溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

發(fā)布時(shí)間:2021-12-27 15:47:09 來(lái)源:億速云 閱讀:109 作者:柒染 欄目:網(wǎng)絡(luò)安全

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析,相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

一、前言

ATT&CK是今年國(guó)內(nèi)安全行業(yè)的一個(gè)備受矚目的火熱概念,很多組織和廠商發(fā)布了文章闡釋各自對(duì)于它的理解,甚至連不少甲方單位也開(kāi)始關(guān)心起ATT&CK,不僅向安全廠商咨詢其在這方面的研究成果,似乎也有意將其當(dāng)做衡量廠商產(chǎn)品能力的一個(gè)維度——安全圈一時(shí)間頗有些“平生不識(shí)此概念,縱做安全也枉然”的氛圍。

當(dāng)然,這個(gè)現(xiàn)象很正常,ATT&CK作為一項(xiàng)來(lái)自國(guó)外的新技術(shù)概念,安全行業(yè)理所應(yīng)當(dāng)對(duì)其進(jìn)行研究分析。但另一方面,當(dāng)前業(yè)內(nèi)對(duì)于ATT&CK的研究分析存在很多誤解和片面的地方,因此我們從自己的角度出發(fā)對(duì)ATT&CK進(jìn)行了一些探討,希望能夠還原其本來(lái)面目、消除過(guò)度的“神秘感”,重新審視這一技術(shù)的真正價(jià)值。當(dāng)然作為一家之言,我們肯定也存在不客觀的地方,是非對(duì)錯(cuò),盡付公論。

二、ATT&CK

1、ATT&CK框架介紹

ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)是MITRE公司開(kāi)發(fā)的、基于真實(shí)環(huán)境觀察攻方戰(zhàn)術(shù)和技術(shù)的知識(shí)庫(kù)。

MITRE是由美國(guó)政府資助的一個(gè)非盈利研發(fā)機(jī)構(gòu),向美國(guó)政府提供系統(tǒng)工程、研究開(kāi)發(fā)和信息技術(shù)的支撐。并和美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)標(biāo)準(zhǔn)化組織合作制定相關(guān)安全標(biāo)準(zhǔn),比如漏洞缺陷CVE、CWE編號(hào)規(guī)則以及威脅情報(bào)格式STIX。

MITRE ATT&CK框架內(nèi)系統(tǒng)性的收集整合了整個(gè)攻擊過(guò)程完整生命周期的攻擊手法的知識(shí)庫(kù),并且這些攻擊手法均來(lái)自于對(duì)真實(shí)安全事件的洞察。該框架把攻擊者所采用的TTP(戰(zhàn)術(shù)Tactics,技術(shù)Techniques,過(guò)程Procedures)系統(tǒng)性地組織起來(lái)。在每個(gè)戰(zhàn)術(shù)項(xiàng)內(nèi)又包含實(shí)現(xiàn)該戰(zhàn)術(shù)目的的各種已知的攻擊技術(shù),同時(shí)在每項(xiàng)技術(shù)中詳細(xì)描述了運(yùn)用該技術(shù)的具體步驟和流程。

ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎(chǔ)上,構(gòu)建了一套更細(xì)粒度、更易共享的知識(shí)模型和框架。現(xiàn)在經(jīng)過(guò)幾年的發(fā)展,整個(gè)矩陣內(nèi)容變得豐富,被拆分為PRE-ATT&CK和ATT&CK for Enterprise,其中PRE-ATT&CK覆蓋了Kill Chain模型的前兩個(gè)階段,包含了與攻擊者嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。ATT&CK for Enterprise覆蓋了Kill Chain的后五個(gè)階段。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

ATT&CK for Enterprise將網(wǎng)絡(luò)安全事件劃分為12個(gè)階段。初始訪問(wèn)階段、執(zhí)行階段、持久化階段、提權(quán)階段、防御規(guī)避階段、憑證訪問(wèn)階段、發(fā)現(xiàn)階段、橫向移動(dòng)階段、采集階段、命令與控制階段、滲出階段、影響階段。攻擊手法和各階段的映射關(guān)系如下圖所示:

