点击联系发帖人原标题:网络安全威胁情报之杀傷链
中引用的另一个军事概念是杀伤链事实上,这几年安全市场对这个营销概念的热炒以及业界对其的广泛引用已经很难找到杀伤链嘚原始出处。这个概念多年来游走于学术边缘直到Lockheed Martin公司的研究人员Eric M.Hutchins等人发表了题为“Intelligence-Driven Computer Net-work Defense Informed
自从那份报告发布之后,杀伤链已经成为几乎所有供应商在网络威胁情报上都会引用的模型也是防御团队的主要指导流程。杀伤链为攻击者在利用目标时所经历的阶段提供了理想的抽象
但什么是杀伤链?杀伤链最简单的解释就是攻击者为了实现目标而必须执行的一系列步骤(见图1)图中的例子我们讨论的是一个计算機网络攻击者,但它实际上可以用于许多对抗活动这意味着在事件的抽象过程中,事件周期聚焦于防御者的行为上而杀伤链则侧重攻擊者的行为。
杀伤链是抽象攻击者的战术、技术和程序(TTP)的好方法它提供了一个理解攻击的抽象行为结构。
尽管杀伤链的早期阶段特别是目标踩点和侦察跟踪有时对于防御者来说是不透明的,通常难以发现这是情有可原的。防御者往往倾向于认为攻击者每次都能毫鈈费力地获胜然而这并不是真相,事实上我们破坏这些预入侵阶段的能力可能是防御者最强大的优势之一。
在Lockheed Martin提出杀伤链之前杀伤鏈这个概念就已经存在很久了,杀伤链原先是指为了实现对某个军事目标实施致命性打击所必需的一系列相互关联的步骤“JP 3-60Joint Targeting”一文中描述了目前美国军方杀伤链。Lockheed Martin关于杀伤链的文章描述的是网络安全运营领域中的杀伤链模型其实没有所谓“正确的”杀伤链,根据攻击场景的不同可能会忽略某个阶段,或合并某些阶段如同其他模型一样,这只是一种思考入侵的方法
因此,我们可以根据自身情况对杀傷链进行适当改造比如可以为它增加自己的阶段(例如持久化)。我们并不否定Hutchins等人所做的伟大工作只是可以让你根据自己的理解,建立自己的入侵模型
在杀伤链正式开始之前,攻击者必须确定要攻击什么(例如谁是潜在的目标)。在许多情况下这是与某赞助商戓受益方进行磋商时确定的,通常作为他们自身情报或业务需求的一部分对于防御者来说,我们通常会认为目标是受害者企业但实际仩,针对的目标是企业里有价值的信息或能力
目标定位是杀伤链一个有趣的阶段,因为它涉及攻击的动机也是对攻击者的归类(不一萣是具体属性的识别)。举个例子一个想偷钱的攻击者需要去有钱的地方。了解攻击者的最终目标是可以引导我们更好地使用防御技術。
瞄准目标后攻击者便开始进行侦察。在侦察跟踪阶段(或通过简单的侦察)攻击者会尽可能多地收集目标受害者的信息。根据所收集的数据类型(硬数据与软数据)和收集方法(被动与主动)侦察可分为多个类别。
情报世界有多种基于主题(SIGINT、TECHINT等)的信息划分方法但对于网络安全运营领域来说,我们可以把事件简化
硬数据包括网络及其系统的技术信息。对于攻击者来说(也适用于调查攻击者嘚防御方)这里通常包括开源情报:
操作系统和应用程序版本
软数据包括网络及其系统的企业背景信息:
组织结构图、公共关系和其他層次结构文件
招聘信息,通常可能泄露诸如正在使用的技术等信息
关于员工包括专业和个人的信息,用于社交工程攻击
攻击者可能会使鼡不同的方法收集信息我们可以将这些方法归类为主动或被动:
主动方法需要直接与目标进行交互。积极的硬收集可以是直接对系统进荇端口扫描积极的软收集可能是通过社工手段收集有关内部企业架构和人员联系方式等信息。
被动方法不直接与目标互动通常是收集來自第三方信息服务(如DNS或WHOIS)的信息。被动的硬收集可以利用来自公共服务的域信息;被动的软收集从网站收集关于企业的信息在这些社交站点中,人们经常分享相当多的信息
防御者检测这种侦察活动的能力差别很大。例如主动方法比被动方法更容易检测,而且大多數网络防御者对硬数据比软数据有更多的控制措施检测端口扫描的硬收集行为要比检测读取企业对外发布的特定技术岗位的职位描述容噫得多。
尽管侦察收集有一定效果但对于杀伤链启动的大多数情况,也是存在一定疑惑的实际上通过端口扫描的动机来衡量黑客组织嘚水平是不大可能的。互联网上的任何东西都可能遭受到大量的扫描扫描源头并不一定是坏人,所以我们需要考虑侦查的低精度与高噪聲另一方面,在杀伤链后期获取与侦查活动相关的攻陷指标有助于对目标以其使用的方法,甚至其他被入侵的资源有更好的洞察力
洳果所有的安全防御产品,或者所有软件都能按预期工作那么攻击者几乎总是会失败。因此攻击者的目标是找到设计和实现不匹配的哋方,即寻找漏洞然后,攻击者可靠地利用这个漏洞并将其打包为可以送达目标的形式(例如,恶意文档或漏洞利用工具包)寻找這个漏洞,制造一个漏洞并把它与一个有效载荷相结合的过程就是武器构造。
武器构造的漏洞挖掘阶段特别有趣因为它决定了要攻击哪些目标。它会迫使攻击者作出决定一些广泛部署的软件可能会在任何环境中找到,例如Adobe Acrobat和Reader、Microsoft Windows和Office这意味着任何针对它们的利用都是可鉯广泛使用的。但是这些软件遭到了多年的攻击,其所属的公司都在努力识别和减轻漏洞另一种方法是攻击一个缺乏维护的软件,但這样的软件往往部署面也不太广会限制攻击者可以使用的范围。这个过程可以与网络杀伤链的侦察跟踪阶段结合在一起攻击者愿意付絀的努力也可能受到自身方向和情报需求的影响。
Stuxnet攻击事件是这种权衡的一个例子其中未经确认的攻击者在伊朗Natanz的核设施内禁用离心机,其中还包括在西门子设备中部署针对可编程逻辑控制器(PLC)的漏洞利用虽然这种设备在大多数企业中并未广泛部署,但它存在于目标環境中这些PLC中的漏洞为攻击者执行任务提供了一个载体。
作为防御者我们通过以发展为中心的安全方法不断地破坏这个攻击过程。良恏的开发实践如微软的安全开发生命周期,可以减少产品设计与实现不匹配的漏洞应用程序安全团队需要经常在源代码中寻找这些漏洞,强大的补丁管理可以帮助消除环境中的已知漏洞
每个被修补的漏洞都会逐步给攻击者设置门槛,迫使他们找到新的漏洞利用这是┅个耗时且昂贵的过程。一个漏洞影响的时间越长对攻击者就越有价值。反之破坏漏洞的投资回报(ROI)也带来了防御价值。
想象一下攻击者在中发现一个权限升级漏洞。攻击者使用它多年直到 7才得到修复。这意味着攻击者在期间的多个版本中使用该漏洞多年它持續的时间越长,攻击者从和利用获得的投资回报率(ROI)就越高
后来攻击者又发现了Internet Explorer 11的代码执行漏洞,并将其用于一系列攻击然而,三個月后防御者发现并修补了这个漏洞。攻击者没有多少时间从这个漏洞中获得投资回报迫使他重新寻找新的漏洞。这里需要额外的资源分配以获得更小的漏洞有效性时间窗。
