致力于将博士后八股文解读成幼儿园一把梭。
主题:
• The Network as a Whole
• The Lockheed-Martin Cyber Kill-Chain 洛克希德 – 马丁网络杀戮链
• MITRE ATT&CK Framework
DMZ 区域
一把梭:充其量就是企业提供对外服务的一个区域(比如web服务)。最low的DMZ部署防御好吧。
Deployment Environments 部署环境(测试环境)
一把梭:纵深防御,开发与测试环境分离。置于内网中。
Core and Edge Network Devices 核心和边缘网络设备
一把梭:DMZ区域中的路由器被认为是边缘设备
Virtual Private Networks and Remote Sites 虚拟专用网络和远程网站
一把梭:地理位置A的远程员工经常使用VPN连接到地址位置B的贵司网络。
以上每种机制都在深入防御策略中发挥作用
The Lockheed-Martin Cyber Kill-Chain 洛克希德 – 马丁网络杀戮链(洛马七步杀)
没有银弹:2011,洛克希德·马丁公司的计算机科学家根据攻击行为总结的一套观察指标,仅此而已。充其量就是Excel统计。遗憾的是实际上不同组织攻击测量复杂,放到至今,无法硬套。(你保存了APT分析原文,你也可以各种“统计”)
APT(有个勾八资助,自嗨型):例如安全研究公司FireEye(前身为Mandiant)揭示了APT1,归因于2013年在中国境外活动的网络间谍组织。(FireEye, 2013), https://www.fireeye.com/blog/threat-research/2013/02/mandiant-exposes-apt1-chinas-cyber-espionage-units.html
七步杀(没实际卵用,出场率最高的是在PPT上):
• Reconnaissance 侦查
• Weaponization 武器化
• Delivery 八股文交付,比如马子传到受害者
• Exploitation 利用
• Installation 安装
• Command & Control (C2) 命令与控制
• Actions on Objectives 在目标上行动
案例研究1:Monero加密挖矿
Jenkins服务器的nday;下载Monero矿工的PowerShell脚本;HTTP POST到CLI目录,该目录包含获取武器化二进制文件的代码;CVE-2017-1000353 [PowerShell script],C:Windowsminerxmr.exe
; 222.184.79.11:5329(出报告时记得带上IP与端口,老铁);生成Monero加密货币
Oracle WebLogic服务器的nday;下载Monero矿工的PowerShell脚本;HTTP POST包含获取武器化二进制文件的代码的XML;CVE-2017-10271 [PowerShell script];C:minerxmr.exe
;222.184.79.11:5319;生成Monero加密货币
不要肤浅的认为以上两者“差距不大”(文件命名,C2服务器一致,更多的指标指向同一个组织时可信度才能提升):我TM生成个CS马子,C:家目录写贵司ID,变量命名是贵司,C2服务器指向贵司。君该做何感叹。千年冤案?
案例研究2:Petya、Mischa和GoldenEye
Petya虽然非常有效,但需要受害者付出大量努力。受害者必须打开一封包含恶意应用程序的钓鱼电子邮件,然后使用需要通过Windows用户帐户控制(UAC)弹出窗口批准的管理员权限执行。
Reconnaissance 钓鱼
Weaponization 自解压存档中的加密有效负载。受害者钥匙生成器。
Delivery 求职者的带有DropBox链接的网络钓鱼电子邮件
Exploitation 主可执行文件以管理员权限运行
Installation Setup.dll,伪造的CHKDSK加密程序
C2 支付钱包
Actions on Objectives 编码、备份、覆盖MBR。生成密钥。强制重新启动。加密MFT。
MITRE ATT&CK Framework
基于APT报告的Excel统计
Tactics, Techniques, and Sub-Techniques 战术、技术和子技术(类似七步杀,细颗粒度)
• Reconnaissance
• Resource Development
• Initial Access
• Execution
• Persistence
• Privilege Escalation
• Defense Evasion
• Credential Access
• Discovery
• Lateral Movement
• Collection
• Command and Control
• Exfiltration
• Impact
https://attack.mitre.org
案例研究1:OilRig
通过Mitre ATT&CK框架的视角,OilRig的描述如下:
初始访问 Phishing Spear-phishing attachment鱼叉钓鱼
Execution 用户执行 恶意链接
命令和脚本 PowerShell(QUADAGENT)
解释器
命令与控制 应用层协议 Web Protocols
DNS
案例研究2:APT3
40