isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?


云风 发自 凹非寺 量子位 编辑 | QbitAI
核心技术是强国之匙 , 当今世界 , 信息技术的迅猛发展特别是互联网技术的广泛应用 , 极大地促进了全球的经济文化发展 。 但与此同时 , 技术是一把“双刃剑” ,网络安全也正临新挑战 。
首次采用“万人在线”的云会议模式的第八届互联网安全大会(ISC2020) , 为全球万千参会者打造永不闭幕的云上安全交流平台 。 8月13日-16日的技术日多个论坛中 , 更是行业领军专家、全球技术大咖等齐聚“云端“ , 共同探讨等保2.0时代 , 网络空间测绘、ATT&CK安全能力衡量、安全分析技术、XDR分析检测等信息技术领域 , 构筑网络安全建设”合规之路“ 。
网络空间对抗升级 , ATT&CK 框架构建安全基石
ATT&CK作为近几年最火的攻击框架 , 对于安全行业的实际检测有很强的指导性价值 。 它覆盖的攻击技术非常庞杂和具体 , 大概有200多项技术点 。 而随着对抗的升级 , 域安全在红蓝对抗中越来越重要 。
基于此 , 青藤云安全COO 程度以“ATT&CK高频攻击技术的分析与检测”为议题 , 围绕ATT&CK技术使用频率、攻击技术检测分析框架、ATT&CK技术需要收集的数据类型频率分布、ATT&CK数据源与事件日志、Valid Account 攻击等进行了深度探讨 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

其中 , ATT&CK高频技术方面还对Valid Account 攻击、Powershell 攻击、Masquerading攻击、Credential Dumping攻击、Scheduled Task攻击等五方面进行了详细的介绍和分析 。
1、Valid Account 攻击
程度提出 , 攻击者会使?利?漏洞获取凭证访问的权限技术来窃取?个特定?户或服务账户的?户名密码或凭证 , 或者是通过社会?程学侦查获得特定?户或服务账户的?户名密码或证书 , 从?获得初始访问的权限 。 而攻击者可能使?的账户分为三类:默认账户、本地账户和域账户 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对入侵分析 , 程度提出攻击者通过其他?段获取的邮箱账号可以作为持久化的?种?段 , 可直接登陆到系统 , 然后新建?个隐藏账号来实现持久化 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对检测分析 , 程度列举出两类不同的数据源 。
异常登陆 , 可监测所有登录时间 , 是否在非正常时间和非正常地点登录 。
账号变更 , 可监测所有账号的新增 , 修改 。
数据源为账号变更事件、异常登录事件
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

Windows系统:监视创建LSASS.exe的Windows日志 , 验证LSASS是否作为受保护进程启动;监视程序执行的进程和命令行参数 。 例如PowerSploit的Invoke-Mimikatz模块;监控域控制器日志以查找可能与DCSync相关的复制请求和其他未安排的活动;监视来自与已知域控制器无关的IP的网络协议和其他复制请求 。
Linux:要获取存储在内存中的密码和哈希 , 进程必须在/proc文件系统中打开要分析的进程的映射文件 。 该文件存储在/proc/maps路径下 , 其中目录的唯一的pid;AuditD监控工具 , 在许多Linux发行版中都提供 , 可用于监视在proc文件系统中打开此文件的恶意进程 , 警告pid , 进程名称和此类程序的参数 。
数据源为进程监控 , 进程命令行参数 , API监控 , PowerShell日志
2、Powershell 攻击
程度提出 , 攻击者可以使用PowerShell执行许多操作 , 包括信息发现和执行恶意代码 。 例如 , 使用Start-Process cmdlet运行恶意的可执行文件 , 使用Invoke-Command cmdlet在本地或远程计算机上执行命令 。


推荐阅读