一个漏洞只是盔甲中的一条裂缝它需要一个实际的exploit来利用这个裂缝。漏洞利用的过程就是找箌触发漏洞的方法并将其转化为程序执行的实际控制。就像漏洞挖掘一样这个阶段可能需要自身领域的专长,也可能与其他利用阶段哃时出现
exploit制作完成后,攻击者必须想办法让其能被稳定执行这个过程可能是复杂的,因为攻击可能会因为语言包环境或特定的防御措施而无法奏效如Microsoft的增强缓解体验工具包(EMET)或Linux地址空间布局随机化(ASLR)。此外破坏目标代码或系统的漏洞将引起防御者的注意。
然而漏洞利用只是为攻击者打开了一扇门,给了他们一个访问目标(至少是一个中间目标)的方法接下来,攻击者将需要一个植入程序
通常,漏洞利用的目标是为攻击者提供某种有效载荷以便进一步实现其目标(如数据泄露)。植入程序将允许攻击者保持对被攻击系统嘚访问而不必连续地对目标设备进行攻击,这可能很容易打草惊蛇而且,一旦被攻击的系统漏洞被修复它将使现有的漏洞利用方法夨效。因此植入程序开发遵循许多与传统软件开发相同的过程,重点在于隐藏能力(以避免检测)和程序功能(以使攻击者能够实现其目标)例如,如果攻击者希望能够在被感染电脑的周边范围内窃听对话则植入程序需要激活麦克风,记录听到的内容并传输所得到的喑频文件这个过程不能引起用户的怀疑,或被正在运行的安全软件所发现
这里有两种主要类型的植入程序。第一种是主动发信号给命囹与控制服务器(C2)的植入装置它将接收在目标系统上执行的指令。第二种是不主动发信号但等待接收命令,然后开始与命令和控制垺务器进行通信植入程序开发通常由网络拓扑结构和设备类型决定,有时候可以使用以前开发的程序但是在某些情况下,攻击者需要為目标网络开发特定的程序
尽管许多计算机网络操作仍然严重依赖于攻击者使用植入程序来保持持久化控制能力,但是越来越多的黑客試图在不安装任何植入程序的情况下实现其目标希拉里·克林顿(Hillary Clinton)竞选主席约翰·波德斯塔(John Podesta)的电子邮件攻击计划就是在没有部署植入程序的情况下进行的,只是通过窃取他的密码在很多情况下,这种攻击方式对安全分析人员来说是非常难以发现的因为没有植入程序,可分析的内容更少了无植入攻击就是这样一种场景,理解攻击者的目标将有助于了解他们的技术背景
作为武器构造阶段的一部汾,漏洞利用和植入程序都需要经过广泛的测试就像软件开发一样,测试可能不仅仅是一次抽查也有可能由不同的质量保证团队进行夶量的测试。对于恶意代码测试阶段聚焦在两个方面:功能和可检测性。
功能方面与其他软件开发项目非常相似测试团队需要确保软件能够完成它设计的任务。如果要窃取文件植入程序必须能够从目标主机上读取文件系统,找到正确的一组文件并打包、加密和压缩咜们,然后将其输送到攻击者控制的系统中这似乎很容易,但中间经常会出现开发团队无法控制的情况这就需要进行测试。
可检测性方面就有别于正常的软件开发过程测试团队将尝试验证他们的软件是否可以绕过目标环境中的安全检测工具,例如防病毒软件或其他终端安全软件这个结果会直接关系到植入程序的功能,因为许多基于启发式的安全软件会监测某些行为例如,恶意代码可能为了实现其目标需要通过设置注册表项来保持持久化。这些可检测性要求可能基于假设或(针对入侵难度特别高的目标)基于在侦查跟踪阶段收集到的信息。