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

2、ATT&CK的能力

ATT&CK知識(shí)庫(kù)被用作在政府以及網(wǎng)絡(luò)安全產(chǎn)品和安全服務(wù)中開(kāi)發(fā)特定威脅模型和方法的基礎(chǔ)。同時(shí)也可用來(lái)檢測(cè)EDR產(chǎn)品是否具備偵測(cè)APT的能力?,F(xiàn)在主要被應(yīng)用在模擬攻擊、評(píng)估和提高防御能力、威脅情報(bào)提取和建模、威脅評(píng)估和分析四大方向上。

1、模擬攻擊:基于ATT&CK進(jìn)行紅藍(lán)攻防演練,進(jìn)行紅藍(lán)軍建設(shè) ;

2、檢測(cè)分析:基于具體的”技術(shù)“,有效增強(qiáng)檢測(cè)能力,用于甲方安全建設(shè);

3、威脅情報(bào):使用ATT&CK框架來(lái)識(shí)別攻擊組織,用于安全情報(bào)建設(shè);

4、評(píng)估改進(jìn):將解決方案映射到ATT&CK威脅模型,發(fā)現(xiàn)并彌補(bǔ)差距,用于評(píng)估安全能力。

ATT&CK框架內(nèi)整合的知識(shí)庫(kù)為安全行業(yè)提供了一個(gè)標(biāo)準(zhǔn),對(duì)已知的TTPs進(jìn)行收集,促進(jìn)安全產(chǎn)品的優(yōu)化改進(jìn)。本文將從 TTPs 的檢測(cè)、分析提出關(guān)于 ATT&CK 框架在提升主機(jī)EDR檢測(cè)能力的探索和思考。

3、ATT&CK落地環(huán)境

本文將要探討的是ATT&CK框架在終端安全產(chǎn)品的落地和應(yīng)用。ATT&CK的出現(xiàn)為終端安全產(chǎn)品的檢測(cè)能力提供了一個(gè)明確的,可衡量,可落地的標(biāo)準(zhǔn),改變防守方以往對(duì)于入侵檢測(cè)常常會(huì)陷入不可知和不確定的狀態(tài)中,有效的彌補(bǔ)自己的短板,通過(guò)檢測(cè)攻擊的技術(shù),映射到ATT&CK的戰(zhàn)術(shù),清晰的了解攻擊者所處攻擊階段。

另外如果能讓終端安全產(chǎn)品具有針對(duì)TTP的檢測(cè)能力,無(wú)疑能增強(qiáng)安全產(chǎn)品的核心檢測(cè)能力,提高攻擊檢測(cè)的覆蓋度和自動(dòng)處置的精確度,避免被攻擊者通過(guò)一些簡(jiǎn)單的變形繞過(guò)檢測(cè),因?yàn)獒槍?duì)TTP進(jìn)行檢測(cè),意味著我們是在根據(jù)攻擊者的行為進(jìn)行檢測(cè)。如果攻擊者想要躲避檢測(cè)就需要改變他們的行為,這需要研究一些新的技術(shù)和攻擊手段,這意味著更高的難度和付出更大的成本。

而所有的攻擊檢測(cè)都是基于數(shù)據(jù)源和策略的特征匹配。我們?nèi)绻枰獧z測(cè)某個(gè)攻擊技術(shù),首先需要獲取到這項(xiàng)技術(shù)所對(duì)應(yīng)的數(shù)據(jù),這些數(shù)據(jù)就是當(dāng)攻擊者執(zhí)行某項(xiàng)技術(shù)攻擊主機(jī)或網(wǎng)絡(luò)后,在主機(jī)或網(wǎng)絡(luò)設(shè)備上留下的蛛絲馬跡,他們所呈現(xiàn)的形式往往是各種日志,可能是系統(tǒng)或應(yīng)用內(nèi)置的日志,也可能是因?yàn)榘踩枰匾怃浿频娜罩緮?shù)據(jù)。在MITRE ATT&CK的每項(xiàng)技術(shù)描述中都有對(duì)應(yīng)于該技術(shù)的數(shù)據(jù)源信息,它告訴我們可以從哪些類型的數(shù)據(jù)中找到攻擊技術(shù)實(shí)施后所留下的痕跡。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

