从2014 年起,威胁情报逐渐成为网络安全的热点领域之一,2018 年更是出现爆发性增长。各国政府、企业对威胁情报的重视程度不断提高,各类产业主体积极围绕威胁情报技术及商业模式开展探索,同时大力推动威胁情报标准化和共享机制的建立。威胁情报于 2015 年前后正式进入我国市场,威胁情报的价值在近几年的发展过程中逐渐被接受和认可,各行各业对威胁情报的需求也不断增长,据估计 2021 年我国威胁情报市场规模约在 10.69 亿元左右。
——摘自北京微步在线科技有限公司发布的《网络安全威胁情报行业发展报告(2021 年)》
网络安全的灵魂在于攻防对抗,而防守方最关键的指标就是威胁情报。自2018年以来,国际威胁情报市场出现了爆发式增长,2019年威胁情报市场的价值为52.8亿美元。据不完全估计,2019年~2025年间,预测将以17.5%的年复合成长率成长,预计到2025年全球市场将达到139亿美元。威胁情报有什么作用?威胁情报包括哪些?国内如何做安全攻防的威胁情报?这里个人发表一些建议,仅供参考和饭后闲谈。
威胁情报的分类
当安全发展到一定程度,也就是网络安全设备(VPN、防火墙、上网行为管理等产品)都已经部署完毕,安全的运营流程都固定成熟的时候,未来什么是安全的核心价值呢?没错,就是威胁情报。在网络安全的军工属性越来越重的今天,政府、军队、科研、医疗机构都正在逐渐完善网络安全建设体系。在扑朔迷离的信息安全的攻防战场上,威胁情报就是整个安全的大脑枢纽,为安全运营提供最主要的导向。那么威胁情报分为哪些种类呢?
上图基本包含了网络安全攻防对抗体系中的所有攻击面。笔者认为一个非常高效且有灵魂的威胁情报体系是严密而又紧张的。从Hunting到最新变种,分析出新的IOCs发布,再到
安全运营检测命中量,派遣地方应急人员解决问题,这是一个非常考验情报中心和安全中心的能力的闭环体系。
它的详细流程是这样的:
一、威胁情报监控到黑客在暗网发布了恶意软件的源代码,并将恶意软件源代码和黑客动态同步到安全能力部门。
二、安全能力部门根据源代码编写yara-Hunting规则,设置蜜罐,等等Hunting手段。若干小时后,果然发现了利用该类型恶意软件的攻击。安全能力逆向分析人员开始针对单个样本进行逆向,分析出样本的恶意服务器地址C2,并编写查杀规则。
三、安全分析人员将查杀规则输送到安全开发人员,开发人员添加引擎规则查杀木马并下发更新规则包。
四、安全分析人员将IOCs信息输送到安全运营人员,安全运营通过大数据发现典型的客户被攻击事件,通知区域一线的安全服务工程师根据情况去应急响应溯源解决问题。
上述只是拿恶意文件举例,其实恶意webshell攻击的情报和溯源也类似这样一个流程。
然而现实中绝大多数攻击事件并不是这个流程,现实中绝大多数攻击事件是“马后炮”模式,也就是安全服务工程师或者客户发现异常了后才疑似是攻击事件。当事件的起点是由安全服务工程师开始,即安全服务工程师把疑似的病毒样本文件发送到安全能力部门的时候,其实这个时候攻击已经发生,也就是恶意文件已经执行了,攻击事件已经是过去时了。就算给时间去分析这个恶意文件并溯源,黑客早就已经托库走人了。
那么这就会牵涉到一个新的问题,是已命中的情报重要还是未命中的情报比较重要?笔者认为是在攻击已发生,但还未命中或渗透进去的时候,即诱饵投递阶段发现的情报,这类情报是非常重要的。所以情报应该分为两种,一种是正在进行攻击的情报,这种情报应该强制推送。另一种是已经发生攻击的情报,这一类情报需要逆向文件才有可能得到,为什么说有可能呢,因为有时候攻击者就是攻击了,恶意软件也的确在主机上运行,但你没办法判定它的行为,诸如Bootkit、Rootkit病毒,亦或者加了VMP等强壳的一些红队反弹shell工具。
