 Windows管理規(guī)范

還有很多其他工具和TTP規(guī)則的關(guān)聯(lián)關(guān)系,基于這些TTP規(guī)則,攻擊者可以泛化出各種工具的變種,達(dá)到攻擊的隱蔽、難以檢測、難以查殺等效果。

基于上述分析,我們得出結(jié)論,企業(yè)級用戶要想真正對此次泄漏攻擊工具做好防御工作,不僅僅需要防御原版工具的攻擊,同時(shí)也要積極做好上述工具IOC變種防御,采用立體化的防御策略。

以XDR形成立體化防護(hù)體系

基于上述分析,我們建議用戶要有一個(gè)立體化的防護(hù)體系來應(yīng)對目前的事件,同時(shí)也能夠應(yīng)對未來的變化。另外,消除威脅的方案不是一勞永逸,要順應(yīng)目前攻擊的變化趨勢。

所謂立體化的防護(hù),是指既有事前發(fā)現(xiàn)、事中處理攻擊的能力,也有能夠事后免疫相同威脅的方案;既有基于傳統(tǒng)防病毒的基本能力,也有基于AI的高級威脅解決方案;既有基于攻擊者的思維,也有基于防御者的能力。為此,我們推薦采用亞信安全的XDR解決方案,具有立體化防護(hù)能力,它不僅具有基于ATT&CK框架的威脅研判能力,同時(shí)支持大數(shù)據(jù)介入分析,機(jī)器學(xué)習(xí)研判等能力。

·基于ATT&CK框架的威脅防御能力

亞信安全XDR通過自有關(guān)鍵產(chǎn)品的偵測與響應(yīng)優(yōu)勢,提供省力的方式接入安全監(jiān)測數(shù)據(jù),利用大數(shù)據(jù)規(guī)范化數(shù)據(jù)格式、體系結(jié)構(gòu)和連接性。通過各種關(guān)聯(lián)數(shù)據(jù),持續(xù)分析生成準(zhǔn)確的ATT&CK威脅視圖。

【圖4. ATT&CK框架威脅視圖】

·采用大數(shù)據(jù)、機(jī)器學(xué)習(xí)和云架構(gòu)

XDR可以代表從EDR到新一代的飛躍。作為云計(jì)算的產(chǎn)物,XDR可以滿足安全團(tuán)隊(duì)在存儲(chǔ)、分析和機(jī)器學(xué)習(xí)方面的可伸縮性要求。通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)等能力,精準(zhǔn)識(shí)別多緯度威脅,產(chǎn)生與之關(guān)聯(lián)的TTP規(guī)則,提供更加人性化的事前事后防御策略。

【圖5. TTP威脅分類】

·快速響應(yīng)

XDR不只是像傳統(tǒng)的SIEM那樣被動(dòng)地記錄和轉(zhuǎn)發(fā)警報(bào),而是主動(dòng)評定并呈現(xiàn)可操作的結(jié)果,通過關(guān)聯(lián)放大"弱信號(hào)"。因此,系統(tǒng)不會(huì)顯示"過去發(fā)生了什么,公司需要調(diào)查"的警報(bào),而是顯示"在X上,有哪些類型的攻擊發(fā)生,通過Y的聯(lián)動(dòng),告知客戶攻擊者的路徑以及如何應(yīng)對"。XDR重點(diǎn)從僅給出警告轉(zhuǎn)移到了提供補(bǔ)救響應(yīng)的方案。

【圖6. 快速響應(yīng)的威脅視圖】

亞信安全XDR代表了從單點(diǎn)筒倉到面立體聚合的真正轉(zhuǎn)變。隨著組織從COVID-19陰霾中解脫,XDR可以幫助企業(yè)在網(wǎng)絡(luò)安全上面對新技術(shù)和資源的局限,并應(yīng)對組織及其數(shù)字資產(chǎn)不斷增長的威脅。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對我國電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強(qiáng)、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