4、數(shù)據(jù)分類

通過(guò)在STIX 2.0 GitHub存儲(chǔ)庫(kù)中,調(diào)用與ATT&CK對(duì)象和屬性映射的STIX對(duì)象和屬性,對(duì)數(shù)據(jù)源進(jìn)行分析統(tǒng)計(jì),共有59種。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

下圖是通過(guò)對(duì)每個(gè)數(shù)據(jù)源能檢測(cè)的技術(shù)數(shù)量進(jìn)行統(tǒng)計(jì),并獲取檢測(cè)數(shù)量前十的數(shù)據(jù)源排行。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

5、技術(shù)選擇

除了檢測(cè)數(shù)據(jù)源的獲取,針對(duì)不同技術(shù)點(diǎn)的檢測(cè)也有難易程度之分。場(chǎng)景復(fù)現(xiàn)時(shí),有些只需要執(zhí)行系統(tǒng)命令,公開(kāi)工具,而有些是需要特制、專用工具,檢測(cè)從常見(jiàn)命令程序監(jiān)控,到深入系統(tǒng)內(nèi)核調(diào)用,進(jìn)程上下文監(jiān)控。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

(網(wǎng)圖:檢測(cè)攻擊技術(shù)的難易表)

以及同一個(gè)工具不同的命令、不同形式的使用,可映射不同攻擊階段的不同技術(shù),檢測(cè)的技術(shù)點(diǎn)也是不一樣的。以下為分析mimikatz工具映射的TTP。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

三、Sysmon

1、Sysmon介紹

Sysmon是微軟的一款免費(fèi)的輕量級(jí)系統(tǒng)監(jiān)控工具,最開(kāi)始是由Sysinternals開(kāi)發(fā)的,后來(lái)Sysinternals被微軟收購(gòu),現(xiàn)在屬于Sysinternals系列工具(帶有微軟代碼簽名)。它通過(guò)系統(tǒng)服務(wù)和驅(qū)動(dòng)程序?qū)崿F(xiàn)記錄進(jìn)程創(chuàng)建,網(wǎng)絡(luò)連接以及文件創(chuàng)建時(shí)間更改的詳細(xì)信息,并把相關(guān)的信息寫入并展示在windows的日志事件里。經(jīng)常有安全人員使用這款工具去記錄并分析系統(tǒng)進(jìn)程的活動(dòng)來(lái)識(shí)別惡意或者異?;顒?dòng)。

Sysmon安裝后分為用戶態(tài)系統(tǒng)服務(wù),驅(qū)動(dòng)兩部分,用戶態(tài)通過(guò)ETW(Event Tracing for Windows)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)記錄,通過(guò)EventLog對(duì)驅(qū)動(dòng)返回的數(shù)據(jù)進(jìn)行解析,驅(qū)動(dòng)部分則通過(guò)進(jìn)、線程,模塊的回調(diào)函數(shù)收集進(jìn)程相關(guān)的信息,通過(guò)Minifilter文件過(guò)濾驅(qū)動(dòng)和注冊(cè)表回調(diào)函數(shù)記錄訪問(wèn)文件、注冊(cè)表的數(shù)據(jù)。

2、選擇理由

從功能上來(lái)講,Sysmon一旦安裝在系統(tǒng)上,在駐留系統(tǒng)期間,可以監(jiān)視系統(tǒng)活動(dòng)并將其記錄到Windows事件日志中。 與一般檢測(cè)工具相比,Sysmon可以執(zhí)行系統(tǒng)活動(dòng)深度監(jiān)視,并記錄高級(jí)攻擊的高可信度指標(biāo),是一款優(yōu)秀的HIDS、EDR的主機(jī)入侵檢測(cè)引擎。

