我们有两个商业APT订阅,十个信息交流,约十个免费供稿以及Thor的退出节点列表。 还有五个强大的反向器,熟练掌握Powershell脚本,loki扫描程序以及对病毒总数的付费订阅。 并非没有监控中心就无法正常工作,而是如果您习惯于捕获复杂的攻击,则必须一直坚持这一爱好。 最重要的是,我们担心检查妥协指标的潜在自动化。 没有什么比人工智能更不道德的了,它取代了您需要思考的工作岗位。 但是我们了解到,随着客户数量的增加,我们迟早会投入其中。
许多人说威胁情报很美味,但并不是每个人都知道如何烹饪。 很少有人知道需要建立哪些流程才能使TI正常工作并带来利润。 很少有人知道如何选择提要提供商,在哪里检查跌落指示器以及是否有必要阻止同事发送给WhatsApp的域。
与TI进行了数年的不懈合作,我们设法走了许多弯路,今天,我们想提供一些实用建议,以帮助初学者避免错误。
提示编号1。 不要对散列寄予厚望:大多数恶意软件长期以来都是多态的
在上一篇文章中,我们讨论了什么是TI,并提供了一些有关如何组织工作流程的示例。 让我提醒您,有关威胁(威胁情报)的信息以不同的格式和视图出现:它可以是僵尸网络控制中心的IP地址,网络钓鱼电子邮件的发件人的电子邮件地址,以及描述APT分组的安全旁路技术的文章。 -将开始使用。 通常,发生很多事情。
为了简化所有这些耻辱,几年前,戴维·比安科(David Bianco)提出了所谓的
“痛苦金字塔” 。 它很好地描述了用于检测攻击者的指标类型与如果可以检测到特定类型的指标将给攻击者带来多少痛苦之间的关系。
例如,如果您知道恶意文件的MD5哈希,则可以很容易地检测到并准确地检测到它。 但是,这只会给攻击者带来很少的痛苦-只需向文件中添加1位信息,哈希就已经不同了。
提示号码2。 尝试使用那些指标,这些指标的更改对于攻击者在技术上或经济上将是无利的
我想到了如何在我们的企业工作站上查找是否存在带有此哈希的文件的问题,我回答:有不同的方法。 最简单的方法之一是安装Kaspersky Security Center,其中包含企业中所有可执行文件的MD5哈希数据库,您可以对其进行SELECT。
让我们回到痛苦的金字塔。 与散列检测不同,如果您可以检测到攻击者的TTP(战术,技术,过程),则将提高工作效率。 它更加复杂,需要更多的努力,但是您将带来更多的痛苦。
例如,如果您知道一个针对您所在经济部门的APT小组分发带有* .HTA文件的网络钓鱼电子邮件,那么制定一种检测规则来搜索具有相似附件的邮件中的文件将对攻击者造成严重打击。 他将不得不改变邮寄的策略,甚至可能投资$ $购买0天或1天的漏洞利用,这并不便宜...
提示号码3。 不要对您未制定的检测规则寄予厚望;必须对它们进行假阳性检查并加以修改
在制定检测规则时,总是很想使用预定义的规则。 一个免费的示例是
Sigma存储库,它是一种独立于SIEM的检测规则格式,可将规则从Sigma转换为ElasticSearch查询以及Splunk或Arcsight规则。 同时,该存储库包含大约200条规则,其中〜130条描述Windows上的攻击。 乍一看,这很酷,但细节仍然是魔鬼。
让我们详细看一下mimikatz检测
规则之一 :
该规则检测尝试读取lsass.exe进程的内存的进程。 Mimikatz在尝试获取NTLM哈希并且规则检测到恶意软件时会执行此操作。
但是,对于我们来说,作为不仅负责发现事件而且还响应事件的专家,这真的很重要。 不幸的是,实际上,还有许多其他合法进程使用相同的掩码读取lsass.exe的内存(例如,某些防病毒程序)。 因此,在真实的战斗环境中,这样的规则带来的误报多于好处。
规则自动从Sigma转换为SIEM规则还有更多有趣的事件:
在其中一个网络研讨会上,提供付费检测规则的SOC Prime同事展示了这种转换的无效示例:SIEM中的deviceProduct字段必须等于Sysmon和Microsoft Windows,这是不可能的。
我不想怪任何人,也不要戳手指-每个人都疯了,这很好。 但是,威胁情报使用者需要了解,仍然需要重新检查和完善从开放源和封闭源获得的规则。
提示4:不仅要检查代理服务器和防火墙上的恶意软件的域名和IP地址,还要检查DNS服务器日志中的恶意软件,同时注意解析尝试是否成功
