冬训营丨捕风蜜罐威胁情报生产实践

时间 :  2022年01月27日  来源:  安天


1.蜜罐能够生产高价值威胁情报

通过部署蜜罐可以作为高价值威胁情报的生产系统,配合防火墙、终端防御、入侵检测系统进行拦截、猎杀、处置。同时可以提供态势感知聚合的攻击行动和详细的攻击数据。为威胁猎杀和安全运营提供TTP级别情报信息。当前网络安全产品能够输出的威胁情报类型通常是简单的基于IOC(md5、ip、域名等)黑白特征,且有部分情报不太准确, 缺乏针对攻击行为和攻击目的意图的信息。蜜罐能够提供攻击的技术,战术,过程(TTP)描述,聚合攻击者完成任务所经历的所有过程,从最初的接触到影响,以及其间的每一步行为,这为全面分析个人或攻击团体的攻击行为提供了充足的支持。针对攻击意图的揭示可以更好的评估攻击带来的损失和采取行动的力度。

2.本地化情报输出需要

本地化威胁情报是攻防对抗的需要,能够提供快速响应防御能力。随着安全漏洞大量出现,包括RCE类、注入、文件包含等等远程获得控制权限的漏洞大量出现,针对未知漏洞攻击的检测缺乏时效性,因为攻击漏洞出现快速多样,导致防御者面临着大量的未知漏洞攻击。从cve漏洞的历年统计数据,1999年成立到2000 年,仅一年的时间就超过了1000 个漏洞。经过20 年的网络环境快速发展,每年新出现的漏洞攻击已经达到了2万个。包括远程代码执行漏洞,总量达到了四万多。还有缓冲区溢出漏洞也是远程攻击里面经常使用的,最早的1988 年这个莫里斯蠕虫就采用了c语言的这个gets栈溢出漏洞进行进行入侵。另外注入漏洞也大量影响各类WEB服务,包括网络网络的蠕虫病毒对新出现漏洞可以快速的集成,面对这么大量的攻击,防守者很难第一时间就能防御得住。

同时log4j这个漏洞的出现,它的利用方式可以进行字符串变形。即相同一个漏洞可以有很多变化,使检测更加困难。除了攻击漏洞的多样化之外,在攻击目标的平台也随着网络空间的快速的发展,包括像windows系统、linux系统、移动手机,物联网平台。

另外攻击者的攻击设施也经常变化,如说蠕虫采用这种大量的傀儡机,攻击IP变化非常快,蠕虫能够快速的攻陷某个设备,使其成为一个新的攻击源ip。另外包括定向攻击的IP可能是全新使用的。比如APT组织或者是攻防演练中采用比较新的攻击设施攻击设施这些IP都是未知的。同时很多进化的木马蠕虫采用DGA或 fast-plux等等这种快速变化域名及解析IP的攻击手段。

通过本地化生产威胁情报相对互联网情报是一个较好的补充。第二个是情报生产的精准性,通过捕风蜜罐生产的事件是比较精准的,对攻击链进行全链条的数据的采集,并采用网络行为、系统行为作为依据。人工安全分析师的判断的时候,可以提供了大量的丰富的原始数据信息。另一个就是它的情报特征是比较丰富的。可以生产网络情报啊,包括域名、ip、文件情报,另外还包括主机情报,比如说互斥量等等。另外针对对未知威胁的识别,可以产生新的威胁情报信息。

3.蜜罐能输出什么情报

下图是Gartner对安全运维人员的工作流程的归纳:

蜜罐通过对采集的数据检测发现安全事件,从安全事件中可以提取高价值的威胁情报,包括攻击指标、攻击意图、攻击工具、行为和行动等情报信息。包括:

· 攻击指标IOC:文件哈希、网络域名、IP、URL、网络ID;

· 网络或主机特征:网络payload特征或主机操作特征;

· 攻击工具:提供识别攻击工具的特征和能力比如远控、勒索、挖矿工具;

· 攻击行为:杀伤链阶段和具体的行为战术如扫描、暴力破解、漏洞入侵、横向扩散、远程控制等,具有全链条TTP揭示能力。

· 攻击意图:挖矿、勒索、定向攻击;

· 攻击行动:聚合一次攻击行动中离散的多个网络和系统威胁事件。

按照不同标准威胁情报有多种不同的分类方式,首先根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics, Techniques, andProcedures)这几种,其源于大卫 J. Bianco在《The Pyramid of Pain》一文[1]中提出的威胁情报相关指标的金字塔模型。

左侧是能够利用的情报,右侧是这些情报给攻击者造成的困难程度。一般来说情报中价值最低的是Hash值、IP地址和域名(也就是常说的信誉库),其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报。蜜罐不仅可以提供这个威胁情报金字塔的情报信息,还能够进一步的聚合攻击行为,提供攻击意图信息。

