來源：sqrrl公司的《huntpedia》

作為防御者和事件探測器，我們的工作就是讓攻擊者的生活盡可能的困難。我們這樣做的方式是使用網(wǎng)絡(luò)威脅情報(CTI)，在本章中，我們將把它定義為關(guān)于敵人的工具、技術(shù)、能力和意圖的信息。我們大多數(shù)人都熟悉在自動檢測中使用CTI“feed”，這是一種通常被稱為指示器匹配的技術(shù):如果我們在日志中看到與已知的CTI(指示器)片段匹配的內(nèi)容，就發(fā)出警報并讓分析人員進(jìn)行檢查。但是CTI不僅僅用于自動檢測。如果使用正確，它可以成為你的威脅狩獵策略的關(guān)鍵部分。

一、有效利用CTI

Mandiant(現(xiàn)在是火眼的一個分支)在APT情報大壩上挖了一個大洞，當(dāng)時他們發(fā)布了APT報告，概述了一個通常被稱為評論小組的組織。隨后，賽門鐵克(Symantec)、聯(lián)邦調(diào)查局(FBI)和國土安全部(DHS)等其他機(jī)構(gòu)也發(fā)布了少量報告。這是一項(xiàng)扎實(shí)的工作，在公共政策領(lǐng)域是一個真正的突破，但我更感興趣的是報告的七個附錄(不包括視頻附錄)中包含的詳細(xì)技術(shù)信息。

然而，在看到這些指標(biāo)是如何應(yīng)用的之后，我意識到一件非常有趣的事情:幾乎沒有人在有效地使用它們。

我把這句話用粗體寫出來，因?yàn)樗悬c(diǎn)挑戰(zhàn)性，我相信它會讓很多讀者感到驚訝。檢測指示器的全部意義在于響應(yīng)它們，如果您能夠足夠快地響應(yīng)它們，您就可以在敵人攻擊您時拒絕使用這些指示器。然而，并不是所有的指標(biāo)都是平等的，其中一些指標(biāo)的價值遠(yuǎn)遠(yuǎn)高于其他指標(biāo)。此外，指標(biāo)在某些情況下可能比其他情況更有價值。

二、痛苦的金字塔

為了說明指標(biāo)價值的概念，我創(chuàng)建了我所稱的痛苦金字塔。這個簡單的圖表顯示了您可能用來檢測對手活動的指示器類型之間的關(guān)系，以及當(dāng)您能夠拒絕這些指示器時，會給他們帶來多大的痛苦。讓我們更詳細(xì)地研究一下這個圖。

2.1指標(biāo)類型

讓我們從簡單地調(diào)整構(gòu)成金字塔的指標(biāo)類型開始:

1. 哈希值:SHA1、MD5或其他類似的哈希值，對應(yīng)于特定的可疑或惡意文件。通常用于提供對特定惡意軟件樣本或涉及入侵的文件的唯一引用。

2. IP地址:IPv4或IPv6地址。在大多數(shù)情況下，網(wǎng)絡(luò)塊或CIDR范圍也適合這里。

3.域名:可以是域名本身(如“evil.net”)，也可以是子域名或子域名(如“This .is.sooooo.evil.net”)。

4. 網(wǎng)絡(luò)工件:由網(wǎng)絡(luò)上的敵對活動引起的可觀察性。從技術(shù)上講，由于對手的交互而流經(jīng)網(wǎng)絡(luò)的每個字節(jié)都可能是一個工件，但實(shí)際上這實(shí)際上意味著那些活動片段可能會將惡意活動與合法用戶的活動區(qū)分開來。典型的例子可能是URI模式、網(wǎng)絡(luò)協(xié)議中嵌入的C2信息、獨(dú)特的HTTP用戶代理或SMTP Mailer值，等等。

5. 主機(jī)工件:由一個或多個主機(jī)上的敵對活動引起的可觀察性。同樣，我們關(guān)注的是那些傾向于將惡意活動與合法活動區(qū)分開來的事情。它們可以是注冊表項(xiàng)，也可以是已知的值，由特定的惡意軟件碎片、偶然事件、在特定位置或使用特定名稱放置的目錄、描述、惡意服務(wù)或幾乎任何其他獨(dú)特的東西創(chuàng)建。

6. 工具:對手用來完成任務(wù)的軟件。大多數(shù)情況下，這將是他們帶來的東西，而不是可能已經(jīng)安裝在電腦上的軟件或命令。這將包括用于創(chuàng)建用于魚叉式釣魚的惡意文檔的實(shí)用程序、用于建立C2或密碼破解器的后門或其他基于主機(jī)的實(shí)用程序，它們可能希望使用postcompromise。

