学习笔记
1、背景
XDR全称为Extended Detection and Response,这个产品概念起源于美国,大概从2018年流行起来。
| 英文名 | 中文名 | 功能 |
|---|---|---|
| Anti Virus | 杀毒 | 防病毒 |
| Endpoint Protection Platform | 端点保护平台 | AV、防钓鱼、防间谍软件、 HIDA、未授权访问 |
| Endpoint Detection and Response | 智能端点安全 | 高级威胁分析、 智能溯源、智能应急响应 |
| Extended Detection and Response | 智能安全平台 | 网络安全大脑、 综合分析、展现、响应 |
AV->EPP->EDR->XDR发展至今。
其中EDR指的是端点检测响应:
- E不仅仅包括PC,也包括手机、平板等移动终端
- EDR不仅包括杀毒,还包括安全的检测、威胁溯源、自动化智能响应
了解完EDR,接下来介绍XDR:
- XDR中的X不仅仅是E,也可以是网络、云和应用。
- X主要代表数据采集的探针,不仅仅是终端数据的采集探针,还可以是网络探针、应用探针、服务器探针、云上的探针。
因此XDR其实是一套完整的大而全的覆盖所有的设备和空间的安全解决方案。
AV、EPP和EDR、XDR的区别
- 杀毒和EPP是建立在以防御为主的安全思想之上,在病毒和攻击进入保护范围内的第一时间就要采取行动,立即解决问题。
- EDR和XDR是建立在监测为主的安全思想之上,承认”防是防不住的,但是可以亡羊补牢”
- XDR是以数据采集监控和事件关联分析为核心的
XDR厂商
- 大厂:Symantec(赛门铁克)、Cisco(思科)、paloalto、trendmicro(趋势科技)、Sophos、Mcafee、Microsoft
- 中型企业:Tehtris、LogRhythm
- 初创公司:STELLAR、Cynet、SecBI、Hunters
XDR功能
- Trend Micro:终端探针、网络探针、邮件探针、云探针
- Paloalto:EDR、下一代防火墙、云安全
- LogRhythm:产品是一个开放架构,探针可以是自己的,也可以是其他厂商的。可以接受各家数据,汇总起来做数据的分析、溯源、展现
时代背景
- AV:最早的终端产品
- EPP:兴起于Windows+PC互联网时代,以单机工作为主
- EDR:兴起于移动互联时代,以网络化办公为主
- XDR:兴起于智能物联时代,全开放网络、实时在线
发展特点
- AV:安全产业最初时期,第一代安全产品
- EPP:安全产业形成初期,第二代安全产品,代表厂商Mcafee、趋势、Norton、瑞星等成立于1990年左右
- EDR:安全产业发展初期,第三代安全产品,代表厂商Carbon Black、Crow Strike
- XDR:安全产业加速发展期,未来XDR的空间和增长速度将远大于AV、EPP、EDR
2、威胁检测引擎
威胁检测引擎是一种依靠可维护规则的数据结构,通过接口调用能够对输入对象进行病毒检测的程序模块的总称。
Objects—–API——–>Engine—————>Results
全球网络安全企业数以千计,但用于独立反病毒引擎研发能力的厂商不到50家。
威胁检测引擎与威胁情报
威胁检测引擎
威胁检测引擎的能力:
- 识别能力
- 格式识别能力
- 编译器与壳识别能力
- 解析能力
- 格式解析能力
- 解包:压缩包、自解压包、安装包等四十类
- 脱壳:加密壳、压缩壳等30+种
识别和拆解
- 带壳文件:Upack/aspack、Pecopact…….
