Abstract
Endpoint Detection and Response (EDR) tools 通过将系统事件与已知的敌对行为相匹配,提供对复杂入侵的可见性,一般来说正规企业检测APT攻击就是使用这种方法。
问题:
1.EDR会产生大量的误报
2.由于大量的低级系统日志,验证和确定这些威胁警报的准确性需要繁琐的手工工作。
3.由于日志保留的巨大资源负担,在实际中,描述长期攻击活动的系统日志经常在调查之前被删除(灾难性遗忘,增量学习?)
1.Introduction
已有的检测技术:
在企业中一般采用EDR技术对抗APT攻击,之前使用的技术有signature scanning签名扫描和anomaly detection techniques异常检测技术
EDR检测技术:
EDR的不同之处在于:EDR工具通过将系统事件与对手的战术、技术和程序(Tactics, Techniques, and Procedures (TTPs))知识库相匹配来狩猎威胁,这些TTPs是专家人工提取的规则,描述的是低级别的攻击模式(low-level attack patterns)。
ATT&CK
MITRE’s ATT&CK 是目前使用的最广泛的TTPs的集合。有10个顶级的EDR工具都是借助ATT&CK来检测恶意行为的。但是创建ATT&CK的目的不是为了使得EDR检测工具具有高准确率,而是为了复现攻击的攻击细节,所有其中肯定会包含了大量的无用信息,使得EDR工具会产生大量的误报。
本文提出的思想
1.
Tactical Provenance (TPG)
作者根据数据溯源图的概念,引入了战略溯源图,就是相当于把EDR产生的威胁警报之间的因果关系产生一张图,称为战略溯源图。
好处如下:
1)TPG图更加精简
2)TPG为分析人员提供了多级APT攻击的高级可视化,这有助于加速调查过程。
2.
为了解决威胁警报疲劳的问题,我们提出了基于关联的TPG分析的威胁警报分类方法,我们的关键观点是,APT攻击中出现的这些连续的攻击阶段可以用来进行风险评估。我们在一个威胁评分分配算法中实例化了这一思想,该算法检查TPG内威胁警报的时间和因果顺序,以识别APT攻击动作的序列。然后,我们根据识别出的序列为TPG分配威胁评分,并使用该威胁评分对TPG进行分类。
3.
提出一种新的日志缩减技术,它不是将所有的系统事件存储在日志中,而是维护一个最小充分的骨架图。这个框架图仅保留了足够的上下文(系统事件),不仅可以识别现有警报之间的因果联系,还可以识别未来可能触发的任何警报。尽管骨架图降低了系统日志的保真度,但它们仍然保留了生成威胁评分分配、风险评估和高级攻击可视化所需的所有信息。
2. BACKGROUND & MOTIVATION
2.1数据溯源
数据溯源是一种强大的攻击归因技术,目前尝试用的方法是ETW和Audit(分别对应Windows和Linux下)
2.2MITRE ATT&CK and EDR tools
2.3Motivating Example
Limitations of EDR tools
1)False-positive Prone:在ATT&CK中的很多技术和策略在很多情况下都是无害的行为,比如下图所示调查了某个APT组织的10种最常用的技术,其中有6种都是在正常的系统执行中经常发生的。
在我们的攻击模拟期间,Symantec EDR在34台机器上总共产生了58,096次警报。我们分析了这些警报,发现只有1104次与APT29演习和我们稍后描述的其他攻击模拟有关。其余的56,992例在良性活动期间提高,精度仅为1.9%。
2)Laborious Context Generation耗时耗力的上下文环境生成:
为了调查和验证被触发的警报,分析师通常使用SIEM或EDR工具的界面编写特别查询,以生成围绕警报的上下文或将它们与以前的警报关联起来,上下文生成需要大量的手工工作和时间,这可能会延迟调查和恢复。即使在分析人员围绕警报生成上下文之后,也很难通过查看系统级事件来了解攻击活动的进展。
3)Storage Inefficiency(存储效率低下):
- 要存储的数据量巨大
- 对于企业来说,重要的是要明确日志将存储多长时间,并对由此产生的财务和运营影响进行计划。将数据存储一周可能并不昂贵,但是很多攻击持续活动的时间是超过1周的
- 现在没有EDR工具有比较好的日志缩减方法。例如,在默认情况下,赛门铁克(Symantec)的EDR为每台主机分配1GB的空间,足够存储几天或一周的日志。当达到此限制时,将清除最老的日志。推送到服务器的事件也会被清除,当使用的存储容量达到85%[18]时,最老的10%的事件会被删除。
3. SYSTEM OVERVIEW
3.1Threat Model
要进行实验肯定要对环境进行假设,本文的假设和之前一些研究的假设相似:
1)我们假设一个EDR工具在企业的每一台终端主机上收集系统日志。
2)我们假设APT攻击是在EDR开始监控受害者主机之后开始的
3)我们假设底层的EDR工具没有被破坏,并且在调查时系统日志是正确的(没有被攻击者篡改)。
3.2 Design Goals设计目标
- Multi-stage Attack Explanations多阶段的攻击解释:系统应该提供一个紧凑的可视化来描述攻击活动的不同高级阶段。
2) Causal Alert Triage因果警报分类:系统应该根据威胁警报的严重程度对其进行分类。
3)Long-Term Log Retention长期日志保留:我们的调查和分类技术必须能够在不牺牲准确性的情况下进行,即使是长期的攻击行动也要保留。
4)Broadly Applicable泛用性:我们开发的用于警报分类和日志管理的技术应该符合EDR工具用例。我们的技术应该适用于大多数EDR工具已经收集的通用系统日志。
5)Minimally Invasive方便嵌入:系统应该能够与任何商用主机一起工作,而不需要更改底层操作系统或EDR工具
6) Extensible可扩展:我们的算法应该能够与任何对手的TTP知识库协作,只要这些TTP被底层的EDR工具检测到。