由于依賴感染指標(biāo)（IOCs）的安全方法越來越不可靠，“突破口假設(shè)”成為業(yè)界公共的表示方法。 這種情況經(jīng)常發(fā)生，直到外部主機(jī)發(fā)現(xiàn)一個缺口并通知機(jī)構(gòu)之前，入侵都沒有辦法檢測到。作為基于簽名的解決方案和從第三方獲取問題信息的替代，網(wǎng)絡(luò)防御者需要來自于已經(jīng)進(jìn)入企業(yè)內(nèi)部的未知敵手的“突破口假設(shè)”。 給定越來越多攻擊者的目標(biāo)和個人信息，網(wǎng)絡(luò)防御者必須在已知IOC的基礎(chǔ)上擴(kuò)大搜索范圍，并且在他們的網(wǎng)絡(luò)中尋找未知的突破口。這個系統(tǒng)追蹤未知攻擊者的方法被叫做網(wǎng)絡(luò)攻擊追蹤。

對攻擊者的追蹤并非沒有難度，一些企業(yè)（防御者）認(rèn)為追蹤超出了他們的能力和資源。 防御者需要強(qiáng)大的工具篩選大量的數(shù)據(jù)來快速防御和處理威脅。一個功能齊全的追蹤平臺極大的提升了追蹤者的能力，但是安全預(yù)算有限并且公司不會總是投資有前途的技術(shù)。幸運(yùn)的是，有好幾種廉價的追蹤方式。

在這個月的SANS威脅追蹤和應(yīng)急響應(yīng)會議，Endgame解決了一些誤解并且描述了一些方法，安全專家可以在沒有大量的預(yù)算的前提下開始追蹤。這是這個系列的第一篇，告訴大家如何在你的網(wǎng)絡(luò)上廉價的追蹤入侵者。

IOC搜索的局限性

IOC是什么？

安全事件調(diào)查人員在安全事件應(yīng)急響應(yīng)過程中面臨的其中一個挑戰(zhàn)是，找一個有效的方法把所有調(diào)查過程中的信息組織起來，這些信息包括攻擊者的活動、所用的工具、惡意軟件、或者其他的攻擊指示器（indicators of compromise），簡稱IOC。

網(wǎng)絡(luò)層的安全有傳統(tǒng)的IOC相關(guān)搜索方法，比如域名黑名單，IP黑名單和一些CIDR，或者用Snort或者Bro來尋找惡意事件的相關(guān)簽名。隨著惡意技術(shù)的快速發(fā)展攻擊者的基礎(chǔ)設(shè)置越來越動態(tài)很難從合法服務(wù)器中區(qū)分開來，用網(wǎng)絡(luò)IOC來檢測威脅變得越來越難效果也越來越差。 也就是說，網(wǎng)絡(luò)IOC很快會被淘汰掉。 攻擊者經(jīng)常監(jiān)視他們的網(wǎng)絡(luò)資產(chǎn)，一旦發(fā)現(xiàn)過濾清單，他們會遷移到其他的終端。一些攻擊者將攻擊程序分割放到每個攻擊目標(biāo)上，來減少相關(guān)的IOC信息。

云計算加劇了IOC搜索相關(guān)的挑戰(zhàn)，攻擊者很容易就能從主機(jī)提供商處獲取IP地址。相似的，新的 ccTLD 和ICANN tld 只需要很少的信息校驗(yàn)，使得這個變得更容易和廉價甚至是免費(fèi)的，并且由于WHOIS的隱私服務(wù)注冊者的信息不會被公開。

由于這些原因，我們需要更智能的方法，為了代替追蹤過去和搜索已知的錯誤，網(wǎng)絡(luò)防御者尋找模型和相關(guān)未知錯誤的信號。一旦識別到之前未知的惡意行為標(biāo)識，組織可以激活他們的響應(yīng)程序。

利用被動DNS追蹤

被動DNS有簡單的結(jié)構(gòu)化方法來捕獲這些信號和模式。被動DNS通過被動捕獲內(nèi)部DNS傳輸來重組DNS傳輸，從而收集數(shù)據(jù)。Florian Weimer在2005年第17屆FIRST會議上提出這項(xiàng)技術(shù)來緩解僵尸網(wǎng)絡(luò)的傳播。從那以后，很多安全組織開始通過在網(wǎng)絡(luò)中安裝DNS傳感器來收集被動DNS信息然后分析結(jié)果數(shù)據(jù)來生成威脅情報。在今天的威脅環(huán)境，被動DNS在追蹤威脅上非常有用。

被動DNS傳感器，本質(zhì)上捕獲DNS傳輸—53端口的UDP數(shù)據(jù)包（DNS）–然后將信息重組到單一的記錄，包含請求和響應(yīng)。我們已經(jīng)在兩個開源的傳感器上做了實(shí)驗(yàn)

l passiveDNS 

l sie-dns-sensor

我們有選項(xiàng)來收集重復(fù)的DNS請求（綠色部分）或者收集所有的DNS傳輸。

傳感器可以被安裝到網(wǎng)絡(luò)上可以使用嗅探器（比如tcpdump）來捕捉DNS流量的任何終端上。安裝傳感器最好的地方是本地DNS遞歸服務(wù)器，但是跨端口也會工作。

一旦傳感器收集到被動DNS數(shù)據(jù)，它們必須合并并傳輸?shù)揭慌_機(jī)器上來分析和監(jiān)控。傳感器可以使用一個消息隊列（比如Kafka）來發(fā)布被動DNS記錄。這使得他可擴(kuò)展，松耦合—并且開源！這一架構(gòu)能讓任意數(shù)量的用戶獲得這個隊列然后分析數(shù)據(jù)來追蹤威脅。

1. 長期的數(shù)據(jù)接收器

根據(jù)用例，長期存儲比如HDFS可以開啟大規(guī)模的分析來發(fā)現(xiàn)網(wǎng)絡(luò)中“什么是正常的”然后標(biāo)識歷史趨勢。將數(shù)據(jù)弄到ELK（Elasticsearch Logstash Kibana）棧來執(zhí)行搜索和趨勢分析是一個簡單的方法。這種快速搜索已知IOC的方法使用開源的棧，同時對任何偏離正常的值進(jìn)行異常檢測。

2. 監(jiān)視器

監(jiān)視器統(tǒng)計各種DNS傳輸，比如NXDOMAIN的數(shù)量，請求的字節(jié)數(shù)，請求的數(shù)量，用戶請求數(shù)量，或者請求的分布 TLD，等等。 對理解每小時和每天的趨勢有極大的幫助。監(jiān)控應(yīng)用程序比如（Graphite）為不同的數(shù)據(jù)點(diǎn)生成圖表和統(tǒng)計信息，并允許我們主動標(biāo)識異常。

3. 實(shí)時威脅追蹤

這個用戶進(jìn)程在數(shù)據(jù)到來的時候，實(shí)時的記錄并檢測威脅，不斷的尋找惡意傳輸模式然乎執(zhí)行異常檢測。時間序列分析，使用鏈接庫比如Karios，幫助追蹤，檢測異常行為和所有的數(shù)據(jù)中斷或周期。

一旦架構(gòu)建立并且數(shù)據(jù)開始收集，網(wǎng)絡(luò)防御者可以在這些被動DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)上的未知入侵。

最新評論