穩(wěn)定性方面超過(guò)大部分自研的驅(qū)動(dòng),功能完善,對(duì)性能影響較小,雖然功能強(qiáng)大但卻有很多監(jiān)控盲區(qū)。若加以自研Agent與其配之,便可彌補(bǔ)自身監(jiān)控盲區(qū)及非查詢功能等其他需求。

接下來(lái)的針對(duì)ATT&CK的技術(shù)檢測(cè)主要依托sysmon的監(jiān)控,測(cè)試從終端捕獲事件數(shù)據(jù)進(jìn)行分析。后面我將向您展示如何安裝sysmon以及如何使用自定義配置來(lái)過(guò)濾噪聲并獲得威脅特征。

3、搭建環(huán)境測(cè)試

執(zhí)行sysmon程序進(jìn)行安裝,用于生成日志監(jiān)測(cè)數(shù)據(jù)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

模擬攻擊環(huán)境,編寫批處理文件,執(zhí)行minikatz惡意程序(可用于從內(nèi)存獲取明文密碼、黃金票據(jù)和****等)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

安裝winlogbeat產(chǎn)品,幫助我們將Windows事件日志實(shí)時(shí)流式傳輸?shù)轿覀兊腅LK存儲(chǔ)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

打開(kāi)winlogbeat.yml文件編輯其收集的日志類型。在-name:System后添加以一行:-name:Microsoft-windows-sysmon / operational

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

進(jìn)行winlogbeat的配置測(cè)試,執(zhí)行.\winlogbeat.exe -c .\winlogbeat.yml -configtest -e。測(cè)試正常后,開(kāi)啟服務(wù),執(zhí)行start-service winlogbeat。

處理遭受攻擊后捕獲系統(tǒng)監(jiān)測(cè)數(shù)據(jù),可用于二次分析處理。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

建議優(yōu)先考慮您在環(huán)境中當(dāng)前可能看到的內(nèi)容,而不是僅選擇矩陣中的任何技術(shù)。例如,如果您的環(huán)境中正在運(yùn)行Sysmon,并且正在收集“ ProcessCreate”事件,則可以優(yōu)先考慮需要將“ Process Monitoring”或“ Process命令行參數(shù)”作為數(shù)據(jù)源的技術(shù)。

四、分析過(guò)程

在本文中,主要探討通過(guò)利用minikatz技術(shù)來(lái)利用獲取hash憑證或者傳遞的過(guò)程,這一類技術(shù)主要是通過(guò)命令行參數(shù)檢測(cè)及程序運(yùn)行上下文相關(guān)調(diào)用進(jìn)行監(jiān)測(cè),然后通過(guò)對(duì)其特征進(jìn)行提取,分析如何有效降低數(shù)據(jù)噪聲,并模擬測(cè)試命令執(zhí)行建立會(huì)話進(jìn)行驗(yàn)證,不斷提升工程化實(shí)施檢測(cè)的效果。

以下通過(guò)調(diào)用系統(tǒng)API接口實(shí)時(shí)監(jiān)測(cè)系統(tǒng)命令行程序調(diào)用接口,通過(guò)匹配命令行參數(shù)特征,模擬檢測(cè)惡意攻擊。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

但是單純通過(guò)匹配命令行參數(shù)特征,雖然能夠匹配一定的攻擊事件,但是也存在被容易繞過(guò)的現(xiàn)象。

1、Sysmon工具分析

我們可以借助Sysmonview 這類工具可以很好的將攻擊者的行為,惡意程序執(zhí)行過(guò)程完整呈現(xiàn)出來(lái)。有助于行為分析,特征提取。由下圖可以分析,mimikatz執(zhí)行過(guò)程中先后加載了cryptdll.dll、samlib.dll、hid.dll、WinSCard.dll、vaultcli.dll等動(dòng)態(tài)鏈接庫(kù),并訪問(wèn)了系統(tǒng)lsass.exe進(jìn)程。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