4.高价值情报如何生产

通过部署蜜罐捕获未知攻击,精准识别攻击事件,并从事件提取出用于检测的威胁情报指标,通过行为框架识别攻击行为,利用蜜罐特有的环境聚合出离散的攻击事件形成一次行动。

4.1 布局捕获未知攻击

针对攻击路径布局蜜罐的诱饵和探针,包括外部攻击欺骗、内部环境大量部署、外联欺骗等多个攻击方向的欺骗,尽可能多的对黑客攻击进行欺骗,获取其攻击数据,从而检测潜在的未知的网络攻击,为新的本地化威胁情报提取提供基础的威胁事件信息和充足的原始数据信息。利用防火墙、WAF等设备的空闲端口、空闲地址进行转发可以较好的捕获外部攻击尝试。内部的交换机层面大量部署探针则可以针对内部横向移动有较好的感知。

尽量的利用网络中的空闲的资源。包括空闲的端口资源,很多攻击的目标的端口并不一定是已知的,特别是在现在这个物联网时代,很多物联网设备开的端口是比较特别的。因此全端口响应就可以感知到当前流行的某种攻击端口。从而比较好的感知到一种新的趋势和威胁。

通过简化部署增加仿真节点,捕风蜜罐智能的构建蜜网。什么叫智能构建?第一是智能的对环境进行学习。包括环境资产学习,利用探测、流量记录等方法把企业环境的资产获取到,拿到了网络环境资产,常规的蜜罐可以进行相似性仿真。包括OA、DMZ或者办公区的环境仿真模拟,可以相似性模拟。但智能构建不一定要模拟的相似也可能异构也是一种好的感知威胁的方法。

通过广泛联动增加感知面,包括像安天智甲的这个终端,可以用终端空闲端口转发给蜜罐,包括安天镇关防火墙的映射出外网。另外针对数据数据中心私有云混合环境,云内探针联动都可以较好的扩展覆盖面。

除了广度部署,捕风蜜罐具备多层次仿真,从深度交互的角度看,端口仿真、WEB仿真、指令仿真、系统仿真、架构仿真、内网仿真、互联网仿真等等这些这种多层次仿真。攻击的链交互层度是不同的。WEB系统大部分是80 端口,攻击者就需要更细的判断URI或者web页面内容。然后更进一步的,比如说指令级的,类似redis、数据库就是指令交互,再进一步的像操作系统的文件包含,他有提交文件、植入文件、下载文件等等一些动作。植入webshell或者植入恶意程序,然后执行程序,这些都是由不同层次仿真来满足交互的。

4.2 全面采集攻击数据

蜜罐采集包括网络数据、系统日志、应用日志、文件等数据。针对网络数据可以进行全量抓取,任意端口的探测数据,尝试的外联网络数据等。系统日志包括系统调用日志、系统程序记录的日志等,应用日志包括web、数据库等软件日志。文件主要是新增的文件。通过全面采集可以降低某些攻击行为的检测难度,比如针对SSH的暴力破解行为,如果采用网络检测,由于加密的原因,变换的账号尝试是难以获得,并且检测并不准确,而通过SSH的系统日志的方式则可以很容易检测暴力破解行为,并可以记录黑客尝试的不同账户密码信息。

比如说攻击一开始探测,然后进而他确认目标。假设黑客从网络外部攻击开始,黑客通过网络扫描,暴力破解,或者是利用漏洞,通过外部的服务,在入侵我们的暴露出的这个蜜罐的时候,我们就可以进行流量的采集。当他攻击一个web系统的时候,我们可以或者是一个Redis数据库,我们可以对它进行一个指令的记录。可以在系统一块级别记录文件上传信息。再比如可以记录黑客上传可执行程序,执行的系统调用信息。如果攻击者进行罐内的密网的横向传播的时候,我们可以记录它横向的网络行为。包括对蜜罐内网扫描探测、漏洞攻击。以及黑客对外会进行互联网访问,蜜罐网关会进行欺骗应答。可以全链条进行数据采集,对相应的攻击行为进行一个行为行为级的检测,就可以比较好的检测未知攻击。

4.3 提取攻击指标

蜜罐监测的安全事件中提取黑客投放的文件哈希、网络恶意域名、C&C等情报特征,经过海量文件、域名、IP白名单过滤,形成可协同监测的本地化威胁情报。主要采用静态解密和动态分析的方式提取样本文件的网络信标。针对样本识别、网络信息提取并经过白域名IP过滤后产生网络威胁情报。提取攻击源IP、样本MD5、C&C提取等。由于攻击者或者恶意程序的威胁活动中涉及的网络、文件等操作很多包括正常的站点比如百度、微软等域名站点测试联通性,释放一些辅助的语言程序包文件等。因此本地化威胁情报生产需要安全厂商提供高质量的白名单进行过滤,针对安全事件中提取的指标进行误报排除。白名单需要持续的从各个操作系统、补丁跟踪、应用程序发布站点获取建立广泛的白名单库。网络白名单则需要建立各个类型的信任站点持续跟踪相关的资源变化。

