來源：https://nigesecurityguy.wordpress.com/2014/01/03/apt-detection-framework-part-2/

信息安全領(lǐng)域正在發(fā)生一種趨勢，即從一種預防心態(tài)轉(zhuǎn)變?yōu)殛P(guān)注快速檢測，即快速識別、遏制和減輕威脅。在這種情況下，組織試圖使周邊地區(qū)變得難以滲透，避免違規(guī)。

為了開始理解并能夠快速防御定向目標攻擊，我們需要一個檢測矩陣來進行可視化分析，以確保所有的威脅場景都被認為沒有漏洞。該框架可以作為一種工具，將攻擊特征與分析方法和業(yè)務標準聯(lián)系起來。APT檢測框架-第2部分繼續(xù)我們的討論，提出一個更詳細的描述和用例示例。

一、檢測成本和精度

APTs是一個復雜的攻擊場景，使用不同的低級別攻擊方法來實現(xiàn)預定目標的多步驟方法。它們的執(zhí)行比普通攻擊更隱蔽。本博客所提供的框架可以幫助分析APT威脅場景，目的是創(chuàng)建一種檢測APTs的方法，并識別檢測或響應中的任何漏洞。

就像預防和防御深度一樣，有一個相關(guān)的檢測成本和精確的等式，也需要考慮到資源/技能和技術(shù)的能力成熟度——這是一個核心能力，需要構(gòu)建，從合作伙伴獲得技能和經(jīng)驗，或者外包。

二、檢測框架示例

下面的APT檢測框架-一般描述圖形提供了一個簡化的示例，提供了安全操作分析人員開始為各種用例填充矩陣的內(nèi)容的一般描述。

APT Detection Framework - General Descriptions

二、攻擊場景用例

外國公司對產(chǎn)品和競爭對手的知識產(chǎn)權(quán)感興趣。他們想知道詳細的技術(shù)和生產(chǎn)資料以及關(guān)于產(chǎn)品生產(chǎn)成本的財務信息。為了獲得所需的信息，他們與黑客團隊簽訂了匿名合同，以獲取競爭對手的網(wǎng)絡。競爭對手必須對網(wǎng)絡入侵不知情，以避免調(diào)查和可能的訴訟。

Advanced Persistent Attack Example

對APTs的檢測更加困難，因為攻擊者的潛行努力沒有被發(fā)現(xiàn)，但也不是不可能的，因為在工作站和服務器上有流量生成和惡意軟件或木馬。有可能找到攻擊的痕跡，這可以作為一種破壞的指示，以確定是否存在正在進行的APT攻擊。有關(guān)更多信息，請參見APT檢測指標——第1部分。

常見的防火墻、HIDS和NIDS系統(tǒng)很難找到合適的對象，因為它們主要關(guān)注離散和已知的攻擊簽名，并且不考慮APTs的結(jié)構(gòu)。它們不會將不同的、微妙的低級事件聯(lián)系起來，形成一個攻擊場景。一種關(guān)聯(lián)低級攻擊元素的方法可以檢測到這種攻擊。

網(wǎng)絡流量可以用來檢測APTs的不同步驟。八個步驟在網(wǎng)絡中各有不同的流量模式。上面的基本網(wǎng)絡圖給出了這些模式的一個例子。

步驟1:偵察

攻擊者的第一步是偵察目標公司。他們首先瀏覽公司網(wǎng)站的名稱和郵件地址，檢查DNS注冊，查找公共可訪問服務，并檢查在目標公司工作的人的社交媒體概況。主要目標是找到社會工程方法的處理方法，并在服務器和網(wǎng)站內(nèi)容管理系統(tǒng)中找到版本信息，以找到可利用的漏洞。

