近期,美国网络安全供应商FireEye武器级别的红队攻击工具被盗。为限制本次事件的影响范围,其迅速提交针对本次被盗工具的防御方案,公布了"hundreds of countermeasures"(数百种对策)。可以预见本次丢失的武器级别的工具,可能是FireEye多年积累的干货,影响力巨大,如果被别有用心的人利用,会产生难以估量的损失。
亚信安全情报分析团队和核心技术部,作为一直长期关注红蓝攻防的研究团队,第一时间整理此次事件,并进行了深入的分析。
以红队视角看FireEye武器分类
FireEye并没有对本次被盗工具作出详细的介绍,但我们的分析人员努力还原了它们的原貌,并且揭示这些工具的功能和影响。
红队被盗工具分为四类:
基于开源项目的工具:这些红色团队工具是开源工具的略微修改版本,占比35%。
基于内置Windows二进制文件的工具:这些工具使用称为LOLBIN(不落地二进制文件)的内置Windows二进制文件,占比8.3%。
内部为FireEye的Red Team开发的工具:这些工具是专门为FireEye的Red Team使用而开发的,占比40%。
没有足够数据进行分析的工具:剩下的工具没有足够的数据来对其分析,占比17%。
【图1. 工具来源分布图】
本次泄漏工具的有效载荷中涉及CVE16个,但不包含0-day漏洞。
从本次粗略分析来看,被盗工具来源复杂,涉及CVE较多,且多分布于不同的攻击纬度。鉴于这样的情况,要求企业的安全防护的产品与策略要基于:既要从全局视角、大局观点出发,也要兼顾黑客思维的局部观点来构建,这样的策略防护就离不开ATT&CK的指导。
基于ATT&CK模型看立体防御的重要性
ATT&CK的全称是“Adversarial Tactics,Techniques,and Common Knowledge”,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术模型,这些攻击模型通过TTP (Tactics,Technichques, Procedures)来描述。该模型已经成为行业通识,被大量的网络安全公司使用,并且产生了良好的防御效果,尤其是目前比较流行的无文件攻击等APT攻击,具有良好的效果。
经过我们的分析,此次被盗的攻击工具一共涉及以下ATT&CK的TTP策略:
【图2. 被利用TTP攻击策略】
从图2中可以看到,本次被盗工具囊括12个攻击阶段中的11个,共包括约40个攻击策略点。影响之广、覆盖之全,可见一斑,这也迫使我们安全企业必须从攻击链的角度去考虑本次事件带来的影响。
现代黑客的攻击,都是基于这样的一个假设:无论私有的中小企业,还是国有的大型企业,都建立了体系化防御的能力。所以在构建攻击工具的时候,就不能单纯的设想通过单一的工具直接获得对方的控制权限,获取想要的信息,同时还不会给对方留下把柄。要达成既定的目标,需要通过多样化的攻击思路,层层攻破,隐藏痕迹,才能达到目的。
【图3. 被利用的TTP汇总】
例如在本次事件涉及的TTP中,据不完全统计,仅仅用来获取对方各种情报的TTP高达15种,占比接近1/3;持久化执行的TTP高达9种,关联的被盗工具可能有40多个,占比达到50%;这么多工具仅仅完成了攻击链的访问和持久化工作,还远远没有达到获取目标信息阶段,就此可见这些工具利用的攻击面非常广,从普通的漏洞攻击,到硬件的侧信道攻击,再到社会工程学等等。那么想从单一层面去作防御,无异于缘木求鱼,顾此失彼。尤其要注意转换基于特征库的防御思维,并不是说特征库无用,而是说需要立体化的防护手段方案,从底层的操作系统,到上层的各种应用、脚本文件执行等等这些都要布防。
接下来,我们将选取一些典型的工具,分析其TTP规则以解释被盗工具和TTP规则之间的关联关系。
1. ADPassHunt
它是一种凭证窃取工具,可搜寻Active Directory凭证。该工具的YARA规则中有两个引人注目的字符串:Get-GPPPasswords 和Get-GPPAutologons 。Get-GPPPassword 是一个PowerShell脚本,用于检索通过组策略首选项(GPP)推送的帐户的明文密码和其他信息。Get-GPPAutologons 是另一个PowerShell脚本,可从通过GPP推送的自动登录条目中检索密码。这些脚本在PowerSploit中用作功能,PowerSploit是结合了PowerShell模块和脚本的进攻性安全框架。
关联的TTP规则:
MITRE ATT&CK Techniques
T1003.003操作系统凭证转储:NTDS
T1552.06不安全凭据:组策略首选项
2. WMIRunner
该工具用于运行WMI命令,结合WMI隐蔽攻击策略,不利用第三方攻击就可以实现持久化,即长期隐蔽于受害者主机,无法查杀。
关联的TTP规则:
MITRE ATT&CK Techniques
T1047 Windows管理规范
还有很多其他工具和TTP规则的关联关系,基于这些TTP规则,攻击者可以泛化出各种工具的变种,达到攻击的隐蔽、难以检测、难以查杀等效果。
基于上述分析,我们得出结论,企业级用户要想真正对此次泄漏攻击工具做好防御工作,不仅仅需要防御原版工具的攻击,同时也要积极做好上述工具IOC变种防御,采用立体化的防御策略。
以XDR形成立体化防护体系
基于上述分析,我们建议用户要有一个立体化的防护体系来应对目前的事件,同时也能够应对未来的变化。另外,消除威胁的方案不是一劳永逸,要顺应目前攻击的变化趋势。
所谓立体化的防护,是指既有事前发现、事中处理攻击的能力,也有能够事后免疫相同威胁的方案;既有基于传统防病毒的基本能力,也有基于AI的高级威胁解决方案;既有基于攻击者的思维,也有基于防御者的能力。为此,我们推荐采用亚信安全的XDR解决方案,具有立体化防护能力,它不仅具有基于ATT&CK框架的威胁研判能力,同时支持大数据介入分析,机器学习研判等能力。
l 基于ATT&CK框架的威胁防御能力
亚信安全XDR通过自有关键产品的侦测与响应优势,提供省力的方式接入安全监测数据,利用大数据规范化数据格式、体系结构和连接性。通过各种关联数据,持续分析生成准确的ATT&CK威胁视图。
【图4. ATT&CK框架威胁视图】
l 采用大数据、机器学习和云架构
XDR可以代表从EDR到新一代的飞跃。作为云计算的产物,XDR可以满足安全团队在存储、分析和机器学习方面的可伸缩性要求。通过大数据、机器学习等能力,精准识别多纬度威胁,产生与之关联的TTP规则,提供更加人性化的事前事后防御策略。
【图5. TTP威胁分类】
l 快速响应
XDR不只是像传统的SIEM那样被动地记录和转发警报,而是主动评定并呈现可操作的结果,通过关联放大“弱信号”。因此,系统不会显示“过去发生了什么,公司需要调查”的警报,而是显示“在X上,有哪些类型的攻击发生,通过Y的联动,告知客户攻击者的路径以及如何应对”。XDR重点从仅给出警告转移到了提供补救响应的方案。
【图6. 快速响应的威胁视图】
亚信安全XDR代表了从单点筒仓到面立体聚合的真正转变。随着组织从COVID-19阴霾中解脱,XDR可以帮助企业在网络安全上面对新技术和资源的局限,并应对组织及其数字资产不断增长的威胁。