由于依賴感染指標(biāo)（IOCs）的安全方法越來(lái)越不可靠，“突破口假設(shè)”成為業(yè)界公共的表示方法。 這種情況經(jīng)常發(fā)生，直到外部主機(jī)發(fā)現(xiàn)一個(gè)缺口并通知機(jī)構(gòu)之前，入侵都沒(méi)有辦法檢測(cè)到。作為基于簽名的解決方案和從第三方獲取問(wèn)題信息的替代，網(wǎng)絡(luò)防御者需要來(lái)自于已經(jīng)進(jìn)入企業(yè)內(nèi)部的未知敵手的“突破口假設(shè)”。 給定越來(lái)越多攻擊者的目標(biāo)和個(gè)人信息，網(wǎng)絡(luò)防御者必須在已知IOC的基礎(chǔ)上擴(kuò)大搜索范圍，并且在他們的網(wǎng)絡(luò)中尋找未知的突破口。這個(gè)系統(tǒng)追蹤未知攻擊者的方法被叫做網(wǎng)絡(luò)攻擊追蹤。

對(duì)攻擊者的追蹤并非沒(méi)有難度，一些企業(yè)（防御者）認(rèn)為追蹤超出了他們的能力和資源。 防御者需要強(qiáng)大的工具篩選大量的數(shù)據(jù)來(lái)快速防御和處理威脅。一個(gè)功能齊全的追蹤平臺(tái)極大的提升了追蹤者的能力，但是安全預(yù)算有限并且公司不會(huì)總是投資有前途的技術(shù)。幸運(yùn)的是，有好幾種廉價(jià)的追蹤方式。

在這個(gè)月的SANS威脅追蹤和應(yīng)急響應(yīng)會(huì)議，Endgame解決了一些誤解并且描述了一些方法，安全專家可以在沒(méi)有大量的預(yù)算的前提下開(kāi)始追蹤。這是這個(gè)系列的第一篇，告訴大家如何在你的網(wǎng)絡(luò)上廉價(jià)的追蹤入侵者。

IOC搜索的局限性

IOC是什么？

安全事件調(diào)查人員在安全事件應(yīng)急響應(yīng)過(guò)程中面臨的其中一個(gè)挑戰(zhàn)是，找一個(gè)有效的方法把所有調(diào)查過(guò)程中的信息組織起來(lái)，這些信息包括攻擊者的活動(dòng)、所用的工具、惡意軟件、或者其他的攻擊指示器（indicators of compromise），簡(jiǎn)稱IOC。

網(wǎng)絡(luò)層的安全有傳統(tǒng)的IOC相關(guān)搜索方法，比如域名黑名單，IP黑名單和一些CIDR，或者用Snort或者Bro來(lái)尋找惡意事件的相關(guān)簽名。隨著惡意技術(shù)的快速發(fā)展攻擊者的基礎(chǔ)設(shè)置越來(lái)越動(dòng)態(tài)很難從合法服務(wù)器中區(qū)分開(kāi)來(lái)，用網(wǎng)絡(luò)IOC來(lái)檢測(cè)威脅變得越來(lái)越難效果也越來(lái)越差。 也就是說(shuō)，網(wǎng)絡(luò)IOC很快會(huì)被淘汰掉。 攻擊者經(jīng)常監(jiān)視他們的網(wǎng)絡(luò)資產(chǎn)，一旦發(fā)現(xiàn)過(guò)濾清單，他們會(huì)遷移到其他的終端。一些攻擊者將攻擊程序分割放到每個(gè)攻擊目標(biāo)上，來(lái)減少相關(guān)的IOC信息。

云計(jì)算加劇了IOC搜索相關(guān)的挑戰(zhàn)，攻擊者很容易就能從主機(jī)提供商處獲取IP地址。相似的，新的 ccTLD 和ICANN tld 只需要很少的信息校驗(yàn)，使得這個(gè)變得更容易和廉價(jià)甚至是免費(fèi)的，并且由于WHOIS的隱私服務(wù)注冊(cè)者的信息不會(huì)被公開(kāi)。

由于這些原因，我們需要更智能的方法，為了代替追蹤過(guò)去和搜索已知的錯(cuò)誤，網(wǎng)絡(luò)防御者尋找模型和相關(guān)未知錯(cuò)誤的信號(hào)。一旦識(shí)別到之前未知的惡意行為標(biāo)識(shí)，組織可以激活他們的響應(yīng)程序。

