安天产品巡礼Ⅱ——威胁框架在捕风蜜罐中的落地实践

时间 ：  2020年07月02日  来源：  安天

        安天捕风蜜罐系统是一款用于诱骗攻击者对其进行攻击从而捕获威胁并展示威胁信息的网络安全设备。该系统支持设备、资产、服务、漏洞仿真。通过创建与真实资产环境相似的高交互虚拟蜜罐和业务系统动态仿真蜜罐诱骗攻击者对其进行攻击，并对捕获到的数据进行分析，帮助企业客户发现内网威胁事件、攻击链、攻击阶段、攻击工具。安天率先将ATT&CK威胁框架应用到欺骗防御产品的研发与能力验证工作中，不仅使产品在仿真丰富性和未知攻击事件捕获方面的能力大幅度提升，还可以支持以攻击链形式展现网内威胁事件，并能对事件进行多维关联分析。

1、多维度提升对抗能力，有效应对威胁

        随着攻击手段的不断变化，攻击手段呈现复合的、多载荷的特性，且攻击隐藏性很强，很多都是利用未知漏洞、自定义工具、或者社工、钓鱼等方式获取系统管理员帐号和权限，凭借合法身份、正常操作实施入侵，使得传统的安全防御手段失效，无法及时发现以及有效应对威胁。

        攻击技术和手段日益更新，但对抗的安全产品更新速度慢，企业更新产品的周期也相对漫长，难以应对多变攻击手段、新型威胁。因此亟需能够应对变化的攻击手段和适应业务变更的新技术，通过对照ATT&CK框架可以看出，优秀的蜜罐类产品在面对装备最为精良、火力最为密集的攻击时，需具有以下能力：

        1) 丰富的仿真能力：能够在网络、资产、服务、漏洞等不同层级进行仿真，灵活支持业务系统的动态仿真，适应企业内部多样性的业务系统仿真需求； 通过仿真成有漏洞的服务（web服务、数据库、系统服务等）、操作系统等，欺骗攻击者，在和攻击者“交锋”的过程中，不仅保护了企业的真实资产，同时捕获攻击数据，用于进一步的研究。除了单节点蜜罐，还有多个蜜罐组成的可延展、可配置的蜜网，仿真企业网络活动，迷惑攻击者，使其被困在蜜网中。

        2) 全面的数据采集能力：能够采集从流量到系统，从系统底层到应用层的日志，原始的文件和网络数据包等数据。

        3) 深入的分析能力：能够识别单个战术技术行为，展示攻击的完整链条和行为阶段。蜜罐被用来感知内网威胁，需要具备威胁感知与捕获的能力，还要能够对攻击者溯源，需要知道攻击者做了什么、意图是什么、攻击者是谁从哪儿来。攻击行为的分析通常包括：捕获攻击数据包、记录攻击流量、保存攻击者上传的文件、识别攻击指纹等。攻击溯源多是对攻击数据的关联与整合，结合威胁情报与大数据等资源，对攻击者进行人物画像或是精准溯源。

        为了提升安天捕风蜜罐系统的以上能力，引入ATT&CK威胁框架无疑是现阶段效果较好的一种选择。

        从认识上来说，ATT&CK可以帮助安全厂商对威胁有更深入的认知，由单载荷、单环节的层面提升到多个战术环节、多种攻击技术的层面，由被动防守的视角转变为以攻击者的视角去理解威胁。网空杀伤链框架采用攻击者视角对离散威胁事件形成整体性分析,以TTP（Tactics, Techniques and Procedures；战术, 技术与过程）为核心分析要素，针对攻击的行为特征而展开分析，指导蜜罐在诱饵布局，仿真资产服务、采集检测方面不断提升对抗能力。

        从欺骗者角度来说，以威胁框架阶段的攻击行为路径指导蜜罐诱饵布局。例如攻击者对真实资产进行扫描，可以利用真实服务器的空闲端口进行流量转发，真假结合的方式迷惑攻击者。针对内网横向移动场景，则需在每个网段部署蜜罐探针，针对系统的浏览器、登录帐号或授权信息留下诱饵，进而吸引攻击。

        从能力提升来说，框架着重于“突破后”分析，将防御重点由网络边界转为网络内部，针对内部扩散，攻击的系统行为可以指导蜜罐仿真和采集能力的方向，使仿真能力和系统采集能力有针对性的增强。以现实场景下的现实攻击行动为知识的分析来源，依据对真实APT攻击进行追踪分析，提炼出技术点，不断积累知识库，促使该框架基于可能遇到的实际威胁来完善，帮助产品不断丰富检测新的攻击手段的检测方法。