- 包裹文件:rar、zip、cab、zlib、afx、nsis
- 复合文件:PDF带脚本、RTF符合文档
- 不明文件:分析时遇到的不常见格式
威胁情报
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
情报的三个特性:
- 知识性
- 传递性:知识若不进行传递交流,供人们利用,就不构成情报
- 效用性
威胁情报的痛苦金字塔:
HASH<IP地址<域名<网络或主机特征<攻击工具<TTPs
IOC情报检测的鲁棒性较差:
威胁情报试图通过IOC规则来为高级威胁对抗提供更好的指向性,这是目前阶段威胁情报应用的一种常态,但对于超高能力的网空威胁活动,实际IOC几乎是无效的。
威胁情报和威胁检测引擎的对比
威胁情报示例:
威胁检测引擎规则:
| 威胁检测引擎 | 威胁情报 | |
|---|---|---|
| 规则集数量 | 海量规则(覆盖百亿样本) | 大量情报(千万级情报规则) |
| 分析对象 | 载荷 | Hash、IP、域名、URL |
| 分析深度 | 完整的预处理 深度解析 丰富的检测方式 |
简单规则匹配 |
| 输出结果 | 标准化结构化威胁名称 | 具有威胁信息指向性信息 |
| 扩展性 | 厂商维护规则 | 支持用户维护规则 |
| 时效性 | 一般 | 高 |
| 鲁棒性 | 强 | 低 |
对比结论:
- 威胁情报以牺牲规则的鲁棒性换取检测的灵活性
- 威胁检测引擎以高鲁棒规则实现检测的通用性
- 从检测威胁目标来看,威胁情报和威胁引擎规则是一致的,检测规则即威胁情报
- 检测情报具有知识性和准确性,普通威胁检测引擎只能将文件认定为商马,而依靠情报规则能判断出病毒的来源、组织、目标等各种信息
引擎承载威胁情报
承载威胁情报的威胁检测引擎应具备哪些能力:
- 开放情报承载能力,可输入外部情报,使高价值情报落地。
- 输入和输出能力:传统引擎以单一对象为输入、以单一结果为输出。而随着威胁的进一步演进和泛化,威胁检测已不能仅仅停留在对单一对象鉴定上。多种输入对象,多种输出结果,威胁检测多样化。可输出ATT&CK框架、TCTF框架看、向量、组织描述等知识类信息。
威胁引擎开放能力:
- 全面格式识别
- 深度预处理:脱壳、解包、脚本提取等
- 虚拟化执行
- ……
高价值情报:
- 基础信息:字符串、编码过的二进制
- 属性信息:格式、编译器、壳、包、版本信息
- 结构信息:PE结构、复合文档结构、自定义结构
- 身份信息:开发者、登录ID、密码、数字签名
- 环境信息:注册表、路径、GUID
- 攻击技术:执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集
防御场景下的可消费情报
- 对攻击手段的提示
- 对高级威胁攻击方身份的揭示
- 对高级威胁的发现、阻断
同源依据:
PDB(开发者)、数字签名(认证信息)、属性(属性信息)、时间戳(编译时间)、结构(结构信息)、行为(行为信息)、API(API级别)、功能(功能级别)、样本、指令(指令级别)、名称(环境关联)、特征(特征规则)、唯一标识(标识)
3、基于实时的系统级攻击溯源的高级威胁检测
APT全称Advanced Persistent Threat,高级持续性威胁。
APT攻击的四个阶段
- 系统初步入侵
- (在目标系统内)立足
- 持续侦察
- 高价值信息/目标获取
FireEye公司收购了Mandiant,这里面有400+份APT白皮书
| 技术/工具 | APT攻击 |
|---|---|
| Spearphishing Link | APT28、APT29、APT32、APT33、APT39 |
| Spearphishing Email | APT12、APT19、APT28、APT29、APT32 |
| Poison Ivy RAT | RSA SecureID attack、Nitro attacks |
| Darkcomet RAT | Syrian Conflict |
| Xtreme RAT | APT Attacks on ??? |
社工和RAT是APT最常用的攻击手段。
RAT介绍
- Remote Access Trojan是一种特殊的木马,它允许攻击者远程操控受害者的机器
- RATs通常内置有数十种(10-40)潜在威胁功能(PHFs),比如记录键盘、截屏、录音等。这些RAT可以说是APT攻击的command and control,可以说RAT是APT攻击的核心。
