威胁情报史诗传奇

在信息安全成熟的某个阶段，许多公司开始考虑如何获取和使用与他们相关的网络威胁信息。 根据组织的行业特点，不同类型的威胁可能引起关注。 洛克希德·马丁公司在《 情报驱动的防御》一书中提出了使用这种信息的方法。

幸运的是，信息安全服务有很多获取信息的资源，甚至还有一类解决方案-威胁情报平台（TIP），它可以让您管理其接收，生成以及集成到安全工具中的过程。

作为监视和响应信息安全事件的中心，对于我们而言极为重要的是，我们接收和生成的有关网络威胁的信息是相关的，适用的，并且重要的是可管理的。 毕竟，委托我们对其基础架构进行保护的组织的安全性取决于此。

我们决定在Jet CSIRT上分享TI的愿景，并讨论如何尝试采用各种可能有用的方法来管理网络威胁情报。

在网络安全领域，很少有基于“忘了”原则的工作。 防火墙将不会阻止数据包，直到配置了过滤器，IPS不会在流量中发现恶意活动的迹象，直到将签名下载到其中，并且SIEM开始独立编写相关规则并确定误报。 威胁情报也不例外。

实施真正反映威胁情报概念的解决方案的复杂性在于其定义。

威胁情报是研究和分析某些信息源以获取和积累有关当前网络威胁的信息的过程 ，目的是采取措施来增强网络安全并提高某些信息安全社区的信息安全意识。

某些来源可能包括：

• 开放的信息来源。 可以使用Google，Yandex，Bing以及Shodan，Censys，nmap等更专业的工具找到所有内容。 分析这些源的过程称为开放源代码情报（OSINT）。 应该注意的是，通过OSINT获得的信息来自公开（未分类）来源。 如果来源是付费的，则可能不会使其保密，这意味着对此类来源的分析也是OSINT。

• 媒体。 可以在媒体和社交平台Sosial Media Intelligence（SOCMINT）中找到的所有内容。 这种类型的数据采集实质上是OSINT的组成部分。

• 封闭的场所和论坛，讨论即将发生的网络犯罪（deepweb，darknet）的详细信息。 通常，您可以在阴影区域获得有关DDoS攻击的信息，或有关黑客试图在其中出售的新恶意软件的信息。

• 有权访问信息的人。 “同事”和屈从于社会工程方法的人也是可以共享信息的来源。
  
  有更严重的方法仅适用于专业服务。 在这种情况下，数据可以来自在网络犯罪环境中从事秘密工作的代理商，也可以来自参与网络犯罪并与调查合作的人员。 简而言之，这就是人类智能（HUMINT）。 当然，我们不会在Jet CSIRT上练习HUMINT。

将所有这些流程放在一个可以自动运行的“盒子”中是不可能的。 因此，当涉及到TI解决方案时，最有可能的是，其主要的消费者价值主张是有关网络威胁以及如何管理威胁的信息 ，以一种或另一种形式获得信息威胁社区的信息 。

网络威胁信息

2015年，MWR Infosecurity与CERT和英国国家基础设施保护中心一起发布了信息手册 ，其中重点介绍了TI流程产生的4类信息。 此分类现在已普遍应用：

• 经营中 通常，通过HUMINT流程通过特殊服务或通过窃听攻击者的通信渠道获得的有关即将发生和正在进行的网络攻击的信息。

• 战略性的。 与组织成为网络攻击的受害者的风险评估有关的信息。 它们不包含任何技术信息，绝不能在防护设备上使用。

• 战术上的。 有关网络犯罪分子用作恶意活动一部分的技术，战术，程序（TTP）和工具的信息。
  
  
  案例-最近打开的LockerGoga

  • 工具 ：cmd.exe。
  • 技巧 ：启动了一个密码锁，该密码锁使用AES算法以块（CTR）加密模式对受害者计算机上的所有文件（包括Windows内核文件）进行加密，密钥长度为128位。 使用MGF1掩码生成函数（SHA-1）使用RSA-1024算法对文件密钥和初始化向量（IV）进行加密。 反过来，为了增加此功能的加密强度，可以使用OAEP填充方案。 然后将文件和IV的加密密钥存储在加密文件本身的标题中。
  • 程序 ：此外，该恶意软件还会启动几个并行的子进程，仅对每个文件的每80,000字节进行加密，而跳过接下来的80,000字节以加快加密速度。
  • 策略 ：然后需要用比特币赎金作为密钥，以解密文件。