HASH值:一般指恶意程序、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。因此在实战过程可以做一些变化,通常恶意代码自动变化在尾部、资源部位,可以提取可执行文件的代码节HASH,这样具有一定的抗变化能力。

IP地址:常见的指标之一,通过IP的访问控制可以抵御很多常见的攻击,但是又因为IP数量太大,任何攻击者均可以尝试更改IP地址,以绕过访问控制。针对C&C的检测使用 IP端口则更加精准,减少误报。

网络或主机特征:蜜罐捕获未知的RCE攻击,网络数据可提取网络特征,主机释放的webshell文件名,修改的注册表持久化路径,恶意程序运行的互斥量等均可以作为主机特征。

4.4 行为框架识别攻击行为

洛克希德-马丁作为全球最大的防务承包商,对信息网络安全具有高度严格的需求以及全谱领先的能力。其于2011年提出的网空杀伤链框架,将网空威胁划分为7个阶段,分别是“侦察-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”。网空杀伤链框架创立了网空威胁框架的基本设计理念,即基于攻击者视角、以整个攻击行动统一离散的威胁事件而形成整体性分析。不同于以往基于防御者视角的安全模型与分析方法,网空杀伤链从攻击者视角更为清晰地理解攻击行动,通过上下文建立起事件之间的关联分析,从而更有效地理解攻击目标与攻击过程,也更有助于找到潜在对策与应对手段。由于洛克希德-马丁网空杀伤链框架的抽象层次较高,虽然有助于描述攻击整体过程与理解攻击目的,但难以实际运用于表述和分析敌方的各个行动、行动之间的因果作用、行动序列与战术目标的关系,也缺乏分析攻击行动所涉及的与平台相关的数据源、防御措施、安全配置和解决对策等要素。为针对性解决威胁框架在战术技术层面上实践实用的问题,MITRE提出了ATT&CK框架。ATT&CK框架在网空杀伤链框架基础上,从大量的现实网空威胁中提炼出攻击行动的具体信息,对这些信息进行了细致的技术分解与特征描述,进而构造了丰富的攻击者战术技术知识库;通过知识库以及相关的工具系统,可以深入分析攻击行动的过程与细节,从而得以有效地改善防御态势、提高防御水平、优化安全产品与安全服务的技术能力。但是威胁框架中不同行为或者不同安全事件如何关联成一个行动是没有阐述的。

蜜罐通过较为全面丰富的仿真基本可以覆盖整个框架的大部分行为,包括外部暴露资产服务,例如攻击者对外部真实资产IP进行扫描,可以利用真实服务器的空闲端口进行流量转发,真假结合的方式迷惑攻击者。或内部网络诱饵布局吸引攻击进入蜜罐。同时蜜罐内部也建立更多内部蜜罐子网,形成较为深度的纵深攻击环境,激发内网渗透攻击行为。因此蜜罐可以捕获整个攻击链条,包括采用端口扫描、漏洞入侵、暴力破解等进入蜜罐,进入蜜罐后采用的远程代码执行、webshell后门植入、恶意程序上传、持久化,尝试外联命令控制服务器、横向扩散等攻击行为。

4.5 恶意工具及目的意图识别

攻击者或者恶意程序获得蜜罐的系统权限后,一般进一步攻击会投放相应的载荷,这个载荷的分析检测可以一定程度获得攻击者的最终意图,比如通过文件检测可识别勒索、挖矿、窃密、DDoS僵尸程序黑客工具。通过威胁情报,还可以识别已知的随机攻击、蠕虫攻击等。

5.消费情报

本地化威胁情报生产可以在隔离网快速生成,第一时间进行全面猎杀,大大提高了隔离网威胁情报升级的时效。捕风蜜罐采用Stix2标准提取包括攻击模式,攻击指标信息。其中攻击模式主要包含ATT&CK的技术行为。攻击者指标则包括IP、域名、文件MD5等信息。

战术级情报消费:战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。IoC类型的威胁情报与防火墙联动,可以达到自动封禁相关攻击源的效果,阻止黑客入侵或者内部失陷主机的外联,切断控制,遏制风险。终端安全文件MD5、异常文件名称等可以为终端检测发现威胁提供情报。

运营级情报使用:运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析或者利用已知的攻击者技战术手法主动的查找攻击相关线索。通过TTP的指导,防御人员可以重点的提升部署位置,防御手段,如通过暴力破解密码猜测行为检查泄露的密码,进行密码修改,提高强度。针对捕获的未知漏洞,进行漏洞检测工作,补丁修复工作等加强漏洞防护。

态势感知利用蜜罐的威胁情报,特别是攻击行动聚合的多个威胁事件的情报,形成一个较强的事件聚合核心。可以大大提高聚合的效率和成功率。

参考文献

[1] David Bianco,the-pyramid-of-pain.
http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[2] 龚啸. 网络安全中的告警事件关联分析技术研究[J].数字技术与应用, 2015(06):182-182.