利用被動(dòng)DNS追蹤

被動(dòng)DNS有簡(jiǎn)單的結(jié)構(gòu)化方法來(lái)捕獲這些信號(hào)和模式。被動(dòng)DNS通過(guò)被動(dòng)捕獲內(nèi)部DNS傳輸來(lái)重組DNS傳輸，從而收集數(shù)據(jù)。Florian Weimer在2005年第17屆FIRST會(huì)議上提出這項(xiàng)技術(shù)來(lái)緩解僵尸網(wǎng)絡(luò)的傳播。從那以后，很多安全組織開(kāi)始通過(guò)在網(wǎng)絡(luò)中安裝DNS傳感器來(lái)收集被動(dòng)DNS信息然后分析結(jié)果數(shù)據(jù)來(lái)生成威脅情報(bào)。在今天的威脅環(huán)境，被動(dòng)DNS在追蹤威脅上非常有用。

被動(dòng)DNS傳感器，本質(zhì)上捕獲DNS傳輸—53端口的UDP數(shù)據(jù)包（DNS）–然后將信息重組到單一的記錄，包含請(qǐng)求和響應(yīng)。我們已經(jīng)在兩個(gè)開(kāi)源的傳感器上做了實(shí)驗(yàn)

l passiveDNS 

l sie-dns-sensor

我們有選項(xiàng)來(lái)收集重復(fù)的DNS請(qǐng)求（綠色部分）或者收集所有的DNS傳輸。

傳感器可以被安裝到網(wǎng)絡(luò)上可以使用嗅探器（比如tcpdump）來(lái)捕捉DNS流量的任何終端上。安裝傳感器最好的地方是本地DNS遞歸服務(wù)器，但是跨端口也會(huì)工作。

一旦傳感器收集到被動(dòng)DNS數(shù)據(jù)，它們必須合并并傳輸?shù)揭慌_(tái)機(jī)器上來(lái)分析和監(jiān)控。傳感器可以使用一個(gè)消息隊(duì)列（比如Kafka）來(lái)發(fā)布被動(dòng)DNS記錄。這使得他可擴(kuò)展，松耦合—并且開(kāi)源！這一架構(gòu)能讓任意數(shù)量的用戶獲得這個(gè)隊(duì)列然后分析數(shù)據(jù)來(lái)追蹤威脅。

1. 長(zhǎng)期的數(shù)據(jù)接收器

根據(jù)用例，長(zhǎng)期存儲(chǔ)比如HDFS可以開(kāi)啟大規(guī)模的分析來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中“什么是正常的”然后標(biāo)識(shí)歷史趨勢(shì)。將數(shù)據(jù)弄到ELK（Elasticsearch Logstash Kibana）棧來(lái)執(zhí)行搜索和趨勢(shì)分析是一個(gè)簡(jiǎn)單的方法。這種快速搜索已知IOC的方法使用開(kāi)源的棧，同時(shí)對(duì)任何偏離正常的值進(jìn)行異常檢測(cè)。

2. 監(jiān)視器

監(jiān)視器統(tǒng)計(jì)各種DNS傳輸，比如NXDOMAIN的數(shù)量，請(qǐng)求的字節(jié)數(shù)，請(qǐng)求的數(shù)量，用戶請(qǐng)求數(shù)量，或者請(qǐng)求的分布 TLD，等等。 對(duì)理解每小時(shí)和每天的趨勢(shì)有極大的幫助。監(jiān)控應(yīng)用程序比如（Graphite）為不同的數(shù)據(jù)點(diǎn)生成圖表和統(tǒng)計(jì)信息，并允許我們主動(dòng)標(biāo)識(shí)異常。

3. 實(shí)時(shí)威脅追蹤

這個(gè)用戶進(jìn)程在數(shù)據(jù)到來(lái)的時(shí)候，實(shí)時(shí)的記錄并檢測(cè)威脅，不斷的尋找惡意傳輸模式然乎執(zhí)行異常檢測(cè)。時(shí)間序列分析，使用鏈接庫(kù)比如Karios，幫助追蹤，檢測(cè)異常行為和所有的數(shù)據(jù)中斷或周期。

一旦架構(gòu)建立并且數(shù)據(jù)開(kāi)始收集，網(wǎng)絡(luò)防御者可以在這些被動(dòng)DNS數(shù)據(jù)上執(zhí)行大范圍的分析來(lái)追蹤網(wǎng)絡(luò)上的未知入侵。

最新評(píng)論