  
  在这里阅读更多。
  
  
  这些信息是对恶意活动进行彻底调查的结果，这可能需要很长时间。 这些研究的结果是来自诸如Cisco Talos，FireEye，赛门铁克，Group-IB，Kaspersky GREAT，政府组织和监管机构（FinCERT，NCCCI，US-CERT，FS-ISAC）等商业公司以及独立研究人员的新闻通讯和报告。
  
  战术信息可以并且应该在安全设备上以及在构建网络体系结构时使用。

• 技术性 有关恶意活动的迹象和本质或有关如何识别它们的信息。

例如，当分析恶意软件时，发现该恶意软件以.pdf文件的形式传播，具有以下参数：

• 命名为price_december.pdf ，
• 启动pureevil.exe进程，
• MD5哈希值为81a284a2b84dde3230ff339415b0112a ，
• 它试图通过TCP端口1337在123.45.67.89与C＆C服务器建立连接。

在此示例中，实体是文件和进程名称，哈希值，服务器地址和端口号。 标志是这些实体自身与基础结构组件之间的交互：启动过程，与服务器的传出网络交互，更改注册表项等。

此信息与危害指标（IoC）的概念密切相关。 从技术上讲，只要在基础架构中找不到该实体，它就什么也不说。 但是，如果说在网络上发现尝试将主机连接到C＆C服务器的事实是123.45.67.89:1337或pureevil.exe进程的开始，甚至使用MD5总和为81a284a2b84dde3230ff339415b0112a ，那么这已经表明存在妥协迹象。

也就是说，危害的指标是某些实体，恶意活动的迹象以及需要信息安全服务做出响应的上下文信息的组合。

同时，在信息安全领域，习惯上只将恶意活动中有人注意到的实体（IP地址，域名，哈希和，URL，文件名，注册表项等）称为危害指标。

危害指标的检测仅表明该事实应引起注意并进行分析以确定进一步的措施。 绝对不建议在未明确所有情况的情况下立即封锁SZI上的指标。 但是我们将进一步讨论。

妥协指标还可以方便地分为：

• 原子的。 它们仅包含一个无法进一步划分的功能，例如：
  
  • C＆C服务器IP地址-123.45.67.89
  • 哈希值是81a284a2b84dde3230ff339415b0112a
  
  
• 复合材料 它们包含在恶意活动中看到的两个或多个实体，例如：
  
  • 插座-123.45.67.89:5900
  • 文件price_december.pdf将产生带有哈希值81a284a2b84dde3230ff339415b0112a 的 pureevil.exe进程
  
  

显然，检测到一个综合指标将更有可能表明该系统受到损害。

技术信息还可以包括用于检测和阻止危害指标的各种实体，例如，Yara规则，SIEM的关联规则，用于检测攻击和恶意软件的各种签名。 因此，技术信息可以清楚地应用于防护设备。

有效利用TI技术信息的问题

TI服务提供商最快可以准确地获得有关网络威胁的技术信息，而如何应用威胁完全是消费者的问题。 这就是大多数问题所在。

例如，可以在对IS事件做出响应的多个阶段中应用折中指标：

• 在准备阶段（Preparation），主动阻止SIS上的指标（当然，在假阳性例外之后）；
• 在检测阶段，通过监视工具（SIEM，SIM，LM）实时跟踪用于识别指标的规则的操作；
• 在事件调查阶段，使用指标进行追溯检查；
• 在更深入分析受影响资产的阶段，例如，在分析恶意样本的源代码时。

