安天捕風蜜罐系統是一款用於誘騙攻擊者對其進行攻擊從而捕獲威脅並展示威脅信息的網絡安全設備。該系統支持設備、資產、服務、漏洞仿真。通過創建與真實資產環境相似的高交互虛擬蜜罐和業務系統動態仿真蜜罐誘騙攻擊者對其進行攻擊,並對捕獲到的數據進行分析,幫助企業客户發現內網威脅事件、攻擊鏈、攻擊階段、攻擊工具。安天率先將ATT&CK;威脅框架應用到欺騙防禦產品的研發與能力驗證工作中,不僅使產品在仿真豐富性和未知攻擊事件捕獲方面的能力大幅度提升,還可以支持以攻擊鍊形式展現網內威脅事件,並能對事件進行多維關聯分析。
1.多維度提升對抗能力,有效應對威脅
隨着攻擊手段的不斷變化,攻擊手段呈現複合的、多載荷的特性,且攻擊隱藏性很強,很多都是利用未知漏洞、自定義工具,或者社工、釣魚等方式獲取系統管理員帳號和權限,憑藉合法身份、正常操作實施入侵,使得傳統的安全防禦手段失效,無法及時發現以及有效應對威脅。
攻擊技術和手段日益更新,但對抗的安全產品更新速度慢,企業更新產品的週期也相對漫長,難以應對多變攻擊手段、新型威脅。因此亟需能夠應對變化的攻擊手段和適應業務變更的新技術,通過對照ATT&CK;框架可以看出,優秀的蜜罐類產品在面對裝備最為精良、火力最為密集的攻擊時,需具有以下能力:
豐富的仿真能力:能夠在網絡、資產、服務、漏洞等不同層級進行仿真,靈活支持業務系統的動態仿真,適應企業內部多樣性的業務系統仿真需求; 通過仿真成有漏洞的服務(web服務、數據庫、系統服務等)、操作系統等,欺騙攻擊者,在和攻擊者“交鋒”的過程中,不僅保護了企業的真實資產,同時捕獲攻擊數據,用於進一步的研究。除了單節點蜜罐,還有多個蜜罐組成的可延展、可配置的蜜網,仿真企業網絡活動,迷惑攻擊者,使其被困在蜜網中。
全面的數據採集能力:能夠採集從流量到系統,從系統底層到應用層的日誌,原始的文件和網絡數據包等數據。
深入的分析能力:能夠識別單個戰術技術行為,展示攻擊的完整鏈條和行為階段。蜜罐被用來感知內網威脅,需要具備威脅感知與捕獲的能力,還要能夠對攻擊者溯源,需要知道攻擊者做了什麼、意圖是什麼、攻擊者是誰從哪兒來。攻擊行為的分析通常包括:捕獲攻擊數據包、記錄攻擊流量、保存攻擊者上傳的文件、識別攻擊指紋等。攻擊溯源多是對攻擊數據的關聯與整合,結合威脅情報與大數據等資源,對攻擊者進行人物畫像或是精準溯源。
為了提升安天捕風蜜罐系統的以上能力,引入ATT&CK;威脅框架無疑是現階段效果較好的一種選擇。
從認識上來説,ATT&CK;可以幫助安全廠商對威脅有更深入的認知,由單載荷、單環節的層面提升到多個戰術環節、多種攻擊技術的層面,由被動防守的視角轉變為以攻擊者的視角去理解威脅。網空殺傷鏈框架採用攻擊者視角對離散威脅事件形成整體性分析,以TTP(Tactics, Techniques and Procedures;戰術, 技術與過程)為核心分析要素,針對攻擊的行為特徵而展開分析,指導蜜罐在誘餌佈局、仿真資產服務、採集檢測方面不斷提升對抗能力。
從欺騙者角度來説,以威脅框架階段的攻擊行為路徑指導蜜罐誘餌佈局。例如攻擊者對真實資產進行掃描,可以利用真實服務器的空閒端口進行流量轉發,真假結合的方式迷惑攻擊者。針對內網橫向移動場景,則需在每個網段部署蜜罐探針,針對系統的瀏覽器、登錄帳號或授權信息留下誘餌,進而吸引攻擊。
從能力提升來説,框架着重於“突破後”分析,將防禦重點由網絡邊界轉為網絡內部,針對內部擴散,攻擊的系統行為可以指導蜜罐仿真和採集能力的方向,使仿真能力和系統採集能力有針對性的增強。以現實場景下的現實攻擊行動為知識的分析來源,依據對真實APT攻擊進行追蹤分析,提煉出技術點,不斷積累知識庫,促使該框架基於可能遇到的實際威脅來完善,幫助產品不斷豐富檢測新的攻擊手段的檢測方法。