想要挖掘到未命中的情报一定得多研究Hunting狩猎方法。Hunting狩猎是涉及面比较多的一门学问,它的技术含量也许不高,但一定要从多个角度维度去尝试。用于Hunting的规则要比查杀时的规则稍微泛化,以达到尽量得到变种样本但误报很低的效果。Donot脑肚虫组织在使用字符串时,对所有字符串的HEX值进行了增加1的操作,比如“kernel32”变成了“lfsofm43”。但是下次攻击呢,它当然还用“kernel32”,毕竟改代码是很麻烦的,它有可能对所有字符串做减1或其他变换操作。这不是有没有样本的问题,这是想没想到的问题,你如果想到的话,是可以通过主动变换字符串的方法、用它使用的字符串组去撒网捕获变种样本。所以用行话来说,Hunting就是介于精确查杀和Fuzzing之间的一种模糊匹配方法。安全开发可以多输送应急响应工具和Hunting狩猎工具到团队,而不是只做查杀和检测。
威胁情报的建设过程
威胁情报的建设过程:规则化——技术化——产品化。
一、规则化。
建设威胁情报最初是要规则化,即跟着其他公司开始编写属于自己的yara规则,snort规则,sigma规则等等,毕竟现在很多引擎吃规则,走AI还不太行。规则是最容易白嫖的,容易借鉴别人的,比如别人发报告,我就可以根据报告中的技术细节去获取这些样本,或者编写规则做监控,看看自己的文件数据中有没有新的病毒变种,有的话就是属于自己的情报了,就有产出了。当然也可以直接在virustotal上使用rule:关键词直接用外国的各种规则。如果没有自己的文件数据的话,就比较依赖Virustotal账号,或者跟别的公司数据合作,毕竟有几家公司的文件数据是处理不完的。总而言之,利用规则起步是门槛低收益高的一种方法。
二、技术化。
安全能力部分中最核心的无非包括三大核心组织成员,一是漏洞挖掘,二是病毒查杀,三是渗透测试。漏洞挖掘基本是纯研究性的,病毒查杀有研究性和运营的,独有的威胁情报快很大一部分来自于这两部分人。威胁情报快不快,技术能力是核心。安全技术能力需要积累和沉淀,强调价值只会让研发去研究KPI怎么完成,经常变革非常不利于项目和安全技术的积累。有很多安全技术是不赚钱的,因为它牵涉到的层面很深或者说在没有被研究前,它的“商业价值不大”,最典型的就是Bootkit和Rootkit底层木马,这类木马的防御只有网吧才有需求,2B侧确实现阶段需求很少。国外其实已经泄露了很多硬件厂商的源代码,黑客也在研究这些代码的漏洞和利用。挖矿的在研究GPU驱动,窃密的在研究固件持久化,如果今后出现一个Rootkit可以让你所有的安全产品毫无意义,再说商业价值大的时候我感觉你的公司应该已经没了。
绝大多数APT的命名与公开,并不是基于它的软件规避技术多么厉害,而是看它的攻击投递目标是否为政治组织,诱饵文件的命名是否涉及敏感政治话题。APT与高深技术并没有必然的联系性。今天APT的商业价值确实很高,但不乏掺杂一些商业炒作的成分。其实从个人角度来看,多数APT的技术含量并不高,甚至很多赶不上普通的木马。APT为什么不加壳呢?是凭借什么判定为该APT组织的呢?并不是说Bitter组织看到海莲花的攻击手段就不能用dll劫持了,用一位国外安全研究员的话形容,翻译成中文就是“其实黑客看到安全公司发的一些博客都忍不住在背地里偷笑”。今天很多客户都渐渐开始懂开始安全,有构建自己安全团队的想法,当客户对网络的安全认知越来越高的时候,光做大屏、卖设备是会被淘汰的,只有客户关系却没有安全能力,肯定是生存不下去的。
三、产品化。
产品化就是当技术的积累达到一定程度时,你会有一种非常明显的感觉。其实操作系统能被攻击和利用的也无非就是这几个点,那么我就根据这几个点做规则做防护不就可以嘛。比如毒云藤经常针对国内大学教育、科研、军工机构伪造钓鱼网站,那它就会仿造网站,贴上正常网站的icon,申请和正常网址很像的域名,用国内最常用的163或qq邮箱发送。从域名关联上是一个点,另一个点就是做icon hash的监控,这两个点掐死,再加一些web网站特征,就能从大数据中很容易找到它的活动痕迹。当我们利用技术平台把这一个过程自动化起来的时候,这就是威胁情报的产品化过程。很多客户都是不愿意把自己的数据交给网络安全公司的,那么平台做的好就没事,我们不拿数据,把平台部署给客户,让客户自己找安全人员来运维就可以了。产品一旦赚钱,那么就会形成良好的循环往好的方向可以运营下去。
如何做国内最顶尖的威胁情报?
