在APT等 高级威胁 研究的领域,时常可以在各组织发布的 APT 报告中看到一个专业术语 TTP ,TTP及其中的三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标。TTP的概念最早来自于军事领域及反恐活动,随着在 信息安全 领域及 网络安全 领域的推广应用,其概念已经被多次误解。本文前半部分帮大家追根溯源,解释什么是TTP,后半部分结合绿盟科技 APT报告 中 境外APT-C1组织攻击我国某互金平台 的案例,给大家说说TTP中的三要素,战术、技术和过程。
信息安全及网络安全领域中的TTP是什么
SpecterOps团队成员Robby Wincheseter曾撰文表示,在浏览各种信息安全报告、博客和推特时,我们经常看到TTP这个缩写,指与信息安全相关的各种事物,如测试、工具、流程、程序等。虽然TTP很常见,但使用时多已脱离其本来含义:战术、技术与过程。本章节中,Robby Wincheseter将介绍自己对TTP用法的理解(基于国防部的定义),并解释原因。
联合条例 1-02 中对于 TTP 的定义
战术、技术与过程是国防部自创的特定术语,已使用多年,用于描述军事行动。联合条例(JP)1-02《美国国防部军事及相关术语词典》中对战术、技术与过程具体定义如下:
- 战术 — 协调使用并有序部署军队。
- 技术 — 用于执行战斗行动、履行职责或任务的非规定方式或方法。
- 过程 — 规定如何执行特定任务的标准和具体步骤。
这些“官方”定义究竟意味着什么?在笔者看来,这几个词从上至下越来越具体,含义最宽泛的是“战术”,最具体的的是“过程”。笔者将抽丝剥茧地详细阐述每个术语的具体含义,以澄清或有误解。此外,在对各术语的描述中,笔者以“持有汽车”为喻,以便于理解。
战术
战术是规定事情处理方式的概括性要求,具体信息很少。战术通常用于规划和/或追踪目的,没有具体说明或指示,只是概括的一般性指导,以确保行动所要求的各项事务均已完成。
以持有汽车作类比。在此过程中涉及很多“战术”,如加油、清洗和保养,每一项都可视为“战术”。此例中,我们将选取“保养”战术作深入探讨。
技术
“技术”处于最粗略的“战术”和最具体的“过程”(见下一节)之间,主要包含预期完成的行动,但不包括完成某项行动的具体指导(即“非规定性的”)。通常情况下,是识别需要完成的任务,但不会就如何完成任务进行微观管理。
继续以车作类比。若所选战术为“保养”,可以用多种技术实现该战术,如换油、轮胎互换、更换刹车片等。这些技术给出了需要完成的任务,但不提供具体操作说明。这里我们选择“换油”用于进一步讨论“过程”。
过程
过程是完成某项任务的详细、具体的操作说明和/或指导。它包括完成任务所需的所有步骤,但不提供任务的指导思想或背景。过程的重点在于提供完整、详细的说明,使任何人都可参照说明正确完成任务。
最后还以车为例,对于保养汽车来说,执行“换油”技术的步骤是具体做法。包含的信息有更换频率、机油类型、螺塞位置、必要工具等。过程应做到任何人(或者说,几乎任何人)都能按照描述完成任务。
构建战术、技术和过程之间的层级结构有利于展示他们之间的关系。为了实现所需战术,很有必要利用一种或多种技术。而且,要实现这些技术,需采用一种或多种过程。“高级”威胁源起方所采用的战术与其他攻击者大同小异,他们的优势主要在于能够实现他人无法轻易模仿的新技术或复杂过程。
TTP与网络安全之间存在怎样的关系?