7. 戰(zhàn)術(shù)、技術(shù)和程序(TTPs):敵人是如何完成他們的任務(wù)的，從偵察到數(shù)據(jù)泄露，再到中間的每一步?！棒~叉式釣魚”是在網(wǎng)絡(luò)中建立存在的常見TTP?！坝媚抉RPDF文件進(jìn)行魚叉式釣魚”或“…如果鏈接到一個偽裝成ZIP的惡意SCR文件，則會是更具體的版本?！稗D(zhuǎn)儲緩存的身份驗(yàn)證憑據(jù)并在散列傳遞攻擊中重用它們”將是TTP。注意，這里我們不是在討論特定的工具，因?yàn)橛性S多方法可以使PDF武器化或?qū)崿F(xiàn)傳遞散列。

三、金字塔的解釋

現(xiàn)在我們對每種指標(biāo)類型有了更好的理解，讓我們再來看看金字塔。金字塔最寬的部分是冷色(藍(lán)色和綠色)，而較高的層次是溫暖的黃色，頂點(diǎn)是紅色，所有最熱的。寬度和顏色對于理解這些類型的指示器的值都是非常重要的。

3.1散列值

大多數(shù)哈希算法計(jì)算整個輸入的消息摘要，并輸出一個固定長度的哈希，該哈希對于給定的輸入是惟一的。換句話說，如果兩個文件的內(nèi)容甚至相差一個比特，那么這兩個文件的散列值就會完全不同。SHA1和MD5是這類散列最常見的兩個例子。

一方面，哈希指示器是您所希望的最精確的指示器類型。具有相同哈希值的兩個不同文件的幾率非常低，幾乎可以忽略這種可能性。另一方面，對文件的任何更改，即使是無關(guān)緊要的更改，如在未使用的資源中翻轉(zhuǎn)一個位或在末尾添加一個null，都會導(dǎo)致完全不同的、不相關(guān)的散列值。哈希值很容易改變，而且周圍有很多哈希值，在很多情況下甚至不值得跟蹤它們。

您還可能遇到所謂的模糊哈希，它試圖通過計(jì)算考慮輸入相似性的哈希值來解決這個問題。換句話說，兩個只有細(xì)微或中等差異的文件將具有本質(zhì)上相似的模糊哈希值，允許研究者注意它們之間可能的關(guān)系。Ssdeep是一個通常用于計(jì)算模糊哈希值的工具。盡管這些仍然是散列值，但它們在金字塔的“工具”級別上可能比這里更好，因?yàn)樗鼈兏咕芨暮筒僮?。事?shí)上，它們在DFIR中最常見的用途是識別已知工具或惡意軟件的變體，以試圖糾正更多靜態(tài)哈希的缺點(diǎn)。

3.2IP地址

IP地址是最基本的網(wǎng)絡(luò)指示器。由于缺乏從本地硬盤拷貝的數(shù)據(jù)并將前門放在一個USB密鑰上，為了進(jìn)行攻擊，您幾乎必須擁有某種網(wǎng)絡(luò)連接，而連接意味著IP地址。它位于金字塔最寬的部分附近，因?yàn)榻鹱炙泻芏?。任何合理的先進(jìn)的對手可以改變IP地址，只要它適合他們，很少的努力。在某些情況下，如果他們正在使用諸如Tor之類的匿名代理服務(wù)，他們可能會非常頻繁地更改ip，甚至從未注意到或關(guān)心過。這就是為什么IP地址在金字塔中是綠色的。如果你不讓對手使用他們的一個ip，他們通?？梢栽诓恢袛嗖椒那闆r下恢復(fù)。

3.3域名

在金字塔的更高一級，我們有域名(仍然是綠色的，但是顏色更淺)。改變這些要稍微麻煩一些，因?yàn)闉榱斯ぷ鳎鼈儽仨氉?、付費(fèi)(即使是用偷來的資金)并托管在某個地方。也就是說，有大量的DNS提供商有著寬松的注冊標(biāo)準(zhǔn)(其中許多是免費(fèi)的)，所以在實(shí)踐中改變域名并不難。不過，新域名可能需要一到兩天的時間才能在互聯(lián)網(wǎng)上隨處可見，因此這些域名比IP地址更難更改。