但是被調(diào)用的這些dll是不是只有mimikatz才會(huì)調(diào)用的程序,是不是存在噪聲,還是無(wú)法確定,可能存在某些程序也需要調(diào)用這些dll文件,還是需要進(jìn)一步分析確認(rèn)。

2、Sysmon數(shù)據(jù)平臺(tái)分析

面對(duì)海量的數(shù)據(jù)日志,我們需要有個(gè)大的數(shù)據(jù)平臺(tái),進(jìn)行分析,了解主機(jī),進(jìn)程、文件、網(wǎng)絡(luò)、驅(qū)動(dòng)、注冊(cè)表、管道等一系列對(duì)象間的關(guān)聯(lián)關(guān)系,分析比對(duì),篩選出符合某些攻擊技術(shù)的能夠識(shí)別的最小唯一特征。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

3、Sysmon規(guī)則分析

通過(guò)行為分析,初步提取特征后,我們可以通過(guò)sysmon規(guī)則進(jìn)行特征匹配。

ATT&CK技術(shù)編號(hào)T1003-憑證轉(zhuǎn)儲(chǔ)可通過(guò)以下sysmon規(guī)則配置,進(jìn)行監(jiān)測(cè)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

或者通過(guò)yaml規(guī)則,進(jìn)行配置檢測(cè)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

在系統(tǒng)日志檢測(cè),結(jié)果成功捕獲minikatz相關(guān)運(yùn)行信息。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

因?yàn)槭褂胋at腳本來(lái)運(yùn)行minikatz程序,所以下圖顯示命中技術(shù)T1036-混淆攻擊的檢測(cè)規(guī)則

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

像Mimikatz這樣的憑證轉(zhuǎn)儲(chǔ)程序可以直接通過(guò)本地二進(jìn)制程序文件執(zhí)行,也可以通過(guò)Powershell直接加載到內(nèi)存中運(yùn)行,并從內(nèi)存中讀取其他進(jìn)程的數(shù)據(jù)。分析查找這類程序時(shí),可進(jìn)一步分析提取進(jìn)程請(qǐng)求特定的權(quán)限以讀取LSASS進(jìn)程的部分,用以檢測(cè)何時(shí)發(fā)生憑證轉(zhuǎn)儲(chǔ)。辨別Mimikatz與其他程序使用的常見(jiàn)訪問(wèn)模式。

常見(jiàn)的Mimikatz GrantedAccess模式。

這些特征特定于Mimikatz當(dāng)前版本的工作方式,因此對(duì)于Mimikatz的將來(lái)更新和非默認(rèn)配置都是不可靠的。

EventCode=10

TargetImage="C:\\WINDOWS\\system32\\lsass.exe"

(GrantedAccess=0x1410 OR GrantedAccess=0x1010 OR GrantedAccess=0x1438 OR GrantedAccess=0x143a OR GrantedAccess=0x1418)

CallTrace="C:\\windows\\SYSTEM32\\ntdll.dll+*|C:\\windows\\System32\\KERNELBASE.dll+20edd|UNKNOWN(*)"

| table _time hostname user SourceImage GrantedAccess

以下是編號(hào)T1003憑證訪問(wèn)階段戰(zhàn)術(shù)憑證轉(zhuǎn)儲(chǔ)技術(shù)映射更細(xì)粒度多個(gè)子技術(shù)的sysmon配置語(yǔ)句。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

以下為系統(tǒng)檢測(cè)到鍵盤記錄器創(chuàng)建文件的行為,可以通過(guò)檢測(cè)異常行為,提升檢測(cè)攻擊的能力,發(fā)現(xiàn)主機(jī)側(cè)更多的安全問(wèn)題。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

五、Sysmonhunter分析

利用Empire工具進(jìn)行模擬測(cè)試,Empire是一款內(nèi)網(wǎng)滲透測(cè)試?yán)?,其跨平臺(tái)的特性類似于Metasploit,有豐富的模塊和接口,用戶可以自行添加模塊和功能,是針對(duì)PowerShell 利用較好的平臺(tái)。

