https://nigesecurityguy.wordpress.com/2013/12/12/apt-detection-indicators-part-1/

APT檢測(cè)指標(biāo)-第1部分

在一個(gè)組織需要監(jiān)視或監(jiān)視他們的網(wǎng)絡(luò)的世界中，知道要注意什么是至關(guān)重要的。在這個(gè)博客中，我們討論了如何通過(guò)識(shí)別“攻擊前兆”和其他有助于保護(hù)你的組織不妥協(xié)的領(lǐng)先指標(biāo)來(lái)及早發(fā)現(xiàn)事件，并能阻止攻擊的軌跡。

一、攻擊威脅類型

有各種各樣的威脅因素，例如:

１　煩人的

　　　攻擊是投機(jī)取巧

　　　　　組織之所以被盯上是因?yàn)樗艽嗳?/p>

２內(nèi)部人員

　　　可信內(nèi)線竊取數(shù)據(jù)

　　　　　難以預(yù)防，但發(fā)現(xiàn)和歸因是可能的

３黑客行為主義者

　　　出于一個(gè)原因

　　　　　有決心但不總是復(fù)雜

４金融和知識(shí)產(chǎn)權(quán)(IP)

　　　更復(fù)雜的攻擊

　　　　　通常為財(cái)務(wù)或競(jìng)爭(zhēng)收益的目標(biāo)信息

５國(guó)家資助,

　　　持續(xù)的和有針對(duì)性的

　　　　　攻擊繼續(xù)，直到獲得目標(biāo)數(shù)據(jù)

二、攻擊解剖

如果有足夠的時(shí)間和資源，一個(gè)熟練的攻擊者總會(huì)找到辦法。那么公司是如何應(yīng)對(duì)的呢?公司需要有一個(gè)事件響應(yīng)計(jì)劃(IRP)。一個(gè)成功的IRP需要以有組織的方式將所需的資源整合起來(lái)，以檢測(cè)和處理與人員、系統(tǒng)和數(shù)據(jù)的安全性和安全性有關(guān)的不良事件。還應(yīng)該對(duì)IRP進(jìn)行徹底的測(cè)試，以評(píng)估組織對(duì)其環(huán)境中發(fā)生的事件的反應(yīng)。我們將在以后的博客中詳細(xì)討論IRP。

大多數(shù)組織都沒(méi)有準(zhǔn)備好檢測(cè)和應(yīng)對(duì)有針對(duì)性的入侵，最常見(jiàn)的原因是……

傳統(tǒng)的防御方法不起作用

對(duì)漏洞和防止零日的安全隧道視野小

欠發(fā)達(dá)的快速事件反應(yīng)過(guò)程

人力資源承諾需要技能、培訓(xùn)和準(zhǔn)備

檢測(cè)，控制，調(diào)查，根除，恢復(fù)

組織需要一個(gè)新的防御深度策略，“防御深度+”架構(gòu)和部署作為一個(gè)可防御的安全姿勢(shì)，使能力…

檢測(cè),

控制,

調(diào)查,

根除,

恢復(fù)

沒(méi)有任何一種產(chǎn)品或產(chǎn)品能夠阻止創(chuàng)新的人類攻擊者，他們可以隨著需要而進(jìn)化，改變戰(zhàn)術(shù)，發(fā)展日益復(fù)雜的水平。

三、感染指標(biāo)

在當(dāng)前的威脅環(huán)境下，威脅信息的快速傳播是快速檢測(cè)、響應(yīng)和遏制目標(biāo)攻擊的關(guān)鍵。尋找感染(IOCs)指標(biāo)是對(duì)付高級(jí)攻擊者的有效方法。IOCs是在主機(jī)或網(wǎng)絡(luò)上被識(shí)別的入侵的鑒證物。

IOCs與可測(cè)量的事件或有狀態(tài)的屬性綁定，這些事件或有狀態(tài)屬性可以表示從一個(gè)主機(jī)(可度量的事件)的注冊(cè)表鍵創(chuàng)建到一個(gè)互斥(有狀態(tài)屬性)的存在。例如，在使用APT檢測(cè)框架來(lái)優(yōu)化和檢查任何缺口后，組織應(yīng)該持續(xù)監(jiān)測(cè)和檢測(cè)諸如:

不尋常的出站網(wǎng)絡(luò)流量

具有不同尋常的登錄或訪問(wèn)模式的地理或跨國(guó)家活動(dòng)。

人們?cè)噲D掩蓋他們的蹤跡或者掩蓋他們?cè)谀愕南到y(tǒng)上的存在。

ARP緩存中毒、ARP欺騙和其他中間人攻擊的跡象。

偵聽(tīng)端口、系統(tǒng)服務(wù)和驅(qū)動(dòng)程序、啟動(dòng)任務(wù)和計(jì)劃任務(wù)的可疑更改。

特權(quán)用戶帳戶活動(dòng)或權(quán)限更改中的異常。

本地防火墻配置和本地用戶帳戶的更改。

DNS服務(wù)器或IP路由的更改。

root kits的癥狀或存在。

等等……

所有這些項(xiàng)目都可以提供不良行為者的早期指示，并幫助您識(shí)別和控制安全事件，以免造成損失。雖然在所有的事件響應(yīng)場(chǎng)景中都沒(méi)有出現(xiàn)IOCs，但是安全分析人員有更多的時(shí)間和機(jī)會(huì)來(lái)學(xué)習(xí)如何識(shí)別它們。安全分析人員、事件應(yīng)答者或威脅研究者收集、記錄和以符號(hào)表示 IOCs的能力是一個(gè)關(guān)鍵的成功因素。

Hunting for Indicators of Compromise

高級(jí)公式如下:

檢測(cè)

　　文件攻擊工具和方法(又名情報(bào))

　　　　網(wǎng)絡(luò)DNS、IP和通信協(xié)議模式(出站)

　　　　日志文件條目

　　　　主機(jī)鑒定和現(xiàn)場(chǎng)記憶

　　　　元數(shù)據(jù)對(duì)于狩獵是有效的。

　　　　分析攻擊工具以創(chuàng)建高效的IOCs

　　　　利用智能主動(dòng)尋找攻擊者的活動(dòng)

控制

　　網(wǎng)絡(luò)隔離

　　執(zhí)行現(xiàn)場(chǎng)事件響應(yīng)，以確定發(fā)生了什么和相關(guān)的活動(dòng)。

　　參見(jiàn):防御安全態(tài)勢(shì)和未來(lái)APT事件反應(yīng)博客。

調(diào)查

　　調(diào)查事件增加情報(bào)&感染范圍

　　基于收集的情報(bào)進(jìn)行威脅場(chǎng)景會(huì)話

消除和恢復(fù)

　　識(shí)別:

　　　　受影響的主機(jī)和帳戶(用戶、服務(wù)、所有廣告等)

　　　　主動(dòng)(信標(biāo))和被動(dòng)(聽(tīng))后門。

　　　　其他入口點(diǎn)，如web服務(wù)器、VPN和終端服務(wù)。

　　　執(zhí)行以下:

　　　　　重置密碼

　　　　　刪除后門

　　　　　修復(fù)他們正在開(kāi)發(fā)的易受攻擊的系統(tǒng)。

　　　　　繼續(xù)尋找IOCs，以確保修復(fù)工作，并識(shí)別攻擊者何時(shí)返回。

　　　　　進(jìn)行經(jīng)驗(yàn)教訓(xùn)和事后剖析

清洗和重復(fù)

指標(biāo)從簡(jiǎn)單地查找特定工件的簽名開(kāi)始。這些可以是傳統(tǒng)的取證工件，如MD5校驗(yàn)和、編譯時(shí)間、文件大小、名稱、路徑位置、注冊(cè)表鍵等等。許多不同類型的特定指標(biāo)可以組合在一個(gè)IOC中，因此不同類型的復(fù)雜性的任何一組簽名都可以應(yīng)用于一個(gè)特定的IOC。

與許多安全實(shí)踐一樣，IOC創(chuàng)作也是一門藝術(shù)。有創(chuàng)造性思維的練習(xí)。最終，最好的IOCs擁有這些屬性:

IOC只識(shí)別攻擊者活動(dòng)

IOC的評(píng)估便宜，通常簡(jiǎn)單并評(píng)估收集或計(jì)算的成本較低的信息

IOC對(duì)攻擊者來(lái)說(shuō)很昂貴。換句話說(shuō)，為了逃避IOC，攻擊者必須徹底改變戰(zhàn)術(shù)、工具或方法。

結(jié)論

也有一些新出現(xiàn)的，將會(huì)是在最壞的情況下和組織最好的方法來(lái)發(fā)展IOCs的標(biāo)準(zhǔn)。在未來(lái)的系列中，我們將詳細(xì)討論如何開(kāi)發(fā)和利用IOCs與新興工具，并討論CyBox (cybox.mitre.org)、OpenIOC (openioc.org)和IODEF (IETF RFC 5070)的新興標(biāo)準(zhǔn)和研發(fā)。