近日,美国网络安全提供商FireEye的武器级红队攻击工具被盗。为了限制这起事件的影响,它迅速提交了针对被盗工具的防御计划,并公布了“百项反制”(hundredsofcountermeasures)。可以预见,这次丢失的武器级工具,可能是火眼多年来积累的干货,影响力巨大。如果被别有用心的人利用,将造成难以估量的损失。亚信安全情报分析团队和核心技术部作为长期关注红蓝攻防的研究团队,在第一时间对事件进行了梳理,并进行了深度分析。从红队角度对FireEye武器进行分类FireEye并未对被盗工具进行详细介绍,但我们的分析师努力还原了它们的原貌,揭示了这些工具的功能和影响。红队被盗工具分为四类:1.基于开源项目的工具:这些红队工具是开源工具的轻微修改版本,占35%。2、基于内置Windows二进制文件的工具:这些工具使用称为LOLBIN(无登陆二进制文件)的内置Windows二进制文件,占8.3%。3.FireEyeRedTeam内部开发工具:专门为FireEyeRedTeam开发的工具,占比40%。4、没有足够数据进行分析的工具:其余工具没有足够数据进行分析,占比17%。【图1.工具源分布】泄露工具的载荷涉及16个CVE,但不包括0-day漏洞。粗略分析,被盗工具来源复杂,涉及的CVE较多,且大多分布在不同的攻击纬度。针对这种情况,要求企业安全防护的产品和策略应立足于:既要从全局角度出发,又要兼顾黑客思维的局部角度。这样的战略保障离不开ATT&CK的引领。基于ATT&CK模型看立体防御的重要性ATT&CK的全称是“AdversarialTactics,Techniques,andCommonKnowledge”,是一种从攻击者的角度来描述攻击各个阶段的技术模型,这些攻击模型通过TTP(Tactics,Techniques,Procedures)来描述。这种模式已经成为业界的常识,被大量的网络安全公司所采用,并产生了良好的防御效果,尤其是目前流行的无文件攻击等APT攻击,取得了很好的效果。经过我们的分析,被盗的攻击工具涉及ATT&CK的以下TTP策略:[图2.使用的TTP攻击策略]从图2可以看出,被盗工具包括12个攻击阶段11,共包含约40个攻击策略点。可见影响之广,覆盖面之广,这也迫使我们安全企业从攻击链的角度来考虑此次事件的影响。现代黑客的攻击都是建立在民营中小企业和大型国有企业都建立了系统防御能力的前提下。因此,在构建攻击工具时,不能简单想象通过单一工具直接获取对方的控制权限,获取想要的信息,同时又不给对方留下把柄。要达到既定目标,就需要运用多种攻击思路,层层突破,隐藏踪迹,以达到目的。【图3.被利用的TTP汇总】例如,在此次事件涉及的TTP中,据不完全统计,仅用于获取对方各种情报的TTP就有15种之多,占近1/3;TTP种类多达9种,相关被盗工具可能有40多种,占比50%;这么多工具仅仅完成了攻击链的接入和持久化,远没有达到获取目标信息的阶段。这表明这些工具利用了广泛的攻击面,从常见的漏洞攻击到硬件侧信道攻击,再到社会工程等等。所以如果要从单一层面去防守,无异于树上求鱼,顾此失彼。尤其要注意改变基于特征库的防御思路。并不是说特征库没有用,而是需要一个立体的防御方案,从底层操作系统到各种上层应用、脚本文件执行等arm。下面我们将选取一些典型的工具,对其TTP规则进行分析,来说明被盗工具与TTP规则的关系。1.ADPassHunt它是一种凭证窃取工具,用于搜寻ActiveDirectory凭证。该工具的YARA规则中有两个值得注意的字符串:Get-GPPPasswords和Get-GPPAutologons。Get-GPPPassword是一个PowerShell脚本,用于检索通过组策略首选项(GPP)推送的帐户的明文密码和其他信息。Get-GPPAutologons是另一个PowerShell脚本,它从通过GPP推送的自动登录中检索密码。这些脚本用作PowerSploit中的函数,PowerSploit是一种结合了PowerShell模块和脚本的攻击性安全框架。关联的TTP规则:MITREATT&CKTechniquesT1003.003OperatingSystemCredentialsDump:NTDST1552.06InsecureCredentials:GroupPolicyPreferences2.WMIRunner该工具用于运行WMI命令,结合WMI隐蔽攻击策略,不利用第三方攻击可以做到持久化,即长期隐藏在受害者宿主机中,无法被发现和杀死。关联的TTP规则:MITREATT&CKTechniquesT1047WindowsManagementSpecifications还有许多其他工具与TTP规则关联。基于这些TTP规则,攻击者可以泛化各种工具的变体,实现对攻击的隐藏、检测和检测。击杀等效果。基于以上分析,我们得出结论,企业级用户要想真正做好防御这个泄露攻击工具,不仅要防御原工具的攻击,还要积极做好防御工作防御上述工具的IOC变种,采用三维防御策略。使用XDR形成立体防护体系基于以上分析,我们建议用户拥有立体防护体系,既能应对时事,又能应对未来的变化。另外,消除威胁的方案不是一劳永逸的,而是要顺应当前攻击的变化趋势。所谓立体防护,是指提前发现和应对攻击的能力,以及事后针对相同威胁免疫的解决方案;既有基于传统杀毒的基础能力,也有基于AI的高级威胁解决方案;基于攻击者的思维,也有基于防御者的能力。为此,我们推荐亚信的XDR解决方案,它具有三维防护能力。不仅具备基于ATT&CK框架的威胁研判能力,还支持大数据干预分析和机器学习研判能力。l基于ATT&CK框架的威胁防御能力亚信安全XDR通过自身重点产品的检测和响应优势,提供一种省力的安全监控数据接入方式,并利用大数据标准化数据格式、架构和连接。持续分析通过各种相关数据生成ATT&CK威胁的准确视图。[图4.ATT&CK框架威胁视图]l采用大数据、机器学习和云架构的XDR可以代表从EDR到新一代的飞跃。XDR作为云计算的产物,可以满足安全团队在存储、分析和机器学习方面的可扩展性需求。通过大数据、机器学习等能力,精准识别多维威胁,生成关联TTP规则,提供更加人性化的事前事后防御策略。[图5.TTP威胁分类]l快速响应XDR不像传统SIEM那样只是被动地记录和转发警报,而是主动评估并呈现可操作的结果,通过关联放大“弱信号”。因此,系统不会显示“过去发生了什么,公司需要调查”的告警,而是显示“X发生了什么类型的攻击,并通过Y的联动,告知客户攻击者的路径”以及如何处理”。XDR的重点已从仅仅发出警告转变为提供补救响应的选项。[图6.快速响应威胁视图]TrendMicroXDR代表了从单点孤岛到多维聚合的真正转变。随着组织摆脱COVID-19的阴霾,XDR可以帮助企业面对网络安全新技术和资源的局限性,应对组织及其数字资产日益增长的威胁。