在一个或另一个阶段涉及更多的手动工作，则危害指标的提供者将需要进行更多的分析（用上下文信息丰富指标的本质）。 在这种情况下，我们正在谈论外部上下文信息，即其他人已经对该指标了解的信息。

通常，危害指标以所谓的威胁源或源的形式提供 。 这是各种格式的威胁数据的结构化列表。

例如，以下是json格式的恶意哈希供稿：



这是一个具有丰富上下文的提要的示例：

• 包含威胁分析的链接；
• 威胁的名称，类型和类别；
• 发布时间戳。

所有这些使您可以在上传到信息保护和监视工具时管理此提要中的危害指标，并且还可以减少分析处理这些事件的时间。

但是还有其他高质量的供稿（通常是开源的）。 例如，以下是一个开源中假定的C＆C服务器地址的示例：



如您所见，上下文信息在这里是完全不存在的。 这些IP地址中的任何一个都可以托管合法服务，其中一些可以是对站点进行索引的Yandex或Google搜寻器。 我们对此表无话可说。

威胁源中上下文的缺乏或不足是技术信息使用者的主要问题之一。 没有上下文，提要中的实体将不适用，实际上，这并不是妥协的指标。 换句话说，阻止SZI上的任何IP地址以及将此提要上载到监视工具，都可能导致大量误报（误报-FP）。

如果我们从监视工具的检测角度考虑使用折衷指标，那么简化此过程是一个序列：

• 将指标纳入监测工具；
• 触发指标检测规则；
• IS服务响应分析。

由于按此顺序存在人力资源，因此我们仅对分析那些能真正表明对组织构成威胁并减少FP数量的指标的情况感兴趣。

基本上，通过将流行资源（Google，Microsoft，Yandex，Adobe等）的本质检测为潜在恶意，可以触发误报。

一个简单的例子：它检查到达主机的恶意软件。 发现它通过轮询update.googleapis.com来检查Internet访问。 威胁提要中列出了update.googleapis.com资产，以表明存在威胁并致电FP。 同样，恶意软件使用的合法库或文件的哈希总和，公共DNS地址，各种爬网程序和爬虫的地址，用于检查已吊销的CRL证书的资源（证书吊销列表）和URL缩写（bit.ly，goo）都可以进入供稿。 gl等）。

测试这种在外部环境中没有得到充实的响应，可能会使分析人员花费相当多的时间，在此期间可能会漏掉实际的事件。

顺便说一下，有可以触发FP的指标源。 这样一个例子就是misp-warninglist资源 。

优先考虑折衷指标

另一个问题是响应的优先级。 相对而言，当检测到特定的危害指标时，我们将拥有哪种SLA。 确实，威胁源提供商没有对它们所包含的实体进行优先级排序。 为了帮助消费者，他们可以对实体的危害性增加一定程度的信心，就像卡巴斯基实验室的供稿中所做的那样：



但是，确定标识指标的事件优先级是消费者的任务。

为了在Jet CSIRT上解决此问题，我们采用了Ryan Kazanciyan在COUNTERMEASURE 2016上概述的方法 。其本质是，从属于系统 域和数据域的角度考虑了可在基础架构中找到的所有折衷指标。 。

