杨大路+都柯:高级恶意攻击结合威胁情报云的多维分析

杨大路:大家好!下边由我还有我们的伙伴都柯和我一块儿来介绍下面一个议题。

5   杨大路

前面的伙伴都讲了,现在我们需要一个威胁情报要构建情报的平台或者是情报云,我们需要构建怎样的威胁情报云,我们认为应该具备这些能力,威胁在什么时间发生,攻击者的手法是什么,攻击从哪儿来,组织和个人使用了哪些工具,攻击的目标是什么?我们更想知道攻击者的身份是什么,他是一个国家还是一个组织还是一个个人?是针对企业的黑色产业的团体还是说针对更有真伪性的组织,可能在我们对攻击者画像的角度来说比较关键。

使用威胁情报云来检测的目的是什么?其实我们认为使用威胁情报的目的和真正的效益在于缩短攻击者的自由攻击时间,也可以说是增加了攻击者使用成本,所以使用威胁情报的产品的原因是第一是生产威胁产品的速度提升了,我们发现威胁事件对安全产品规则上进行了更新,速度会以月计,使用了威胁情报之后有可能就在小时甚至是分钟级来实现规则的相应。第二个方面是使用威胁情报还可以解决产品间的差异问题,因为不同的厂商、不同的设备对同一个事情的描述千差万别,一个问题可能有多种问题的描述的方法。一个漏洞CVE对事件的描述在不同的时间都可以出现很多很多,描述的差异性在威胁情报里可以用标准化的方法来描述。最后是两个特性,一个是以行动为核心,我们在互联网的任意一点发生了一件事证明了它的存在和分析清楚它的手法和价值以后,我们以这个证据链知识的传递给更多的用户,更多的地方更好地来检测事情、漏洞和脆弱性。最后是以有效性为目标,已经把证据以知识的方法传递给了更多的地方、更多的设备、更多的人,一旦发现关键路径上的有效信息,它一定是一次和确定的安全事件,就不是说我们的疑似报警、疑似信息了,这是威胁情报使用的价值。

我们认为威胁情报云应该有一个中心,我们认为首先构建威胁情报云的第一步是需要做以溯源为中心的分析平台,当然这个平台可以是在企业侧也可以使用互联网上的云服务,溯源平台是经过了把所有的互联网上多元的威胁情报的数据进行了整合,以可视化的方法,以可用性的数据特征、关联方法进行了关联,可以便于快速地在界面上进行搜索,甚至可以使用API的方式进行有效的调用,目的就是告诉我们一个事件发生了以后,他是谁?什么时间发生?为什么发生?并且可以通过这个平台最大程度地进行事件的溯源,来辅助我们做一些决策甚至做一些法律上的行动。

其实威胁情报是一个生态,威胁情报数量很多,来源很广,而且它从生产到使用环节很长、流程很长,一家公司很难把它从头到尾从原始数据搜集到分析到分发、到落地使用到响应、应急响应都做完,所以我们认为构建一个情报的生态,可能是打造一个安全威胁情报云服务的关键点,所以我们可以看到一方面自己搜集一些原始的数据,利用机器学习和专家集中在一块的方法,更好地生产自己发现或者是独立发现的独有的威胁情报。另一方面,我们也要和更多的具有威胁情报或者是广泛的厂商进行互补。比如说IBM  X-force这些数据,我们在情报云平台上进行了整合,用户直接使用了情报就避免了分析人员挨个云,不同的厂商的数据都去检查一遍,这样做的尽量多的数据整合的工作以后,这个情报工作的价值就会更高。当然,整合完以后,因为威胁情报是一种知识,知识怎么来发挥作用呢?不能说知识告诉你了就有作用,知识一定要有措施和手段去落地,这个措施和手段我认为无外乎还是传统的,比如说SOC平台、WAF平台、扫描器和防火设备等等,还是要把威胁情报落地这样才能发挥威胁情报更多的价值,所以我们也在威胁情报和产品做打通的基础上,我认为这也是好的威胁情报云服务需要具备的,要和更多的产品、厂家的产品或者是更多的类型的产品去打通,这样也解决的上一个议题讲到的,用户侧什么样的情报更有用,用户自己知道,用户侧的设备需要什么样的威胁情报,可以针对不同设备的特性进行订阅和分发。