2、威胁框架在捕风蜜罐系统中的落地实践

        通过演练复现攻击和威胁框架涉及的TTP方法，持续提升捕风蜜罐的仿真服务、系统仿真、网络仿真能力。提升相关捕获采集能力和行为识别能力。

初版蜜罐ATT&CK覆盖度

        通过典型安全事件在ATT&CK的映射关系和捕风蜜罐的威胁框架覆盖度对比，可以清晰的认知到当前蜜罐对于攻击事件的感知存在不足。这为捕风蜜罐的能力点提升提供了明确的指导方向。在威胁框架中的各个阶段，除渗出阶段外的其他阶段蜜罐均有覆盖，但是覆盖的点比较单一。参考典型安全事件映射关系，可以通过攻防演练的方式对蜜罐进行感知能力测试，收集蜜罐采集的数据，定位蜜罐能力缺失的原因是基础数据采集能力不足，还是对威胁事件的判定不够全面。对于基础数据采集不足的情况，通过完善数据采集模块，提升蜜罐的仿真度和蜜罐对不同漏洞服务的版本支持，确保蜜罐对外具备一定的甜度，能够引诱到攻击者的攻击。对于判定能力不足的情况，通过丰富威胁事件判定的单点特征来提升判定能力。

        通过归纳总结，安天捕风蜜罐系统覆盖了属于威胁框架中初始访问中利用有效帐户、网页挂马等威胁点，具体实例为对某服务漏洞攻击、暴力破解、web服务资源篡改等威胁事件。ATT&CK框架中的执行阶段主要是攻击者在目标环境中投放有效载荷进行执行。执行的方式有多种，主要通过调用系统工具及命令达到执行载荷的目的。常见的有：在Linux系统中使用Wget、Curl等系统工具进行恶意代码的下载、执行、提权等操作，在Windows中通过vbs脚本下载者，执行恶意代码，Office打开附件执行恶意代码，也包含了Mshta、Powershell、Regsvr32、Rundll32、计划任务、服务执行等多种执行方式，参考这些执行方式，蜜罐加强了系统工具执行的采集力度，感知到更多的系统威胁事件。

        从ATT&CK对攻击阶段的划分结合蜜罐目前能够感知的到攻击威胁事件，对蜜罐的仿真环境进行了补充并优化了数据采集能力，新增了蜜罐内部网络之间的共享目录，允许恶意代码在蜜罐与蜜罐之间传播，开放了高交互蜜罐对应系统的远程管理功能，加强对内网传播常用应用端口探测事件的敏感度，例如：3389、445、139、3306等，有效的增强了蜜罐对入侵事件的捕获与威胁传播的感知。

        通过与ATT&CK能力的映射，捕风蜜罐的能力在以下方面实现了提升：

        第一，增强安天捕风蜜罐的仿真能力。参考ATT&CK威胁框架，捕风蜜罐对照其规范的详细攻击阶段进行对照补足，从检测能力的补充进而丰富蜜罐的仿真能力，覆盖设备仿真、资产仿真、服务仿真等多方面的仿真能力。

        第二，增强安天捕风蜜罐攻击事件的回溯能力。参考ATT&CK威胁框架知识，捕风蜜罐能够增强包括文件变化、进程操作、注册表、系统组件工具调用等方面的日志采集范围，利用日志以及威胁框架知识指导攻击事件检测，将捕获的攻击事件中使用的攻击技术映射到ATT&CK，更好的理解攻击者的攻击手段及攻击目的。

        第三，增强对威胁数据的精准判断能力。参考ATT&CK威胁框架知识，安天捕风蜜罐对攻击留下的日志、数据进行专项采集，例如：用户登录信息采集、外设文件利用采集、常用端口探测流量、自启动服务创建、自启动注册表新增动作采集，通过专项采集对威胁事件进行精准告警。

3、经验总结及威胁框架在蜜罐实践中的展望

        ATT&CK威胁行为框架提供了丰富且持续扩展的攻击方式划分，能够指导捕风蜜罐产品对安全事件进行系统科学的新增、分类。同时，威胁行为框架是基于攻击者视角包含全链路攻击的威胁框架，为攻击链路的回溯提供指导方法。

        ATT&CK威胁行为框架使我们对安天捕风蜜罐系统的威胁感知能力有了更清晰认知和衡量标准。通过威胁框架可以系统、科学的检验捕风蜜罐对于威胁感知的有效性，并持续的补充完善及优化。