https://nigesecurityguy.wordpress.com/2014/01/10/apt-detection-indicators-part-2/

APT檢測(cè)指標(biāo)-第2部分

高級(jí)持久威脅(APT)通常具有可識(shí)別的屬性和模式，這些屬性和模式可以通過現(xiàn)成的、開放源碼工具進(jìn)行監(jiān)視。這些工具能夠早期發(fā)現(xiàn)APT行為，特別是通過監(jiān)視異常的跨區(qū)域或出站流量。

雖然在針對(duì)協(xié)同一致和定向目標(biāo)的攻擊的戰(zhàn)斗中沒有什么靈丹妙藥，但一個(gè)包含多種方法和工具的整體框架，同時(shí)包含多層次的防御策略，可能會(huì)非常有幫助。這篇文章是對(duì)“APT紅隊(duì)”博客的補(bǔ)充——第1部分是為了能夠從反直覺的來源持續(xù)改進(jìn)和優(yōu)化周期，并幫助緩解高級(jí)威脅。

一、監(jiān)測(cè)以檢測(cè)APT行為

監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)文件完整性數(shù)據(jù)的組合是檢測(cè)APTs的關(guān)鍵。開放源碼工具(如Snort、Splunk、Sguil和Squert)的組合非常適合監(jiān)視數(shù)據(jù)中的活動(dòng)模式，以發(fā)現(xiàn)潛在的攻擊。

這個(gè)博客中包含的信息，加上APT檢測(cè)框架和APT Red team系列，僅代表了在主機(jī)和網(wǎng)絡(luò)上觀察異?；顒?dòng)的起點(diǎn)，而不是一個(gè)完整的APT程序。攻擊向量是不斷變化的，這取決于讀者如何跟上形勢(shì)的變化，這可能使APT戰(zhàn)略發(fā)生變化，或者尋求合作伙伴的專業(yè)知識(shí)和最佳實(shí)踐的幫助。

二、APT惡意軟件簽名

１、APT惡意軟件隱藏在普通的視線中

　通過使用公共網(wǎng)絡(luò)端口、進(jìn)程注入和Windows服務(wù)持久性來避免檢測(cè)

　APT惡意軟件啟動(dòng)出站網(wǎng)絡(luò)連接

　監(jiān)控海外網(wǎng)絡(luò)流量

　識(shí)別出APT的出站信標(biāo)企圖

　　APT惡意軟件簽名

２、避免異常檢測(cè)通過：

　出站HTTP連接

　進(jìn)程注入

　服務(wù)的持久性

３、APT通訊

　100%的APT后門只提供出站連接

　83%使用TCP端口80或443，很多人都知道

　簡(jiǎn)單的惡意軟件簽名，如MD5哈希，文件名，和傳統(tǒng)的反病毒方法通常會(huì)產(chǎn)生低的真實(shí)陽性率

Addressing the Gap: Detect the Breach

與APT攻擊有關(guān)的因素包括:

網(wǎng)絡(luò)流量突然增加，出站傳輸

不尋常的活動(dòng)模式，例如在正常辦公時(shí)間之外或在不同尋常的地方大量傳輸數(shù)據(jù)

對(duì)動(dòng)態(tài)DNS名稱的重復(fù)查詢

對(duì)攻擊者的目錄和文件的不尋常的搜索，例如，對(duì)源代碼庫的搜索

未識(shí)別的大型出站文件已被壓縮、加密的密碼保護(hù)

檢測(cè)偽造IP地址的通信

不使用本地代理或包含API調(diào)用的請(qǐng)求的外部訪問

平臺(tái)、路由器或防火墻配置的無法解釋的變化

增加了IDS事件/警報(bào)的數(shù)量

三、APT檢測(cè)和分析工具

APT依賴于遠(yuǎn)程訪問和控制，因此可以通過對(duì)跨區(qū)域和出站網(wǎng)絡(luò)流量的分析來確定與遠(yuǎn)程控制相關(guān)的網(wǎng)絡(luò)活動(dòng)。用于檢測(cè)APT的技術(shù)可以通過開源軟件工具實(shí)現(xiàn)，并用于實(shí)現(xiàn)方法，例如:

Snort:由Martin Roesch開發(fā)的開源基于網(wǎng)絡(luò)的入侵預(yù)防和檢測(cè)系統(tǒng)(IDS/IPS)。Snort使用簽名和協(xié)議，以及基于異常的檢查。

Scapy:數(shù)據(jù)包處理程序。Scapy可以為各種協(xié)議創(chuàng)建數(shù)據(jù)包。它可以發(fā)送和接收信息包和匹配請(qǐng)求和回復(fù)。它可以通過Python腳本進(jìn)行擴(kuò)展，可以用于各種各樣的偵探措施。

OSSEC:一個(gè)基于主機(jī)的IDS開源,而不是Snort。它的相關(guān)性和分析引擎提供日志分析、文件完整性檢查、Windows注冊(cè)表監(jiān)控、rootkit檢測(cè)和基于時(shí)間的警報(bào)以及主動(dòng)響應(yīng)，并支持大多數(shù)操作系統(tǒng)。