刚才说了我是如何来构建一个威胁情报云的,接下来看看我们是这么使用威胁情报云的。现在主要有三种形态,一个是Feed,我们会提供在线的、常规的线索库,我们的情报里不把Feed当成是信息库,因为信息库是传统的说法,我更喜欢把它作为一个线索库,我们把Feed作为发现事件、发现威胁的源头来做调查的线索的入口。第二,威胁情报的平台不能只靠人工实现查询匹配,需要有更自动化的方法来使用它,所以需要平台用API或者是SDK的方法让机器自动化地查询、推送和订阅。威胁情报需要有用户侧的导入,用户需要什么情报我们去给他匹配,所以在威胁情报导入之前,利用威胁情报云服务之前,需要一些现场的风险评估或者是安全服务的一些前置,把企业方面对威胁情报的需求梳理清楚,然后做定制化的订阅,这样的话效果会更好。传统的设施一定是威胁情报落地的手段,威胁情报要落地一定要靠传统的安全设施,所以一个好的威胁情报云的使用方法是我们一定要通过API、SDK的方法把它集成在企业已经建设或者正在建设的安全措施中。当然,不同的安全措施使用威胁情报的方法不一样,比如说我们建了一个SOC平台需要更多的线索库,我们把线索库定时地导入进去之后跟日志和资产做更多的离线碰撞,碰撞后的结果再返回到情报云上进行扩展。还有网关类的下一代的防火墙WAF,需要精确的可以进行实时告警和警报的信息,因为需要高并发的支持,可能用SDK把高威胁度的确定程度很高的情报信息做预先的或者是定时的导入来做检测。最后,对APT的检测一些常规的ICO和关键路径的特征是关键,还有组合特征和流量还原的特征也会需要用到情报分发的体系,具体由后面的都柯给大家做一些讲解,如何利用威胁情报云用APT检测的案例的介绍。

当然,这是我们主流的威胁情报云能提供的基础信息服务,包括域名的WHOIS、域名新于、IP  WHOIS反向解析,开放的端口数,这里面比较独特的是一个AS域信息,每个IP都是属于每一个网络中的IS域,这会有很多有意思的黑客或者是一些使用方法,所以标注一个IP的AS域发现一些很特殊的黑客手段,还有常规的恶意样本、url样本等等。因为信息量很大,我们查询的时候需要一些模糊匹配,所以对一些字符串的查询也可能是情报云的比较好的方法,当然这只是一个威胁情报云需要具备的一些基础的信息,这并不是全部,需要更多。

天际友盟是国内威胁情报的先行者,我们现在成立了国内首个安全威胁情报联盟,我们的目标是以聚合、分析、交换、溯源为目标的情报云,并且我们是IBM  X -force的联盟伙伴,烽火台安全威胁联盟是9家公司,我们把数据引擎进行了共享,并且在各自领域进行了互补,都有不同的技术方向,我们也支持了国际上主流的威胁情报的交换协议,并且我们现在也在协助工信部进行国内的威胁情报格式的国家标准的建设。

下面由都柯介绍一下怎么用威胁情报云进行具体案例的分析。

6  都柯

都柯:大家下午好,非常高兴今天能有机会和大家一起分享我们在APT检测核威胁情报云使用的经验,我叫都柯来自于神州网云信息有限公司。为什么这个报告我们分成两个人来组合?刚才大路也讲了,我们的安全威胁情报是一个生态,既然是生态我们就要输出也要使用,我们输出我们的情报和共享的技术,从中在我们的业务应用过程中获利或者是达到我们的目的。之前还有朋友在讲,包括投资方面的和风险控制方面的,说我们的威胁情报的数据可以做很多的事情,甚至可以做风险控制,我们08年开始一直做高级恶意攻击的检测,我们服务的对象是国家的特殊部门,他们因为对高级恶意攻击尤其是窃密、泄密类的攻击是比较重视的,我们结合实际业务的工作产生了很多实际的效果我举几个实际的案例跟大家分析在高级恶意攻击检测的过程中如何利用威胁情报云产生我们的价值。