数据域分为3类：

• 源上的实时活动 （当前存储在内存中；通过实时分析信息安全事件来检测）：
  
  • 启动进程，更改注册表项，创建文件；
  • 网络活动，活动连接；
  • 刚刚生成的其他事件。
  
  如果检测到此类指示符，则来自IS服务的响应时间将最短 。
  
• 历史活动 （已经发生的事情；在追溯检查中显示）：
  
  • 历史记录；
  • 遥测
  • 触发警报。
  
  如果检测到此类指标，则可以限制 IS服务的响应时间。
  
• 静态数据 （在将源连接到监视之前已经存在的数据 ；作为对长期未使用源的追溯检查的一部分，它会显示出来）：
  
  • 长期存储在源文件中的文件；
  • 注册表项；
  • 其他未使用的对象。
  
  如果检测到此类指标，则IS服务的反应时间将受到事件全面调查的持续时间的限制 。
  

通常，详细的报告和新闻通讯是在此类调查的基础上编制的，其中包括攻击者的行为细分，但此类数据的相关性相对较小。

也就是说，数据域是分析数据的状态，在该状态下检测到危害指标。

系统域是危害指标来源与基础架构子系统之一的联系：

• 工作站。 用户直接用来执行日常工作的资源：工作站，笔记本电脑，平板电脑，智能手机，终端（VoIP，VKS，IM），应用程序（CRM，ERP等）。
• 服务器。 这是指为基础设施服务的其他设备，即 用于IT综合设施运行的设备：SZI（固件，IDS / IPS，AV，EDR，DLP），网络设备，文件/ Web /代理服务器，存储系统，ACS，环境控制。 环境等

根据可接受的反应时间，将此信息与危害指标（原子，复合材料）的符号组成相结合，可以制定检测到事件的优先级：

1. 尽快 检测指标需要响应团队立即做出响应。
2. 限量版 检测指标需要进行额外的分析，以澄清事件的情况并决定采取进一步的措施。
3. 无限的 指标的检测需要彻底的调查并准备攻击者活动的报告。 通常，这些发现会在法医学的框架内进行调查，这可能会持续数年。

其中：

• RC-实时综合指标检测；
• RA-实时检测原子指示剂；
• HC-作为回顾性验证的一部分，检测复合指标；
• HA-作为追溯验证的一部分，检测原子指标；
• DC-在长时间未使用的信号源中检测复合指标；
• DA-在长时间未使用的源中检测原子指示器。

我必须说，优先权并没有减损检测指标的重要性，而是显示了我们为防止基础架构可能受到损害而必须花费的大约时间。

还要公平地指出，不能将这种方法与观察到的基础结构隔离使用，我们将回到这一点。

监控折衷指标的寿命

有些恶意实体会永远留下危害的迹象。 即使长时间，也不建议删除此类信息。 在回顾性审核（NA / HA）和检查长期未使用的来源（DC / DA）时，这通常变得很重要。

一些监控中心和折衷指标的提供者认为，一般而言，不必控制所有指标的寿命。但是，实际上，这种方法无效。



实际上，诸如恶意文件的散列，恶意软件生成的注册表项以及感染节点的URL之类的危害指标永远不会成为合法实体，即其有效性不受限制。

一个恰当的例子：SHA-256分析带有封装的SOAP协议的RAT Vermin 文件的总和，以便与C＆C服务器交换数据。分析表明该文件是在2015年创建的。最近，我们在客户的一台文件服务器上找到了它。



但是，与为恶意活动创建或“借用”一段时间的实体类型完全不同。也就是说，实际上，它们是受入侵者控制的端点。

在其所有者清除了受感染的节点之后，或者当攻击者停止使用下一个基础结构时，此类实体可以再次变得合法。

考虑到这些因素，可以建立一个折衷指标的近似表，其中涉及数据域，相关时间段以及控制其生命周期的需要：



该表的目的是回答以下三个问题：

1. 随着时间的流逝，该指标能否合法化？
2. 根据所分析数据的状态，指标的最短相关时间是多少？
3. 是否有必要控制该指标的寿命？

以IP C＆C服务器为例考虑这种方法。如今，攻击者更喜欢建立分布式基础架构，经常更改地址，以免被忽视并避免提供商遭受可能的阻塞。同时，C＆C通常部署在被黑客入侵的节点上，例如Emotet。但是，僵尸网络正在被清理，小人正在被捕获，因此C＆C服务器的IP地址这样的指示器肯定可以成为合法实体，这意味着可以控制其寿命。

