【亞信安全】-【2020年12月16日】近期,美國網絡安全供應商FireEye武器級別的紅隊攻擊工具被盜。為限制本次事件的影響范圍,其迅速提交針對本次被盜工具的防御方案,公布了"hundreds of countermeasures"(數百種對策)??梢灶A見本次丟失的武器級別的工具,可能是FireEye多年積累的干貨,影響力巨大,如果被別有用心的人利用,會產生難以估量的損失。
亞信安全情報分析團隊和核心技術部,作為一直長期關注紅藍攻防的研究團隊,第一時間整理此次事件,并進行了深入的分析。
以紅隊視角看FireEye武器分類
FireEye并沒有對本次被盜工具作出詳細的介紹,但我們的分析人員努力還原了它們的原貌,并且揭示這些工具的功能和影響。
紅隊被盜工具分為四類:
1. 基于開源項目的工具:這些紅色團隊工具是開源工具的略微修改版本,占比35%。
2. 基于內置Windows二進制文件的工具:這些工具使用稱為LOLBIN(不落地二進制文件)的內置Windows二進制文件,占比8.3%。
3. 內部為FireEye的Red Team開發(fā)的工具:這些工具是專門為FireEye的Red Team使用而開發(fā)的,占比40%。
4. 沒有足夠數據進行分析的工具:剩下的工具沒有足夠的數據來對其分析,占比17%。
【圖1. 工具來源分布圖】
本次泄漏工具的有效載荷中涉及CVE16個,但不包含0-day漏洞。
從本次粗略分析來看,被盜工具來源復雜,涉及CVE較多,且多分布于不同的攻擊緯度。鑒于這樣的情況,要求企業(yè)的安全防護的產品與策略要基于:既要從全局視角、大局觀點出發(fā),也要兼顧黑客思維的局部觀點來構建,這樣的策略防護就離不開ATT&CK的指導。
基于ATT&CK模型看立體防御的重要性
ATT&CK的全稱是"Adversarial Tactics,Techniques,and Common Knowledge",它是一個站在攻擊者的視角來描述攻擊中各階段用到的技術模型,這些攻擊模型通過TTP (Tactics,Technichques, Procedures)來描述。該模型已經成為行業(yè)通識,被大量的網絡安全公司使用,并且產生了良好的防御效果,尤其是目前比較流行的無文件攻擊等APT攻擊,具有良好的效果。
經過我們的分析,此次被盜的攻擊工具一共涉及以下ATT&CK的TTP策略:
【圖2. 被利用TTP攻擊策略】
從圖2中可以看到,本次被盜工具囊括12個攻擊階段中的11個,共包括約40個攻擊策略點。影響之廣、覆蓋之全,可見一斑,這也迫使我們安全企業(yè)必須從攻擊鏈的角度去考慮本次事件帶來的影響。
現代黑客的攻擊,都是基于這樣的一個假設:無論私有的中小企業(yè),還是國有的大型企業(yè),都建立了體系化防御的能力。所以在構建攻擊工具的時候,就不能單純的設想通過單一的工具直接獲得對方的控制權限,獲取想要的信息,同時還不會給對方留下把柄。要達成既定的目標,需要通過多樣化的攻擊思路,層層攻破,隱藏痕跡,才能達到目的。
【圖3. 被利用的TTP匯總】
例如在本次事件涉及的TTP中,據不完全統(tǒng)計,僅僅用來獲取對方各種情報的TTP高達15種,占比接近1/3;持久化執(zhí)行的TTP高達9種,關聯的被盜工具可能有40多個,占比達到50%;這么多工具僅僅完成了攻擊鏈的訪問和持久化工作,還遠遠沒有達到獲取目標信息階段,就此可見這些工具利用的攻擊面非常廣,從普通的漏洞攻擊,到硬件的側信道攻擊,再到社會工程學等等。那么想從單一層面去作防御,無異于緣木求魚,顧此失彼。尤其要注意轉換基于特征庫的防御思維,并不是說特征庫無用,而是說需要立體化的防護手段方案,從底層的操作系統(tǒng),到上層的各種應用、腳本文件執(zhí)行等等這些都要布防。
接下來,我們將選取一些典型的工具,分析其TTP規(guī)則以解釋被盜工具和TTP規(guī)則之間的關聯關系。