一、数据基础与积累
数据基础是指文件样本的数量,流量数据的日志。做实验搞开发肯定测试样本越多,数据结果越精确。当然这个数据来源要看来自于客户的数量和性质,要完全遵守客户数据的隐私性协议。
流量数据80%目前还是基于DNS协议进行情报挖掘和溯源。那么文件侧和流量侧哪个比较占优势呢?在应急相应溯源上流量侧是绝对比不上文件侧的,文件在操作系统上执行时留下的痕迹要比网络日志记录的流量信息更加具体且可靠,从文件中可以还原流量信息,但是只有流量不行。但是在攻防对抗中优先还是从网络流量上进行防御,毕竟真正RCE进来了恶意文件开始执行的时候可能已经有点来不及了。所以文件是过去时,流量是现在进行时。
二、安全分析能力
安全分析能力,就是在尽量短的时间内做尽量复杂的分析。
安全核心技术仍是脱壳、解混淆、解密能力、漏洞原理调试、样本变种狩猎方法等等板块。在野漏洞同样是在文件样本中通过逆向发现的,这需要很强的异常行为嗅觉和分析调试能力,在文件中发现漏洞真有种爆史诗的感觉,尤其在应急响应溯源的时候取到的样本爆史诗几率会+5%。漏洞的分析调试还是很有挑战性的,毕竟复现需要很苛刻的执行条件,也需要对操作系统的安全机制有很深入的理解。病毒的处理最核心的还是分析,分析组成员最好定人定组织,因为这样会大大缩减效率。很多时候一个变种只是一个OD脚本或者一个IDApython就可以直接跑出IOCs了。对木马家族有很深入的了解,也会很快找到可以溯源的特征,编写出查杀或解密工具。
威胁情报的特性让逆向分析有了时间的指标。会分析漏洞还不够,还要会分析未知的漏洞利用的原理,这要比已知的难多了。但这样还是不够,当数据都被公开出来的时候,你还得抢现在别人之前最快分析出来才行,这就是时间指标。举个最典型的例子就是Solarwinds供应链攻击时,国内某司首发解密了DGA域名算法并且公布了受害者信息名单,这无疑是安全能力非常强的证明,这也和公司实实在在的技术氛围,“谁更懂就让谁主导项目”的理念是密不可分的。安全能力强不强是看你行不行,而不是会不会写文章,写一千篇软文不如露脸做一件事,这才能得到安全圈的名声。能不能做到精准查杀?能不能首发这个勒索的解密工具?是否具有捕获到重大APT或未知漏洞的能力?能不能分析出来未公开漏洞的利用原理,写出来补丁需要多久?
安全技术能力需要积累和沉淀,强调价值只会让研发去研究KPI怎么完成,经常变革非常不利于项目和技术的积累。虽然“安全是个无底洞”,但是在情报上必须做到有则同步,无则及时更新蜜罐和狩猎规则进行追捕。虽然攻防不对等,但要尽量追求狩猎的技术能跟得上红队最新的免杀和绕过技术。
三、外部情报获取能力
恶意软件是全球的安全问题,在网络上活跃着众多不可能局限于哪个国家或哪个公司的制度主要通过爬虫等获取全球社交网站如twitter、安全公司博客公开的IOC,当然这个过程需要人工参与。twitter上的IOCs还是需要人工验证一下,一些自动化获取不到的网址需要人手动去操作一下。除了这些也可以考虑通过外部沙箱监控、Brand24这类国外的网页监控平台来获取最新的情报。
四、情报的泛化关联能力
情报的泛化能力是什么呢?Relation。基础情报是从单一的数据文件中提取出来的,这就是病毒分析师的主要价值产出之一,这种情报都是很准确的。HW的时候并不是谁的情报多就好,而是精确严谨才好,只不过现实中都被“宁可错拉黑一千,也不放过一个”的恐慌心理左右了。从单一恶意文件中分析出的C2肯定是暴露在互联网上的,那么就可以通过网络测绘平台(比如FOFA、Zoomeye)关联与该C2具有相同网络指纹特征的其他“准C2”,这类C2就是从单一情报中泛化关联出众多准C2,再用准C2去关联样本,样本又可以通过yara规则关联其他样本和C2,这个过程是可以无限的,但实际上网网关联一次就已经没有数据了。
其实这里我有一个问题,关联出的C2其实绝大多数都很靠谱的,这要看关联时采用的是哪种网络指纹算法进行匹配的,但是做情报就是要讲究准确,讲究证据的,所以准C2在没有拿到确切的实体通信样本之前,判定为恶意情报是有些证据不足的,毕竟md5都有碰撞的。C2的最终目的就是要匹配流量数据发现真实攻击事件的,那么如果这类准C2真的匹配到了DNS解析流量,该不该去溯源应急呢。这个标准也许应该取决于关联时使用的网络指纹算法,这种算法靠不靠谱就要问网络测绘平台了。
五、特殊的业务方式
比如微步的赏金计划。
1562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