我主要从五个方面来向大家分享一下,首先是高级恶意攻击检测在不同领域的需求,以及现在面临的问题,这些问题如何利用威胁情报平台去解决。

第一,在高级恶意攻击检测的不同领域所面临的问题,我们知道高级威胁供给APT的概念,相信大家都很了解了,在这儿我不过多地阐述了,APT攻击我们检测APT的过程虽说都是高级恶意攻击可是目的是不同的,针对的对象是不同的。比如说,我们现在电信部门可能更关心的是吸费类的恶意类的攻击,银行更关心盗窃类的,企业和国家更关心的是自身的商业情报或者是国家的机密数据是否被窃密。针对不同的领域恶意人员攻击所使用的手法和工具,最终造成的后果可能都是不同的,在不同的领域我们怎么样去区分攻击的线索怎么样明确是针对我的攻击呢?在业务工作中就产生了三个主要的问题,第一个问题是,怎么从海量的报警线索中发现我们所需要的攻击的线索。任何的单位都会在网络中部署安全的检测设备,像防火墙、IDS等安全检测设备,这些设备每天会产生大量的告警,不同的领域比如说政府部门,并不关心键盘记录的木马合乎是盗取游戏账号的木马,可是这些告警也是混杂在一起的,我们如何通过这个找出我们关心的关键的线索。第二个问题,怎么从单一的攻击线索这个线索背后隐藏的信息是什么?比如说是谁?什么时间做了什么使用了什么工具,又拿到了什么内容,这是后续要扩展出来的更多的线索。第三,我们怎样去发现不同攻击线索之间的关联关系,在一个地方发现了一个攻击线索,可是还有其他的单位或者其他的部门产生了另一些攻击,这些攻击使用的手法、技术都不同,可是我们怎么样发现他们中间是否有联系,最后明确所谓的APT攻击。

依托威胁情报的云平台提出了几个想法,第一是多角度的检测,解决的是第一个问题,首先我要找出关键攻击线索,我要解决的是有没有海量的攻击信息,这从哪儿获取,就是攻击检测的各个角度,比如说后门的利用,拒绝服务的攻击,第一个要做的是要把它检测出来,再从检测出来的数据内部再筛选我们所关心的类型,我们通过网络的攻击检测模型对已知的攻击行为进行报警,我们从多角度拿到了海量的攻击的数据,我们进行攻击的数据维护和线索的扩展,最后进行横向的攻击关联关系的分析,到最后我们才能实现APT攻击行为的明确。这张表上可以看到分了三个主要的阶段,第一是线索的筛选,我们把前端或者说告警设备产生的告警信息会聚在云平台,一定要结合人工分析,从海量的信息中筛选出面向关键业务的攻击,再从威胁情报的云平台里扩展,比如说某一个黑域名产生的告警,这个黑域名是由哪个邮箱注册的,这个是否注册了其他的域名,是否有黑域名?他关注的木马的样本和注册的时间是什么?谁注册的?这一系列线索的扩展,可以依托这个云平台来进行线索的扩展,最后我们依托于关联的关系,比如说我的监控的单位如果面积范围足够广的话,我会发现同样的一起攻击可能来自于某一个单位,也可能监控了100个单位,我可能发现同样的攻击,同样类型的来自于同一组织的攻击涵盖了100个单位中的20个或者是15个单位,我们就可以把这个态势从多维度的角度,用安全的态势感知出来,并做一些适当的预警。

刚才我们看到的是一个结构的概念,我们要通过具体落地的方法来实现这些概念,这张表上可以看到首先是前面分布式的终端行为的模型分析,这些分析是我们实际部署的一些安全流量安全监测的设备,他们依托的是我们可疑行为的规则库来筛选出我们所关心的恶意行为。最关键的是溯源和APT攻击的线索扩展明确,主要依托的是威胁情报的云的支撑平台来做这种扩线和分析的依托。另外可以基于数据包的时间轴的回溯的系统来展示出这起攻击或者是这次安全事件的来龙去脉。这是我们实际落地的一个产品部署的架构图,我们可以看到前端有前端的告警检测的设备,配合着沙箱的系统,配合着告警数据的获取和集中,集中到后台的处理平台,依托多维的情报库做扩线和分析,同时提供依托大屏幕智慧中心的直观的展示,或者说建设一个指挥中心统一地调度和发布指令。这是多维威胁情报库中包含的数据的实例,比如说中国菜刀的规则,还有很多APT的攻击事件的报告,远程木马扫描webshell规则的数据,包括一些社工库、木马样本库、报告库,供我们在这里关联和查询。