2.威脅框架在捕風蜜罐系統中的落地實踐
通過演練復現攻擊和威脅框架涉及的TTP方法,持續提升捕風蜜罐的仿真服務、系統仿真、網絡仿真能力。提升相關捕獲採集能力和行為識別能力。
圖 初版蜜罐ATT&CK;覆蓋度
通過典型安全事件在ATT&CK;的映射關係和捕風蜜罐的威脅框架覆蓋度對比,可以清晰的認知到當前蜜罐對於攻擊事件的感知存在不足。這為捕風蜜罐的能力點提升提供了明確的指導方向。在威脅框架中的各個階段,除滲出階段外的其他階段蜜罐均有覆蓋,但是覆蓋的點比較單一。參考典型安全事件映射關係,可以通過攻防演練的方式對蜜罐進行感知能力測試,收集蜜罐採集的數據,定位蜜罐能力缺失的原因是基礎數據採集能力不足,還是對威脅事件的判定不夠全面。對於基礎數據採集不足的情況,通過完善數據採集模塊,提升蜜罐的仿真度和蜜罐對不同漏洞服務的版本支持,確保蜜罐對外具備一定的甜度,能夠引誘到攻擊者的攻擊。對於判定能力不足的情況,通過豐富威脅事件判定的單點特徵來提升判定能力。
通過歸納總結,安天捕風蜜罐系統覆蓋了屬於威脅框架中初始訪問中利用有效帳户、網頁掛馬等威脅點,具體實例為對某服務漏洞攻擊、暴力破解、web服務資源篡改等威脅事件。ATT&CK;框架中的執行階段主要是攻擊者在目標環境中投放有效載荷進行執行。執行的方式有多種,主要通過調用系統工具及命令達到執行載荷的目的。常見的有:在Linux系統中使用Wget、Curl等系統工具進行惡意代碼的下載、執行、提權等操作,在Windows系統中通過vbs腳本下載者,執行惡意代碼,Office打開附件執行惡意代碼,也包含了Mshta、Powershell、Regsvr32、Rundll32、計劃任務、服務執行等多種執行方式,參考這些執行方式,蜜罐加強了系統工具執行的採集力度,感知到更多的系統威脅事件。
從ATT&CK;對攻擊階段的劃分結合蜜罐目前能夠感知的到攻擊威脅事件,對蜜罐的仿真環境進行了補充並優化了數據採集能力,新增了蜜罐內部網絡之間的共享目錄,允許惡意代碼在蜜罐與蜜罐之間傳播,開放了高交互蜜罐對應系統的遠程管理功能,加強對內網傳播常用應用端口探測事件的敏感度,例如:3389、445、139、3306等,有效的增強了蜜罐對入侵事件的捕獲與威脅傳播的感知。
通過與ATT&CK;能力的映射,捕風蜜罐的能力在以下方面實現了提升:
增強安天捕風蜜罐的仿真能力。參考ATT&CK;威脅框架,捕風蜜罐對照其規範的詳細攻擊階段進行對照補足,從檢測能力的補充進而豐富蜜罐的仿真能力,覆蓋設備仿真、資產仿真、服務仿真等多方面的仿真能力。
增強安天捕風蜜罐攻擊事件的回溯能力。參考ATT&CK;威脅框架知識,捕風蜜罐能夠增強包括文件變化、進程操作、註冊表、系統組件工具調用等方面的日誌採集範圍,利用日誌以及威脅框架知識指導攻擊事件檢測,將捕獲的攻擊事件中使用的攻擊技術映射到ATT&CK;,更好的理解攻擊者的攻擊手段及攻擊目的。
增強對威脅數據的精準判斷能力。參考ATT&CK;威脅框架知識,安天捕風蜜罐對攻擊留下的日誌、數據進行專項採集,例如:用户登錄信息採集、外設文件利用採集、常用端口探測流量、自啓動服務創建、自啓動註冊表新增動作採集,通過專項採集對威脅事件進行精準告警。
3.經驗總結及威脅框架在蜜罐實踐中的展望
ATT&CK;威脅行為框架提供了豐富且持續擴展的攻擊方式劃分,能夠指導捕風蜜罐產品對安全事件進行系統科學的新增、分類。同時,威脅行為框架是基於攻擊者視角包含全鏈路攻擊的威脅框架,為攻擊鏈路的回溯提供指導方法。
ATT&CK;威脅行為框架使我們對安天捕風蜜罐系統的威脅感知能力有了更清晰認知和衡量標準。通過威脅框架可以系統、科學的檢驗捕風蜜罐對於威脅感知的有效性,並持續的補充完善及優化。
安天產品巡禮