Robby Wincheseter认为,尽管TTP一直用于传统战争领域,但对于描述网络安全也非常有用。好在MITRE ATT&CK Matrix采用了这一结构,是基于TTP的安全的一个优秀实例。
各列标题表示攻击者在网络攻击周期的某些阶段采用的各种高级战术。战术Matrix中的各个条目表示技术(标绿)。我们在前面提到,每个战术对应多种技术。您可单击每项技术,查看技术详情,如恶意攻击者对该技术的应用情况。这些实例描述了所使用的过程,并对采用的实际行动和利用的资源进行了详细介绍。这些过程可被视为开展某些恶意活动的特定哈希或工具以及命令行。MITRE ATT&CK提供了易于使用的计算机安全相关的TTP分类。
例如,若攻击者要访问的网络中的计算机或资源不在其初始位置,则需借助 横向移动攻击 战术。比较流行的一种技术是将Windows内置的管理共享,C$和ADMIN$,用作远程计算机上的可写目录。实现该技术的过程是利用SysInternals PsExec工具创建二进制文件,执行命令,将其复制到Windows管理共享,然后从该共享处开启服务。即使阻断SysInternals PsExec工具,也不能完全消除Windows管理共享技术的风险。这是因为攻击者会转而使用其他过程,如“net use”或PowerShell cmdlet Invoke-PsExec。了解攻击的特征和防御对策对于评估安全措施的有效性至关重要。
为什么TTP在网络安全领域如此重要?
Robby Wincheseter在阐明TTP的用途后,想说明为何这一军事术语在现代计算机世界中如此重要?实际上,您在了解这一恶意活动方案后会成为更优秀的攻击者或防御者。将复杂的攻击解析为TTP对于您了解攻击检测或重现非常有帮助。
了解信息安全相关的各种战术有助于您确定企业环境中的短板,让您集中精力弥补所缺乏的知识/覆盖范围。例如,“Assume Breach”方案就是这样一个佐证——有效的网络安全措施必须识别攻击者利用的其他战术,而不只是专注于防御初始入侵。这一整体视角将使安全计划更加完善,不至于遗漏某些方面。
了解技术与过程之间的区别也同等重要。很多网络安全工具和 威胁情报 Feed专注于攻击者采用的特定过程(如工具哈希、文件名和C2域名/IP地址),而忽略了使用的技术。安全社区有时候也会将发现的某些内容称为新技术,但更准确地说,这些应称为现有技术的新过程。若您了解潜在技术并且能够调整特定过程,无论扮演哪种角色,您都将是更优秀的操作员。
古人云,“授之以鱼不如授之于渔。”对于网络防御来说,“授人以鱼”指专注于攻击者过程(如哈希和特定IP地址)的脆弱性指标,这些指标在短时间内有效,可能暂时满足您的需求。“授人以渔”指关注攻击者使用的技术,了解攻击相关的技术和行为,构建灵活的防御措施,确保成功防御攻击者调整或创建的新过程。
案例分析: 境外APT-C1组织攻击我国某互金平台 事件中的TTP
那TTP应用到APT攻击事件中又会是怎样的,绿盟科技的文章是这样描述的
在整个攻击事件中,攻击者在战术、技术及过程三个方面( TTP )表现出 高级威胁 的特征,包括高度目的性、高度隐蔽性、高度危害性、高度复合性、目标实体化及攻击非对称化,在国际网络安全领域通常使用这些特征,来标识及识别高级持续性威胁(APT)攻击,同时由于其攻击主要针对我国互联网金融领域,因此将其命名为APT-C1。
从下图中可以看到APT-C1在TTP方面的特征
战术:
- 专业:具备数字货币及运作的专业知识
- 低调:目标选择及恶意软件推广,都没有选择大范围传播
- 可信:着力伪装并树立可信的口碑
技术:
- 防杀防分析:减少或变换恶意行为,侦测沙箱环境
- 动态域名:DGA动态生成域名,逃避黑名单检测
- 监控+窃取:多手段从信息流中窃取所需
过程:
- 七步一杀:悉心准备,复杂而细致的攻击过程
- 实体目标:中后期主要针对我国某交易平台展开
- 非对称化:互金大盗及窃取手段,让管理员毫无察觉