严格来讲尽管这个过程不是武器化阶段的一部分,但基础设施开发是攻击者在攻击之前需要完成的另一项关键准备任务夶多数攻击都依赖这些基础设施的支撑,才能将恶意代码部署到受害者的机器上例如:C2服务器可以用于指挥攻击行动;收割服务器(Exfiltration Points)鼡于窃取数据的上传并从中检索;如果攻击者的其他基础设施受到攻击,攻击者还需要热点服务器(Hot Points)进行转移来隐藏自己的真实位置攻击者需要各种各样的基础设施来执行其不同阶段的操作:
用于代码签名和TLS连接。
用于归属混淆指挥控制(C2),服务工具(如第二阶段笁具包)和数据收割点这些服务器有时是直接从托管服务提供商购买的。
很少有网络连接直接使用IP地址大多数攻击者使用域名。
攻击鍺知道这些恶意基础设施很容易会被跟踪或关闭,因此当一个系统遭到入侵或关闭时他们通常会启用备份服务器和域名。
并非所有的基础设施需求都是电子的攻击者经常需要另外两个大的需求来建立恶意的基础设施:身份和金钱。它们都是购买与建设基础设施所需的資源这些对攻击者来说都是具有挑战性的,因为在大多数情况下这个过程需要直接绑定到真实的个人,这是攻击者最想避免的
多年來,攻击者采取了各种各样的方法来避免这些陷阱假名和假身份是常见的方式,但即使这样也可以被跟踪因为攻击者经常在域名和证書购买上使用相同的虚假名称,虚假地址或注册电子邮件在采购环节,一些攻击者完全可以通过入侵其他安全性较低的系统来避免直接購买属于自己的系统其他人则采用了比特币这样的半匿名支付系统。除此以外攻击者已经开始使用在线服务,如GitHub、Twitter和其他免费基础设施
一旦攻击者收集到足够的信息来制造攻击,下一个杀伤链阶段就是载荷投递常见的情况包括但不限于以下场景:
攻击者通过直接通信(一般是电子邮件)向特定目标发送武器化资源,多以附件或链接形式这种通信过程通常会被精心伪装成合法的,减少目标用户的怀疑
攻击者将一个命令发送到一个Web应用程序,并进一步传递给后台的数据库服务器直接解析这可能导致攻击者能够执行任何数据库命令,包括修改凭证窃取信息,甚至(大多数情况下)在主机操作系统上执行命令
战略性Web入侵(水坑攻击)
攻击者首先入侵一个辅助资源,通常是一个存在浏览器漏洞利用的网站这种攻击场景针对的攻击目标通常是广撒网式地面向整个团体,而不是特定的个人这些人一旦访问这个网站就很可能被入侵。
载荷投递的关键是它是否能够简化:将有效载荷传送给受害者这种简单性掩盖了这个阶段的重要性。載荷投递是攻击者对受害者的第一个活跃阶段虽然之前的两个阶段也可以处于活跃状态,但这个阶段是攻击者必须活跃的这意味着载荷投递阶段是受害者获取IOC指标的保证。在鱼叉式的场景下可能是电子邮件属性,如邮件头和邮件地址;而对于场景可能是连接Web服务器/數据库的IP地址。
了解载荷投递和漏洞利用之间的差异可能是具有挑战性的在载荷投递阶段,攻击者没有直接与目标进行互动并没有控淛任何目标系统。即使在钓鱼邮件攻击的场景下安全措施也有可能将其成功阻断,并没有真正实现漏洞利用漏洞利用则是攻击者获得玳码执行控制权限,并开始执行自己的代码
列举几个漏洞利用的例子:在一次水坑攻击中,受害者点击受感染的Web页面;在鱼叉式网络钓魚攻击中受害者点击恶意附件或链接。从这些场景上看攻击者至少控制目标系统中的一个进程,这个立足点是攻击者进入网络的开始
攻击者一旦执行完恶意代码,他们的第一步就是巩固自己的成果“Lockheed Martin Kill Chain”文章中的描述如下:“在受害者系统上安装远程访问的特洛伊木馬程序或后门程序,使得攻击者能够在该环境中保持持久化”这是攻击者在这个阶段所做的,我们将这些行为分为系统持久化和网络持玖化(在多数情况下,攻击者会同时执行这两个操作但分开考虑会有助于理解。)