3.4網(wǎng)絡(luò)和主機(jī)工件

在金字塔的中間，開始進(jìn)入黃色區(qū)域，我們有網(wǎng)絡(luò)和主機(jī)工件。我們進(jìn)入了暖色，因?yàn)檫@是我們開始“加熱”對手的地方!這是你最終開始對對手產(chǎn)生負(fù)面影響的關(guān)卡。當(dāng)您能夠檢測并響應(yīng)這個級別的指示器時，您將導(dǎo)致攻擊者返回他們的實(shí)驗(yàn)室并重新配置和/或重新編譯他們的工具。一個很好的例子是，當(dāng)您發(fā)現(xiàn)攻擊者的HTTP偵察工具在搜索web內(nèi)容時使用了一個獨(dú)特的用戶代理字符串(例如，只差一個空格或分號)?；蛘咚麄冎皇菍懮献约旱拿帧e笑。這種情況發(fā)生!)如果您阻止任何呈現(xiàn)此用戶代理的請求，您將迫使它們返回并花費(fèi)一些時間a)弄清楚您如何檢測到它們的偵察工具，b)修復(fù)它。當(dāng)然，修復(fù)可能是微不足道的，但至少他們必須花費(fèi)一些努力來識別和克服您在他們面前設(shè)置的障礙。

3.5工具

下一層是“工具”，當(dāng)然是黃色的。在這個級別，我們將剝奪對手在箭筒中使用一支或多支特殊箭的能力。很有可能發(fā)生這種情況，因?yàn)槲覀冊跈z測他們工具的工件方面做得太好了，他們用了太多不同的方法放棄了，不得不要么開發(fā)一個新的工具，要么為同樣的目的創(chuàng)建一個新的工具。這對您來說是一個巨大的勝利，因?yàn)樗麄儽仨毻度霑r間在研究(找到一個具有相同功能的現(xiàn)有工具)、開發(fā)(如果可能的話創(chuàng)建一個新工具)和培訓(xùn)(弄清楚如何使用該工具并精通它)上。您只是讓他們花費(fèi)了一些時間，特別是如果您能夠跨他們的幾個工具進(jìn)行此操作。

一些工具指示符的例子可能包括AV或Yara簽名，如果它們能夠找到相同文件的變體，即使是適度的更改。具有獨(dú)特通信協(xié)議的網(wǎng)絡(luò)感知工具可能也適合這個級別，在這個級別中，更改協(xié)議需要對原始工具進(jìn)行大量重寫。而且，正如上面所討論的，模糊哈?？赡軙湓谶@個層次上。

3.6戰(zhàn)術(shù)、技術(shù)和程序

最后，在頂端是ttp。當(dāng)您在這個級別檢測和響應(yīng)時，您是在直接操作對手的行為，而不是針對他們的工具。例如，您檢測的是傳遞哈希攻擊本身(可能通過檢查Windows日志)，而不是它們用來執(zhí)行這些攻擊的工具。從純有效性的角度來看，這個級別是您的理想。如果你能對對手的ttp做出足夠快的反應(yīng)，你就能迫使他們做最耗時的事情:重新訓(xùn)練和學(xué)習(xí)新的行為。

讓我們再多想想。如果你把這帶到邏輯的極端，當(dāng)你能在對手不同的ttp上這么做會發(fā)生什么?你給他們兩個選擇:

1. 放棄,或者

2. 從零開始重塑自我

如果我是對手，在這種情況下，選項(xiàng)1對我來說可能很有吸引力。

3.7有效利用CTI進(jìn)行狩獵

既然我們已經(jīng)涵蓋了所有這些背景，我們終于可以將注意力轉(zhuǎn)回APT指標(biāo)。我說幾乎沒有人有效地利用它們。我的意思是什么，什么是“有效使用”?

我的意思是，我看到報告中有很多關(guān)于域名的討論。Bro NSM項(xiàng)目的Seth Hall甚至發(fā)布了一個整潔的Bro模塊，您可以使用它在您的網(wǎng)絡(luò)流量中發(fā)現(xiàn)這些域時自動發(fā)出警報。

這些都是正確的，但是社區(qū)中幾乎所有的報告和討論都是針對金字塔最低層次的指標(biāo)的自動檢測。當(dāng)然，這份報告早在大多數(shù)公司談?wù)撏{狩獵之前就出來了，所以這是意料之中的。但是Mandiant APT報告仍然是當(dāng)今供應(yīng)商威脅報告的一個模型，因此了解這些CTI報告如何用于自動檢測和狩獵(當(dāng)然，這通?？梢赞D(zhuǎn)化為自動檢測)非常重要。