就易于检测和您给攻击者带来的痛苦而言,恶意域和IP地址是最佳的指示。 但是有了它们,一切乍一看都是简单的。 至少,您可能想知道从何处获取域日志。
如果您仅检查代理服务器日志,则可能会错过尝试直接访问网络或请求DGA生成的域名不存在的恶意软件,更不用说DNS隧道了-所有这些都不会出现在公司代理日志中。
提示号码5。 “您不能阻止监视器”-仅在知道指示符是什么并且意识到阻止的可能后果后才使用逗号
每个执业的保安人员都面临一个难题:阻止威胁或监视威胁,如果有任何正面帮助,则开始调查? 一些法规和说明直接写-阻止,有时此操作是错误的。
如果指示符是APT分组使用的域名,
请不要将其置于锁定状态 ,而应开始监视。 针对性攻击的现代策略意味着存在额外的秘密备份通信通道,只能在详细调查中才能确定。 在这种情况下,自动阻止功能会阻止对该频道的搜索,而路障另一侧的同志将很快了解您从他们的活动中学到了什么。
另一方面,如果指示器是加密域,则它
应该已经
被锁定 。 但是请不要忘记监视访问阻止域的失败尝试-加密器配置中可以内置管理服务器的多个地址。 供稿中可能缺少其中一些,因此不会被阻止。 恶意软件迟早会与他们联系,以获取主机将立即加密的密钥。 仅对样本进行反向分析可以确保您已阻止管理服务器的所有地址。
提示号码6。 在将它们设置为监视或阻止之前,请检查所有传入指示器的相关性。
请记住,有关威胁的信息是由容易犯错误的人或机器学习算法创建的,而错误甚至受此影响更大。 我们已经目睹了各种关于APT组活动的付费报告提供者如何意外地将相当合法的样本添加到恶意MD5列表中。 即使付费威胁报告包含低质量的指标,我们也可以说一下通过开源情报获得的指标。 TI分析师并不总是检查其创建的指标是否有误报,因为这种验证的结果落在消费者的肩膀上。
例如,如果您收到了下一个Zeus或Dimnie修改的IP地址,则在将其用于检测系统之前,
请检查它是否属于表示您IP的主机或服务的一部分 。 否则,当托管在此主机上的站点的用户将进入完全无害的网站时,解析大量误报将是令人不快的。 使用以下方法可以轻松完成类似的检查:
- 分类服务,可告知您网站活动的性质。 例如,ipinfo.io直接写入类型:“主机”。
- 服务反向IP,它将告诉您在此IP地址上注册了多少个域。 如果它们很多,则很有可能您正在托管站点。
因此,例如,检查指标的结果看起来像是Cobalt APT组的指标(根据一位知名TI供应商的报告):
我们的响应专家知道,Cobalt的先生们必须使用此IP地址。 但是,此指标没有任何好处-无关紧要,因为它会提供过多的误报。
提示号码7。 尽可能利用威胁信息使所有过程自动化。 从一个简单的步骤开始-通过进一步设置非拖尾指标以在SIEM中进行监视,通过停止列表使检查误报完全自动化
为了防止从公开源获得大量与情报有关的误报,可以在停止列表(警告列表)中预先搜索这些指标。 可以根据Alexa评级(前1000名),内部子网的地址,大型服务提供商(例如Google,Amazon AWS,MS Azure和其他托管服务提供商)的域来形成此类列表。 一种非常有效的解决方案是动态更改停止列表,该列表由公司员工在上周或上个月访问的顶级域名/ IP地址组成。
对于平均SOC而言,开发此类列表和验证系统可能很困难,因此考虑实施所谓的威胁情报平台是很有意义的。 大约半年前,Anti-malware.ru对该类
的收费和免费解决方案进行了很好的
概述 。
提示号码8。 扫描整个企业的主机指示器,而不仅仅是连接到SIEM的主机
通常,由于并非所有企业主机都连接到SIEM,因此仅使用标准SIEM功能就无法检查具有特定名称或路径的恶意文件。 您可以通过以下方式摆脱这种情况:
- 使用Loo等IoC扫描仪。 您可以通过同一SCCM在企业的所有主机上运行它,并将输出重定向到公共网络文件夹。
- 使用漏洞扫描程序。 其中一些具有合规性模式,您可以在其中检查特定路径上的特定文件。
- 编写一个powershell脚本并通过WinRM运行它。 如果您自己写懒惰,则可以使用许多脚本之一,例如this。
正如我在开始时所说,本文并不意味着全面介绍如何正确使用Threat Intelligence。 但是,根据我们的经验,即使遵循这些简单的规则,也可使初学者不要踩踏耙子,而应立即开始以各种折衷指标进行有效工作。