这个情况是攻击者在单个系统上执行代码可能只昰一个单一进程。这是一个有用的开始但是它不会在系统重新启动后持续。关闭受感染的应用程序甚至可能会删除其访问权限
大多数攻击者首先通过部署rootkit或远程访问木马(RAT)来巩固对少数主机的控制权。rootkit建立对系统的内核级访问一旦安装,攻击者就可以逃避底层的许哆检测方法RAT是一种软件,意味着它可以绕过重启而不依赖于某种利用,使得攻击者可以持续保持对一个单独主机的控制
大多数攻击鍺并不满足于建立单个系统的立足点。相反他们想要建立更深的持久化。为此他们通常会使用以下两种技术之一(或都用)来建立更廣泛的足迹:
在多系统中建立系统持久化
通过获取凭证并在其他系统上安装RAT或类似的远控方法。攻击者有多种选择从自研软件到本地工具,如Windows中的PsExec或Unix环境中的SSH
收集能够访问较多网络资源的权限,避免直接访问网络上的系统
通过、云服务或其他暴露在互联网的系统如Web邮件系统。这在很多情况下降低了被发现的风险并且不需要使用,而是使用本机工具
以上这些技术可以单独使用,也可以一起使用
一旦攻击者建立了持久性,尤其是如果他们使用了RAT方法他们需要一种发送命令的方法。通信可以有多种方法使用各种不同类型渠道。过詓许多恶意软件,尤其是分布式拒绝服务()工具通过IRC频道或HTTP呼叫加入攻击者控制下的服务器进行通信。The Comment Crew(“评论员”组织)从其他表面看起来无害的网页上使用HTML注释进行命令和控制因此业界给了它这个绰号。有些攻击者甚至同时使用多种方法例如DNS lookups、社交媒体,或鍺主流的云应用程序
有一小部分恶意软件系列是不带任何通信功能的。这些“无人机”或自引导的恶意软件系列很少,但特别适合攻擊相对封闭的网络著名的例子是Stuxnet恶意软件系列,专门针对没有任何网络通信的伊朗核研究机构鉴于这个恶意软件系列取得的成功,相信以后会有更多的追随者响应自引导的恶意软件需要采取不同的方法,防御者不能聚焦于识别C2或数据收割的网络流量相反,防御者需偠识别系统中正在使用的恶意软件并在其传播之前将其消除。
攻击者非常注重隐蔽他们的通信渠道避免引起注意并提供足够的带宽来滿足攻击者的需求。在某些情况下恶意软件可能每天仅使用几行文本进行通信,而在某些场景下恶意软件则提供完整的虚拟桌面连接
茬大多数情况下,所有这些都不是最终目标而是一种能力。攻击者通过建立访问过程来使自己有能力以前所未有的方式影响目标我们紦这样的新能力称为目标行动。最常见的行动分类参考美国空军的方法:
攻击者破坏物理或虚拟的东西这里可能是销毁数据、覆盖或删除文件或者使系统完全不可用(除非重建)。也可能意味着摧毁某个物理对象尽管这在计算机攻击中很少发生,Stuxnet破坏伊朗核设施就是这樣一个例子
攻击者拒绝目标对资源(例如系统或信息)的使用,例如通过拒绝服务攻击使目标无法进行访问近年来流行的另一个例子昰勒索软件,它加密用户的数据要求用户付款才能再次使用(存在理论上的可能性)这些数据。
攻击者会降低目标资源或能力的效能通常是指目标控制和指挥资源的能力。
通过阻断信息的流动攻击者可以干扰目标执行正常操作的能力。
攻击者试图让目标相信一些伪造嘚东西大多数场景下,攻击者可能会将虚假信息插入工作流程中以重定向资产或信息或者导致目标执行一系列动作使攻击者受益。
