[14.01.17]Ryan Stillions - The Pyramid of Pain
更新日期2014-01-17
我正在更新这个帖子,以包括金字塔的一个稍微修改的版本。我做的唯一真正的改变是我为散列增加了一个新的级别。我也更新了文本来说明这一点。
2月18日,Mandiant在APT智能大坝上放了一个大洞APT壹报告剖析一个通常被称为评论团队的群体。随之而来的是来自其他实体的小规模报告,如美国著名软件公司(和这)和DHS/联邦调查局。《APT壹报告》引发的大部分愤怒是关于它的发现,暗示APT壹实际上是解放军的61398部队。这是一项扎实的工作,是公共政策领域的真正突破,但我对报告的七个附录(不包括视频附录)中包含的详细技术信息更感兴趣。
然而,在看到这些指标是如何被应用的之后,我开始意识到一些非常有趣的事情:几乎没有人在有效地使用它们。
我把这句话用粗体表示,因为它有点挑战性,我相信它会让许多读者感到惊讶。检测指标的全部意义在于对它们做出反应,一旦你能足够快地对它们做出反应,当对手攻击你时,你就阻止了他们使用这些指标。然而,并非所有的指标都是平等的,有些指标比其他指标更有价值。
痛苦的金字塔
为了说明这个概念,我创造了我喜欢称之为痛苦金字塔的东西。这个简单的图表显示了您可能用来检测对手活动的指标类型之间的关系,以及当您能够拒绝这些指标时会给他们带来多大的痛苦。让我们更详细地检查这个图表。
指标类型
让我们先简单定义构成金字塔的指标类型:
- 哈希值:对应于特定可疑或恶意文件的SHA1、MD5或其他类似散列。通常用于提供特定恶意软件样本或入侵中涉及的文件的唯一参考。
- IP:这是,嗯,一个IP地址。或者一个网络块。
- 域名:这可以是域名本身(例如,“evil.net”),甚至可以是子域名或子子域名(例如,“this.is.sooooo.evil.net”)
- 网络产物:由网络上的对手活动引起的可观察到的情况。从技术上讲,由于对手的交互而在您的网络上流动的每个字节都可能是一个工件,但在实践中,这实际上是指那些可能有助于区分恶意活动和合法用户活动的活动片段。典型的例子可能是URI模式、嵌入在网络协议中的C2信息、独特的HTTP用户代理或SMTP邮件值等。
- 主机工件:由一台或多台主机上的对手活动导致的可观察到的情况。同样,我们关注的是能够区分恶意活动和合法活动的事物。它们可能是注册表项或值,已知是由特定的恶意软件、放在特定位置的文件或目录或使用特定名称、名称或描述或恶意服务或几乎任何其他独特的东西创建的。
- 工具:对手用来完成任务的软件。大多数情况下,这将是他们随身携带的东西,而不是可能已经安装在计算机上的软件或命令。这将包括旨在为鱼叉式网络钓鱼创建恶意文档的实用程序、用于建立C2或密码破解程序的后门程序,或者他们在受到攻击后可能想要使用的其他基于主机的实用程序。
战术、技术和程序:对手如何着手完成他们的任务,从侦察一直到数据泄露,以及中间的每一步。“鱼叉式网络钓鱼”是在网络中建立存在的常见TTP。“带有特洛伊木马的PDF文件的鱼叉式网络钓鱼”或…链接到一个恶意的。伪装成ZIP的SCR文件”将是更具体的版本。“转储缓存的身份验证凭证并在传递哈希攻击中重用它们”是一种TTP。注意,我们在这里不是在讨论特定的工具,因为有许多方法可以将PDF武器化或实现Pass-the-Hash。
金字塔解释
现在我们对每种指标类型有了更好的了解,让我们再看一下金字塔。金字塔最宽的部分是绿色的,金字塔的尖顶是红色的。宽度和颜色对于理解这类指示器的价值都非常重要。
哈希值
大多数散列算法计算整个输入的消息摘要,并输出对于给定输入唯一的固定长度散列。换句话说,如果两个文件的内容只相差一位,那么这两个文件的哈希值就会完全不同。SHA1和MD5是这种类型散列的两个最常见的例子。
一方面,散列指示符是您可能希望的最准确的指示符类型。两个不同文件具有相同哈希值的几率非常低,几乎可以忽略这种可能性。另一方面,任何的对文件的更改,即使是无关紧要的更改,如在未使用的资源中翻转一个位或在末尾添加一个空值,都会导致完全不同且不相关的哈希值。哈希值很容易改变,而且有太多的哈希值,在许多情况下甚至不值得跟踪它们。
你也可能遇到所谓的模糊散列,它试图通过计算考虑输入中相似性的哈希值来解决这个问题。换句话说,只有微小或中等差异的两个文件将具有基本相似的模糊散列值,从而允许调查者注意到它们之间可能的关系。Ssdeep是一个常用于计算模糊散列的工具示例。尽管这些仍然是哈希值,但它们可能比这里更适合金字塔的“工具”层,因为它们更能抵抗更改和操作。事实上,它们在DFIR最常见的用途是识别已知工具或恶意软件的变种,试图纠正更多静态哈希的缺点。IP