通過(guò)對(duì)終端監(jiān)測(cè)的數(shù)據(jù)進(jìn)行特征匹配處理,并將結(jié)果推送到Elasticsearch數(shù)據(jù)庫(kù),查看數(shù)據(jù)的錄入情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

通過(guò)分析查看dll的調(diào)用次數(shù),分析文件是不是存在被正常程序調(diào)用的情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

分析某些dll是只被某些程序調(diào)用,或是某些操作必須調(diào)用的過(guò)程,需要逐個(gè)分析,判斷能夠被當(dāng)成特征工程的一個(gè)指標(biāo)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

通過(guò)導(dǎo)入圖數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)分析,藍(lán)色表示程序,紅色表示調(diào)用過(guò)程,黃色表示節(jié)點(diǎn),綠色表示終端編號(hào)。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

六、實(shí)際應(yīng)用

結(jié)合產(chǎn)品進(jìn)行檢測(cè),通過(guò)抽象提煉,完成了適當(dāng)?shù)姆诸?,將攻擊者的行為和具體的檢測(cè)方式聯(lián)系起來(lái)。通過(guò)抽象提煉,形成一個(gè)通用檢測(cè)方法,讓產(chǎn)品可以檢測(cè)單項(xiàng)對(duì)抗行為及其目標(biāo)。

1、單點(diǎn)測(cè)試

·測(cè)試框架應(yīng)用

Atomic Red Team是一個(gè)簡(jiǎn)單測(cè)試庫(kù),每個(gè)安全團(tuán)隊(duì)都可以執(zhí)行此測(cè)試來(lái)測(cè)試安全產(chǎn)品的檢測(cè)能力。該測(cè)試庫(kù)是映射到MITER ATT&CK框架的小型、高度可移植的檢測(cè)測(cè)試框架。每個(gè)測(cè)試旨在映射特定的策略。

以下通過(guò)該交互式測(cè)試框架,檢驗(yàn)EDR的檢測(cè)能力。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

任何攻擊者進(jìn)入內(nèi)網(wǎng)最想要的是竊取盡可能多的憑據(jù)。如果他們能用憑證登錄其他系統(tǒng),就沒(méi)必要在通過(guò)研究其他資產(chǎn)尚存的漏洞,進(jìn)行測(cè)試攻擊,所以主機(jī)憑據(jù)獲取,歷來(lái)都是兵家必爭(zhēng)之地,不管是滲透測(cè)試、紅藍(lán)對(duì)抗還是護(hù)網(wǎng)行動(dòng),得憑證者得天下。故以下選取相關(guān)憑證獲取相關(guān)攻擊的應(yīng)用檢測(cè)。

·卷影副本操作

vssadmin用于創(chuàng)建/刪除Windows驅(qū)動(dòng)器的卷影副本的命令。卷影副本簡(jiǎn)單理解就是備份,您可以創(chuàng)建卷影副本備份和完全相同的文件副本。例如,以獨(dú)占方式打開(kāi)的數(shù)據(jù)庫(kù)以及由操作員和系統(tǒng)活動(dòng)打開(kāi)的文件都可以通過(guò)命令在創(chuàng)建卷影副本過(guò)程中備份??梢允褂镁碛案北緦AM文件導(dǎo)出,配合SYSKEY利用mimikatz等工具獲得NTLM Hash。也可以利用VSS卷影副本拷貝ntds.dit,ntds.dit是AD(活動(dòng)目錄)中的數(shù)據(jù)庫(kù)文件,包含有關(guān)活動(dòng)目錄域中所有對(duì)象的所有信息,其中包含所有域用戶和計(jì)算機(jī)帳戶的密碼哈希值。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測(cè)情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

·Mimikatz

mimikatz是法國(guó)人Gentil Kiwi編寫的一款windows平臺(tái)下的神器,它具備很多功能,其中最亮的功能是直接從 lsass.exe 進(jìn)程里獲取windows處于active狀態(tài)賬號(hào)的明文密碼。mimikatz的功能不僅如此,它還可以提升進(jìn)程權(quán)限,注入進(jìn)程,讀取進(jìn)程內(nèi)存,hash傳遞等等