如果我们实时找到IP C＆C服务器的呼叫（RA / RC），则与我们相关的期限将以天为单位。毕竟，发现该地址后的第二天不太可能不再托管C＆C。

在回顾性检查（HA / HC）中检测到此类指标的时间间隔通常较长（每隔几周/个月一次），这也将指示与相关间隔相等的最短相关时间。同时，C＆C本身可能不再处于活动状态，但是如果我们发现基础设施中存在流通问题，那么该指标将对我们有意义。

相同的逻辑适用于其他类型的指标。例外情况是哈希值，注册表项，目录授权机构（DA）Tor网络节点和URL。

使用哈希值和注册表值，一切都很简单-无法将它们从自然界中删除，因此控制其寿命没有任何意义。但是可以删除恶意URL，尽管它们不会成为合法URL，但是它们将处于非活动状态。但是，它们也是唯一的，并且是专门为恶意活动创建的，因此它们不能成为合法的。

Tor网络的DA节点的IP地址是众所周知的且未更改，它们的生存期仅受Tor网络本身的生存期的限制，因此此类指示符始终是相关的。

如您所见，对于表中的大多数类型的指标，必须对其寿命进行控制。

由于以下原因，我们Jet CSIRT提倡使用此方法。

1. , - , - , , , .
   
   , Microsoft 99 , APT35. - Microsoft .
   
   IP- , -. , IP- «», , .
2. , .
   
   , , , .
3. .
   
   , . 1 MS Office, -, . , , , .

因此，我们认为现在重要的是努力调整流程并开发方法以控制集成到保护手段中的指标的寿命。卢森堡计算机应急响应中心（CIRCL）的“破坏指数”中

描述了一种这样的方法，该中心的工作人员创建了一个平台来交换有关MISP威胁的信息。在MISP中，计划应用此材料中的想法。为此，基本上项目存储库已经打开了相应的分支，这再次证明了此问题对信息安全社区的重要性。

该方法假设某些指标的生命周期不均一，并且可能会更改为：

• 攻击者停止使用其基础设施进行网络攻击；
• 他了解了越来越多的网络攻击信息安全专家，并将指标放置在SZI上，迫使攻击者更改所使用的元素。

因此，可以以某些功能的形式描述此类指标的寿命，该函数表征每个指标的到期日期随时间的退出率。

CIRCL同事使用MISP中使用的条件来构建他们的模型，但是，该模型的一般概念可以在其产品之外使用：

• 危害指标（a）被分配了一定的基本评估（ $$），其位于从0到100的范围内;$base\_score_{a}$

在CIRCL资料中，指标提供者和相关分类法的可靠性/可信度考虑到了这一点。同时，在重复检测指标后，基本评估可能会发生变化-增加或减少，具体取决于提供商的算法。

• 输入时间 $$，其特征在于，其总评估必须= 0;$\tau_{a}$
• 介绍了指标到期率退出率（decay_rate）的概念。 $$，其表征减少随时间的指示器的总体评估的速率;$\delta_{a}$
• 输入时间戳记 $$和$T_{t}$$$分别表示当前时间和最后一次看到指示器的时间。$T_{t-1}$

考虑到上述所有条件，CIRCL的同事给出了以下公式来计算总分（1）：

$$

$$score_{a} = base\_score_{a}\cdot\left(1 -\left(\frac{t}{\tau_{a}}\right)^{\frac{1}{\delta_{a}}}\right),\ \ \ (1)$$