1.ADPassHunt
它是一種憑證竊取工具,可搜尋Active Directory憑證。該工具的YARA規(guī)則中有兩個引人注目的字符串:Get-GPPPasswords 和Get-GPPAutologons 。Get-GPPPassword 是一個PowerShell腳本,用于檢索通過組策略首選項(GPP)推送的帳戶的明文密碼和其他信息。Get-GPPAutologons 是另一個PowerShell腳本,可從通過GPP推送的自動登錄條目中檢索密碼。這些腳本在PowerSploit中用作功能,PowerSploit是結合了PowerShell模塊和腳本的進攻性安全框架。
關聯的TTP規(guī)則:
MITRE ATT&CK Techniques
T1003.003操作系統(tǒng)憑證轉儲:NTDS
T1552.06不安全憑據:組策略首選項
2.WMIRunner
該工具用于運行WMI命令,結合WMI隱蔽攻擊策略,不利用第三方攻擊就可以實現持久化,即長期隱蔽于受害者主機,無法查殺。
關聯的TTP規(guī)則:
MITRE ATT&CK Techniques
T1047 Windows管理規(guī)范
還有很多其他工具和TTP規(guī)則的關聯關系,基于這些TTP規(guī)則,攻擊者可以泛化出各種工具的變種,達到攻擊的隱蔽、難以檢測、難以查殺等效果。
基于上述分析,我們得出結論,企業(yè)級用戶要想真正對此次泄漏攻擊工具做好防御工作,不僅僅需要防御原版工具的攻擊,同時也要積極做好上述工具IOC變種防御,采用立體化的防御策略。
以XDR形成立體化防護體系
基于上述分析,我們建議用戶要有一個立體化的防護體系來應對目前的事件,同時也能夠應對未來的變化。另外,消除威脅的方案不是一勞永逸,要順應目前攻擊的變化趨勢。
所謂立體化的防護,是指既有事前發(fā)現、事中處理攻擊的能力,也有能夠事后免疫相同威脅的方案;既有基于傳統(tǒng)防病毒的基本能力,也有基于AI的高級威脅解決方案;既有基于攻擊者的思維,也有基于防御者的能力。為此,我們推薦采用亞信安全的XDR解決方案,具有立體化防護能力,它不僅具有基于ATT&CK框架的威脅研判能力,同時支持大數據介入分析,機器學習研判等能力。
·基于ATT&CK框架的威脅防御能力
亞信安全XDR通過自有關鍵產品的偵測與響應優(yōu)勢,提供省力的方式接入安全監(jiān)測數據,利用大數據規(guī)范化數據格式、體系結構和連接性。通過各種關聯數據,持續(xù)分析生成準確的ATT&CK威脅視圖。
【圖4. ATT&CK框架威脅視圖】
·采用大數據、機器學習和云架構
XDR可以代表從EDR到新一代的飛躍。作為云計算的產物,XDR可以滿足安全團隊在存儲、分析和機器學習方面的可伸縮性要求。通過大數據、機器學習等能力,精準識別多緯度威脅,產生與之關聯的TTP規(guī)則,提供更加人性化的事前事后防御策略。
【圖5. TTP威脅分類】
·快速響應
XDR不只是像傳統(tǒng)的SIEM那樣被動地記錄和轉發(fā)警報,而是主動評定并呈現可操作的結果,通過關聯放大"弱信號"。因此,系統(tǒng)不會顯示"過去發(fā)生了什么,公司需要調查"的警報,而是顯示"在X上,有哪些類型的攻擊發(fā)生,通過Y的聯動,告知客戶攻擊者的路徑以及如何應對"。XDR重點從僅給出警告轉移到了提供補救響應的方案。
【圖6. 快速響應的威脅視圖】
亞信安全XDR代表了從單點筒倉到面立體聚合的真正轉變。隨著組織從COVID-19陰霾中解脫,XDR可以幫助企業(yè)在網絡安全上面對新技術和資源的局限,并應對組織及其數字資產不斷增長的威脅。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!