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測(cè)情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

·Procdump

Procdump是Windows工具包里的一款工具,由于有微軟的官方簽名,所以大部分殺軟不會(huì)查殺。通過(guò)procdump導(dǎo)出lsass.exe的內(nèi)存文件,在用mimikatz.exe在本地讀取內(nèi)存文件提取密碼。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測(cè)情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

·Ntdsdump

Ntdsdump是NTDS.dit(活動(dòng)目錄數(shù)據(jù)庫(kù))密碼快速提取工具,可通過(guò)從域控制器上導(dǎo)取的ntds.dit文件以及SYSTEM文件,離線獲取域控制器上所有hash的神器。

以下是產(chǎn)品依據(jù)程序hash及進(jìn)程行為分析后的檢測(cè)情況。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

2、場(chǎng)景測(cè)試

·勒索檢測(cè)

模擬執(zhí)行勒索程序后,通過(guò)提取行為特征,hash比對(duì),匹配特征庫(kù),檢測(cè)異常告警。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

最終通過(guò)自動(dòng)分析判定主機(jī)正遭受勒索病毒攻擊。

七、持續(xù)演進(jìn)

1、ATT&CK細(xì)化子攻擊的粒度

雖然ATT&CK提供了一套系統(tǒng)的理論指導(dǎo),但仍任然不能解決具體的檢測(cè)點(diǎn)技術(shù)問(wèn)題,沒(méi)有描述技術(shù)的特定實(shí)現(xiàn)的方法。對(duì)于某些技術(shù)描述還是比較籠統(tǒng),對(duì)于檢測(cè)安全產(chǎn)品的檢測(cè)覆蓋率還是不夠。ATT&CK的廣度問(wèn)題目前已經(jīng)基本解決了,往后發(fā)展就是不斷增加深度,不是一個(gè)測(cè)試用例就算覆蓋一個(gè)指標(biāo)了,而是一組測(cè)試用例可以驗(yàn)證一個(gè)指標(biāo)的深度。

近期ATT&CK組織為了增強(qiáng)框架結(jié)構(gòu),開(kāi)始對(duì)整個(gè)框架進(jìn)行調(diào)優(yōu)和重新設(shè)計(jì),細(xì)化描述攻擊技術(shù)的粒度,提出了子技術(shù)概念。子技術(shù)是一種更詳細(xì)地描述技術(shù)的特定實(shí)現(xiàn)的方法。后期可以在技術(shù)列表中,查看可以執(zhí)行技術(shù)的各種方式。例如憑據(jù)轉(zhuǎn)儲(chǔ)就是一個(gè)很好的例子。

在“憑據(jù)轉(zhuǎn)儲(chǔ)”的技術(shù)中,可以執(zhí)行該操作的方式共計(jì)9個(gè),例如Windows SAM和“緩存的憑據(jù)”。盡管最終結(jié)果每次都是相似的,但很多不同的行為都集中在一種技術(shù)中。對(duì)于子技術(shù),我們將對(duì)其進(jìn)行拆分,并擁有一種頂級(jí)的憑證轉(zhuǎn)儲(chǔ)技術(shù),其下具有九種子技術(shù),以更詳細(xì)地介紹這些變化,以了解它們?nèi)绾我蕴囟ǚ绞綉?yīng)用于各個(gè)平臺(tái)。

子技術(shù)將從.001開(kāi)始,并隨著每個(gè)新的子技術(shù)遞增。例如,訪問(wèn)令牌操縱仍將是T1134,但是“令牌操縱/盜竊”將是T1134.001,“使用令牌創(chuàng)建進(jìn)程” T1134.002,等等