- 据统计,RAT相关的攻击可以潜伏在企业长达三个月不被发现
- 大约90%的RAT只能运行在Windows平台
- Attacker<——–>Reconnaissance(侦察)<———>Victim
- Attacker——————->Delivery———————>Victim
- Attacker<——————Installation<——————Victim
- Attacker——————->Action————————>Victim
- Attacker——————->Transfer———————>Victim
- Attacker<——————–Results<———————-Victim
EDR系统部署
- 数据采集器(Collector):解决可感知的问题,收集大量系统底层信息之后进行处理、识别、优化
- 支持各种操作系统
- 轻量的系统开销
- 检测取证引擎(Detector):进行攻击溯源图的实时重建和响应
检测点系统设计与实现
如何设计检测点:
- Remote Access
- Initial Access
- Execution
- Suspicious Behavior(可疑行为)
- Privilege Escalation(权限提升)
- Defense Evasion(防御绕过)
- Credential Access(凭据访问)
- Discovery(发现)
- Lateral Movement(横向移动)
- Collection(信息收集)
- Network Connection(网络连接)
- Exfiltration(渗透)
- Command & Control(指令和控制)
当我们检测出来一些恶意点之后,我们另外在更上层把它所有的监测点,通过数据流和控制流连接起来之后,在整个context的下面,进行真正的对攻击的检测策略,从而判断这一系列的行为是不是攻击。例如某个攻击链:我们发现有远程访问这个机器,然后执行一些可疑行为,然后进行可以连接的话,那么就有非常高的可能性,这是一个攻击,而不是一个误报。
检测点实现:
通过Windows系统底层数据(ETW)还原keylogging等细粒度语义
独立思考
1. IOC规则是什么?为什么说它情报检测鲁棒性差?
IOC全称是Indicators of Compromise。
威胁情报最普遍的使用场景,就是利用IOC情报进行日志检测,发现内部被攻陷的主机等重要风险。这种情况下可以发现传统安全产品无法发现的很多威胁,并且大多是成功的攻击,对于安全运营有很大的帮助。当然这种场景不仅是日志数据和情报之间的匹配。
- 相关性
- 及时性
- 精确性
- 可指导响应的上下文
鲁棒性差的原因:
- IOC情报质量参差不齐
- 针对不同的日志需要有专项优化
- 复杂场景下检查效果低下
2. 如何理解威胁情报的痛苦金字塔?为什么域名会比ip痛苦?
|  |
痛苦金字塔由IOCs组成,同时也用于对IOCs进行分类组织。
TTPs即Tactics、Techniques and Procedures。是战术、技术、步骤的简称,指对手从踩点到数据泄露以及两者之间的每一步是如何完成任务的。TTPs处于痛苦金字塔的顶尖,属一类IOCs。
IP地址是最基础的网络指示器,任何合理的先进的对手可以改变IP地址。
域名,相较于IP地址来说改变起来要麻烦一些,因为为了工作,它们必须注册、付费并托管在某个地方。有大量的DNS提供商有着宽松的注册标准,所以在实践中改变域名并不难。不过新域名可能需要一到两天的时间才能在网络上随处可见,因此域名比IP地址更难更改。
3. ATT&CK框架、TCTF框架是什么?为什么要输出支持这些框架?
ATT&CK是将已知攻击者的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。
ATT&CK的12项战术:初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动、收集、命令与控制、数据泄露、影响力。
TCTF框架未查到相关内容。
产生过的疑问
- IOC规则是什么?为什么说它情报检测鲁棒性差?
- 如何理解威胁情报的痛苦金字塔?为什么域名会比ip痛苦?
- ATT&CK框架、TCTF框架是什么?为什么要输出支持这些框架?