举两个实际的案例把我们的思维展现一下。首先我们发现了一条重要的线索,要以这个线索为突破点再进行线索的扩展,最后是背景的明确,这是我们实际工作中针对政府部门使用的一个品牌的邮件服务器的软件系统进行的线索扩展,前端告警的过程我不再赘述了,这是我们发现了这个线索在扩展的过程中,其中从数据线索的日至里可以发现一条重要的线索,就是说其中有一个IP解析的域名不停地连接内网的服务器并且它执行了一个代码,它使用了这个域名,我们明确了这个域名是攻击的过程,对应的域名还可以共享给其他的网络安全检测的设备来识别,这是一个共享的过程。另外第二步我们要做线索的扩展的取证,就可以发现这个IP66.175的结尾是41的攻击者使用的是自动化扫描漏洞的服务器另外还有两个IP是真实的IP,我们通过线索的扩展,会发现来自同一个地不同的IP在使用webshell,我们可以判断它是属于同一个组织。

日志的分析过程中可以看到首先是黑域名的产生,另外是线索的扩展,我们要发现其他的域名,其他的IP是不是在使用,是不是对这个域名进行攻击。这是完整的事件的回溯,从什么时间段哪一个IP我们完整地回溯出来,某一个IP在利用漏洞下载webshell到本地,什么时候又直接地访问了webshell,他是不是还使用了另一个webshell同时在做攻击,我们通过案例的分析可以把这起攻击案件的来龙去脉,什么时间、谁、使用了什么工具、做了一些什么能拿到一个完整的结果。结合分析的过程,能体现什么价值呢?这也是一个案例,我们从邮件从前端的数据还原中发现了一个邮件附件是包括了可执行程序,通过沙箱的分析就可以发现它的代码层有一个关键层就是以endof结尾的,我们在威胁情报云里就可以做数据的关联关系和溯源的分析,我们以这种红圈的endof字节在我们库里做可视化关联分析的时候,就可以得到有关这个关键特征的MD5、使用的域名、使用的IP、URL、木马样本以及这个木马样本的分析报告。

这是我们威胁情报云平台的完整的可视化的分析界面,我们可以拿到之间的关联关系,另外是木马报告的MD5值、详细的分析报告,我们可以扩展出非常详细的有价值的分析线索。可以总结一下,一个完整的对高级分析事件进行多维分析的流程,我们要以重要的事件为切入点,发现重要线索,我们要发现重要线索针对的方式、使用的漏洞还要继续监测是否有第二次的攻击,通过第二次攻击又可以发现更多的线索,比如说使用的IP的域名、MD5、URL等,我们可以针对样本进行分析,利用我们的威胁情报对它同一个样本进行扩线的多维分析,最后可以发现完整的安全事件的来龙去脉。下面有一个反制的过程,甚至于我们采取一些反向攻击的方法来获取到更多攻击者的个人信息,甚至于组织的背景,包括它的目的以及它窃取到的实际的数据的证据。

这就是威胁情报与高级恶意攻击检测之间的协同,在我们的业务工作中,在我们帮助用户对高级恶意攻击事件的分析过程中,可以使用威胁情报云平台的外部的数据平台来进行深度的溯源分析达到我们的目的,并且这种平台还可以提供标准化的接口,我们可以在我们的前端设备里和后台地数据进行联动。最终我们的目的肯定是希望能创建一个威胁情报的关于APT攻击的新一代的联动的体系,既反馈数据又使用数据,增强检测和发现的能力。

我的报告就结束了。谢谢大家!

上一篇:思睿董靖:机器智能辅助威胁情报生产的三个实例

下一篇:对话腾讯马斌 解读互联网+安全战略