對(duì)子技術(shù)所需的技術(shù)的進(jìn)行深入分析,導(dǎo)致戰(zhàn)術(shù)和技術(shù)之間歸屬位置的調(diào)整??赡軙?huì)刪減了一些不適合該策略核心定義的技術(shù),例如“ 隱藏文件”和“目錄”不適合“持久性”,以及一小部分需要棄用的技術(shù),例如“ Hypervisor”,在該系統(tǒng)中,我們發(fā)現(xiàn)沒(méi)有證明的用例概念。以及技術(shù)降級(jí)到子技術(shù)的調(diào)整。例如,由于我們添加了“ Pre-OS Boot” 技術(shù),因此將現(xiàn)有的Bootkit技術(shù)作為其子技術(shù)移至其下方。

以下是將舊技術(shù)映射到新子技術(shù)的對(duì)應(yīng)表

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

2、攻防檢測(cè)對(duì)抗

ATT&CK在持續(xù)更新升級(jí),攻擊者也在不斷尋找更隱蔽的方法,繞過(guò)傳統(tǒng)安全工具的檢測(cè),因此防御者也不得不改變檢測(cè)和防御方式。

就像上面我們用于入侵檢測(cè)的sysmon檢測(cè)引擎,很多人在安裝Sysmon的過(guò)程中直接使用默認(rèn)配置,不更改文件名、服務(wù)名、驅(qū)動(dòng)名,在攻擊者發(fā)現(xiàn)主機(jī)環(huán)境裝有Sysmon后,通過(guò)對(duì)現(xiàn)有規(guī)則及對(duì)環(huán)境分析,結(jié)合具體情境使用繞過(guò)及阻斷方式組合技術(shù),可輕松突破Sysmon日志記錄。所以防御方需要對(duì)sysmon進(jìn)行隱藏,否則將影響對(duì)攻擊者TTP檢測(cè),及入侵行為檢測(cè)。

從戰(zhàn)術(shù)、技術(shù)和過(guò)程(TTPs)的攻擊層面分析,現(xiàn)在攻擊者使用工具,往定制化、模塊化、無(wú)文件落地發(fā)展,可繞過(guò)大部分傳統(tǒng)的安全防護(hù)設(shè)備。例如以下工具運(yùn)行不帶任何參數(shù)可直接轉(zhuǎn)儲(chǔ)lsass.exe的內(nèi)存。

怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析

這就需要依托安全廠商投入研究,研究分析得越透徹,攻擊者繞過(guò)的難度就越高。尤其是針對(duì)現(xiàn)有的TTPs的研究,研究如何精確匹配攻擊事件,我覺(jué)得這也是未來(lái)的趨勢(shì),往精準(zhǔn)化檢測(cè)前行,否則安全分析人員,將被淹沒(méi)在各種設(shè)備海量的告警中,剪不斷理還亂,當(dāng)然這是個(gè)持續(xù)的過(guò)程,在攻防對(duì)抗中不斷升級(jí),不斷演進(jìn)。

3、大數(shù)據(jù)智能平臺(tái)分析

往更深層次上講,如果僅僅只為了發(fā)現(xiàn)特定的已知攻擊行為而進(jìn)行的檢測(cè)會(huì)是什么樣場(chǎng)景?一個(gè)新的特征,一個(gè)新的告警,一個(gè)新簽名,一個(gè)接一個(gè)!是的,這很可能是作為安全分析師在每天工作中所經(jīng)歷的對(duì)于威脅的檢測(cè)分析處理。我們是否想過(guò),通過(guò)由幾個(gè)開(kāi)源框架組成的生態(tài)系統(tǒng),自研啟用高級(jí)分析功能來(lái)增強(qiáng)威脅檢測(cè)能力,通過(guò)賦能機(jī)器學(xué)習(xí),構(gòu)建大數(shù)據(jù)智能分析平臺(tái),進(jìn)一步發(fā)展根據(jù)數(shù)據(jù)做出預(yù)測(cè)或建議的分析技術(shù),解決檢測(cè)已知的威脅,通過(guò)關(guān)聯(lián)分析,挖掘未知的威脅,提高檢測(cè)率。

看完上述內(nèi)容,你們掌握怎么進(jìn)行ATT及CK對(duì)提升主機(jī)EDR檢測(cè)能力的分析的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

edr
AI