Splunk:從應(yīng)用程序、服務(wù)器和網(wǎng)絡(luò)設(shè)備中集成日志和其他數(shù)據(jù)的搜索、監(jiān)視和報(bào)告工具。數(shù)據(jù)存儲(chǔ)庫被索引，可以查詢以創(chuàng)建圖表、報(bào)告和警報(bào)。

Sguil:包括一個(gè)直觀的GUI，它提供對(duì)實(shí)時(shí)事件、會(huì)話數(shù)據(jù)和原始數(shù)據(jù)包捕獲的訪問。Sguil促進(jìn)了網(wǎng)絡(luò)安全監(jiān)控和事件驅(qū)動(dòng)分析的實(shí)踐。

Squert:用于查詢和查看存儲(chǔ)在Sguil數(shù)據(jù)庫中的事件數(shù)據(jù)的web應(yīng)用程序。通過使用元數(shù)據(jù)、時(shí)間序列表示、加權(quán)和邏輯分組結(jié)果集，它為事件提供了額外的上下文。

Analyze NIDS alerts with Snorby

這些工具適用于網(wǎng)絡(luò)安全監(jiān)控的一般類別，如Richard Bejtlich在幾本書中所描述的，參見“網(wǎng)絡(luò)安全監(jiān)控的實(shí)踐，理解事件的檢測(cè)和響應(yīng)”，了解更多細(xì)節(jié)。

入侵檢測(cè)(IDS)本身是次優(yōu)的，組織確實(shí)需要將工具組合成NSM來處理各種數(shù)據(jù)類型。Sguil是NSM的實(shí)際執(zhí)行。

四、安全洋蔥

安全洋蔥(SO)是一個(gè)用于入侵檢測(cè)、網(wǎng)絡(luò)安全監(jiān)視和日志管理的Linux發(fā)行版。它基于Ubuntu，包含Snort、Suricata、Bro、Sguil、Squert、Snorby、ELSA、xpleo、NetworkMiner和許多其他安全工具。易于使用的安裝向?qū)г试S組織在幾分鐘內(nèi)為企業(yè)建立一組分布式傳感器。有關(guān)更多信息，請(qǐng)參見安全洋蔥博客。

Use Squert to analyze NIDS/HIDS alerts and other data

安全洋蔥被配置為在默認(rèn)情況下立即使用。理想情況下，它應(yīng)該安裝在專用硬件上，但短期內(nèi)它可以通過虛擬機(jī)或從LiveCD OS媒體啟動(dòng)的系統(tǒng)進(jìn)行部署。增強(qiáng)最佳關(guān)聯(lián)功能的第一步是添加Splunk。但是，完全基于活動(dòng)的報(bào)警要求使用商業(yè)許可證，然而，有限的社區(qū)發(fā)布可以滿足小數(shù)據(jù)占用和僅限控制監(jiān)控。Splunk安裝非常簡(jiǎn)單。

結(jié)論

在關(guān)鍵數(shù)據(jù)和資產(chǎn)上，例如敏感數(shù)據(jù)（PII、PHI、CHD）、源代碼和知識(shí)產(chǎn)權(quán)，對(duì)關(guān)鍵數(shù)據(jù)和資產(chǎn)進(jìn)行提高操作意識(shí)是至關(guān)重要的。將關(guān)鍵數(shù)據(jù)分段和封裝在受監(jiān)控的安全區(qū)域內(nèi)，通過網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)流(NetFlow)和日志工具，以增加可見性并啟用按需數(shù)據(jù)包捕獲。

Pivot between multiple data types with Sguil, send pcaps to Wireshark & Network Miner

要平等地保護(hù)每一件東西是不可能的。增加的努力，目標(biāo)是保護(hù)高價(jià)值的數(shù)據(jù)，通常通過較小的和受保護(hù)的網(wǎng)絡(luò)段(參見自適應(yīng)區(qū)域防御)提供比更廣泛、更少集中的努力在更低的價(jià)值目標(biāo)上獲得更大的收益。類似的，多層防御戰(zhàn)術(shù)(多層和防御手段)可以包含安全漏洞，并爭(zhēng)取時(shí)間來檢測(cè)和應(yīng)對(duì)攻擊，從而減少違約的后果。

這一切都要從回歸基礎(chǔ)開始:基于資產(chǎn)和數(shù)據(jù)分類和風(fēng)險(xiǎn)評(píng)估(定義策略、放置和控制)的良好組織和管理的可防御體系結(jié)構(gòu)。

專注于檢測(cè)，控制，調(diào)查，反應(yīng)，根除，恢復(fù)。

即使是最好的監(jiān)控心態(tài)和方法也不能保證發(fā)現(xiàn)實(shí)際的APT攻擊。相反，使用更全面的分析和相關(guān)性來發(fā)現(xiàn)與相關(guān)攻擊、橫向移動(dòng)和數(shù)據(jù)過濾相關(guān)的行為。