哪里
$$参数$t= T_{t}-T_{t-1}>0$
$$提出视为$\tau_{a}$$$，凡$(t_{n}- t_{0})+\Delta_{max}$


$$指标首次检测到的时间；$t_{0}$
$$上次检测到指标的时间；$t_{n}$
$$-两次检测指示器之间的最大时间。想法是，当分数= 0时，可以撤消相应的指标。根据我们的数据，某些威胁源提供商采用其他方法来控制相关性并过滤预防级别使用的危害指标。但是，大多数这些技术都非常简单。我们尝试将CIRCL资料中的算法应用于在检测阶段检测到的指标，并在响应过程和事件后活动期间将其用作SIS上的阻止规则。显然，这种方法只能明确地应用于已知的那些类型的指标$\Delta_{max}$







$$$\tau_{a}$。CIRCL材料提供了一个所谓的宽限时间的示例-固定的更正时间，提供者在断开资源之前，将可疑活动中注意到的固定资源提供给资源所有者。但是对于大多数类型的指标$$未知。不幸的是，我们无法准确地预测特定实体成为合法实体的时间。但是，我们几乎总是（从指标的提供者或对开源的分析中）获得有关该实体首次被发现和最后一次被发现的信息以及某种基本评估。因此，为了找出何时有可能根据CIRCL材料注销该指标，只有一个变量将我们分开-那就是delay_rate。但是，仅使其对于所有指标，更重要的是对于所有基础设施，保持恒定是不够的。$\tau_{a}$



因此，我们尝试将可能进行生命周期监视的每种类型的指标与它的到期率（decay_rate），观察到的基础架构类型及其信息安全成熟度联系起来。

通过盘点特定受保护基础架构的清单，找出其使用的软件和设备的使用期限，我们可以确定每种危害指标的衰减率。这些工作的近似结果可以表的形式呈现：



我再次强调表中的结果是近似的，实际上，评估应该针对特定的基础架构进行。

随着每个指标的到期日期的到来，我们可以确定可以注销它们的大概时间。还值得注意的是，仅当基本指标得分有下降趋势时才应进行注销时间的计算。

例如，考虑指标的基本等级为80，时间$$ = 120和各种decay_rate（$\tau_{a}$$$）。从图中可以看出，确定评估的近似临界极限（在我们的示例中为20，初始评估为80），我们可以设置检查该指标相关性的时间。delay_rate越大，这次来得越快。例如，如果衰落率= 3，额定极限= 20，则可以在SZI中检查该指示器运行约50天。$\delta_{a}$





所描述的方法很难实施，但其魅力在于我们可以进行测试而不会影响已建立的信息安全流程和客户基础架构。现在，我们正在运行该算法，以监视某些指标样本的生命周期，假设该指标可能处于退役状态。但是，实际上，这些指标在深圳特区仍然有效。相对而言，我们抽样了一些指标，我们考虑了这些指标$$，并注意到在评估基准下降的趋势，将其标记为“注销”，如果测试已经证实了他们无关。现在谈论这种方法的有效性还为时过早，但是测试结果将帮助我们确定是否值得将其“转化为生产”。由于对事件的响应，这种技术可能不仅可以帮助控制在SIS上运行的那些指示器。网络威胁信息提供商成功地采用了这种方法，这将使他们能够分析威胁源，从而针对特定的客户和基础设施，在一定期限内包含危害的指标。$\tau_{a}$

结论

当然，Treat Intelligence是一个必要且有用的信息安全概念，可以极大地增强公司基础结构的安全性。为了有效利用TI，您需要了解如何使用通过此过程获得的各种信息。

在谈到威胁情报的技术信息（例如威胁源和危害指标）时，我们必须记住，其使用方法不应基于盲目的黑名单。在外观上，用于检测并随后阻止威胁的简单算法实际上具有许多“陷阱”，因此，为了有效地使用技术信息，有必要正确评估其质量，确定检测的优先级并控制其使用寿命以减少SPI的负担。

但是，仅依靠威胁情报的技术知识。使战术信息适应防御过程更为重要。毕竟，对于攻击者而言，改变策略，技巧和工具要困难得多，而不是让我们追捕另一部分危害指标，这是在黑客攻击后发现的。但是我们将在下一篇文章中讨论这一点。

作者：Alexander Akhremchik，Jet CSIRT的Jet信息系统Jet基础设施Jet监视和响应中心专家