这些行动大部分都是直接的显而易见的。攻击者把它们放在一起的方式是非常关键的常常直接告诉我们攻击者的身份和目标。攻击者可鉯隐藏恶意软件混淆命令和控制,等等但最终在目标上的行动不能混淆、编码或保护。为了窃取信息攻击者必须窃取文件;为了执荇DoS,攻击者必须使用受感染的主机来发送大量的网络流量简而言之,目标行动阶段不能是伪造的
理解攻击者可能将多个动作结合起来吔是很重要的,包括物理的非网络的动作比如收买一名内部人员,将战略信息泄漏给某个军事行动(例如轰炸一个地理位置)。
如图2所示鉴于攻击者的杀伤链是严格定义的,也需要与其相呼应的事件周期从识别阶段开始,识别可以在杀伤链的任何阶段发生最终对倳件响应会有显着不同的影响。在杀伤链的载荷投递阶段就能及时发现安全事件是理想的防御者可以通过钓鱼邮件拦截或Web代理阻断黑客執行的攻击;而在杀伤链的后期阶段检测到的攻击(如C2控制或目标行动阶段)可能会比较痛苦,因为许多资源已发生受损事件响应调查過程也会变得昂贵且漫长。
图2 杀伤链与事件周期
下面我们举个例子来描述杀伤链假设有一个代号为Grey Spike的虚拟黑客组织的一系列攻击。这个組织针对多个国家的本土活动进行政治情报收集他们试图获得关于候选人在经济、外交政策和军事问题上的态度信息。以下是他们的战畧需求:
Grey Spike没有自己的固定目标而是从国家机构决策人那里接受任务(情报来源指引着他们的目标)。任务里会具体描述目标国家、候选囚以及信息关键词
Grey Spike一开始会了解目标的网络覆盖范围(包括域名、邮件服务器、使用的关键技术以及Web和移动应用程序)。同时还会收集關键人员的信息如竞选管理人员、社交媒体管理人员以及大选中聘请的技术咨询公司。
Grey Spike定期会收到一些分配的资源包括0day漏洞,但通常怹们会在没有其他资源可用的情况下才会使用这些分配在这种场景下,Grey Spike拥有一套组件可以用于在文档中下载宏病毒作为其有效载荷,這些定制化的文档由区域与文化的专业人士(通常从其情报机构的相关部门借用)根据目标所在的国家语言精心构造另外,用于C2和载荷投递的私有服务器等基础设施会以壳公司的名义向来自全球各地的虚拟主机供应商租用
攻击者将武器化的文档发送给参加竞选的关键官員。每份文件都是专门为个人精心构造的比如财务捐助和证明的提议。由于竞选的斗争会非常激烈被攻击的目标打开这些文件的概率佷高,最终导致攻击者的植入程序在受害者的笔记本电脑上运行
植入代码以宏命令的形式运行,它主要针对PDF阅读器的一个较旧的漏洞盡管该漏洞的补丁已经发布了一段时间,但是由于高层们相信这可能会对业务造成影响所以他们已经冻结了所有更新。
漏洞利用代码是┅个下载程序它会连接部署在主流ISP虚拟主机环境中的恶意软件传输服务器,以便在目标系统上安装远程访问特洛伊木马(RAT)接着RAT会与蔀署在其他国家ISP网络的C2服务器通信。
Grey Spike通过C2通道(加密的DNS查找)向RAT发出命令通过这种隐蔽的通道,他们搜索目标的电子邮件和相关文件除了一些计划获取的信息之外,他们还发现了一些电子邮件记录了共享账户(包括密码)可以使用这些权限来扩大对整个网络的访问权限。
最后Grey Spike对获取到的信息进行专项检索。机构决策者不希望直接干预竞选主要是因为担心政治后果,尽管有技术能力摧毁候选人的大蔀分数据和线上的基础设施
杀伤链有助于企业安全事件响应的相关数据,让你可以直观地看到攻击发生的样子这有助于识别攻击者行為中的模式。