IP地址实际上是最基本的指标。除了从本地硬盘复制数据并通过USB闪存盘离开前门之外,你几乎必须拥有某种网络连接才能实施攻击,而连接意味着IP地址。它在金字塔最宽的部分,因为它们实在太多了。任何相当先进的对手都可以毫不费力地随时更改IP地址。在某些情况下,如果他们使用Tor或类似的匿名代理服务,他们可能会频繁更换IP,甚至不会注意或在意。这就是为什么IP地址在金字塔里是绿色的。如果你不让对手使用他们的一个IP,他们通常可以恢复,甚至不会中断步伐。
域名
在金字塔的更高一层,我们有了域名(仍然是绿色的,但是颜色变浅了)。这些都是稍显痛苦的变化,因为为了工作,他们必须注册,支付(即使用偷来的资金)和托管在某个地方。也就是说,有大量的DNS提供商有宽松的注册标准(其中许多是免费的),所以在实践中改变域名并不太难。不过,新域名可能需要一到两天才能在整个互联网上出现,所以这些域名比IP地址更难更改。
网络和主机工件
刚好在金字塔的中间,开始进入黄色区域,我们有网络和主机工件。这是你最终开始对对手产生负面影响的水平。当您可以检测并响应这一级别的指标时,您会导致攻击者回到他们的实验室,重新配置和/或重新编译他们的工具。一个很好的例子是,当您发现攻击者的HTTP recon工具在搜索您的web内容时使用了独特的用户代理字符串(例如,相差一个空格或分号)。或者他们只是把他们的名字。不要笑。出现这种情况!).如果你阻止任何提出这个用户代理的请求,你就迫使他们回去花一些时间a)弄清楚你是如何发现他们的侦察工具的,b)修复它。当然,修复可能是微不足道的,但至少他们必须花费一些努力来识别和克服你扔在他们面前的障碍。
工具
下一层被标为“工具”,肯定是黄色的。在这个水平上,我们剥夺了对手在箭筒中使用一种或多种特定箭的能力。最有可能发生这种情况的原因是,我们太擅长于以多种不同的方式检测他们工具的工件,以至于他们放弃了,不得不为相同的目的寻找或创建一个新的工具。这对您来说是一个巨大的胜利,因为他们必须在研究(找到一个具有相同功能的现有工具)、开发(创建一个新工具)上投入时间如果他们能够)和培训(弄清楚如何使用该工具并精通它)。你只是花费了他们一些时间,特别是如果你能够跨他们的几个工具来做这件事。
工具指示器的一些例子可能包括AV或Yara签名,如果它们能够发现相同文件的变化,即使有适度的改变。具有独特通信协议的网络感知工具也适合这一级,其中改变协议将需要对原始工具进行大量重写。此外,如上所述,模糊散列可能属于这一级别。战术、技术和程序
最后,在顶点的是TTP。当您在这一级别进行检测和响应时,您是在直接对对手的行为进行操作,不对抗他们的工具。例如,您正在检测传递散列攻击本身(可能通过检查Windows日志),而不是它们用来执行这些攻击的工具。从纯有效性的角度来看,这个水平是你的理想。如果你能够足够快地响应对手的TTP,你就可以迫使他们做最耗时的事情:学习新的行为.
让我们再考虑一下。如果你将这一点运用到逻辑的极端,当你能够在对手的各种不同的TTP上做到这一点时,会发生什么?你给他们两个选择之一:放弃,或者
- 从头开始重塑自己
有效使用APT壹指标
既然我们已经介绍了所有这些背景,我们终于可以把注意力转回到APT壹指标上来了。我说几乎没有人有效利用它们。我这么说是什么意思,什么是“有效利用”?
我的意思是,我看到了很多关于附录D中包含的一长串域名的讨论(在较小程度上,还有DHS/联邦调查局和赛门铁克报告中包含的域名和IP)。赛斯·霍尔……的兄弟-id项目甚至被推出一个简洁的Bro模块您可以使用它在您的网络流量中搜索这些域。
这一切都很好,也很恰当,但是我还没有看到很多围绕他们提供的关于评论团队工具本身行为的数据的讨论。附录A是一个巨大的数据转储,其中包含了该小组已知正在使用的40多种工具的一些关于主机和网络工件的非常好的信息。
新出现的威胁已经发布了一组Snort签名,涵盖了其中的许多内容,我很确定我们中的许多人都制作了自己的签名,但是我发现对这些签名缺乏关注很奇怪。也许外星人的规则已经满足了每个人的需求,所以没有必要谈论它们?不过,更有可能的是,我认为许多组织没有适当地审查报告中的检测指标。
每当你收到关于对手的新情报(无论是actor评论团队还是任何其他威胁行动者),对照痛苦金字塔仔细审查它。对于每一段,问自己“这里有什么我可以用来检测对手的活动吗,这在金字塔的哪个位置?”
当然,采取所有这些Domain和IP,并利用他们,如果你可以的话,但请记住你给对手造成的痛苦程度取决于你能够利用的指标类型,并据此创建您的计划。
若有收获,就点个赞吧
0 人点赞