步驟2:獲取訪問權(quán)限

在第一步之后，攻擊者開始使用員工的個人信息來構(gòu)造看起來合法的網(wǎng)絡釣魚郵件。這些電子郵件包含一個被感染網(wǎng)站的鏈接，該網(wǎng)站利用零日漏洞在受害者電腦上安裝惡意軟件組件。另一種方法是使用社交媒體信息創(chuàng)建一個合法的電子表格或PDF作為電子郵件附件，附件是關(guān)于員工福利或假期等等。可能性是無限的。

步驟3 & 4:內(nèi)部偵察和擴大訪問。

一旦攻擊者通過惡意軟件在網(wǎng)絡中獲得了立足點，他們將試圖擴大他們對網(wǎng)絡其他部分的訪問。惡意軟件開始監(jiān)控網(wǎng)絡中服務器的連接，收集有關(guān)已安裝程序和網(wǎng)絡用戶的信息，以識別服務器地址、網(wǎng)絡結(jié)構(gòu)和擴展訪問的可能性。

未修補程序、操作系統(tǒng)或默認配置為攻擊者進一步擴展網(wǎng)絡客戶端和服務器提供了更多的可能性。攻擊者還通過在惡意軟件客戶端執(zhí)行發(fā)現(xiàn)的連接對網(wǎng)絡本身進行主動偵察。

步驟5 & 6:收集和提取數(shù)據(jù)。

未被發(fā)現(xiàn)和秘密行動的攻擊者是成功的，并且已經(jīng)找到了需要的技術(shù)文件和進入目標的金融系統(tǒng)。他們慢慢地收集他們控制的一個服務器上的所有信息，并準備提取信息。

最后，他們將信息過濾到互聯(lián)網(wǎng)上合法的文件存儲應用程序，使提取看起來盡可能的正常。他們還會繼續(xù)窺探其他數(shù)據(jù)，并從中提取數(shù)據(jù)。

步驟7和8:命令和控制和擦除痕跡。

攻擊者通過惡意軟件創(chuàng)建的后門，通過從惡意軟件連接到互聯(lián)網(wǎng)上的服務器，持續(xù)監(jiān)控進展。在提取了最后一個想要的信息后，攻擊者開始通過卸載惡意軟件來隱藏他們的蹤跡。僵尸網(wǎng)絡客戶端被用作隱藏通信來源的代理。刪除日志并執(zhí)行管理。一個后門可以放在可上網(wǎng)的設備上，以供將來使用，通過命令序列打開以啟用遠程訪問。

三、態(tài)勢感知和管理連接

通常20%的網(wǎng)絡連接是未知的，盡管在安全技術(shù)上有投資，但是確定一個企業(yè)內(nèi)的所有連接是至關(guān)重要的。這個80-20規(guī)則需要一個解決方案，它定義一個網(wǎng)絡周長，并驗證未知的連接不存在。態(tài)勢感知和高水平攻擊序列結(jié)構(gòu)和低水平攻擊元素的知識是檢測的關(guān)鍵。

這種知識對于選擇可以檢測到的攻擊特征是必要的，例如在網(wǎng)絡流量中。攻擊特征的選擇對檢測框架的設計和分析方法的選擇以及它們在檢測更復雜的攻擊方面的成功具有一定的影響。從攻擊的角度來選擇分析方法，利用這些知識來提高檢測和減少差距。

四、基本用例的例子

下面的APT檢測框架-基本用例圖展示了一個過度簡化的例子，它應用了上面的用例的模型。

PT Detection Framework - Basic Use Case

結(jié)論

在我們的核心任務中，重點關(guān)注檢測和響應，我們的下一系列博客將覆蓋事件響應成熟度。此外，我們還將在第3部分中對APT檢測框架添加更多的細節(jié)，通過與APT檢測指標更緊密地結(jié)合，并利用破壞指標(IoCs)。我們將開發(fā)越來越實用和有用的用例，利用工具，例如，Splunk, RedLine, Snort, Suricata, Bro, Sguil, Squert, Snorby，以及許多其他有用的網(wǎng)絡安全監(jiān)控和分析工具。